ΠΡΟΓΡΑΜΜΑ ΣΠΟΥΔΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΛΑΜΠΟΥΝΙΑ ΜΑΡΙΑ ΧΡΙΣΤΙΝΑ ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: ΓΚΡΙΤΖΑΛΗΣ ΔΗΜΗΤΡΙΟΣ

ΠΡΟΓΡΑΜΜΑ ΣΠΟΥΔΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ HOU-CS-UGP-2010-03 «ΕΛΕΓΧΟΣ ΤΡΩΤΟΤΗΤΑΣ ΔΙΚΤΥΟΚΕΝΤΡΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ» ΚΑΛΑΜΠΟΥΝΙΑ ΜΑΡΙΑ ΧΡΙΣΤΙΝΑ ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: ΓΚΡΙΤΖΑΛΗΣ ΔΗΜΗΤΡΙΟΣ ΠΑΤΡΑ 2010

2

Πτυχιακή Εργασία HOU-CS-UGP-2010-03 Έλεγχος τρωτότητας δικτυοκεντρικών Πληροφοριακών Συστημάτων Καλαμπούνια Μαρία Χριστίνα 3

ΕΑΠ, 2010 Η παρούσα διατριβή, η οποία εκπονήθηκε στα πλαίσια της ΘΕ ΠΛΗ40, και τα λοιπά αποτελέσματα της αντίστοιχης Πτυχιακής Εργασίας (ΠΕ) αποτελούν συνιδιοκτησία του ΕΑΠ και της φοιτήτριας, ο καθένας από τους οποίους έχει το δικαίωμα ανεξάρτητης χρήσης και αναπαραγωγής τους (στο σύνολο ή τμηματικά) για διδακτικούς και ερευνητικούς σκοπούς, σε κάθε περίπτωση αναφέροντας τον τίτλο και το συγγραφέα και το ΕΑΠ όπου εκπονήθηκε η ΠΕ καθώς και τον επιβλέποντα και την επιτροπή κρίσης. 4

Έλεγχος Τρωτότητας Δικτυοκεντρικών Πληροφοριακών Συστημάτων Καλαμπούνια Μαρία Χριστίνα Γκρίτζαλης Δημήτριος Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Σκόδρας Αθανάσιος Καθηγητής Ελληνικό Ανοιχτό Πανεπιστήμιο Μαυρίδης Ιωάννης Επίκουρος Καθηγητής Πανεπιστήμιο Μακεδονίας Περίληψη Σκοπός Η παρούσα πτυχιακή εργασία έχει ως στόχο, αφ ενός τη μελέτη των μεθόδων και των τεχνικών που χρησιμοποιούν οι επιτιθέμενοι για να εκμεταλλευτούν τις ευπάθειες ενός πληροφοριακού συστήματος, αφετέρου τη δημιουργία ενός εργαστηρίου ασφάλειας για τον Έλεγχο της Τρωτότητας (Penetration Testing) δικτυοκεντρικών πληροφορικών συστημάτων για εκπαιδευτικούς σκοπούς. Μεθοδολογία Αρχικά μελετώνται τα χαρακτηριστικά των επιτιθέμενων, οι τρόποι εργασίας τους, οι μεθοδολογίες, οι τεχνικές και οι τύποι επιθέσεων που χρησιμοποιούν. Στη συνέχεια, αναλύεται η έννοια του Ελέγχου Τρωτότητας (Penetration Testing), οι μέθοδοι διενέργειας των ελέγχων, τα στάδια που ακολουθούνται και οι διαχείρισή τους από αυτούς που τους διενεργούν. Το εκπαιδευτικό εργαστήριο Ελέγχου Τρωτότητας το οποίο αναπτύχθηκε στα πλαίσια αυτής της εργασίας αξιοποιεί την τεχνολογία των εικονικών μηχανών, ενώ τα εργαλεία που χρησιμοποιήθηκαν για τη δημιουργία των ασκήσεων είναι είτε ανοιχτού κώδικα, είτε 5

ελεύθερα προς χρήση. Τα χαρακτηριστικά, η δομή και οι απαιτήσεις του εργαστηρίου καθώς και τα χαρακτηριστικά, οι δυνατότητες, οι περιορισμοί, οι παρενέργειες, όπως και ο τρόπος λειτουργίας των εργαλείων περιγράφονται εκτενώς. Οι εργαστηριακές ασκήσεις έχουν σχεδιαστεί με σκοπό να διευκολύνουν τον εισηγητή και τους σπουδαστές στην πραγματοποίησή τους, να έχουν αυξανόμενο βαθμό δυσκολίας, να αξιοποιούν τις δυνατότητες των εργαλείων που μελετώνται, και, τέλος, να επιτρέπουν την τροποποίηση και προσαρμογή τους στις εκάστοτε γνωστικές απαιτήσεις. Τέλος, παρουσιάζονται τα πλεονεκτήματα και τα μειονεκτήματα του εργαστηρίου που δημιουργήθηκε και προτείνεται ένας τρόπος εφαρμογής του. Η παρούσα πτυχιακή εργασία είναι οργανωμένη σε 7 κεφάλαια. Στο 1 ο κεφάλαιο αναλύεται η έννοια της ασφάλειας πληροφοριακών συστημάτων και η εξελικτική της πορεία, διερευνώνται τα αίτια για τα οποία δεν είναι ασφαλή τα πληροφοριακά συστήματα και τονίζεται η αναγκαιότητα ύπαρξης Πολιτικής Ασφάλειας. Το 2 ο κεφάλαιο μελετά το φαινόμενο του Hacking και την εξελικτική του πορεία, ενόσω αναλύει τους τρόπους επίθεσης των Hackers, τις μεθοδολογίες και τις τεχνικές που χρησιμοποιούν, καθώς και τους τύπους των επιθέσεων. Στο 3 ο κεφάλαιο αναλύεται η έννοια του Ελέγχου Τρωτότητας (Penetration Testing), ενώ παρουσιάζονται οι μέθοδοι και τα στάδια διενέργειας τους, καθώς και ο τρόπος διαχείρισής τους. Στο 4 ο κεφάλαιο παρουσιάζονται και αναλύονται εκτενώς τα εργαλεία τα οποία θα χρησιμοποιηθούν στο εργαστήριο. Στο 5 ο κεφάλαιο περιγράφεται η δομή, τα χαρακτηριστικά, οι απαιτήσεις και ο τρόπος λειτουργίας του εκπαιδευτικού εργαστηρίου ασφάλειας. Στο 6 ο κεφάλαιο παρουσιάζονται οι εργαστηριακές ασκήσεις που αναπτύχθηκαν για τη λειτουργία του εργαστηρίου. Στο 7 ο κεφάλαιο γίνεται μια ανασκόπηση της εργασίας, εντοπίζονται τα πλεονεκτήματα και τα μειονεκτήματα του εργαστηρίου που αναπτύχθηκε, προτείνονται τρόποι εφαρμογής του και εξάγονται τα συμπεράσματα της εργασίας. Λέξεις - κλειδιά: Έλεγχος Τρωτότητας, Εργαστήριο Ασφάλειας, Εργαστηριακές Ασκήσεις Ασφάλειας Πληροφοριακών Συστημάτων 6

Penetration Testing of Network-Based Information Systems Kalampounia Maria Christina Gritzalis Dimitrios Skodras Athanassios Mavridis Ioannis Professor Athens University of Economics and Business Professor Hellenic Open University Assistant Professor University of Macedonia Summary Scope The objective of this thesis is, on the one hand the study of the methods and techniques that attackers use in order to exploit information systems vulnerabilities, and, on the other hand, to create a penetration testing security laboratory of network-based information systems for educational purposes. Methodology Initially, this study focuses on the characteristics of the attackers, as well as their ways of acting, the methodologies, the techniques and the types of attacks that they use. Afterwards, the significance of Penetration Testing is analyzed, as well as the testing steps and the methodology and their management by the persons that conduct them. The educational Penetration Testing laboratory, which was developed in this project, utilizes the advantages of virtualization technology, while the tools that were used for the development of the exercises are opens source, or freely to use. The characteristics, the structure and the requirements of the laboratory, as well as the characteristics, the 7

possibilities, the limitations, the side effects, as also the tools functionality are extensively described. The laboratorial exercises have been designed in order to facilitate both the instructor and the students, to have an increasing difficulty s scale, to utilize the possibilities of tools and, additionally, to allow the modification and adaptation in each cognitive requirement. Finally, the advantages and the disadvantages of the laboratory are presented and we propose a way for the laboratory implementation. This thesis is organized in 7 chapters. Chapter 1 analyzes the significance of information systems security and its progress, the reasons why the Information Systems are not secure are investigated, and also points the necessity of the existence of a security policy. Chapter 2 studies the phenomenon of Hacking and its progress, analyzes the ways of Hackers attack, the methodologies and the techniques that they use, as well as the types of attacks. In chapter 3, the significance of Penetration Testing is analyzed, as well as the testing steps and the methodology and their management by the persons that conduct them.. In chapter 4, the tools which will be used in the laboratory are extensively presented and analyzed. Chapter 5, the structure, the characteristics, the requirements and the educational security laboratory implementation are described. In chapter 6, the laboratorial exercises that were developed are presented. In chapter 7, a review of the thesis is presented, as well as the advantages, and disadvantages of laboratory that was developed. Finally implementation suggestions are proposed and the thesis conclusions are presented. Keywords: Penetration Testing, Security Laboratory, Information Systems Security Laboratorial Exercises 8

Ευχαριστίες : Θερμές ευχαριστίες εκφράζω στον υπεύθυνο και επιβλέποντα της εργασίας μου, Καθηγητή του Οικονομικού Πανεπιστημίου Αθηνών, κ. Δημήτριο Γρίτζαλη, όχι μόνον γιατί του οφείλω τη γνωριμία μου με το επιστημονικό πεδίο της Ασφάλειας Πληροφοριακών Συστημάτων, πολύ περισσότερο γιατί με το ήθος και την καλλιέργειά του υπήρξε δάσκαλος για μένα. Θα ήθελα να ευχαριστήσω επίσης, τον Υποψήφιο Διδάκτορα κ. Αλέξιο Μυλωνά για τη πολύτιμη βοήθεια και καθοδήγηση που μου παρείχε καθ όλη τη διάρκεια εκπόνησης της παρούσας πτυχιακής εργασίας. Επιπλέον, τις ευχαριστίες μου θα ήθελα να εκφράσω τόσο στο Ελληνικό Ανοιχτό Πανεπιστήμιο για την ευκαιρία που μου παρείχε να σπουδάσω, όσο και στους καθηγητές μου που με δίδαξαν αυτά που έμαθα. Τέλος, θέλω να ευχαριστήσω την οικογένεια μου και τα προσφιλή μου πρόσωπα για τη στήριξη που μου προσέφεραν και κυρίως για την κατανόηση που επέδειξαν καθ όλη τη διάρκεια των σπουδών μου. 9

Πίνακας Περιεχομένων Περίληψη... 5 Summary... 7 Πίνακας Περιεχομένων... 10 Ευρετήριο εικόνων... 14 Ευρετήριο πινάκων... 15 Πρόλογος... 16 Εισαγωγή... 17 Κεφάλαιο 1... 19 Πληροφοριακά Συστήματα και Ασφάλεια... 19 1.1 Εισαγωγή... 19 1.2 Η έννοια της ασφάλειας πληροφοριακών συστημάτων... 20 1.3 Η εξελικτική πορεία της ασφάλειας πληροφοριακών συστημάτων... 21 1.4 Γιατί τα πληροφορικά συστήματα δεν είναι ασφαλή... 28 1.5 Διαχείριση Ασφάλειας Αναγκαιότητα Ύπαρξης Πολιτικής Ασφάλειας... 30 Κεφάλαιο 2... 36 Hacking και Hackers... 36 2.1 Τι είναι Hacking... 36 2.2 Hackers... 36 2.2.1 Ιστορικά στοιχεία... 37 2.2.2 Hackers: Ιδεολογία Κουλτούρα Κίνητρα... 39 2.2.3 Τύποι των Hackers... 41 2.3 Τρόποι Εργασίας των Εισβολέων και Τοπολογίες Επίθεσης... 43 2.3.1 Τρόποι Εργασίας των Εισβολέων... 43 2.3.2 Τοπολογίες Επίθεσης... 44 2.4 Μεθοδολογία και τεχνικές Hacking... 48 2.4.1 Αναγνώριση Στόχου (Footprinting)... 48 2.4.2 Σάρωση Συστημάτων (Scanning)... 55 2.4.3 Ενεργητική Συλλογή Πληροφοριών ή Απαρίθμηση Συστήματος (Enumeration)... 63 10

2.5 Τύποι επιθέσεων... 72 Κεφάλαιο 3... 75 Penetration Testing... 75 3.1 Τι είναι οι έλεγχοι διείσδυσης (Penetration Testing)... 77 3.2 Μέθοδοι διενέργειας Ελέγχων Διείσδυσης (Penetration Testing)... 78 3.3 Τα Στάδια Ενός Ελέγχου Διείσδυσης... 84 3.4 Διαχείριση ελέγχων διείσδυσης... 89 3.5 Πιστοποιήσεις Αξιολογητών Ασφάλειας... 91 Κεφάλαιο 4... 95 Penetration Testing Tools... 95 4.1 Εισαγωγή... 95 4.2 Κριτήρια Επιλογής Παρουσίασης Εργαλείων Penetration Testing... 97 4.3 Microsoft Baseline Security Analyzer (MBSA)... 98 4.3.1 Ταυτότητα... 98 4.3.2 Δυνατότητες... 100 4.3.3 Περιορισμοί και παρενέργειες... 105 4.3.4 Τρόπος λειτουργίας... 107 4.4 Cain & Abel... 113 4.4.1 Ταυτότητα... 113 4.4.2 Δυνατότητες... 114 4.4.3 Περιορισμοί και παρενέργειες... 126 4.4.4 Παρουσίαση - Τρόπος λειτουργίας... 128 4.5 Fast-Track... 131 4.5.1 Ταυτότητα... 131 4.5.2 Δυνατότητες... 131 4.5.3 Περιορισμοί και παρενέργειες... 134 4.5.4 Αρχιτεκτονική και τρόπος λειτουργίας... 135 4.6 Metasploit... 138 4.6.1 Ταυτότητα... 138 4.6.2 Δυνατότητες... 139 4.6.3 Περιορισμοί και παρενέργειες... 141 4.6.4 Αρχιτεκτονική και τρόπος λειτουργίας... 141 4.7 MSAT... 146 4.7.1 Ταυτότητα... 146 4.7.2 Δυνατότητες... 147 4.7.3 Περιορισμοί και παρενέργειες... 151 4.7.4 Αρχιτεκτονική και τρόπος λειτουργίας... 152 4.8 Nessus... 155 4.8.1 Ταυτότητα... 155 4.8.2 Δυνατότητες... 156 4.8.3 Περιορισμοί και παρενέργειες... 160 4.8.4 Αρχιτεκτονική και τρόπος λειτουργίας... 161 4.9 Nmap... 167 11

4.9.1 Ταυτότητα... 167 4.9.2 Δυνατότητες... 168 4.9.3 Περιορισμοί και παρενέργειες... 172 4.9.4 Αρχιτεκτονική και τρόπος λειτουργίας... 172 4.10 Paros Proxy... 177 4.10.1 Ταυτότητα... 177 4.10.2 Δυνατότητες... 177 4.10.3 Περιορισμοί και παρενέργειες... 180 4.10.4 Αρχιτεκτονική και τρόπος λειτουργίας... 181 4.11 Snort... 184 4.11.1 Ταυτότητα... 184 4.11.2 Δυνατότητες... 185 4.11.3 Περιορισμοί και παρενέργειες... 186 4.11.4 Αρχιτεκτονική και τρόπος λειτουργίας... 187 4.12 Wireshark... 191 4.12.1 Ταυτότητα... 191 4.12.2 Δυνατότητες... 193 4.12.3 Περιορισμοί και παρενέργειες... 194 4.12.4 Αρχιτεκτονική και τρόπος λειτουργίας... 195 Κεφάλαιο 5... 197 Εργαστήριο Ασφάλειας (Security Laboratory)... 197 5.1 Εισαγωγή... 197 5.2 Χαρακτηριστικά ενός Εργαστηρίου Ασφάλειας... 198 5.3 Ανάπτυξη Εργαστηρίου Ασφάλειας... 201 5.3.1 Σκοπός του εργαστηρίου... 201 5.3.2 Προαπαιτούμενες γνώσεις... 202 5.3.3 Υλικοτεχνική υποδομή... 202 5.3.4 Εκπαιδευτικό Προσωπικό Διαχείριση Εργαστηρίου... 204 5.3.5 Κριτήρια ανάπτυξη και ταξινόμησης εργαστηριακών ασκήσεων... 205 5.3.6 Αξιολόγηση Σπουδαστών... 207 Κεφάλαιο 6... 208 Εργαστηριακές ασκήσεις... 208 6.1 Εισαγωγή... 208 6.2 Microsoft Baseline Security Analyzer (MBSA)... 209 6.2.1 Εισαγωγική Άσκηση... 209 6.2.2 Μέτριας Εντάσεως Άσκηση... 211 6.2.3 Σύνθετη Άσκηση... 213 6.3 Cain & Abel... 215 6.3.1 Εισαγωγική Άσκηση... 215 6.3.2 Μέτριας Εντάσεως Άσκηση... 220 6.3.3 Σύνθετη Άσκηση... 223 6.4 Fast-Track... 226 6.4.1 Εισαγωγική Άσκηση... 226 6.4.2 Μέτριας Εντάσεως Άσκηση... 228 6.4.3 Σύνθετη Άσκηση... 231 12

6.5 Metasploit... 233 6.5.1 Εισαγωγική Άσκηση... 233 6.5.2 Μέτριας Εντάσεως Άσκηση... 235 6.5.3 Σύνθετη Άσκηση... 238 6.6 MSAT... 241 6.6.1 Εισαγωγική Άσκηση... 241 6.6.2 Μέτριας Εντάσεως Άσκηση... 244 6.6.3 Σύνθετη Άσκηση... 247 6.7 Nessus... 251 6.7.1 Εισαγωγική Άσκηση... 251 6.7.2 Μέτριας Εντάσεως Άσκηση... 253 6.7.3 Σύνθετη Άσκηση... 255 6.8 Nmap... 257 6.8.1 Εισαγωγική Άσκηση... 257 6.8.2 Μέτριας Εντάσεως Άσκηση... 260 6.8.3 Σύνθετη Άσκηση... 264 6.9 Paros Proxy... 267 6.9.1 Εισαγωγική Άσκηση... 267 6.9.2 Μέτριας Εντάσεως Άσκηση... 270 6.9.3 Σύνθετη Άσκηση... 273 6.10 Snort... 276 6.10.1 Εισαγωγική Άσκηση... 276 6.10.2 Μέτριας Εντάσεως Άσκηση... 280 6.10.3 Σύνθετη Άσκηση... 282 6.11 Wireshark... 286 6.11.1 Εισαγωγική Άσκηση... 286 6.11.2 Μέτριας Εντάσεως Άσκηση... 289 6.11.3 Σύνθετη Άσκηση... 292 Κεφάλαιο 7... 295 Σύνοψη και Μελλοντική Έρευνα... 295 7.1 Σύνοψη Εργαστηρίου Ασφάλειας. Πλεονεκτήματα - Μειονεκτήματα... 295 7.2 Πρόταση εφαρμογής του εργαστηρίου... 297 7.3 Προτάσεις Μελλοντικής Έρευνας... 298 7.4 Συμπεράσματα... 299 Επίλογος... 300 Βιβλιογραφία... 301 13

Ευρετήριο εικόνων Εικόνα 1.1: Ιστορική εξέλιξη της ασφάλειας υπολογιστών... 26 Εικόνα 1.2: Αντιληπτικό Μοντέλο της Επικινδυνότητας... 31 Εικόνα 2.1: Επίθεση Ένα προς Ένα (One to One).... 45 Εικόνα 2.2: Επίθεση Ένα προς Πολλούς (One to Many).... 46 Εικόνα 2.3: Επίθεση Πολλοί προς Ένα (Many to One).... 47 Εικόνα 2.4: Επίθεση Πολλοί προς Πολλά (Many to Many)... 48 Εικόνα 2.5: Διαδικασία τριών βημάτων σύνδεσης TCP... 59 Εικόνα 2.6: Τα 14 Σοβαρότερα Προβλήματα Ασφάλειας... 71 Εικόνα 3.1: Είδη Ελέγχων Τρωτότητας... 83 Εικόνα 3.2: Τα 4 Στάδια του ελέγχου διείσδυσης... 85 Εικόνα 3.3: Βήματα Φάσης Επίθεσης με Ανατροφοδότηση της Φάσης Ανίχνευσης... 86 Εικόνα 4.1: Κεντρική οθόνη του MBSA... 107 Εικόνα 4.2: Μενού επιλογών σάρωσης ενός υπολογιστή... 107 Εικόνα 4.3: Μενού επιλογών σάρωσης πολλών υπολογιστών... 108 Εικόνα 4.4: Αναφορά Εργαλείου MBSA... 111 Εικόνα 4.5: Κύρια οθόνη του Cain... 128 Εικόνα 4.6: Οθόνη Διαμόρφωσης του Cain... 129 Εικόνα 4.7: Οθόνη επιτυχούς εγκατάστασης του Abel... 130 Εικόνα 4.8: Η κονσόλα επιλογών του Fast-Track... 136 Εικόνα 4.9: Η γραφική κονσόλα του Fast-Track... 136 Εικόνα 4.10: Η αρχιτεκτονική του Metasploit... 141 Εικόνα 4.11: Η κονσόλα του Metasploit... 144 Εικόνα 4.12: Δημιουργία προφίλ στο MSAT... 152 Εικόνα 4.13: Οθόνη για τη δημιουργία μορφότυπου του οργανισμού αξιολόγησης στο MSAT... 153 Εικόνα 4.14: Οθόνη έναρξης αξιολόγησης του MSAT... 154 Εικόνα 4.15: Αναφορά του MSAT... 154 Εικόνα 4.16: Τρόπος λειτουργίας του Nessus... 161 Εικόνα 4.17: Κονσόλα του Server Nessus... 162 Εικόνα 4.18: Είσοδος στο Nessus client... 162 Εικόνα 4.19: Γραφικό περιβάλλον του Nessus client... 163 Εικόνα 4.20: Καθορισμός πολιτικής ελέγχου στο Nessus... 163 Εικόνα 4.21: Διενέργεια ελέγχου με το Nessus... 165 Εικόνα 4.22: Αναφορά του Nessus... 165 Εικόνα 4.23: Γραμμή εντολών του Nmap... 173 Εικόνα 4.24: Γραφικό περιβάλλον του Nmap... 173 Εικόνα 4.25: Κεντρική οθόνη λειτουργίας του Paros Proxy... 182 Εικόνα 4.26: Αναφορά του Paros Proxy... 183 Εικόνα 4.27: Αρχιτεκτονική του Snort... 188 Εικόνα 4.28: Κονσόλα λειτουργίας του Snort... 189 Εικόνα 4.29: Γραφικό περιβάλλον εμφάνισης των αποτελεσμάτων του Snort... 190 Εικόνα 4.30: Γραφικό περιβάλλον λειτουργίας του Wireshark... 196 Εικόνα 5.1: Τοπολογία δικτύου για τη διεξαγωγή των εργαστηριακών ασκήσεων... 204 14

Ευρετήριο πινάκων Πίνακας 1-1: Καταγεγραμμένα Επεισόδια ασφάλειας... 27 Πίνακας 1-2: Καταγεγραμμένες ευπάθειες πληροφοριακών συστημάτων... 28 Πίνακας 2-1: Οι διάφορες τεχνολογίες και οι κρίσιμες πληροφορίες που μπορεί να συλλέξει ένας Hacker 49 Πίνακας 2-2: Τύποι ICMP πακέτων... 56 Πίνακας 2-3: Σάρωση ping με το εργαλείο nmap... 56 Πίνακας 2-4: Σάρωση TCP ping με το εργαλείο nmap... 57 Πίνακας 4-1: Απαιτήσεις συστήματος για την εκτέλεση ελέγχων με το εργαλείο MBSA... 100 Πίνακας 4-2: Πρωτόκολλα από τα οποία μπορεί να γίνει σύλληψη... 118 Πίνακας 4-3: Διαφορές εμπορική και δωρεάν διανομής του Nessus... 156 Πίνακας 4-4: Συγκριτική παρουσίαση μεθόδων Nmap... 176 Πίνακας 4-5: Δικτυακοί τύποι που υποστηρίζονται από το Wireshark... 192 Πίνακας 5-1: Εργαλεία και γνωστικό πεδίο που καλύπτουν... 206 Πίνακας 5-2: Τύποι Ασκήσεων... 206 Πίνακας 5-3: Βαθμός Δυσκολίας Ασκήσεων... 207 15

Πρόλογος Η εκρηκτική ανάπτυξη των υπολογιστικών συστημάτων, οι διευρυμένες δυνατότητες για τη μεταξύ τους διασύνδεση και οι τάσεις παγκοσμιοποίησης άνοιξαν νέους ορίζοντες στην επικοινωνία, στην εργασία, στην εκπαίδευση, στις συνεργασίες, στο εμπόριο, στην υγεία και γενικότερα στους περισσότερους τομείς της ανθρώπινης δραστηριότητας. Η νέα αυτή τάξη πραγμάτων οδήγησε στην εξάρτηση των χρηστών των πληροφοριακών συστημάτων από τις πληροφορίες που διακινούνται και αποθηκεύονται. Απόρροια αυτού του γεγονότος ήταν η ανάγκη για την προστασία της αυθεντικότητας, της ακεραιότητας και της εμπιστευτικότητας των πληροφοριών. Οι δυνατότητες τις οποίες παρέχει η ψηφιακή εποχή δεν έμειναν ανεκμετάλλευτες από τους κακόβουλους χρήστες των πληροφοριακών συστημάτων και σύντομα έκανε την εμφάνιση του το ηλεκτρονικό έγκλημα. Οι ιοί, οι Hackers, η ηλεκτρονική παρακολούθηση, η ηλεκτρονικές απάτες είναι μερικές από της μορφές του ηλεκτρονικού εγκλήματος. Ποτέ άλλοτε η ασφάλεια των πληροφοριακών συστημάτων δε ήταν τόσο απαραίτητη όσο σε αυτή τη νέα πραγματικότητα. 16

Εισαγωγή Η παρούσα πτυχιακή εργασία φιλοδοξεί να αποτελέσει μια εμπεριστατωμένη μελέτη για την ανάπτυξη ενός εργαστηρίου Ελέγχου Τρωτότητας (εφεξής Penetration Testing) δικτυοκεντρικών πληροφοριακών συστημάτων για εκπαιδευτικούς σκοπούς. Πριν από αυτό όμως, θα μελετηθεί το φαινόμενο του Hacking και ο ρόλος του Ελέγχου Τρωτότητας στην ασφάλεια των πληροφοριακών συστημάτων. Στην εργασία αυτή μελετώνται θέματα που σχετίζονται με τα προβλήματα ασφάλειας των σύγχρονων πληροφοριακών συστημάτων και εξετάζονται εργαλεία τα οποία συμβάλλουν στον προσδιορισμό τους. Τα εργαλεία, των οποίων οι δυνατότητες θα αναλυθούν στη συνέχεια, έχουν επιλεγεί με γνώμονα της καταλληλότητα τους για ένταξη σε ένα εκπαιδευτικό πρόγραμμα. Παράλληλα, θα αναπτυχθούν περιπτώσεις μελέτης αυτών των εργαλείων, διαφόρων βαθμών δυσκολίας, κατάλληλες για την επίτευξη των εκπαιδευτικών σκοπών που έχουν προηγουμένως προσδιοριστεί. Η όλη μελέτη γίνεται προοδευτικά, ώστε ο αναγνώστης να αποκτήσει σταδιακά το γνωστικό υπόβαθρο, για την κατανόηση των θεμάτων που περιλαμβάνονται στα επόμενα βήματα. Για το σκοπό αυτό η εργασία είναι οργανωμένη σε επτά (7) κεφάλαια. Στο 1 ο κεφάλαιο παρουσιάζεται η έννοια της Ασφάλειας Πληροφοριακών Συστημάτων η οποία βρίσκεται σε αντιστοιχία με τους κινδύνους που τα απειλούν, καθώς και η εξελικτική της πορεία σε συνάρτηση με την ανάπτυξη της τεχνολογίας. Στη συνέχεια, διερευνώνται τα αίτια που εκθέτουν σε κίνδυνο τα πληροφοριακά συστήματα, ενώ τονίζεται η ανάγκη για την δημιουργία πολιτικής ασφάλειας. Στο 2 ο κεφάλαιο μελετάται το φαινόμενο του Hacking και των Hackers. Επιχειρείται αφενός μια ιστορική αναδρομή της εξελικτικής πορείας του Hacking, αφετέρου ο προσδιορισμός του μορφότυπου των Hackers. Επιπλέον, παρουσιάζονται αναλυτικά οι τρόποι εργασίας τους, οι τύποι επιθέσεων, οι μεθοδολογίες και οι τεχνικές που χρησιμοποιούν. Στο 3 ο κεφάλαιο αναλύεται η έννοια του Ελέγχου Τρωτότητας (Penetration Testing) και περιγράφονται οι μέθοδοι διενέργειάς τους, τα στάδια τα οποία περιλαμβάνουν και η διαχείρισή τους, όπως έχουν καθοριστεί στα διεθνή πρότυπα. Επιπρόσθετα, γίνεται αναφορά και στις διαθέσιμες πιστοποιήσεις των αξιολογητών ασφάλειας. 17

Στο 4 ο κεφάλαιο αναπτύσσονται τα κριτήρια επιλογής των εργαλείων που θα αποτελέσουν αντικείμενο μελέτης στα πλαίσια του εργαστηρίου, ενώ ταυτόχρονα θα περιγραφούν αναλυτικά οι δυνατότητες, οι περιορισμοί και ο τρόπος λειτουργίας καθενός από αυτά. Στο 5 ο κεφάλαιο περιγράφονται τα χαρακτηριστικά ενός εργαστηρίου ασφάλειας. Στη συνέχεια, αναπτύσσεται η δομή του εργαστηρίου αυτού. Παράλληλα, περιγράφονται τα επιμέρους χαρακτηριστικά του, όπως ο σκοπός του, η υλικοτεχνική υποδομή του, οι γνώσεις οι οποίες προαπαιτούνται για την παρακολούθησή του, η διαχείρισή του και η αξιολόγηση των σπουδαστών. Στο 6 ο κεφάλαιο παρουσιάζονται οι εργαστηριακές ασκήσεις που αναπτύχθηκαν για τη λειτουργία του εργαστηρίου. Για κάθε εργαλείο έχουν σχεδιαστεί τρεις περιπτώσεις μελέτης με διαβάθμιση δυσκολίας. Ο σχεδιασμός έχει πραγματοποιηθεί με γνώμονα, μέσα από την αξιοποίηση των δυνατοτήτων του, την επίτευξη του εκπαιδευτικού στόχου. Στο 7 ο κεφάλαιο γίνεται μια ανασκόπηση της εργασίας, εντοπίζονται τα πλεονεκτήματα και τα μειονεκτήματα του εργαστηρίου που αναπτύχθηκε και προτείνονται τρόποι εφαρμογής του. Εν κατακλείδι, εξάγονται τα συμπεράσματα της εργασίας και προτάσσονται θέματα για περαιτέρω έρευνα. 18

Κεφάλαιο 1 Πληροφοριακά Συστήματα και Ασφάλεια 1.1 Εισαγωγή Η εκτεταμένη χρήση της τεχνολογίας, της πληροφορικής και των επικοινωνιών αποτελεί ένα αδιαμφισβήτητο γεγονός στην εποχή μας. Σχεδόν σε όλους τους τομείς της ανθρώπινης δραστηριότητας (διακυβέρνηση, υγεία, παιδεία, επιχειρηματικότητα, κλπ) χρησιμοποιούνται πληροφοριακά συστήματα, αφού τα πλεονεκτήματα που προκύπτουν από τη χρήση τους είναι σημαντικά. Ταυτόχρονα όμως αυξάνονται και οι κίνδυνοι που απειλούν τα συστατικά στοιχεία ενός πληροφοριακού συστήματος και κατ επέκταση το ίδιο το σύστημα. Οι κίνδυνοι αφορούν στην παραβίαση της εμπιστευτικότητας, στην ηθελημένη ή τυχαία καταστροφή ή αλλοίωση, καθώς και στη μη εξουσιοδοτημένη χρήση πληροφοριών και υπολογιστικών πόρων 1. Η ύπαρξη των κινδύνων προβάλει επιτακτική την ανάγκη για την Ασφάλεια των Πληροφοριακών Συστημάτων. Πριν από την εμφάνιση και ευρεία χρήση των πληροφοριακών συστημάτων η ασφάλεια των πληροφοριών εξασφαλίζονταν με φυσικά και διοικητικά μέσα. Η εισαγωγή όμως της χρήσης των υπολογιστών, εισήγαγε και την ανάγκη για αυτοματοποιημένα εργαλεία προστασίας αρχείων και άλλων μορφών πληροφοριών τα οποία βρίσκονται αποθηκευμένα στον υπολογιστή. Η ανάγκη αυτή γίνεται περισσότερο επιτακτική για υπολογιστικά συστήματα στα οποία η πρόσβαση μπορεί να πραγματοποιηθεί είτε μέσω ενός τηλεφωνικού δικτύου, είτε μέσω ενός δικτύου δεδομένων, είτε μέσω του διαδικτύου. Καθώς τα τεχνολογικά επιτεύγματα εξελίσσονται με ραγδαίους ρυθμούς, εμφανίζονται τα κατανεμημένα συστήματα, ενώ παράλληλα διευρύνεται η χρήση των δικτυακών και επικοινωνιακών δυνατοτήτων για τη μεταφορά δεδομένων μεταξύ τερματικού χρήστη και υπολογιστή ή και μεταξύ δυο υπολογιστών. Οι υπηρεσίες διαδικτύου αποκτούν μια ολοένα αυξανόμενη ζήτηση, γεγονός που συνάδει με την αύξηση της υπολογιστικής ισχύς, την επέκταση του εύρους ζώνης και την ανάπτυξη των ασύρματων τεχνολογιών. 1 Γ. Πάγκαλος Ι. Μαυρίδης, Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων, Εκδόσεις ΑΝΙΚΟΥΛΑ, Θεσσαλονίκη 2002. 19

Παράλληλα όμως με την εξέλιξη των πληροφοριακών συστημάτων, αυξάνουν και οι ευπάθειές τους καθώς και οι κίνδυνοι που τα απειλούν, γεγονός το οποίο επιτάσσει την ανάγκη για προστασία τους και εισάγει την έννοια της ασφάλειας πληροφοριακών συστημάτων. Η ασφάλεια πληροφοριακών συστημάτων σχετίζεται με τα μέτρα τα οποία θα πρέπει να ληφθούν ώστε να αποθαρρυνθούν, να αποτραπούν, να ανιχνευθούν και να αντιμετωπιστούν παραβιάσεις ασφάλειας που αφορούν στην μετάδοση πληροφοριών και στην προστασία των υποδομών. 1.2 Η έννοια της ασφάλειας πληροφοριακών συστημάτων Η Ασφάλεια Πληροφοριακών Συστημάτων και Υποδομών αφορά οντότητες και αντικείμενα που αξίζει να προστατευθούν. Ό,τι αξίζει να προστατευθεί ονομάζεται Αγαθό (Asset). Τα Αγαθά αξίζει να προστατευθούν επειδή έχουν Αξία (Value). Η Αξία τους μπορεί να μειωθεί αν υποστούν Ζημιά. Τα Αγαθά χρειάζονται προστασία μόνον εάν υπάρχουν Κίνδυνοι (Dangers) που μπορεί να τους προκαλέσουν Ζημιά (Harm). Ο Ιδιοκτήτης (Owner) ενός προστατευόμενου Αγαθού χρησιμοποιεί Μέσα Προστασίας (Safeguards) είτε για να μειώσει τον Κίνδυνο να προξενηθεί Ζημιά στο Αγαθό, είτε για να μειώσει τις συνέπειές της 2. Οι έννοιες Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα συνδέονται στενά με την Ασφάλεια Πληροφοριακών Συστημάτων: Εμπιστευτικότητα είναι η αποφυγή της αποκάλυψης πληροφοριών χωρίς την άδεια του ιδιοκτήτη τους Ακεραιότητα είναι η αποφυγή της μη εξουσιοδοτημένης τροποποίησης μιας πληροφορίας Διαθεσιμότητα είναι η αποφυγή μη εύλογων καθυστερήσεων στην εξουσιοδοτημένη προσπέλαση πληροφοριών και υπολογιστικών πόρων Η έννοια της ασφάλειας ενός πληροφοριακού συστήματος σχετίζεται με την ικανότητα ενός οργανισμού να προστατεύει τις πληροφορίες του από τυχόν αλλοιώσεις και καταστροφές, καθώς και από μη εξουσιοδοτημένη χρήση των πόρων του. Σχετίζεται επίσης με την ικανότητά του να παρέχει ορθές και αξιόπιστες πληροφορίες, οι οποίες είναι διαθέσιμες στους εξουσιοδοτημένους χρήστες κάθε φορά που τις αναζητούν. Η ικανότητα αυτή στηρίζεται στη λήψη μέτρων τα οποία διασφαλίζουν την ακεραιότητα και την εμπιστευτικότητα των δεδομένων, καθώς και την αδιάλειπτη λειτουργία του δικτύου. 2 Κάτσικας Σ. Γκρίτζαλης Δ Γκρίτζαλης Σ., Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2004. 20

Συνεπώς η ασφάλεια πληροφοριακών συστημάτων σχετίζεται με την πρόληψη και ανίχνευση μη εξουσιοδοτημένων ενεργειών των χρηστών του συστήματος καθώς και την λήψη μέτρων. Η ασφάλεια πληροφοριακών συστημάτων μπορεί ακόμη να οριστεί ως η δυνατότητα ενός πληροφοριακού συστήματος να αντισταθεί, σε δεδομένο επίπεδο αξιοπιστίας, σε τυχαία συμβάντα ή κακόβουλες ενέργειες που θέτουν σε κίνδυνο τη διάθεση, την επαλήθευση ταυτότητας, την ακεραιότητα και την τήρηση του απορρήτου των δεδομένων που έχουν αποθηκευτεί ή μεταδοθεί καθώς και τις συναφείς υπηρεσίες που παρέχονται είτε είναι προσβάσιμες μέσω των δικτύων και συστημάτων αυτών. 1.3 Η εξελικτική πορεία της ασφάλειας πληροφοριακών συστημάτων Για να γίνει περισσότερο κατανοητή η έννοια της ασφάλειας πληροφοριακών συστημάτων κρίνεται απαραίτητη η παρουσίαση της εξελικτικής της πορείας 3. - 1945 Στις εποχές που τηλεγραφία, τηλεφωνία και ραδιοεπικοινωνίες δεν υφίστανται καν, η μετάδοση της πληροφορίας δύναται να χαρακτηριστεί από δύσκολο έως και ακατόρθωτο εγχείρημα, καθώς η αναχαίτιση, ακόμα και η καταστροφή ενός μηνύματος είναι σύνηθες φαινόμενο. Επιπρόσθετα η απόσταση αποτελεί ανασταλτικό παράγοντα, όσο μεγαλώνει, τόσο μικραίνουν οι πιθανότητες ορθής λήψης του μηνύματος. Περίπου μέχρι το τέλος του Β Παγκόσμιου Πολέμου η έννοια της ασφάλειας ταυτίζεται με τη διασφάλιση του περιεχομένου του μηνύματος σε περίπτωση παρεμβολής. Πριν την κατασκευή και την εξέλιξη των υπολογιστικών συστημάτων με τη μορφή που παρουσιάζουν έως τις μέρες μας, η ασφάλεια της πληροφορίας προβάλλει συνυφασμένη με την ανάγκη ασφαλών στρατιωτικών και πολιτικών επικοινωνιών. Η μελέτη, η ανάπτυξη καθώς και η χρήση κωδικών και κωδικοποιητών συνιστούν επιτυχή, σε αρκετές περιπτώσεις, τρόπο διασφάλισης του μηνύματος. Οι κώδικες, εξαιτίας της ευκολότερης υλοποίησης τους σε σχέση με τους κωδικοποιητές, υλοποιούν τη βασική ασφαλή επικοινωνία. Σε περίπτωση, ωστόσο, υποκλοπής του βιβλίου κωδικών το οποίο θα 3 Strebe M., Network Security Foundations, Sybex Inc, Alameda, 2004, σελ. 5 13. 21

έπρεπε να είναι γνωστό και στις δυο πλευρές μετάδοσης λήψης του μηνύματος, η επικοινωνία οφείλει να αποκατασταθεί αμέσως με νέο βιβλίο κωδικών. 1945 1955 Οι πρώτοι ηλεκτρονικοί υπολογιστές είναι ογκώδεις, με περιορισμένες δυνατότητες υπολογιστική ισχύς μικρότερη από μια απλή σημερινή αριθμομηχανή υψηλό κόστος και πολύτιμο λειτουργικό κύκλο. Η ασφάλεια των υπολογιστών αυτού του τύπου προτάσσεται ως περιττή, εφόσον προέχει η διασφάλιση της λειτουργίας τους και η επίλυση άλλων προβλημάτων. Επιπρόσθετα, για να μπορέσει κάποιος να βλάψει αυτά τα συστήματα θα έπρεπε αφενός να έχει φυσική πρόσβαση σε αυτά και αφετέρου να έχει πολύ καλή γνώστης της λειτουργίας τους. 1955 1965 Πρόκειται για τη χρονική περίοδο κατά την οποία τα υπολογιστικά συστήματα εισβάλουν στις μεγάλες επιχειρήσεις. Τα θέματα ασφάλειας τα οποία προκύπτουν σχετίζονται με την περίπτωση οποιουδήποτε υπαλλήλου ο οποίος μπορεί να επιφέρει καταστροφή στο σύστημα λόγω δυσαρέσκειάς του προς την επιχείρηση. Επιπλέον ενδιαφέρει ιδιαίτερα και η αποτροπή δυνητικής πρόσβασης διαφόρων ανταγωνιστών της επιχείρησης. Προέχει, ωστόσο, η φυσική προστασία των συστημάτων, παρά του λογισμικού. Κάποιο είδος πραγματικής ασφάλειας δεν υφίσταται. Παράλληλα, οι λογαριασμοί χρηστών και τα συνθηματικά είναι απλοί και επικεντρώνονται στο ποιος χρήστης κάνει ποιες ενέργειες μέσα στο σύστημα, χωρίς να υπάρχει κάποιος κίνδυνος κακόβουλης εξωτερικής εισβολής. 1965 1975 Κατά τα τέλη της δεκαετίας του 60 και τις αρχές του 70 το θέμα «υπευθυνότητα» αναφορικά με την ασφάλεια γίνεται όλο και πιο σημαντικό, καθώς οι υπολογιστές εξελίσσονται και οι χρήστες το υς γίνο νται πολυάριθμο. ι Η εφαρμογή δύο τύπων λογαριασμών χρηστών, οι οποίοι προστατεύονται από κωδικούς πρόσβασης, του απλού, με περιορισμένα δικαιώματα χρήστη και του διαχειριστή με απεριόριστα, εγκαθιδρύεται με σκοπό την αποτροπή του τυπικού χρήστη από την οποιανδήποτε αλλοίωση τόσο των δεδομένων όσο και του ίδιου του συστήματος. Οι χρήστες με δικαιώματα διαχειριστή οφείλουν να πράττουν οτιδήποτε κρίνεται αναγκαίο για το σύστημα. Ένα από τα σημαντικότερα καθήκοντά τους είναι η αλλαγή του προεπιλεγμένου εργοστασιακού συνθηματικού πρόσβασης σε έναν υπολογιστή, τακτική που εφαρμόζεται ακόμα και σήμερα κυρίως σε δικτυακές συσκευές. 22

Την ίδια χρονική περίοδο ξεκινά και η έρευνα για τα λειτουργικά συστήματα. Στην πορεία κάποια λειτουργικά συστήματα κεντρικών υπολογιστών, όπως το Multics, άρχισαν να προσαρμόζονται σε μια ποικιλία μικρότερων εμπορικών μηχανημάτων, όπως τους μίνιυπολογιστές και τα πρώτα συστήματα ενός χρήστη που ονομαζόταν σταθμοί εργασίας. Μια νέα έκδοση του Multics κάνει την εμφάνισή της και έχει το όνομα Unix. Οι πρώτες παράνομες ενέργειες από κακόβουλους προγραμματιστές, όπως η συγγραφή συστημάτων κερκόπορτας (backdoor) στα προγράμματά τους, αρχίζουν να εμφανίζονται. 1975 1985 Η ανάγκη για την ασφάλεια των πληροφοριακών συστημάτων έγινε εμφανής τη δεκαετία του 70. Είναι η εποχή που οι εταιρείες αρχίζουν να χρησιμοποιούν την απομακρυσμένη προσπέλαση, όπου χρήστες τερματικών συνδέονταν με τους κεντρικούς υπολογιστές μέσω του τηλεφωνικού δικτύου, με τη χρήση μόντεμ. Παράλληλα, αναπτύσσονται οι μικροεπεξεργαστές και κάνουν την εμφάνισή τους τα πρώτα PCs. Τα δύο αυτά γεγονότα συντελούν στην γέννηση της τέχνης και της τεχνικής της εισβολής. Οι εισβολείς χρησιμοποιούν τους υπολογιστές για να κάνουν συνεχείς κλήσεις σε μια περιοχή αριθμών τηλεφώνων, συνήθως νυχτερινές ώρες, και όταν κάποιος καλούμενος υπολογιστής απαντούσε, εκτυπώνονταν ο αριθμό τηλεφώνου και διακόπτονταν η κλήση. Οι εισβολείς στη συνέχεια δοκίμαζαν τα τηλέφωνα που είχαν συλλέξει με την προηγούμενη μέθοδο, ψάχνοντας για κεντρικούς υπολογιστές των οποίων τα συνθηματικά ήταν τα προεπιλεγμένα εργοστασιακά και κατά συνέπεια μπορούσαν εύκολα να παραβιαστούν, παρέχοντάς τους πρόσβαση στα πληροφοριακά συστήματα των εταιρειών. Ως αντίμετρο για τα παραπάνω χρησιμοποιήθηκε η ασφάλεια επανάκλησης, σύμφωνα με την οποία ο καλούμενος υπολογιστής δέχεται μόνο έναν αριθμό τηλεφώνου από τον καλούντα υπολογιστή και διακόπτει την κλήση. Στη συνέχεια το σύστημα ελέγχει αυτόν τον αριθμό τηλεφώνου από μια λίστα αποδεκτών αριθμών και αν βρίσκεται μέσα σε αυτή, το σύστημα επανακαλεί τον υπολογιστή από τον οποίο δέχτηκε την κλήση. Οι εισβολείς, παρόλα αυτά, είχαν τη δυνατότητα να αναδρομολογούν τις κλήσεις χειρωνακτικά, εισβάλοντας σε υπολογιστές της τηλεφωνικής εταιρείας, αλλά αυτό απαιτούσε γνώσεις και δεδομένου ότι δεν υπήρχαν οι ομάδες συζητήσεων (forums) το φαινόμενο ήταν σπάνιο. Η ασφάλεια επανάκλησης έλυσε το πρόβλημα μέχρι περίπου τα μέσα της δεκαετίας του 80. Ένα άλλο σημαντικό γεγονός αυτής της περιόδου είναι οι μελέτες που γίνονται από το στρατό για τη δημιουργία δικτύων δρομολόγησης πακέτων, όπου μεμονωμένα μικρά 23