ΤΜΗΜΑ ΒΙΟΜΗΧΑΝΙΚΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ << Ασφάλεια και Ιδιωτικότητα στο Διαδίκτυο >> ΧΑΤΖΗ ΧΡΙΣΤΙΝΑ ΜΑΡΙΑ Α.Ε.Μ.: 1648 Επιβλέπων: Δρ Ράντος Κωνσταντίνος, Επίκουρος Καθηγητής
ΠΕΡΙΛΗΨΗ Το θέμα της πτυχιακής εργασίας το οποίο θα αναπτυχθεί είναι η «Ασφάλεια και Ιδιωτικότητα κατά την πλοήγηση στο διαδίκτυο». Σκοπός της πτυχιακής εργασίας είναι : Η καταγραφή των τεχνικών χαρακτηριστικών των υπαρχόντων φυλλομετρητών (browsers) που αφορούν την ασφαλή πλοήγηση των χρηστών στο διαδίκτυο. Συγκριτικές μελέτες σχετικά με την αποτελεσματικότητά των browsers. Παροχή κατευθύνσεων αναφορικά με τις ρυθμίσεις του πλοηγού έτσι ώστε να είναι ασφαλής η πλοήγηση στο διαδίκτυο. Παροχή εκπαιδευτικού υλικού, οδηγιών και κατευθύνσεων προς τον μέσο χρήστη των διαθέσιμων εφαρμογών πλοήγησης. Δομή Πτυχιακής Εργασίας: Η Εισαγωγή εισάγει τους αναγνώστες στους όρους διαδίκτυο, ασφάλεια, ιδιωτικότητα και γονικό έλεγχο. Το 1 ο Κεφάλαιο παρουσιάζει τις απειλές του διαδικτύου καθώς και μέτρα προστασίας των χρηστών από αυτές. Το 2 ο Κεφάλαιο δίνει τους γενικούς ορισμούς των τεχνικών χαρακτηριστικών ασφαλείας των browsers. Το 3 ο Κεφάλαιο περιέχει τα τεχνικά χαρακτηριστικά ασφαλείας ξεχωριστά για κάθε browser, οδηγίες ενεργοποίησης των χαρακτηριστικών αυτών καθώς και συγκριτικές μελέτες σχετικά με την αποτελεσματικότητας τους. 1
Περιεχόμενα Εισαγωγή... 6 ΑΠΕΙΛΕΣ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Κεφάλαιο 1 1.1 Κακόβουλα Λογισμικά... 13 1.1.1 Μολυσματικά Κακόβουλα Λογισμικά... 13 1.1.1.1 Ιοί... 13 1.1.1.2 Μηνύματα Απατηλού Περιεχομένου... 14 1.1.1.3 Σκουλήκια... 15 1.1.2 Μεταμφιεσμένα Κακόβουλα Λογισμικά... 16 1.1.2.1 Δούρειοι Ίπποι... 16 1.1.2.2 Rootkits... 16 1.1.2.3 Backdoor Ιός... 17 1.1.3 Κακόβουλα Λογισμικά με Σκοπό το Κέρδος και την Παρέμβαση σε Προσωπικά Δεδομένα... 18 1.1.3.1 Spyware... 18 1.1.3.2 Botnets... 19 1.1.3.3 Keystroke Logger... 19 1.1.3.4 Dialers... 20 1.1.3.5 Adware... 21 1.1.3.6 Crimeware... 21 1.1.3.7 Scareware... 22 1.1.3.8 Πειρατεία Λογισμικού... 22 1.2 SPAM... 23 1.2.1 Instant Messaging Spam (SPIM)... 24 1.2.2 Spamdexing Web... 25 1.3 Cross-Site-Scripting... 25 1.4 Κοινωνική Μηχανική... 27 1.4.1 Pretexting... 27 1.4.2 Baiting... 28 1.4.3 Υποκλοπή Ταυτότητας... 28 1.4.4 Phishing... 29 1.4.5 Spoofing... 29 1.5 Ασφάλεια Κινητού Κώδικα... 30 1.5.1 Scripts... 30 1.5.2 Μικροεφαρμογές Java....30 1.5.3 Active X... 31 1.6 Τρόποι Προστασίας από Ιούς... 32 ΤΕΧΝΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ BROWSERS Κεφάλαιο 2 2.1 Ιδιωτική Πλοήγηση... 33 2.2 Pop-ups... 34 2.3 Cookies... 35 2
2.4 Πιστοποιητικά Επικύρωσης... 36 2.5 Επισήμανση Tομέα... 37 2.6 Ασφάλεια Επικοινωνιών... 38 2.6.1 Ασφάλεια Εφαρμογών Ηλεκτρονικού Εμπορίου... 38 2.6.2 Πρωτόκολλο Ασφαλείας SSL... 38 2.6.2.1 Αρχιτεκτονική του SSL... 40 2.6.2.2 SSL Record Protocol... 43 2.6.2.3 SSL Handshake Protocol... 44 2.6.2.4 Αντοχή του SSL σε Γνωστές Επιθέσεις... 48 2.6.2.4.1 Επίθεση Λεξικού... 48 2.6.2.4.2 Βίαιη Επίθεση... 48 2.6.2.4.3 Επίθεση Επανάληψης... 48 2.6.2.4.4 Επίθεση Παρεμβολής... 48 2.6.2.5 Το SSL στο Ηλεκτρονικό Εμπόριο... 49 2.6.3 Πρωτόκολλα Ασφαλείας TLS... 50 ΑΣΦΑΛΕΙΑ ΚΑΙ ΙΔΙΩΤΙΚΟΤΗΤΑ BROWSERS Κεφάλαιο 3 3.1 Internet Explorer 9... 52 3.1.1 Πιστοποιητικά Επικύρωσης... 52 3.1.2 XSS Filter... 52 3.1.3 Ιδιωτική Πλοήγηση... 53 3.1.4 Pop-up Blocking... 53 3.1.5 Cookie Blocking... 54 3.1.6 Content Advisor... 55 3.1.7 Φίλτρο SmartScreen... 59 3.1.8 Προσαρμοσμένες Ρυθμίσεις Ασφαλείας... 60 3.1.9 Διαγραφή Ιστορικού Περιήγησης... 61 3.1.10 Φιλτράρισμα ActiveX... 62 3.1.11 Επισήμανση Τομέα... 63 3.1.12 Προστασία από Εντοπισμό... 63 3.1.13 Πρόγραμμα Διαχείρισης Λήψεων... 64 3.1.14 SSL/TLS Certificates... 65 3.2 Mozilla Firefox 7... 66 3.2.1 Πιστοποιητικά Επικύρωσης... 66 3.2.2 Πολιτική Ασφαλείας Περιεχομένου... 66 3.2.3 Ασφαλείς Συνδέσεις σε Ιστοσελίδες... 67 3.2.4 Ιδιωτική Πλοήγηση... 67 3.2.5 Pop-Up Blocking... 69 3.2.6 Cookie Blocking... 71 3.2.7 Γονικός Έλεγχος... 72 3.2.8 Phishing Protection... 74 3.2.9 Malware Protection... 74 3.2.10 Προσαρμοσμένες Ρυθμίσεις Ασφαλείας... 75 3.2.11 Διαγραφή Ιστορικού Περιήγησης... 76 3
3.2.12 Αυτόματες Ενημερώσεις... 77 3.2.13 Do Not Track... 78 3.2.14 Forget This Site... 79 3.2.15 Anti-Virus Integration... 80 3.2.16 Πρόσθετες Λειτουργίες... 80 3.2.17 SSL/TLS Certificates... 81 3.3 Safari 5... 82 3.3.1 Πιστοποιητικά Επικύρωσης... 82 3.3.2 XSS Auditor... 83 3.3.3 Ιδιωτική Πλοήγηση... 83 3.3.4 Pop-Up Blocking... 83 3.3.5 Cookie Blocking... 84 3.3.6 Γονικός Έλεγχος... 85 3.3.7 Phishing Protection... 87 3.3.8 Malware Protection... 88 3.3.9 Επαναφορά Safari... 88 3.3.10 Αυτόματες Ενημερώσεις... 89 3.3.11 Antivirus Integration... 89 3.3.12 Ασφαλείς Λήψεις... 89 3.3.13 Ασφαλή Κρυπτογράφηση... 89 3.3.14 Standards-Based Authentication... 90 3.3.15 Proxy Support... 90 3.4 Opera 11... 91 3.4.1 Πιστοποιητικά Επικύρωσης... 91 3.4.2 Ιδιωτική Πλοήγηση... 92 3.4.3 Pop-up Blocking... 93 3.4.4 Διαχείριση των Cookies... 94 3.4.5 Malware Protection... 95 3.4.6 Διαγραφή Ιστορικού Περιήγησης... 96 3.4.7 Αυτόματες Ενημερώσεις... 97 3.4.8 Ασφαλής Κρυπτογράφηση... 97 3.4.9 Blocking Ads or Contents... 98 3.4.10 Διαγραφή προσωπικών Δεδομένων... 100 3.5 Chrome 15... 101 3.5.1 Πιστοποιητικά Επικύρωσης... 101 3.5.2 Ιδιωτική Πλοήγηση... 101 3.5.3 Pop-Up Blocking... 102 3.5.4 Cookie Blocking... 103 3.5.5 Φίλτρα Ασφαλούς Αναζήτησης... 105 3.5.6 Phishing and Malware Protection... 106 3.5.7 Διαγραφή προσωπικών Δεδομένων... 107 3.5.8 Γνωστοποίηση Τοποθεσίας... 108 3.5.9 Google Chrome Sandbox... 109 3.5.10 SSL/TLS Certificates... 110 4
3.6 Συγκριτική Ανάλυση Browsers για Τεχνικά Χαρακτηριστικά... 111 3.6.1 Συγκριτική Ανάλυση Browsers για Μπλοκάρισμα Pop-ups... 113 3.6.2 Συγκριτική Ανάλυση Browsers για Μπλοκάρισμα Third-Party Cookies115 ΠΑΡΑΡΤΗΜΑ 1 Υλοποίηση Εφαρμογής (Ιστοσελίδα)... 117 ΒΙΒΛΙΟΓΡΑΦΙΑ... 120 5
Εισαγωγή Διαδίκτυο Το διαδίκτυο είναι μία αρχιτεκτονική συστημάτων που έχει φέρει επανάσταση στις επικοινωνίες και τις μεθόδους διεξαγωγής του εμπορίου επιτρέποντας τη διασύνδεση μεταξύ διαφόρων δικτύων υπολογιστών σε ολόκληρο τον κόσμο. Το διαδίκτυο εμφανίστηκε στις ΗΠΑ τη δεκαετία του 1970 αλλά το ευρύ κοινό άρχισε να αποκτά πρόσβαση σε αυτό μόλις στις αρχές της δεκαετίας του 1990. Στις αρχές του 21 ου αιώνα, υπολογιζόταν πως περίπου 360 εκατομμύρια άνθρωποι έχουν πρόσβαση στο διαδίκτυο. Είναι ευρεία πεποίθηση πως τουλάχιστον ο μισός πληθυσμός του πλανήτη μας θα έχει κάποιας μορφής πρόσβαση στο διαδίκτυο στο μέλλον και πως η ασύρματη πρόσβαση θα παίζει όλο και πιο σημαντικό ρόλο. Το διαδίκτυο παρέχει δυνατότητες τόσο ισχυρές και γενικές, που μπορούν να χρησιμοποιηθούν για σχεδόν κάθε σκοπό που εξαρτάται από την πληροφορία, και είναι διαθέσιμο σε κάθε άτομο που συνδέεται με κάποιο από τα δίκτυα που το συναποτελούν. Υποστηρίζει την ανθρώπινη επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου (E-mail), περιοχές συζητήσεων (Chat-Rooms), ομάδες συζητήσεων (Newsgroups) και εκπομπές ήχου και βίντεο που επιτρέπουν στους ανθρώπους να συνεργάζονται από πολλές διαφορετικές τοποθεσίες. Υποστηρίζει την πρόσβαση στην ψηφιακή πληροφορία μέσω πολλών εφαρμογών, συμπεριλαμβανομένου και του παγκόσμιου ιστού (World Wide Web). Το διαδίκτυο έχει αποδειχθεί εκκολαπτήριο πολλών και αυξανόμενων επιχειρήσεων (E-Businesss) που διεκπεραιώνουν τις περισσότερες πωλήσεις και υπηρεσίες τους μέσω του διαδικτύου. Πολλοί ειδικοί πιστεύουν ότι το διαδίκτυο θα επιφέρει βαθύτατες αλλαγές στις επιχειρηματικές δραστηριότητες και στην κοινωνία γενικότερα, αλλάζοντας τον τρόπο που αντιλαμβανόμαστε τα πράγματα και τη ζωή μας. Το διαδίκτυο αποτελεί «επανάσταση» στη ζωή των ανθρώπων και για του λόγου το αληθές ολοένα και περισσότεροι άνθρωποι με την πάροδο του χρόνου προσδένονται στο άρμα του διαδικτύου, επιβεβαιώνοντας την εξαιρετική δημοφιλία του. [1] Ασφάλεια και Ιδιωτικότητα Το διαδίκτυο έχει αποκτήσει πλέον πολυδιάστατο χαρακτήρα, η ανάπτυξη και η ευρεία αποδοχή του σε παγκόσμια κλίμακα συνιστούν πλέον ένα ανοιχτό περιβάλλον, όπου δεν μπορεί να υπάρχει εμπιστοσύνη μεταξύ των χρηστών και συνεπώς δεν μπορεί να χαρακτηριστεί ασφαλές. Πάρα πολλοί από τους χρήστες του διαδικτύου έχουν λίγες έως και ελάχιστες τεχνικές γνώσεις, χωρίς αυτό να τους εμποδίζει να το χρησιμοποιούν και να επωφελούνται από αυτό. Δυστυχώς όμως, το διαδίκτυο δεν είναι ασφαλές και αυτή η 6
αλόγιστη και αφελής χρήση του οδηγεί τις περισσότερες φορές σε κάθε είδους ηλεκτρονικές απειλές τις οποίες θα αναλύσουμε στο κεφάλαιο 2. Η ασφάλεια της επικοινωνίας, η ιδιωτικότητα αλλά και η αναζήτηση στο διαδίκτυο μπορεί να εξασφαλιστεί με ποικίλους τρόπους. Αυτοί οι τρόποι θα αναλυθούν στο κεφάλαιο 3 και 4. Γονικός Έλεγχος Τα παιδιά χρησιμοποιούν περισσότερο τον υπολογιστή τους στο διαδίκτυο. Μία από τις ευθύνες των γονέων είναι να τα παρακολουθούν. Οι απειλές που αντιμετωπίζουν τα παιδιά στο διαδίκτυο, τόσο από τοποθεσίες Web, οι οποίες θα επιχειρούσαν να εγκαταστήσουν λογισμικό κακόβουλης λειτουργίας, όσο και από ακατάλληλες τοποθεσίες Web για ενηλίκους στις οποίες μπορούν να έχουν εύκολα πρόσβαση ή ακόμα και να συναντήσουν τυχαία είναι πολλές. Δυστυχώς, όσο περισσότερο προσπαθούν οι γονείς να παρακολουθήσουν τα παιδιά τους, τόσο περισσότερο προσπαθούν αυτά να τους αποφύγουν. Επίσης υπάρχουν και οι γονείς που δεν έχουν τις τεχνικές γνώσεις για να το κάνουν, όπως επίσης και γονείς οι οποίοι αν και έχουν κάποιες τεχνικές γνώσεις δεν γνωρίζουν ότι υπάρχουν συγκεκριμένες ρυθμίσεις οι οποίες είναι εγκατεστημένες στους περισσότερους browsers με αποκλειστικό σκοπό τους τον γονικό έλεγχο. Για τους λόγους που αναφέραμε παραπάνω, στις ενότητες που ακολουθούν θα αναπτύξουμε χρήσιμες πληροφορίες με τις οποίες οι γονείς αλλά και τα παιδιά τους μπορούν να πλοηγηθούν με ασφάλεια στο διαδίκτυο. Τα Παιδιά και το Διαδίκτυο Για τα παιδιά το Internet αποτελεί μοναδικό και αναπόσπαστο τρόπο της καθημερινής ζωής για επικοινωνία με φίλους, αναζήτηση υλικού για σχολικές εργασίες ή ακόμα αγορές όπως μουσική, βιβλία και παιχνίδια. Τα παιδιά μεγαλώνουν, με το Internet να αποτελεί κομμάτι της ζωής τους, καθώς το χρησιμοποιούν στο σπίτι, με τους φίλους, στο σχολείο, εξερευνώντας την πληθώρα δυνατοτήτων που προσφέρει. Επίσης, το Internet αποτελεί πλέον πολύ σημαντικό εργαλείο για επικοινωνία, πληροφόρηση, διασκέδαση και αγορές και συμμετέχει στην ένταξη των παιδιών στη σημερινή κοινωνία. Το πλέον σημαντικό είναι να ενημερώνετε τα παιδιά σας για τη χρήση του Internet, να κατανοούν ότι έχετε την εμπειρία να τα κατευθύνετε σωστά και να τους παρέχετε πολύτιμες συμβουλές προστασίας. Για την πλειοψηφία των παιδιών, η χρήση του Internet θεωρείται απόλυτα ασφαλής και διασκεδαστική. Αλλά δυστυχώς τίποτα στη ζωή δεν είναι «απόλυτα» ασφαλές για πάντα και το Internet δεν θα μπορούσε να αποτελεί εξαίρεση. Όπως και στην ζωή μας, έτσι και στο Internet πρέπει 7
να λαμβάνουμε προφυλάξεις για την ασφάλεια την δική μας αλλά και της οικογενείας μας. Κίνδυνοι που Μπορεί να Αντιμετωπίσει ένα Παιδί στο Διαδίκτυο: Privacy: τα παιδιά μπορεί να εμπιστεύονται το Internet και να παρέχουν προσωπικές πληροφορίες χωρίς ενδοιασμούς. Ασφάλεια: όταν είναι online, τα παιδιά μπορεί να εκτίθενται σε ιούς (κακόβουλα προγράμματα που προκαλούν βλάβες σε υπολογιστικά συστήματα) και hackers (άνθρωποι που προσπαθούν να εισβάλουν σε υπολογιστικά συστήματα). Ανάρμοστο περιεχόμενο: τα παιδιά μπορεί να εκτεθούν σε υλικό που είναι ανάρμοστο και μπορεί να περιλαμβάνει πορνογραφία, διαφημιστικό υλικό, βία, εχθρότητα και εξτρεμιστικές ομάδες. Online απάτες: απάτες που πραγματοποιούνται online όπως γίνονται και στον πραγματικό κόσμο, μόνο που οι απατεώνες συνήθως δεν ενδιαφέρονται για την ηλικία του ατόμου που εξαπατούν ενδιαφέρονται μόνο για αυτά που θα αποκομίσουν. Ψυχολογικά προβλήματα: τα παιδιά μπορούν να εθιστούν στο Internet και να αποκτήσουν προβλήματα όσο αφορά την κοινωνικότητά τους με άλλους ανθρώπους είτε στο σχολείο είτε στο σπίτι. Ηλεκτρονικό έγκλημα: τα παιδιά μπορεί να εμπλακούν σε παράνομες online ενέργειες. Συνήθως δεν γνωρίζουν τα νομικά, ηθικά και δεοντολογικά θέματα. Identity theft: κάποιο άλλο άτομο μπορεί να κλέψει την ταυτότητα ενός παιδιού και να εκτελέσει παράνομες online δραστηριότητες. Σημάδια Κινδύνου για τα Παιδιά H συμπεριφορά των παιδιών στον έξω κόσμο μπορεί να αλλάξει αν κινδυνεύουν online. Τα παιδιά συνήθως παρουσιάζουν επικίνδυνα σημάδια και αν οι γονείς τα λάβουν υπ όψιν τους, μπορεί να αποφευχθούν σοβαρά προβλήματα. Ελέγξτε για τα ακόλουθα αν θεωρείτε ότι το παιδί σας κινδυνεύει online: Περνάει μεγάλο διάστημα μπροστά στον υπολογιστή: μία ένδειξη ότι το παιδί έχει ανακαλύψει ένα χώρο στο Internet που παρέχει ενθουσιασμό ή κίνδυνο. 8
Ελαχιστοποιεί το παράθυρο στην οθόνη κάθε φορά που πλησιάζετε: αυτό το είδος συμπεριφοράς μπορεί να υποδείξει ότι έχει εμπλακεί με ανάρμοστο περιεχόμενο όπως πορνογραφία ή βίαιο υλικό. Περνά αρκετό χρόνο μόνο του online: το παιδί μπορεί να δημιουργήσει online σχέσεις. Υπερβολική χρήση των chat rooms και του instant messaging: η χρήση του υπολογιστή για επικοινωνία είναι παρόμοια με αυτή του τηλεφώνου. Έχετε υπ όψιν σας ότι το παιδί σας μπορεί να συνομιλεί με ξένους που μπορεί να είναι ενήλικες με καχύποπτα κίνητρα. Υπερβολική χρήση άλλης τεχνολογίας: το παιδί μπορεί ξαφνικά να αρχίσει να σαρώσει φωτογραφίες, να αντιγράφει δισκέτες, CD s και DVD s. Ελέγξτε εάν είναι απλά διασκέδαση ή κάτι πιο σοβαρό. Συμβουλές προς τους γονείς: Κατ αρχήν οι γονείς θα πρέπει να θέσουν ένα όριο στο χρόνο που ξοδεύουν τα παιδιά στο internet. Είναι επίσης καλό να διδάξουν τα παιδιά τους ότι, στις συνομιλίες μέσω διαδικτύου, δεν μπορούν να είναι ποτέ βέβαια για την ταυτότητα του συνομιλητή τους. Επομένως, ουδέποτε να δώσουν προσωπικές πληροφορίες ή αριθμούς καρτών, τηλεφώνου, ή διευθύνσεις τους στο δίκτυο, ούτε να δεχτούν να συναντήσουν κάποιον που γνώρισαν μέσω αυτού. Παράλληλα, θα πρέπει να διδάξουν τα παιδιά τους να συμπεριφέρονται στο διαδίκτυο με την ίδια ευγένεια και καλούς τρόπους όπως και στην κανονική ζωή και να ακολουθούν την ίδια συμπεριφορά από οποιονδήποτε υπολογιστή είτε αυτός βρίσκεται στο σπίτι είτε στο σχολείο είτε οπουδήποτε αλλού. Παράλληλα, να τονίζουν στα παιδιά τους ότι είναι πιθανό να δεχτούν μηνύματα που να τα κάνουν να αισθανθούν άβολα, αμήχανα, ακόμα και να τρομάξουν. Αμέσως θα πρέπει να εγκαταλείψουν το συγκεκριμένο ιστοχώρο, χωρίς να απαντήσουν σε μηνύματα με προσβλητικό ή προπαγανδιστικό χαρακτήρα και να ενημερώσουν πάραυτα κάποιον ενήλικα. Τα παιδιά, καλό θα ήταν, να ανοίγουν προσωπικό λογαριασμό ηλεκτρονικού ταχυδρομείου (email) μόνο εφόσον είναι αρκετά ώριμα για να το χειρίζονται και οι γονείς θα πρέπει να ελέγχουν κατά καιρούς τη δραστηριότητα των παιδιών τους στο διαδίκτυο. Κρίνεται επίσης σκόπιμο ο ηλεκτρονικός υπολογιστής στο σπίτι, με πρόσβαση στο διαδίκτυο, να βρίσκεται εκτός υπνοδωματίου των παιδιών. Τέλος, θεωρείται σημαντικό, παιδιά και γονείς να αφιερώσουν από κοινού χρόνο προκειμένου να εξερευνήσουν κάποιους ιστοχώρους. Αυτό επιτρέπει στους γονείς να επιβλέπουν τη δραστηριότητα των παιδιών τους αλλά ταυτόχρονα να διδάσκονται μαζί. 9
Τα παιδιά θα πρέπει να συνειδητοποιήσουν πως ό,τι βλέπουν, ακούν ή διαβάζουν στο internet μπορεί να μην είναι αληθινό. Είναι καλό οι γονείς να χρησιμοποιούν υπηρεσίες ή λογισμικά που παρέχουν γονικό έλεγχο στο τι μπορούν να επισκεφτούν τα παιδιά στο διαδίκτυο και να αποκόπτουν τις ακατάλληλες ιστοσελίδες. Στο κεφάλαιο της ασφάλειας και ιδιωτικότητας που θα αναπτύξουμε παρακάτω θα δούμε τους τρόπους με τους οποίους μπορούν οι γονείς να εξασφαλίσουν τον γονικό έλεγχο των παιδιών τους μέσω των ρυθμίσεων που παρέχουν οι browsers. Στην πτυχιακή αυτή αναλύονται τα τεχνικά χαρακτηριστικά των φυλλομετρητών που αφορούν στην προστασία της ιδιωτικότητας των χρηστών και παρέχονται οδηγίες αναφορικά με την παραμετροποίηση και τον τρόπο χρήσης αυτών. 10
Απειλές στο διαδίκτυο 1 Απειλές Παρά τις αμέτρητες υπηρεσίες που προσφέρονται και τον όγκο γνώσης και πληροφορίας που φιλοξενείται στο Διαδίκτυο, ταυτόχρονα παραμονεύουν κίνδυνοι τους οποίους ο χρήστης πρέπει να γνωρίζει ώστε να εξασφαλίσει την «καλή υγεία» του υπολογιστή αλλά και της τσέπης του. Το Διαδίκτυο θα μπορούσε εύκολα να διεκδικήσει τον τίτλο ενός από τα θαύματα του σύγχρονου κόσμου. Πρόκειται για ένα μέσο που δίνει σε πραγματικό χρόνο πρόσβαση σε πληροφορία, γνώση αλλά και ψυχαγωγία. Οι ταχύτητες συνεχώς αυξάνονται κάνοντας την πληροφορία ακόμη πιο προσβάσιμη, ενώ και τα δίκτυα που χρησιμοποιούνται εξελίσσονται με γοργούς ρυθμούς ώστε η πληροφορία αυτή να είναι διαθέσιμη σε μεγαλύτερα τμήματα του πληθυσμού. Το πάτημα και μόνο του κουμπιού λειτουργίας ενός υπολογιστή συνδεδεμένου στο Διαδίκτυο, τον φέρνει σε άμεση σχεδόν επαφή με άλλους υπολογιστές, servers, υπηρεσίες, που θα ζητήσουν να λάβουν πληροφορίες για τα προγράμματα, το λειτουργικό ή θα θελήσουν να προμηθεύσουν στον υπολογιστή τις τελευταίες διαθέσιμες ενημερώσεις, μέσα από αυτοματοποιημένες διαδικασίες που ο χρήστης μπορεί να μην καταλάβει καν. Το πρώτο πράγμα που θα πρέπει να συνειδητοποιήσει κάθε χρήστης του Ίντερνετ, είναι ότι ο παγκόσμιος ιστός δε διαφέρει σε τίποτα από μια κοινωνία. Από αυτή την άποψη λοιπόν, κρύβει αντίστοιχους κινδύνους και απαιτεί αντίστοιχα μέτρα προστασίας από αυτούς. Η σωστή και τακτική ενημέρωση σχετικά με τη φύση των κινδύνων αλλά και τον τρόπο αντιμετώπισης τους καθίσταται απαραίτητη προκειμένου να ελαχιστοποιηθεί ο κίνδυνος έκθεσης του υπολογιστή στους βασικότερους τουλάχιστον κινδύνους. Στην ενότητα αυτή περιγράφονται οι σημαντικότεροι κίνδυνοι που μπορεί να απειλήσουν τον χρήστη κατά την πλοήγηση του στο διαδίκτυο καθώς επίσης και τρόπους με τους οποίους μπορεί να προστατευτεί. Ευπάθειες Ευπάθεια (Vulnerability) είναι μια αδυναμία που επιτρέπει σε έναν επιτιθέμενο να μειώσει την ασφάλεια των πληροφοριών του συστήματος. 11
Οι ευπάθειες είναι η τομή τριών στοιχείων: Της ευαισθησίας και του ελαττώματος του συστήματος, της πρόσβασης του επιτιθέμενου στο ελάττωμα, και της ικανότητας του επιτιθέμενου να εκμεταλλευτεί το ελάττωμα. Για να είναι ευάλωτο το σύστημα, ένας επιτιθέμενος πρέπει να έχει τουλάχιστον ένα ιδανικό εργαλείο ή τεχνική η οποία μπορεί να συνδεθεί με μια αδυναμία του συστήματος. Η διαχείριση των ευπαθειών είναι η κυκλική πρακτική αναγνώρισης, ταξινόμησης, και αποκατάστασης, καθώς και του περιορισμού των τρωτών σημείων. Αυτή η πρακτική γενικά αναφέρεται σε software ευπάθειες των υπολογιστικών συστημάτων. Ένας κίνδυνος στην ασφάλεια μπορεί να χαρακτηριστεί σαν ευπάθεια (vulnerability). Η χρήση της ευπάθειας με την ίδια σημασία του κίνδυνου μπορεί να οδηγήσει σε σύγχυση. Έπειτα υπάρχουν ευπάθειες χωρίς κίνδυνο: για παράδειγμα, όταν το πληγέν στοιχείο δεν έχει καμία αξία. Η ευπάθεια ξεκινάει από τη στιγμή που εμφανίζεται το κενό ασφαλείας μέχρι ότου η πρόσβαση της απενεργοποιηθεί ή ο επιτιθέμενος αποκοπεί. [5] 12
1.1 Κακόβουλα Λογισμικά Πρόκειται για προγράµµατα (κώδικας) που αποσκοπούν σε επιθέσεις κατά της εμπιστευτικότητας, της ακεραιότητας ή και της διαθεσιμότητας των συστημάτων. Για την εγκατάσταση (μόλυνση) ενός κακόβουλου λογισμικού σε έναν Η/Υ, συνήθως απαιτείται η ανθρώπινη παρέμβαση: άµεση (π.χ. ανταλλαγή αρχείων, άνοιγµα συνηµµένων ή προεπισκόπηση µηνυµάτων αλληλογραφίας αμφιβόλου προέλευσης) ή έµµεση (ανεπαρκής προστασία του υπολογιστή, µη λήψη ενημερωμένων εκδόσεων-updates του λογισµικού ασφαλείας και των προγραμμάτων). Εκτός από τις παρενέργειες, το κακόβουλο λογισµικό περιλαμβάνει επιπλέον κώδικα µε σκοπό την: Αναπαραγωγή του: Εξάπλωση του στο σύστηµα που προσβάλλει («μόλυνση» από πρόγραµµα σε πρόγραµµα). Μετάδοση του: Εξάπλωση του από το σύστηµα που μολύνθηκε σε άλλο/άλλα συστήματα (π.χ. από Η/Υ σε Η/Υ) [6] 1.1.1 Μολυσματικά Κακόβουλα Λογισμικά 1.1.1.1 Ιοί Ένας ιός υπολογιστών είναι ένα πρόγραμμα υπολογιστή, το οποίο μπορεί να αντιγραφεί χωρίς παρέμβαση του χρήστη και να "μολύνει" τον υπολογιστή χωρίς τη γνώση ή την άδεια του χρήστη του. Ο αρχικός ιός μπορεί να τροποποιήσει τα αντίγραφά του ή τα ίδια τα αντίγραφα μπορούν να υποστούν από μόνα τους τροποποίηση, όπως συμβαίνει σε έναν μεταμορφικό ιό. Ένας ιός μπορεί να διαδοθεί από έναν υπολογιστή σε άλλους, παραδείγματος χάριν από ένα χρήστη που στέλνει τον ιό μέσω δικτύου ή του Διαδικτύου, ή με τη μεταφορά του σε ένα φορητό μέσο αποθήκευσης, όπως δισκέτα, οπτικό δίσκο ή μνήμη flash USB. Ασφάλεια Μερικοί ιοί δημιουργούνται για να προξενήσουν ζημιά στον υπολογιστή, στον οποίο εγκαθίστανται, είτε με την καταστροφή των προγραμμάτων του είτε με τη διαγραφή αρχείων ή με τη μορφοποίηση (format) του σκληρού δίσκου. Μερικές, μάλιστα, φορές, δημιουργούν σε συγκεκριμένο τομέα του σκληρού δίσκου τέτοια καταστροφή, ώστε να είναι αδύνατη η ανάκτηση ολόκληρου του περιεχομένου του. Άλλοι δεν έχουν ως σκοπό να προκαλέσουν οποιαδήποτε ζημία, αλλά απλά γνωστοποιούν την παρουσία τους με την εμφάνιση στην οθόνη κειμένου, βίντεο, ή ηχητικών 13
μηνυμάτων, μερικές φορές αρκετά χιουμοριστικών. Όμως, ακόμη και αυτοί οι "καλοκάγαθοι" ιοί μπορούν να δημιουργήσουν προβλήματα στο χρήστη υπολογιστών: Καταλαμβάνουν τη μνήμη που χρησιμοποιείται από τα κανονικά προγράμματα και, κατά συνέπεια, προκαλούν συχνά ασταθή συμπεριφορά του συστήματος και μπορούν να οδηγήσουν σε κατάρρευσή του (system crash). Επιπλέον, πολλοί ιοί είναι, εγγενώς, γεμάτοι προγραμματιστικά σφάλματα, τα οποία πιθανόν να οδηγήσουν στην κατάρρευση των υπολογιστικών συστημάτων και στην απώλεια δεδομένων. Τέλος, ένα μεγάλο ποσοστό των ιών δεν έχει σκοπό την καταστροφή των δεδομένων του χρήστη ή την παρενόχλησή του, αλλά την κλοπή προσωπικών του δεδομένων ή την εισαγωγή του υπολογιστή-στόχου σε κάποιο παράνομο δίκτυο (botnet) χωρίς τη συγκατάθεση του χρήστη. [7] 1.1.1.2 Μηνύματα Απατηλού Περιεχομένου (Hoaxes) Πρόκειται για ενοχλητικού τύπου μηνύματα ηλεκτρονικού ταχυδρομείου: «Προειδοποιητικά»: είτε ειδοποιούν στο χρήστη για την ύπαρξη ιού ή άλλου τύπου απειλής στο λειτουργικό του σύστημα και τον συμβουλεύουν να προβεί σε ορισμένες ενέργειες, είτε προειδοποιούν για πιθανές επιθέσεις από ιούς, που στην πραγματικότητα δεν αποτελούν απειλή για το σύστημα. «Συμπαράστασης»: παρουσιάζουν υποθετικά προβλήματα κάποιου ανθρώπου (συχνότατα αναφορές σε παιδιά που πάσχουν από σοβαρές ασθένειες) και ζητούν την κινητοποίηση όσο περισσότερων χρηστών γίνεται. «Εκφοβισμού» : οποιουδήποτε τύπου αλυσιδωτές επιστολές που εκφοβίζουν το χρήστη ότι θα του συμβεί κάτι αν δεν προωθήσει το μήνυμα και σε άλλους χρήστες. Ο ουσιαστικός κίνδυνος από αυτά τα μηνύματα είναι κυρίως η τεράστια διάδοσή τους και, κατά συνέπεια, η επιβάρυνση των λογαριασμών των χρηστών με άχρηστα μηνύματα. Εκτός αυτού, δημοσιοποιούνται ευρέως και πολλές διευθύνσεις ηλεκτρονικού ταχυδρομείου, καθιστώντας τους ιδιοκτήτες τους ευκολότερα θύματα κάθε τέτοιου είδους ενοχλήσεως. Τα μηνύματα αυτού του τύπου συνοδεύονται συχνά από την τυποποιημένη φράση «στείλτε αυτό το μήνυμα σε όσο περισσότερους χρήστες γνωρίζετε» ("send this to everyone you know"). Στην περίπτωση των «προειδοποιητικών» μηνυμάτων εμφανίζονται ως αποστολείς μεγάλες και γνωστές εταιρείες, με σκοπό να ξεγελάσουν το χρήστη και να τον κάνουν να εμπιστευτεί το περιεχόμενο του μηνύματος. Ο χρήστης πρέπει να αγνοήσει όλα τα μηνύματα τέτοιου τύπου, να τα διαγράψει χωρίς φόβο και, κυρίως, να μην τα προωθήσει σε γνωστούς του και προκαλεί άνευ λόγου πανικό. Τα γνωστά αντιβιοτικά προγράμματα συνήθως φιλτράρουν τα καταγεγραμμένα μηνύματα αυτού 14
του είδους, ενώ είναι αρκετές οι εταιρείες που ζητούν από τους χρήστες των προγραμμάτων τους να τις ενημερώνουν όταν δέχονται τέτοιου είδους μηνύματα, για να προβούν στις κατάλληλες ενέργειες ενημέρωσης των αντιβιοτικών τους προγραμμάτων. [8] 1.1.1.3 Σκουλήκια Ένα «σκουλήκι» (worm) μπορεί να διαδοθεί σε άλλους υπολογιστές χωρίς να πρέπει να μεταφερθεί ως τμήμα ενός υπολογιστή-οικοδεσπότη (host). Τα worms είναι παρόμοια με τους ιούς, διαφέρουν μόνο στο ότι δεν δεσμεύονται σε αρχεία με σκοπό να αναπαραχθούν αλλά χρησιμοποιούν το δίκτυο.. Έτσι, ένα worm δεν απαιτεί από τον χρήστη να ανοίξει οποιοδήποτε αρχείο για την εκτέλεσή του, μπορεί να λειτουργήσει χωρίς την παρέμβαση του χρήστη. Ασφάλεια Δεν είναι τόσο καταστροφικά όσο οι ιοί γιατί δεν σβήνουν αρχεία, όμως κάνουν τη σύνδεση στο διαδίκτυο πιο αργή επειδή στέλνουν τα αντίγραφα τους σε άλλους Η/Υ. Επίσης κάνουν το σύστημα του Η/Υ πιο αργό χρησιμοποιώντας πολλή μνήμη με το να αντιγράφουν τον εαυτό τους πολλές φορές και γεμίζοντας τον ελεύθερο χώρο του σκληρού δίσκου (rabbits). Υπάρχουν όμως και ορισμένα σκουλήκια που έχουν ταυτόχρονα ιδιότητες ιών, πράγμα που τα καθιστά πιο επικίνδυνα από τα συνηθισμένα σκουλήκια. [9] 15
1.1.2 Μεταμφιεσμένα Κακόβουλα Λογισμικά 1.1.2.1 Δούρειοι Ίπποι Δούρειος ίππος (trojan horse ή απλά trojan) είναι ένα κακόβουλο πρόγραμμα που ξεγελάει τον χρήστη και τον κάνει να πιστεύει ότι εκτελεί κάποια χρήσιμη λειτουργία ενώ στα κρυφά εγκαθιστά στον υπολογιστή του άλλα κακόβουλα προγράμματα τα οποία κρύβουν μέσα τους κακόβουλο κώδικα ο οποίος μπορεί να μολύνει τον υπολογιστή. Το συγκεκριμένο κακόβουλο πρόγραμμα που ούτε αντιγράφει ούτε αντιγράφεται, αλλά προκαλεί ζημιά στην ασφάλεια του υπολογιστή. Tο Trojan Horse στέλνεται με email ή μέσω κάποιου προγράμματος που λαμβάνει αρχεία και πληροφορίες από το διαδίκτυο και μπορεί να φθάσει υπό μορφή προγράμματος αστείου ή λογισμικού κάποιου είδους. Ασφάλεια Εξωτερικά μοιάζουν με προγράμματα τα οποία εκτελούν χρήσιμες λειτουργίες, είναι ενδιαφέροντα και δίνουν την εντύπωση στον χρήστη ότι είναι ακίνδυνα. Όταν όμως ο χρήστης εκτελέσει αυτό το πρόγραμμα, τότε ενεργοποιείται ο κακόβουλος κώδικας με αποτέλεσμα ο υπολογιστής να μολυνθεί. Συνήθως αποτέλεσμα της μόλυνσης από δούρειο ίππο είναι η εγκατάσταση κάποιου προγράμματος που επιτρέπει σε μη εξουσιοδοτημένους χρήστες να έχουν πρόσβαση στον μολυσμένο υπολογιστή και να τον χρησιμοποιούν για να ξεκινήσουν άλλες επιθέσεις προς άλλους υπολογιστές του διαδικτύου. [10] 1.1.2.2 Rootkits Rootkit είναι ένα πρόγραμμα (ή συνδυασμός διάφορων προγραμμάτων) σχεδιασμένο έτσι ώστε να παίρνει τον έλεγχο του λειτουργικού συστήματος, ή μιας ομάδας ηλεκτρονικών υπολογιστών, χωρίς έγκριση από τον διαχειριστή του συστήματος. Συγκεκριμένα, τα Rootkits κρύβουν την ύπαρξη τους στο σύστημα, προσπαθώντας να αποφύγουν τους μηχανισμούς ασφάλειας των λειτουργικών συστημάτων. Ασφάλεια Ένα Rootkit συνήθως ενσωματώνεται σε κάποιο από τα βασικά αρχεία του λειτουργικού συστήματος και με αυτόν τον τρόπο αποκτά τον πλήρη έλεγχο όλου του συστήματος και επομένως και τον έλεγχο του οποιουδήποτε αντιϊκού λογισμικού. Για παράδειγμα αν ένα Rootkit ενσωματωθεί στο πρόγραμμα του λειτουργικού συστήματος το οποίο ελέγχει την ορθότητα του συνθηματικού για να επιτρέψει σε κάποιον χρήστη να συνδεθεί με τον υπολογιστή, τότε, κάθε φορά που κάποιος δίνει 16
τον κωδικό του για να συνδεθεί με τον υπολογιστή ενεργοποιεί αυτό το πρόγραμμα το οποίο μπορεί πλέον να αποκτήσει τον έλεγχο του υπολογιστή ή απλά να αντικαθιστά οποιοδήποτε άλλο πρόγραμμα (π.χ. το αντιϊκό που χρησιμοποιείται) το οποίο με τη σειρά του να περιέχει ενσωματωμένο άλλο, κακόβουλο, λογισμικό. [11] 1.1.2.3 Backdoor Ιός Ένας backdoor ιός είναι στην ουσία μια μέθοδος που παρακάμπτει τις συνήθεις διαδικασίες ελέγχου ταυτότητας. Όταν ένα σύστημα έχει τεθεί σε κίνδυνο ένας ή περισσότεροι backdoors μπορούν να εγκατασταθούν, ώστε να επιτρέψουν την ευκολότερη πρόσβαση στο μέλλον. Οι Backdoors ιοί μπορούν επίσης να εγκατασταθούν πριν από το κακόβουλο λογισμικό ώστε να επιτρέψουν την είσοδο σε attackers.εάν ένας backdoor ιός είναι ενεργός, υπάρχει κίνδυνος κλοπής των κωδικών πρόσβασης και προσβολής του υπολογιστή από δούρειους ίππους. 17
1.1.3 Κακόβουλα Λογισμικά με Σκοπό το Κέρδος και την Παρέμβαση σε Προσωπικά Δεδομένα 1.1.3.1 Spyware Με τον όρο Spyware περιγράφουμε μια κατηγορία προγραμμάτων που εγκαθίστανται στον υπολογιστή, με ύπουλο τρόπο. Ο σκοπός τους είναι να παρακολουθούν και να καταγράφουν τον τρόπο με τον οποίο κινείστε στο διαδίκτυο, να καταγράφουν τις δικές σας συνήθειες, να παρουσιάζουν συνεχώς προσφορές και διαφημίσεις και να κατευθύνουν τον φυλλομετρητή (browser) σε συγκεκριμένους δικτυακούς τόπους. Τα Spyware γενικά δεν κάνουν ζημιά στον υπολογιστή. Τα spyware τρέχουν στο παρασκήνιο και δεν αλλάζουν τις συνήθειες του χρήστη. Συνήθως τα Spyware προγράμματα εγκαθίστανται στον υπολογιστή μας με την δική μας συμμετοχή. Βέβαια αυτό γίνεται χωρίς την δική μας γνώση ή άδεια. Τις περισσότερες φορές, τα Spyware εγκαθίστανται με τους παρακάτω τρόπους: Με την εγκατάσταση προγραμμάτων: Μερικά προγράμματα, συνήθως προγράμματα που μοιράζουν αρχεία (peer-to-peer file sharing client) εγκαθιστούν spyware μαζί με την εγκατάσταση τους, παρόλο που ισχυρίζονται το αντίθετο. Το πιο γνωστό σε αυτή την κατηγορία είναι το Kazaa. Με την επίσκεψη σε δικτυακούς τόπους: Μερικοί δικτυακοί τόποι προσπαθούν να κατεβάσουν και να εγκαταστήσουν αυτόματα στον υπολογιστή του χρήστη κάποιο spyware. Αν οι ρυθμίσεις ασφαλείας του φυλλομετρητή είναι σωστές, μπορεί να εμφανιστεί ένα προειδοποιητικό μήνυμα που ενημερώνει ότι ένα πρόγραμμα θα πρέπει να εγκατασταθεί, και μας ζητάει να το εγκρίνουμε ή όχι. Τις περισσότερες φορές όμως αυτό το μήνυμα δεν εμφανίζετε. Με την εγκατάσταση Add-ons: Τα Add-ons είναι προγράμματα που ενισχύουν το φυλλομετρητή (browser). Μπορεί να είναι γραμμές εργαλείων, κουμπιά αναζήτησης, κινούμενες εικόνες κλπ. Αυτό τα προγράμματα κάνουν αυτό που λένε αλλά μεταφέρουν μαζί τους και spyware. Δράση Spyware: Τα Spyware ξεκινάνε μαζί με τον υπολογιστή κατά την εκκίνηση του και πιάνουν μνήμη και υπολογιστική ισχύ. Εμφανίζουν συνεχώς παράθυρα με ανεπιθύμητες διαφημίσεις. 18
Αλλάζουν την αρχική σελίδα του φυλλομετρητή. Αλλάζουν τα αποτελέσματα αναζητήσεων και εμφανίζουν άλλα, κάνοντας με αυτό τον τρόπο τις μηχανές αναζήτησης δύσχρηστες. Μερικά Spyware αλλάζουν τις ρυθμίσεις του φυλλομετρητή έτσι ώστε αν συνδέεστε με dial-up σύνδεση στο διαδίκτυο το modem καλεί πανάκριβούς αριθμούς φουσκώνοντας το τηλεφωνικό λογαριασμό. Μερικά Spyware αλλάζουν τις ρυθμίσεις του τοίχους προστασίας (firewall) επιτρέποντας την εισβολή άλλων Spyware προγραμμάτων. Μερικά Spyware είναι αρκετά έξυπνα,καταλαβαίνουν αν ο χρήστης προσπαθήσει να τα απεγκαταστήσει από το Windows registry και εγκαθιστούνται ξανά αυτόματα. [12] 1.1.3.2 Botnets Ως Botnet ορίζεται ένα δίκτυο υπολογιστών, το οποίο ελέγχεται εξ αποστάσεως από τον λεγόμενο botmaster χωρίς τη γνώση ή την έγκριση των κατόχων των μεμονωμένων υπολογιστών. Οι υπολογιστές που είναι μέλη του δικτύου αυτού ονομάζονται ζόμπι. Ο botmaster μπορεί να χρησιμοποιεί αυτούς τους υπολογιστές-ζόμπι για διάφορους παράνομους σκοπούς. Καθώς μπορεί να έχει πρόσβαση στον κάθε υπολογιστή-ζόμπι σαν να βρισκόταν ο ίδιος μπροστά σε αυτόν, είναι δυνατή τόσο η πρόσβαση στα αρχεία του συστήματος όσο και η χρήση της σύνδεσης δικτύου του υπολογιστή, χωρίς να το αντιληφθεί ο ιδιοκτήτης του. Αυτό του δίνει αμέτρητες δυνατότητες. Πέρα από την υποκλοπή δεδομένων, η πρόσβαση στους υπολογιστές-ζόμπι επιτρέπει και την απόκρυψη της ταυτότητας του δράστη, καθώς ως διακομιστής μεσολάβησης χρησιμοποιείται ο υπολογιστής του θύματος. Ανάλογα με το μέγεθος του Botnet, ο δράστης μπορεί να αλλάζει σε ορισμένες εξαιρετικές περιπτώσεις τη διεύθυνση IP του ακόμη και ανά δευτερόλεπτο, ώστε να μπορεί να προβαίνει σε παράνομες ενέργειες μέσω των συνδέσεων των θυμάτων του. Επιπλέον, ο εξ αποστάσεως έλεγχος των υπολογιστών εξυπηρετεί ιδανικά τη μετάδοση του κακόβουλου κώδικα Bot ή τη μαζική αποστολή spam. [13] 1.1.3.3 Keystroke logger Eίναι μια συσκευή ή μικρό πρόγραμμα που υποκλέπτει κάθε χαρακτήρα που πληκτρολογεί ο χρήστης και τα προωθεί (στο παρασκήνιο) π.χ. µέσω e-mail σε τρίτους. Το Keylogger είναι ένα βύσμα μεγέθους μικρής μπαταρίας,όπως φαίνεται και στην 19
φωτογραφία δεξιά, το οποίο χρησιμοποιείται ως σύνδεσμος μεταξύ του πληκτρολογίου και του υπολογιστή του χρήστη. Επειδή η συσκευή μοιάζει με ένα συνηθισμένο βύσμα του πληκτρολογίου, είναι σχετικά εύκολο για κάποιον που θέλει να παρακολουθεί τη συμπεριφορά ενός χρήστη να κρύψει φυσικά, μια τέτοια συσκευή "σε κοινή θέα». Καθώς ο χρήστης πληκτρολογεί, η συσκευή συλλέγει κάθε πάτημα πλήκτρου και την αποθηκεύει ως κείμενο στο δικό του μικροσκοπικό σκληρό δίσκο. Μεταγενέστερα, το άτομο το οποίο εγκατέστησε το Keylogger πρέπει να επιστρέψει και να αφαιρέσει τη συσκευή, ώστε να έχει πρόσβαση στις πληροφορίες που έχει συγκεντρώσει. [14] Ένα keylogger πρόγραμμα από την άλλη δεν χρειάζεται φυσική πρόσβαση στον υπολογιστή του χρήστη. Μπορεί να εγκατασταθεί από κάποιον ο οποίος θέλει να παρακολουθήσει την δραστηριότητα ενός συγκεκριμένου υπολογιστή ή μπορεί να εγκατασταθεί κατά λάθος με την μορφή spyware και να εκτελεστεί σαν μέρος ενός rootkit ή ένα trojan horse. Ένα keylogger πρόγραμμα συνήθως αποτελείται από δύο αρχεία τα οποία είναι εγκατεστημένα στον ίδιο φάκελο: ένα αρχείο DLL(το οποίο κάνει την καταγραφή) και ένα αρχείο EXE το οποίο εγκαθιστά το DLL αρχείο και το ενεργοποιεί για να ξεκινήσει την καταγραφή. Το keylogger πρόγραμμα καταγράφει κάθε πλήκτρο που πατάει ο χρήστης και ανεβάζει την πληροφορία μέσω internet περιοδικά σε αυτόν που έχει εγκαταστήσει το πρόγραμμα. Επιπλέον τα keylogger προγράμματα είναι σχεδιασμένα για κάλο σκοπό όπως να επιτρέπει στους γονείς να ελέγχουν τις δραστηριότητες των παιδιών τους στο διαδίκτυο. 1.1.3.4 Dialers Οι Dialers προέρχονται από επισκέψεις σε συγκεκριμένες ιστοσελίδες. Αυτές μπορεί να είναι ιστοσελίδες που παρέχουν πειρατικό λογισμικό, ιστοσελίδες με πορνογραφικό περιεχόμενο, ή ιστοσελίδες με αμφιλεγόμενο περιεχόμενο. Οι ιδιοκτήτες αυτών των ιστοσελίδων έχουν το Dialer λογισμικό ενσωματωμένο στον κώδικα του web site τους ώστε να γίνεται download και να εγκαθίσταται αυτόματα στο σύστημα του χρήστη, χωρίς να γίνεται αντιληπτό και χωρίς να ζητάει απαραίτητα την συγκατάθεση του. Ένας άλλος τρόπος εμφάνισης αυτών των προγραμμάτων είναι με τη μορφή συνημμένων αρχείων σε ηλεκτρονικά μηνύματα αλληλογραφίας, που παρουσιάζονται ως δημοφιλή προγράμματα όπου εάν ο χρήστης τα αποθηκεύσει και τα εγκαταστήσει, εγκαθιστά εν αγνοία του εφαρμογή Dialer. Ασφάλεια Να σημειώσουμε ότι τα προγράμματα Dialer απειλούν κατά κύριο λόγο τους συνδρομητές υπηρεσιών PSTN ή ISDN ή/ και τα συστήματα που έχουν εγκατεστημένο modem (PSTN / ISDN) το οποίο είναι συνδεδεμένο σε τηλεφωνική γραμμή, ενώ οι συνδρομητές υπηρεσιών ADSL δεν διατρέχουν κίνδυνο καθώς εξ 20
ορισμού δεν έχουν τη δυνατότητα να πραγματοποιήσουν τηλεφωνική κλήση και συνδέονται άμεσα με την υπηρεσία Internet. Ωστόσο στην περίπτωση που ο υπολογιστής εκτός της ADSL σύνδεσης έχει εγκατεστημένο και κάποιο ISDN ή PSTN modem το οποίο είναι συνδεδεμένο σε τηλεφωνική γραμμή, δεν μπορούμε να αποκλείσουμε το γεγονός αυτό. [15] 1.1.3.5 Adware Λογισµικό Adware (advertising-supported software) θεωρείται κάθε είδους λογισµικό το οποίο, µε αυτόµατο τρόπο, εκτελεί, επιδεικνύει, ή λαµβάνει διαφηµιστικό υλικό µέσω Internet. Η εκτέλεση αυτού του λογισµικού µπορεί να γίνεται νόµιµα, στα πλαίσια µιας εφαρμογής που το ορίζει ρητώς στους Όρους Χρήσης της, ή µε τρόπο µη φανερό. Στη δεύτερη περίπτωση τα λογισµικά τύπου Adware θεωρούνται κακόβουλο λογισµικό. To λογισµικό Adware συνήθως συνεργάζεται µε λογισµικό spyware (η λειτουργία του βασίζεται στα αποτελέσµατα της λειτουργίας του spyware). Οι παρενέργειες ενός λογισµικού Adware ποικίλουν : Εµφάνιση ανεπιθύµητων µηνυµάτων στον browser, ή στην επιφάνεια εργασίας Αλλαγή της αρχικής σελίδας του browser Αλλαγή της αρχικής σελίδας αναζήτησης στο Web, Αναδροµολόγηση σε λανθασμένο (πλαστό) δικτυακό τόπο (web spoofing) Το Αdware συνήθως χρησιμοποιείται από τον προγραμματιστή του ως ένας τρόπος για την ανάκτηση των εξόδων ανάπτυξης του, και σε κάποιες περιπτώσεις μπορεί να προσφέρει το λογισμικό στο χρήστη είτε δωρεάν είτε σε χαμηλή τιμή. Το εισόδημα που προέρχεται από τις παρουσιάσεις των διαφημίσεων στους χρήστες, μπορεί να επιτρεψει ή να παρακινήσει τον σχεδιαστή να συνεχίσει την ανάπτυξη, την διατήρηση και την αναβάθμιση του προϊόντος. [16] 1.1.3.6 Crimeware Το Crimeware έχει σχεδιαστεί για την υποκλοπή ταυτότητας. Προκειμένου οι σχεδιαστές να έχουν πρόσβαση στους online λογαριασμούς ενός χρήστη σε εταιρείες παροχής χρηματοοικονομικών υπηρεσιών και online εμπόρους λιανικής πώλησης, με σκοπό τη λήψη κεφαλαίων από τους λογαριασμούς αυτούς ή συμπληρώνοντας μη εγκεκριμένες συναλλαγές που εμπλουτίζουν την δυνατότητα του κλέφτη στον έλεγχο του Crimeware. Το Crimeware έχει επίσης συχνά τον σκοπό να εξάγει εμπιστευτικές ή ευαίσθητες πληροφορίες από ένα δίκτυο για την οικονομική εκμετάλλευση. Το 21
Crimeware αποτελεί ένα αυξανόμενο πρόβλημα στην ασφάλεια των δικτύων και πολλές απειλές κακόβουλου κώδικα επιδιώκουν να υποκλέπτουν εμπιστευτικές πληροφορίες. [17] 1.1.3.7 Scareware Τα ψεύτικα πακέτα αντιικών (Scareware) προειδοποιούν εσφαλμένα τους χρήστες ότι οι υπολογιστές τους είναι μολυσμένοι με κακόβουλο λογισμικό, με σκοπό να παρασύρουν τους χρήστες να αγοράσουν λογισμικό το οποίο στην ουσία δεν κάνει τίποτα. Η προσέγγιση βασίζεται στον εκφοβισμό των χρηστών για να αγοράσουν άχρηστα προϊόντα και όχι στην αντιμετώπιση πραγματικών προβλημάτων. [18] 1.1.3.8 Πειρατεία Λογισμικού Ως πειρατεία λογισμικού ορίζεται η μη εξουσιοδοτημένη αντιγραφή ή διανομή λογισμικού, η οποία πραγματοποιείται με την λήψη, αντιγραφή, κοινή χρήση, πώληση ή εγκατάσταση πολλαπλών αντιγράφων σε προσωπικούς ή εταιρικούς υπολογιστές. Αυτό που οι περισσότεροι δεν κατανοούν όταν αγοράζουν λογισμικό, είναι ότι στην πραγματικότητα αγοράζουν την άδεια χρήσης του και όχι το ίδιο το λογισμικό. Η άδεια θα πρέπει να διαβάζεται πολύ προσεκτικά γιατί καθορίζει σε πόσους υπολογιστές επιτρέπεται η εγκατάσταση του λογισμικού. Επομένως, η δημιουργία περισσοτέρων αντιγράφων από όσα ορίζει η άδεια αποτελεί πειρατεία.[19] 22
1.2 SPAM Spam είναι μη εξουσιοδοτημένα και ανεπιθύμητα e-mail, τα οποία αποστέλλονται μαζικά, συχνά έχουν την μορφή ενημερωτικών ή διαφημιστικών μηνυμάτων για προϊόντα και υπηρεσίες και τα οποία φθάνουν στο γραμματοκιβώτιο μας χωρίς να έχουμε ζητήσει την εν λόγω πληροφόρηση. Με άλλα λόγια είναι η ανεπιθύμητη διαδικτυακή αλληλογραφία. Σε αυτήν την περίπτωση μιλάμε για μία επικοινωνία στην οποία δεν υπάρχει κάποια σχέση μεταξύ παραλήπτη και αποστολέα. Το Spam είναι η μαζική αποστολή μεγάλων ποσοτήτων μηνυμάτων (ίδιων ή ελαφρά διαφοροποιημένων) από τον αποστολέα σε ένα πλήθος παραληπτών. Πολλές φορές το Spam είναι μηνύματα εμπορικού χαρακτήρα, που αποστέλλονται με σκοπό την προβολή και την διαφήμιση προϊόντων και υπηρεσιών, προσελκύοντας έτσι τους πελάτες. Το Spam στέλνεται χωρίς διάκριση, με αυτοματοποιημένα μέσα και με τη χρήση τεχνικών που συνήθως αφήνουν την ταυτότητα του αποστολέα κρυφή έτσι ώστε δεν υπάρχει μια έγκυρη και λειτουργική διεύθυνση επικοινωνίας με αυτόν. Το συγκεκριμένο χαρακτηριστικό αυτό αποτελεί σήμερα το βασικότερο στοιχείο για να χαρακτηριστεί ένα e-mail ως Spam. Για να μη θεωρηθεί ένα e-mail ως Spam, πρέπει οπωσδήποτε να πληρεί τις προϋποθέσεις της Ευρωπαϊκής νομοθεσίας περί διαφημιστικών μηνυμάτων. Το κάθε μήνυμα θα πρέπει να φέρει τα πλήρη στοιχεία του αποστολέα και επίσης, θα πρέπει να δίνει τη δυνατότητα διαγραφής του μηνύματος αυτού από την λίστα των παραληπτών. Μηνύματα αυτής της κατηγορίας μπορούν να μεταφέρουν επίσης και διάφορα επισυναπτόμενα όπως ιούς ή δούρειους ίππους (trojans), οι οποίοι θέτουν σε κίνδυνο την ασφάλεια των συστημάτων, των αρχείων και των δεδομένων του υπολογιστή μας. Ειδικά το τελευταίο διάστημα είναι πολύ μεγάλο το ποσοστό ανεπιθύμητης και επικίνδυνης αλληλογραφίας και είναι αποτέλεσμα της δράσης ιών που έχουν προσβάλει διάφορα συστήματα του Διαδικτύου. [20] 23
1.2.1 Instant messaging spam (SPIM) Το Instant messaging spam είναι κακόβουλα μηνύματα σχεδιασμένα να μεταφέρονται μέσω των άμεσων μηνυμάτων. τα οποία είναι Αυτοί οι ιοί είναι σχεδιασμένοι να μεταδίδονται, στις περισσότερες περιπτώσεις, όταν κάποιος χρήστης ανοίγει κάποιο link ή ανοίγει κάποιο μολυσμένο αρχείο το οποίο έχει σταλεί σε κάποιο άμεσο μήνυμα και φαίνεται να προέρχεται από κάποιον φίλο. Όταν ο χρήστης ανοίξει κάποιο από αυτά τα αρχεία μπορεί να μολυνθεί από κάποιον ιό. Εξαιτίας αυτού του ιού, ο υπολογιστής μπορεί να αργεί, να σταματήσει να ανταποκρίνεται ή μπορεί να μην παρατηρηθεί καμία αλλαγή. Παρόλα αυτά, ο ιός μπορεί να έχει εγκαταστήσει κάποιο κρυφό πρόγραμμα το οποίο μπορεί να βλάψει το software, το hardware ή άλλα σημαντικά αρχεία και τα οποία μπορεί να περιέχουν spyware το οποίο, μπορεί να ανιχνεύσει πληροφορίες που υπάρχουν στον υπολογιστή. Ένας μολυσμένος υπολογιστής μπορεί να συνεχίσει να διαδίδει την μόλυνση στέλνοντας αντίγραφα του ιού σε όλους όσους περιέχονται στην λίστα των άμεσων μηνυμάτων του χρήστη. Τρόποι αποφυγής ιών μέσω άμεσων μηνυμάτων: Να είστε προσεκτικοί με τα links και τα αρχεία στα άμεσα μηνύματα. Ποτέ μην κάνετε κλικ, αποδοχή ή άνοιγμα σε κάποιο link και μην κατεβάζετε κάποιο αρχείο στα άμεσα μηνύματα από κάποιον που δεν γνωρίζετε. Εάν δείτε κάποιο link ή κάποιο αρχείο στα άμεσα μηνύματα το οποίο προέρχεται από κάποιον που γνωρίζετε, μην κάνετε κλικ στο link ή μην ανοίξετε το αρχείο εκτός και αν ξέρετε τι είναι και το περιμένατε. Επικοινωνήστε με τον αποστολέα για να επιβεβαιώσετε ότι αυτό που σας έστειλαν δεν είναι κάποιος ιός. Διασφαλίστε ότι χρησιμοποιείτε μια ενημερωμένη έκδοση Instant Messaging λογισμικού. Χρησιμοποιείτε antivirus και antispyware λογισμικά και διατηρείτε τα ενημερωμένα. [21] 24
1.2.2 Spamdexing web Spamdexing (γνωστό και ως search spam ή search engine spam) θεωρείται μια τεχνική που χρησιμοποιεί έναν αριθμό μεθόδων, προκειμένου να παραπλανήσει τις μηχανές αναζήτησης και να βελτιώσει την κατάταξη κάποιων ιστοσελίδων. Μερικές τεχνικές spamdexing είναι οι εξής: Πολλαπλή επανάληψη σημαντικών λέξεων-κλειδιών στο σώμα της σελίδας, ώστε να δοθεί ψευδής εικόνα συσχέτισής της με ένα συγκεκριμένο θέμα. Αρκετές μηχανές αναζήτησης έχουν πλέον την ικανότητα να προσδιορίσουν αν η συχνότητα εμφάνισης μιας λέξης είναι πάνω από ένα «κανονικό» επίπεδο. Κρυμμένο ή αόρατο κείμενο, δηλαδή λέξεις ή φράσεις μπορούν να κρυφθούν δίνοντάς τους το ίδιο χρώμα με το φόντο ή χρησιμοποιώντας πολύ μικρού μεγέθους γραμματοσειρά. Σκοπός είναι να τις διαβάσουν οι μηχανές αναζήτησης και με βάση τα κριτήριά τους να κατατάξουν τις ιστοσελίδες κατά τον καλύτερο δυνατό τρόπο. Τοποθέτηση κρυμμένων υπερσυνδέσεων, για να αυξηθεί το λεγόμενο link popularity. Δημιουργία ιστοσελίδων χαμηλής ποιότητας με μικρό περιεχόμενο, αλλά με πολλές παρόμοιες φράσεις και λέξεις-κλειδιά. Κατεύθυνση του χρήστη σε άλλη ιστοσελίδα χωρίς τη δική του παρέμβαση, π.χ. χρησιμοποιώντας Java, JavaScript. [22] 1.3 Cross-Site-Scripting Με τον όρο Cross-site scripting ή XSS αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή JavaScript σε κάποιο ιστοχώρο. Κάποιος κακόβουλος χρήστης μπορεί να εισάγει κακόβουλο κώδικα σε ένα link και να φαίνεται ότι προέρχεται από αξιόπιστη πηγή. Όταν κάποιος χρήστης κλικάρει πάνω σε αυτό το link,το ενσωματωμένο πρόγραμμα υποβάλλεται σαν κομμάτι αίτησης του εξυπηρετητή και μπορεί να εκτελεστεί στον υπολογιστή του χρήστη, με αποτέλεσμα ο κακόβουλος χρήστης να έχει την δυνοτότητα υποκλοπής πληροφορίων. Φόρμες Web που επιστρέφουν δυναμικά ένα μήνυμα σφάλματος, συμπεριλαμβανομένων των δεδομένων εισόδου του χρήστη επιτρέπουν τους 25
επιτιθέμενους να τροποποιήσουν τον κώδικα HTML που ελέγχει τη συμπεριφορά της φόρμας της σελίδας. Οι επιτιθέμενοι μπορούν να το κάνουν αυτό με διάφορους τρόπους, όπως για παράδειγμα με την εισαγωγή κωδικοποίησης σε ένα σύνδεσμο ή σε ένα μήνυμα forum ή σε ένα μήνυμα spam.ο εισβολέας μπορεί να χρησιμοποιήσει e-mail spoofing προσποιούμενος μιας αξιόπιστης πηγής. Όπως και σε άλλες αδυναμίες βασισμένες στο διαδίκτυο μεγάλο μέρος της ευθύνης για τις cross-site scripting επιθέσεις έχουν οι μη-ασφαλείς εφαρμογές που τις κάνουν υλοποιήσιμες. Web server εφαρμογές που δημιουργούν σελίδες δυναμικά είναι ευπαθείς σε cross-site scripting επιθέσεις, εάν αποτύχουν να επικυρώσουν την είσοδο του χρήστη και αν δεν διασφαλίσουν ότι οι σελίδες έχουν δημιουργηθεί με σωστή κωδικοποίηση. Μια ευπάθεια που επιτρέπει cross-site scripting επιθέσεις μερικές φορές αναφέρεται και σαν τρύπα XSS. [23] 26
1.4 Κοινωνική Μηχανική Ο όρος Κοινωνική Μηχανική (Social Engineering) αναφέρεται σε συγκεκριμένη μέθοδο ηλεκτρονικής επίθεσης, η οποία χαρακτηρίζεται από πολλούς ως η μεγαλύτερη απειλή για την ασφάλεια των δικτύων. Ο λόγος είναι απλός: στόχος της κοινωνικής μηχανικής είναι ο ίδιος ο ανυποψίαστος χρήστης και όχι το σύστημα ασφάλειας και οι τεχνικές αδυναμίες του. Οι επιτιθέμενοι που χρησιμοποιούν τις μεθόδους της κοινωνικής μηχανικής αλληλεπιδρούν με τους χρήστες του διαδικτύου με σκοπό να τους ξεγελάσουν, να κερδίσουν την εμπιστοσύνη τους και να παραβιάσουν το εκάστοτε σύστημα με τις πληροφορίες που «αλίευσαν», χωρίς απαραίτητα τη χρήση τεχνικών μέσων. Τα βήματα που ακολουθεί ένας εισβολέας για να επιτύχει να εισβάλλει σε ένα δίκτυο υπολογιστών με μεθόδους κοινωνικής μηχανικής, είναι τα εξής: Προσεγγίζει με κάποιο τρόπο ένα άτομο που έχει εξουσιοδοτημένη πρόσβαση στο δίκτυο. Παρουσιάζει τον εαυτό του ως άτομο εμπιστοσύνης. Προσπαθεί να αποσπάσει από το άτομο που προσέγγισε, πληροφορίες που θέτουν σε κίνδυνο την ασφάλεια του δικτύου. Η βασική αδυναμία που εκμεταλλεύεται η κοινωνική μηχανική, είναι ότι οι περισσότεροι χρήστες δε συνειδητοποιούν τη μεγάλη σπουδαιότητα των πληροφοριών που διαχειρίζονται και ως εκ τούτου δεν τηρούν τα απαραίτητα μέτρα προστασίας, με αποτέλεσμα να πέφτουν συχνά θύματα ηλεκτρονικών επιθέσεων. Εξίσου αρνητικός παράγοντας είναι η συνήθεια αρκετών χρηστών να επιλέγουν απλούς κωδικούς πρόσβασης, τους οποίους εύκολα μπορεί να μαντέψει κάποιος εισβολέας. [24] 1.4.1 Pretexting Το Pretexting είναι μια μορφή κοινωνικής μηχανικής στην οποία ο επιτιθέμενος είναι σε θέση να αποκτήσει προνομιακά δεδομένα. Το Pretexting συχνά συνεπάγεται από κάποια απάτη στην οποία ο επιτιθέμενος προσποιείται ότι χρειάζεται κάποιες πληροφορίες με σκοπό να επιβεβαιώσει την ταυτότητα του ανθρώπου με τον οποίο μιλάει. 27
Αφού κατοχυρώσει την εμπιστοσύνη του στοχευόμενου, ο επιτιθέμενος μπορεί να κάνει μια σειρά από ερωτήσεις με σκοπό να συγκεντρώσει κάποια βασικά ατομικά αναγνωριστικά όπως είναι η επιβεβαίωση του αριθμού κοινωνικής ασφάλισης του ατόμου, το πατρικό όνομα της μητέρας του, ο τόπος ή η ημερομηνία γέννησης του ή τον αριθμό του λογαριασμού του. [25] 1.4.2 Baiting Το Baiting είναι στη πραγματικότητα ένα Trojan Horse το οποίο χρησιμοποιεί φυσικά μέσα και εξαρτάται από την περιέργεια ή την απληστία του χρήστη. Σε αυτήν την επίθεση ο επιτιθέμενος αφήνει μια δισκέτα, ένα CD ROMή ένα USB flash το οποίο έχει μολύνει κακόβουλο λογισμικό σε μια τοποθεσία που σίγουρα θα βρεθεί(μπάνιο, ασανσέρ, πεζοδρόμιο, παρκινγκ),του δίνει και μια θεμιτή εμφάνιση και μια ετικέτα που να κεντρίσει το ενδιαφέρον και απλά περιμένει για το θύμα που θα χρησιμοποιήσει την συσκευή. Σαν συνέπεια, απλώς εισάγοντας το δίσκο στον υπολογιστή για να κοιτάξει ο χρήστης τα περιεχόμενα του,θα εγκαταστήσει χωρίς να το ξέρει κακόβουλο λογισμικό, πιθανόν δίνοντας στον επιτιθέμενο απρόσκοπτη πρόσβαση στον υπολογιστή του και ίσως στο εσωτερικό δίκτυο της συγκεκριμένης εταιρίας. [26] 1.4.3 Υποκλοπή Ταυτότητας Υποκλοπή ταυτότητας θεωρείται η μη εξουσιοδοτημένη συλλογή και χρήση προσωπικών δεδομένων ενός ατόμου που πραγματοποιείται από κάποιον κακόβουλο χρήστη, συνήθως με σκοπό την εξαπάτηση του ατόμου αυτού (π.χ. την έκδοση πιστωτικών καρτών και δανείων από τον κακόβουλο χρήστη στο όνομα του θύματος). Οι υποκλοπείς ταυτότητας χρησιμοποιούν συνήθως διάφορους τρόπους για την απόσπαση προσωπικών δεδομένων των θυμάτων τους. Για παράδειγμα είναι δυνατό να προσποιούνται ότι είναι κάποια πρόσωπα που το θύμα γνωρίζει ή πρέπει να εμπιστεύεται ( «φίλοι» σε μια υπηρεσία κοινωνικής δικτύωσης), ώστε να μπορέσουν να του υποκλέψουν πληροφορίες ή ακόμα και κωδικούς πρόσβασης σε λογαριασμούς ή προσωπικούς υπολογιστές. Άλλες φορές είναι δυνατό να εκμεταλλεύονται τρωτά σημεία του θύματος, όπως π.χ. ελλιπή μέτρα προστασίας κατά τη λήψη της αλληλογραφίας του ή ακόμα και δεδομένα που το ίδιο το θύμα αποκαλύπτει χωρίς να το καταλαβαίνει (π.χ. κατά την δημοσίευση προσωπικών του δεδομένων σε ένα φόρουμ στο Διαδίκτυο) Οι επιτιθέμενοι μπορούν να επιτύχουν τον στόχο τους, από τα chat rooms,όπου μπορούν να μεταδίδουν Trojan horses τα οποία ρίχνουν keyloggers στον υπολογιστή του χρήστη με σκοπό να μεταφράζουν κάθε password,κάθε username και κάθε αριθμό πιστωτικής κάρτας που έχει πληκτρολογήσει. Επίσης πολλές online επιχειρήσεις σήμερα αποθηκεύουν τα προσωπικά στοιχεία των πελατών τους στις 28
ιστοσελίδες τους ώστε οι πελάτες να μπορούν να τις ξανά χρησιμοποιήσουν όταν επιστρέψουν στην ιστοσελίδα. Αυτό παρέχει στους κακόβουλους χρήστες άλλον ένα τρόπο για την υποκλοπή προσωπικών δεδομένων. Επιπλέον, με το phishing μέσω e- mail,οι επιτιθέμενοι προσπαθούν να συγκεντρώσουν προσωπικές πληροφορίες χρηστών. Αυτά τα e-mail φαίνονται ότι είναι από νόμιμες επιχειρήσεις με σκοπό την εξαπάτηση των χρηστών ώστε να πεισθούν και να δώσουν προσωπικές πληροφορίες οι οποίες θα χρησιμοποιηθούν για πλαστογραφία. Ένα τέτοιο e-mail κατευθύνει τον χρήστη ώστε να επισκεφθεί μια ιστοσελίδα όπου θα του ζητηθεί να ενημερώσει προσωπικές του πληροφορίες, όπως είναι passwords και αριθμους πιστωτικών καρτών, αριθμούς κοινωνικής ασφάλισης και αριθμούς τραπεζικών λογαριασμών. Η ιστοσελίδα αύτη έχει συσταθεί με μόνο σκοπό να υποκλέψει προσωπικά δεδομένα. [27] 1.4.4 Phishing Το phishing είναι ένας τρόπος υποκλοπής ευαίσθητων πληροφοριών όπως οι κωδικοί πρόσβασης, ονόματα χρηστών, καθώς και στοιχεία πιστωτικών καρτών. Αυτές οι εφαρμογές μοιάζουν με αξιόπιστες εφαρμογές που ισχυρίζονται ότι είναι από δημοφιλείς κοινωνικές ιστοσελίδες, ιστοσελίδες δημοπρασιών, online επεξεργαστές πληρωμής ή IT διαχειριστές. Συνήθως χρησιμοποιούνται για να προσελκύσουν το ανυποψίαστο κοινό. Το phishing συνήθως κατευθύνει τους χρήστες να εισάγουν στοιχεία σε μια πλαστή ιστοσελίδα των οποίων η όψη και η αίσθηση είναι σχεδόν ταυτόσημη με την πραγματική. Το phishing είναι ένα παράδειγμα τεχνικών κοινωνικής δικτύωσης που χρησιμοποιούνται για να ξεγελάσουν τους χρήστες και εκμεταλλεύεται την κακή χρηστικότητα των σημερινών τεχνολογιών ασφάλειας του διαδικτύου. [28] 1.4.5 Spoofing Spoofing είναι ο τρόπος που χρησιμοποιεί κάποιος επιτιθέμενος για να αποκτήσει πρόσβαση σε ένα δίκτυο ή υπηρεσία δικτύου χωρίς να είναι νόμιμος χρήστης. Ο απλούστερος τρόπος να γίνει αυτό είναι γνωρίζοντας το όνομα χρήστη και τον κωδικό πρόσβασης ενός νόμιμου χρήστη. Μόλις αποκτήσει πρόσβαση ο μη νόμιμος χρήστης σε ένα δίκτυο, μπορεί έπειτα να αποκτήσει πρόσβαση και στα ιδιωτικά αρχεία ή τους πόρους. Παραπλάνηση μπορεί να υπάρξει και στα μηνύματα ηλεκτρονικού ταχυδρομείου που μπορούν να εμφανιστούν σαν να προέρχονται από έναν νόμιμο χρήστη. [29] 29
1.5 Ασφάλεια Κινητού Κώδικα Κινητός κώδικας ονοµάζεται ο κώδικας που ενσωματώνεται σε σελίδες Web και µπορεί να μεταφερθεί µέσω δικτύου για να εκτελεστεί στην πλευρά του πελάτη (τοπικά). Για την εκτέλεση του κώδικα, ο πελάτης δεν χρειάζεται να έχει εγκατεστημένο ειδικό λογισμικό (π.χ. μεταγλώττισης κώδικα). Παραδείγματα κινητού κώδικα αποτελούν τα προγράµµατα σεναρίων (scripts) JavaScript, VBScript, τα Java applets, και ο κώδικας ActiveX τα οποία θα αναπτύξουμε παρακάτω. Η εκτέλεση των προγραμμάτων αυτών δεν εξαρτάται από την πλατφόρµα ή/και το λογισµικό του χρήστη που τα εκτελεί: για παράδειγμα, ένα σενάριο που εκτελείται στον Internet Explorer ενός MAC είναι δυνατόν να εκτελεστεί και στο πρόγραµµα Firefox ενός PC. Κάθε ένα από τα παραπάνω είδη κινητού κώδικα, µπορεί να εγκυµονεί κινδύνους για την ασφάλεια του συστήµατος, σε μικρό η µεγάλο βαθµό. [30] 1.5.1 Scripts Τα σενάρια (Scripts) είναι μικρά τμήματα κώδικα, γραμμένα σε μια γλώσσα σεναρίων όπως η JavaScript ή VBScript, τα οποία εκτελούνται στον υπολογιστή - πελάτη (δηλαδή τον δικό σας και όχι του κατόχου του Site). Τα σενάρια αυτά έχουν σκοπό να ομορφύνουν περισσότερο μια ιστοσελίδα αλλά και να προσδόσουν ορισμένες πρόσθετες λειτουργίες (π.χ. να χρωματίσουν τη μπάρα κύλησης του browser). Μια γλώσσα σεναρίων είναι μια απλή γλώσσα προγραμματισμού σχεδιασμένη από τις Active Server Pages (Ενεργές σελίδες διακομιστή - σελίδες με την επέκταση.asp), οι οποίες είναι σενάρια που εκτελούνται στην πλευρά του διακομιστή και δεν προκαλούν κανένα κίνδυνο ασφαλείας. [31] 1.5.2 Μικροεφαρμογές Java Η Java είναι µια γλώσσα υψηλού επιπέδου. Οι εφαρμογές Java µπορούν να εκτελεστούν σε οποιαδήποτε πλατφόρμα ή/και Λειτουργικό Σύστηµα. Ουσιαστικά εκτελούνται από µία εικονική μηχανή (Java Virtual Machine, JVM), η οποία είναι διαθέσιµη για διάφορα Λ.Σ. Η Java είναι επίσης σχεδιασμένη για την παραγωγή κινητού κώδικα. Ένα applet είναι κώδικας γραµµένος σε java, µικρού μεγέθους, όχι ανεξάρτητο πρόγραµµα, που χρειάζεται κάποιο άλλο πρόγραµµα για την εκτέλεση του. Στο Web τα Java applets διερμηνεύονται (interpreted) από το πρόγραµµα πλοήγησης (π.χ. Internet Explorer, Netscape, Opera, Firefox) και εκτελούνται τοπικά στον υπολογιστή - πελάτη (client). Διαδεδομένες εφαρμογές των applets αποτελούν τα 30
web-based παιχνίδια, animations, εφέ ήχου & εικόνας, κυλιόμενα προσομοιώσεις, κλπ. µενού, Ασφάλεια Ένα applet εκτελείται σε «προστατευόμενο» περιβάλλον (sandbox) ώστε να περιοριστεί η (τυχόν) ζηµιά από κακόβουλο κώδικα. Έτσι, ένα applet δε µπορεί να έχει (ανεξέλεγκτη) πρόσβαση στο σύστηµα αρχείων, στα τµήµατα της µνήµης όπου εκτελούνται άλλα προγράµµατα, στις υπηρεσίες επιπέδου δικτύου κ.λπ. Στο περιβάλλον της Java, το τµήµα που «επιβάλει» και καθορίζει την εκτέλεση του κώδικα στο προστατευόμενο περιβάλλον ονοµάζεται διαχειριστής Ασφάλειας (Security Manager). Η λειτουργία του µπορεί να παροµοιαστεί µε το ρόλο του Reference Monitor στην επιβολή ελέγχου πρόσβασης σε Λ.Σ: Ο Security Manager «επεμβαίνει» κάθε φορά που το applet προσπαθεί να πραγματοποιήσει µια αμφιλεγόμενη λειτουργία (π.χ. άνοιγµα ενός αρχείου, δημιουργία μιας σύνδεσης δικτύου, κ.λπ.) και καθορίζει τα επιτρεπτά δικαιώµατα πρόσβασης, ανάλογα µε τον τύπο του applet. Για παράδειγμα, ένα applet που ελήφθη από ένα «έμπιστο» site υπόκειται σε λιγότερους περιορισμούς από άλλα applets. [32] 1.5.3 Active X Στο Web, τα στοιχεία ActiveX είναι κώδικας µικρού μεγέθους, ενσωματωμένος σε µια σελίδα Web (όπως και στην περίπτωση των applets, τα στοιχεία ActiveX δεν είναι ανεξάρτητα προγράµµατα αλλά χρειάζονται έναν ξενιστή π.χ. το πρόγραµµα πλοήγησης, µε σκοπό την επέκταση των δυνατοτήτων της. Για παράδειγμα, ένα στοιχείο ActiveX επιτρέπει την εµφάνιση και επεξεργασία ενός εγγράφου του Word ή Excel μέσα από το πρόγραµµα πλοήγησης, την ακρόαση σταθμών μέσα από το πρόγραµµα πλοήγησης κ.λπ. Ασφάλεια & Υπογραφή Κώδικα Ένα στοιχείο ActiveX µπορεί να είναι φορέας κακόβουλου κώδικα. Μάλιστα, σε αντίθεση µε τα applets, ένα στοιχείο ActiveX δεν εκτελείται σε προστατευμένο περιβάλλον, αλλά «κληρονομεί» τα δικαιώµατα πρόσβασης του χρήστη που το εκτελεί. Για το σκοπό αυτό, στα πλαίσια της τεχνολογίας Authenticode, όλα τα στοιχεία ActiveX που είναι ενσωματωμένα σε σελίδες Web, αυθεντικοποιούνται από το δημιουργό τους, χρησιμοποιώντας ένα σύστηµα ψηφιακής υπογραφής. Το πρόγραµµα πλοήγησης εμποδίζει εξ ορισµού τµήµατα κώδικα ActiveX που δεν έχουν υπογραφεί (εκτός και εάν έχει επιλεχθεί άλλη ρύθμιση από το χρήστη), ενώ για όσα προγράµµατα είναι υπογεγραμμένα ψηφιακά, προτρέπει το χρήστη να αποφασίσει αν επιθυμεί την εκτέλεση τους. Εφόσον ο χρήστης απαντήσει καταφατικά, το πρόγραµµα εκτελείται µε τα δικαιώµατα του λογαριασμού του χρήστη (στο µμοντέλο DAC). 31
Το πρόβληµα µε τον υπογεγραμμένο κώδικα ActiveX (αλλά και γενικότερα µε κάθε είδους υπογεγραμμένο κώδικα, π.χ. signed applets) είναι ότι οι χρήστες καλούνται να αποφασίσουν εάν εμπιστεύονται ή όχι το δημιουργό του λογισµικού που πρόκειται να εκτελεστεί. Ο υπογεγραμμένος κώδικας συνοδεύεται και από ένα ψηφιακό πιστοποιητικό που έχει υπογραφεί από κάποια Τρίτη Οντότητα. Το πιστοποιητικό αυτό, εφόσον η τρίτη οντότητα είναι έμπιστη, πιστοποιεί ότι η ταυτότητα του δημιουργού του κώδικα είναι η σωστή ωστόσο δεν πιστοποιεί ότι ο κώδικας είναι ασφαλής. [33] 1.6 Τρόποι Προστασίας Από Ιούς Τήρηση αντιγράφων ασφαλείας σε cd ή δισκέτα ή εξωτερικό δίσκο. Τακτική ανίχνευση όλου του δίσκου/δισκετών με το αντιβιοτικό πρόγραμμα. Συχνή ανανέωση (update) του αντιβιοτικού προγράμματος. Συχνή ανανέωση (update) του προγράμματος πλοήγησης στο internet που χρησιμοποιείτε. Συχνή ανανέωση (update) του προγράμματος που χρησιμοποιείτε για να διαβάζετε τα email σας. Συχνή ανανέωση (update) του προγράμματος Adobe Acrobat Reader (αν το χρησιμοποιείτε). Συχνή ανανέωση (update) των προγραμμάτων Microsoft Office και OpenOffice (αν τα χρησιμοποιείτε). Ανίχνευση κάθε νέου αρχείου που «κατεβάζετε» από το Internet. Μην εισάγετε στον υπολογιστή σας USB sticks από άτομα που δεν γνωρίζετε. Επιλέξτε την πλήρη εμφάνιση των τύπων αρχείων στον Η/Υ σας. Ίσως κάποιος να σας στείλει μια «φωτογραφία» ως photo.jpg.vbs. Αν δεν έχετε την παραπάνω επιλογή ενεργοποιημένη, ίσως να την «πατήσετε» και να εκτελέσετε το αρχείο, που μόνο φωτογραφία δεν μπορεί να είναι. Διατηρείτε και ανανεώνετε συχνά μια δισκέτα ή cd για αποκατάσταση ζημιών από ιούς, την οποία προσφέρουν συνήθως τα ίδια τα αντιβιοτικά προγράμματα. Χρησιμοποιείτε κάποιο πρόγραμμα firewall Χρησιμοποιείτε κάποιο πρόγραμμα anti-spyware Κάνετε συχνά update στο λειτουργικό σύστημα του Η/Υ σας (κυρίως στα Windows), ώστε να καλύπτονται τα όποια κενά ασφαλείας έχουν εντοπιστεί. 32
Τεχνικά Χαρακτηριστικά Browsers 2 2.1 Ιδιωτική Πλοήγηση Η ιδιωτική πλοήγηση δίνει την δυνατότητα στους χρήστες να σερφάρουν στο διαδίκτυο χωρίς να αφήνουν ίχνη στον υπολογιστή που χρησιμοποιούν. Η ιδιωτική πλοήγηση πολλές φορές καλείται και porn mode. Εάν κάποιος χρήστης που χρησιμοποιεί έναν υπολογιστή που ανήκει σε κάποιον τρίτο, επιθυμεί οι δραστηριότητες του στο διαδίκτυο να παραμείνουν ιδιωτικές μπορεί να χρησιμοποιήσει την ιδιωτική πλοήγηση που προσφέρουν όλοι οι κυριότεροι browsers,έτσι όλα τα cookies και τα προσωρινά αποθηκευμένα αρχεία που δημιουργούνται κατά την διάρκεια μιας περιήγησης,όπως επίσης και το ιστορικό και η ίδια η περιήγηση θα διαγραφούν στο τέλος της περιήγησης. Ωστόσο, τα downloads και τα bookmarks που έχουν δημιουργηθεί από τον χρήστη διατηρούνται. Οι λειτουργίες ιδιωτικής περιήγησης είναι γνωστές ως InPrivate Browsing στον Internet Explorer, Private Browsing στον Firefox και τον Safari και Incognito στον Chrome. Στον παρακάτω πίνακα περιγράφονται αναλυτικότερα οι πληροφορίες που απορρίπτονται από την ιδιωτική πλοήγηση όταν κλείνετε το πρόγραμμα περιήγησης και με ποιον τρόπο επηρεάζονται κατά τη διάρκεια της : Πληροφορίες Πώς επηρεάζονται από την Ιδιωτική πλοήγηση Cookies Διατηρούνται στη μνήμη ώστε να λειτουργούν σωστά οι σελίδες αλλά απαλείφονται όταν κλείνετε το πρόγραμμα περιήγησης. Προσωρινά αρχεία Internet Αποθηκεύονται στον δίσκο ώστε να λειτουργούν σωστά οι σελίδες αλλά διαγράφονται όταν κλείνετε το πρόγραμμα περιήγησης. Ιστορικό ιστοσελίδας Οι πληροφορίες αυτές δεν αποθηκεύονται. Δεδομένα μορφής και κωδικοί πρόσβασης Αυτές οι πληροφορίες δεν αποθηκεύονται. 33
Πληροφορίες Πώς επηρεάζονται από την Ιδιωτική πλοήγηση Μνήμη cache κατά του ηλεκτρονικού ψαρέματος Οι προσωρινές πληροφορίες κρυπτογραφούνται και αποθηκεύονται ώστε οι σελίδες να λειτουργούν σωστά. Γραμμή διευθύνσεων και Αυτόματη Καταχώρηση Αυτές οι πληροφορίες δεν αποθηκεύονται. Τι δεν κάνει η ιδιωτική πλοήγηση Δεν εμποδίζει κάποιον στο δίκτυό σας, όπως είναι ο διαχειριστής δικτύου ή ένας χάκερ, να δει τις τοποθεσίες που επισκεφτήκατε. Δεν σας προσφέρει απαραίτητα ανωνυμία στο διαδίκτυο. Οι τοποθεσίες Web μπορεί να έχουν τη δυνατότητα να σας εντοπίσουν μέσω της διεύθυνσής σας στο Web και οτιδήποτε κάνετε ή καταχωρείτε μπορεί να καταγραφεί από αυτήν την τοποθεσία. Δεν καταργεί αγαπημένα ή τροφοδοσίες που προσθέτετε όταν κλείνετε την περίοδο λειτουργίας της ιδιωτικής πλοήγησης. Οι αλλαγές στις ρυθμίσεις του Browser, όπως είναι η προσθήκη νέας αρχικής σελίδας, διατηρούνται κι αυτές αφού κλείσετε την περίοδο λειτουργίας της ιδιωτικής πλοήγησης. [34] 2.2 Pop-ups Τα pop-up ads ή pop- ups είναι μια μορφή online διαφήμισης στο διαδίκτυο. Τα Pop-ups είναι γενικά νέα παράθυρα φυλλομετρητή που εμφανίζουν διαφημίσεις. Το pop-up παράθυρο που περιέχει μια διαφήμιση είναι συνήθως δημιουργημένο από JavaScript, αλλά μπορεί επίσης να παραχθεί και από άλλα μέσα. [35] Συνήθως, οι διαφημίσεις που εμφανίζουν μπορεί να προέρχονται από νόμιμες επιχειρήσεις αλλά μπορεί επίσης να υποκρύπτουν απάτη ή επικίνδυνο λογισμικό: Οι διαφημίσεις μέσω αναδυόμενων παραθύρων μπορεί να αποτελούν μέρος μιας απάτης ηλεκτρονικού "ψαρέματος" που έχει σχεδιαστεί για να σας εξαπατήσει ώστε να αποκαλύψετε ευαίσθητα δεδομένα προσωπικής ή οικονομικής φύσεως καθώς κάνετε περιήγηση στο Web. Εάν τα αναδυόμενα παράθυρα διαφημίσεων εμφανίζονται ακόμα και όταν δεν 34
κάνετε περιήγηση στο Web, τότε ο υπολογιστής σας έχει ίσως προσβληθεί από λογισμικό υποκλοπής spyware. Δεν είναι όλα τα αναδυόμενα παράθυρα επιζήμια: Μερικές τοποθεσίες Web χρησιμοποιούν αναδυόμενα παράθυρα για συγκεκριμένους σκοπούς. Ίσως απαιτείται να δείτε το παράθυρο προκειμένου να ολοκληρωθεί μια εργασία. 2.3 Cookies Τα cookies είναι μικρά αρχεία κειμένου τα οποία αποθηκεύονται στον υπολογιστή κατά την πλοήγησή μας στο διαδίκτυο. Όταν επισκεπτόμαστε ένα site στο διαδίκτυο, το site μπορεί να ρωτήσει τον browser μας για την δημιουργία ενός αρχείου κειμένου με σκοπό να αποθηκεύσει κάποιες χρήσιμες πληροφορίες. Αυτές οι χρήσιμες πληροφορίες μπορούν να διαβαστούν μόνο από το site που δημιούργησε αυτήν την πληροφορία. Όταν επισκέπτεστε ένα τομέα (domain) όπως το www.teikav.edu.gr, ο διακομιστής (server) του www.teikav.edu.gr μπορεί να ρωτήσει τον browser σας για να θέσει ένα cookie. Αυτό είναι ένα first-party cookie, επειδή έχει τεθεί από τον τομέα που εσείς έχετε επιλέξει. Τα first-party cookies είναι ζωτικής σημασίας για τις περισσότερες μεγάλες ιστοσελίδες. Είναι συνήθως χρήσιμα καθώς επιτρέπουν στην ιστοσελίδα να θυμάται ότι την έχετε επισκεφτεί ή να θυμάται τι αντικείμενα έχετε προσθέσει στο καλάθι για τις ηλεκτρονικές αγορές σας. Third-party cookies Όταν όμως επισκεφτείτε έναν τομέα όπως το www.teikav.edu.gr, κάποιες ιστοσελίδες σε αυτόν τον τομέα,μπορεί να παρουσιάσουν περιεχόμενα από ένα thirdparty τομέα. Για παράδειγμα, μπορεί να τρέχει μια διαφήμιση από το www.anotherdomain.gr η οποία να δείχνει μια αγγελία γραφικών. Όταν ο browser σας ζητάει για την φωτογραφία από το www.anotherdomain.gr, τότε ο third-party τομέας μπορεί να θέσει cookie. Κάθε τομέας έχει την δυνατότητα να διαβάσει μόνο τα cookie που έχει δημιουργήσει ο ίδιος, οπότε δεν υπάρχει περίπτωση από τον www.anotherdomain.gr να διαβάσει τα cookie που έχουν δημιουργηθεί από το www.teikav.edu.gr. Οπότε ποιο είναι το πρόβλημα που δημιουργείται; Είναι πολύ πιθανό ο διαφημιστής του www.anotherdomain.gr να χρησιμοποιήσει τα third-party cookies με σκοπό να αναγνωρίσει την ταυτότητά σας καθώς κινήστε από το ένα site στο άλλο που περιέχει τις διαφημίσεις του. Αν και ο διαφημιστής δεν θα γνωρίζει το όνομα σας, μπορεί να χρησιμοποιήσει ένα τυχαίο id αριθμό στο cookie ώστε να χτίσει ένα ανώνυμο προφίλ των sites που επισκέπτεστε. Όταν δώσει αυτόν τον μοναδικό αριθμό στο third-party cookie, μπορεί να πει: ο επισκέπτης 3E7ETW278UT επισκέπτεται συχνά μουσικά sites οπότε εμφάνισε του διαφημίσεις σχετικά με την μουσική και μουσικά προϊόντα. 35
Σε πολλούς ανθρώπους δεν αρέσει η ιδέα των διαφημιστικών εταιριών οι οποίες χτίζουν προφίλ πάνω στις δικές τους προτιμήσεις πλοήγησης, ακόμα και αν το προφίλ τους είναι ανώνυμο. [36] 2.4 Πιστοποιητικά Επικύρωσης Η καλύτερη εγγύηση της ταυτότητας ενός ιστότοπου που είναι διαθέσιμη σήμερα παρέχεται από τα Extended Validation Certificates(EV). Extended Validation σημαίνει ότι οι λεπτομέρειες της οργάνωσης αγοράς του πιστοποιητικού έχουν ελεγχθεί από έναν υπόλογο, ένα τρίτο πρόσωπο, ο οποίος βεβαιώνει ότι ο κάτοχος του συγκεκριμένου πιστοποιητικού είναι αυτός που ισχυρίζεται ότι είναι. Τέτοιες ιστοσελίδες υποδεικνύονται από ένα πράσινο σήμα ασφαλείας με ένα λουκέτο στο πεδίο διεύθυνσης σε όλους τους Browsers. Για να διασφαλίσετε ότι μια ηλεκτρονική συναλλαγή είναι ασφαλής, ελέγξτε τα παρακάτω στοιχεία: Η διεύθυνση Web ξεκινά με το πρόθεμα HTTPS. Το γράμμα "S" είναι σημαντικό στοιχείο, καθώς σημαίνει ότι χρησιμοποιείται πρωτόκολλο κρυπτογράφησης με την ονομασία "Επίπεδο ασφαλών υποδοχών" (SSL) για τη σύνδεση σε διακομιστή Web. Το πρόθεμα HTTP (χωρίς το γράμμα "S") σημαίνει ότι δεν χρησιμοποιείται κρυπτογράφηση, επομένως η συναλλαγή είναι λιγότερο ασφαλής. Εάν εμφανιστεί ένα μήνυμα στη γραμμή ειδοποιήσεων που σας ειδοποιεί ότι κάποιο περιεχόμενο δεν είναι ασφαλές, τότε στην ιστοσελίδα προβάλλεται περιεχόμενο με χρήση συνδέσεων με διακομιστή Web HTTPS και HTTP. Οι συναλλαγές σε HTTP (χωρίς το γράμμα "S") ενδέχεται να μην είναι ασφαλείς. Στη δεξιά πλευρά της γραμμής διευθύνσεων εμφανίζεται ένα εικονίδιο λουκέτου. Κάντε κλικ στο εικονίδιο λουκέτου για να προβάλετε το πιστοποιητικό που χρησιμοποιήθηκε για την κρυπτογράφηση της ιστοσελίδας. Το πιστοποιητικό προσδιορίζει την αρχή έκδοσης πιστοποιητικών που το έχει εκδώσει, τις ημερομηνίες ισχύος του πιστοποιητικού και το διακομιστή με τον οποίο επικοινωνεί. Εάν κάποιο στοιχείο των πληροφοριών φαίνεται να είναι λανθασμένο, επικοινωνήστε με τον εκδότη για να επιβεβαιώσετε την εγκυρότητα του πιστοποιητικού. Εάν η τοποθεσία Web διαθέτει πιστοποιητικό, το χρώμα στη γραμμή διευθύνσεων υποδεικνύει το επίπεδο επικύρωσης του πιστοποιητικού. 36
Στον παρακάτω πίνακα περιγράφεται η σημασία των χρωμάτων στη γραμμή διευθύνσεων: Χρώμα Τι σημαίνει Κόκκινο Το πιστοποιητικό έχει λήξει, δεν είναι έγκυρο ή περιέχει σφάλμα. Κίτρινο Δεν είναι δυνατή η επιβεβαίωση της γνησιότητας του πιστοποιητικού ή της αρχής έκδοσης πιστοποιητικών που το εξέδωσε. Αυτό μπορεί να υποδεικνύει ένα πρόβλημα με την τοποθεσία της αρχής έκδοσης πιστοποιητικών στο Web. Λευκό Το πιστοποιητικό διαθέτει κανονική επικύρωση. Αυτό σημαίνει ότι η επικοινωνία με την τοποθεσία Web είναι κρυπτογραφημένη Πράσινο Το πιστοποιητικό χρησιμοποιεί εκτεταμένη επικύρωση. Αυτό σημαίνει ότι η επικοινωνία μεταξύ του προγράμματος περιήγησης και της τοποθεσίας Web είναι κρυπτογραφημένη και ότι η αρχή έκδοσης πιστοποιητικών έχει επιβεβαιώσει ότι η τοποθεσία Web ανήκει σε επιχείρηση, ή τελεί υπό τη λειτουργία επιχείρησης, που έχει συσταθεί νομικά σύμφωνα με τη δικαιοδοσία που υποδεικνύεται στο πιστοποιητικό και στη γραμμή κατάστασης ασφαλείας. [37] 2.5 Επισήμανση Τομέα Με την επισήμανση τομέα, oι χρήστες μπορούν να ερμηνεύσουν πιο εύκολα τις διευθύνσεις Web, γεγονός που βοηθάει στην αποφυγή τοποθεσιών που προσπαθούν να τους ξεγελάσουν με παραπλανητικές διευθύνσεις. Με την επισήμανση τομέα, μπορούν να αναγνωρίσουν πιο εύκολα τις τοποθεσίες που επισκέπτονται, επειδή το όνομα του τομέα εμφανίζεται έντονα στη γραμμή διευθύνσεων με μαύρο χρώμα, ενώ η υπόλοιπη διεύθυνση URL εμφανίζεται με πιο αχνό γκρι χρώμα. 37
2.6 Ασφάλεια Επικοινωνιών 2.6.1 Ασφάλεια Εφαρμογών Ηλεκτρονικού Εμπορίου Οι εφαρμογές ηλεκτρονικού εμπορίου αποτελούν αντικείμενο πολλών και διαφορετικών τύπων επιθέσεων συμπεριλαμβανομένων αυτών της απώλειας του απόρρητου, της ακεραιότητας των δεδομένων και της πλαστοπροσωπίας. Τα προβλήματα αυτά αντιμετωπίζονται με τη χρήση κρυπτογραφίας, η οποία επιτρέπει τη μετάδοση εμπιστευτικών πληροφοριών μέσα από ένα δίκτυο χωρίς να υπάρχει κίνδυνος υποκλοπής ή ανεπιθύμητων παρεμβάσεων. Παράλληλα επιτρέπει στις δύο πλευρές που επικοινωνούν, δηλαδή στον έμπορα και στον πελάτη, να προβαίνουν σε αμοιβαία πιστοποίηση ταυτότητας. Στην πράξη, οι κρυπτογραφικές αρχές πρέπει να ενσωματωθούν σε εργάσιμα πρωτόκολλα επικοινωνίας και λογισμικό. Υπάρχει μια ποικιλία κρυπτογραφικών πρωτοκόλλων στο διαδίκτυο, καθένα από τα οποία είναι ειδικευμένο για διαφορετική λειτουργία. Το πρωτόκολλο SSL (Secure Sockets Layer), το οποίο παρέχει κρυπτογραφημένη επικοινωνία μεταξύ ενός προγράμματος πλοήγησης (web browser) και ενός εξυπηρετητή web (web server), αποτελεί σήμερα το πιο διαδεδομένο πρωτόκολλο ασφάλειας για το ηλεκτρονικό εμπόριο. Το πρωτόκολλο SSL παρέχει απόρρητη επικοινωνία μεταξύ πελατών και εμπόρων, υποστηρίζοντας πληθώρα μηχανισμών κρυπτογράφησης και ψηφιακών υπογραφών, προσφέροντας έτσι ένα ικανοποιητικό επίπεδο ασφάλειας στις εφαρμογές ηλεκτρονικού εμπορίου. Για να υπάρχει όμως ασφάλεια στις εφαρμογές ηλεκτρονικού εμπορίου απαιτείται η ύπαρξη ενός ασφαλούς εξυπηρετητή διαδικτύου (web server). Ο εξυπηρετητής διαδικτύου πρέπει να προστατεύει τα ευαίσθητα δεδομένα που στέλνονται από το πρόγραμμα πλοήγησης του πελάτη στον εξυπηρετητή του καταστήματος. Οι εξυπηρετητές διαδικτύου διαχειρίζονται και διανέμουν τις πληροφορίες στο διαδίκτυο. 2.6.2 Πρωτόκολλο Ασφάλειας SSL Το SSL (Secure Socket Layer) είναι ένα ευέλικτο, γενικού σκοπού σύστημα κρυπτογράφησης για την προστασία της επικοινωνίας μέσω του Παγκόσμιου Ιστού, το οποίο είναι ενσωματωμένο και στα προγράμματα πλοήγησης της Netscape και της Microsoft. Το πρωτόκολλο SSL έχει σχεδιαστεί για να παρέχει απόρρητη επικοινωνία μεταξύ δύο συστημάτων, από τα οποία το ένα λειτουργεί σαν πελάτης (client) και το άλλο σαν εξυπηρετητής (server). Δηλαδή το πρωτόκολλο αυτό μπορεί να παρέχει απόρρητη επικοινωνία μεταξύ εμπόρου και πελάτη σε μια συναλλαγή πληρωμής και για το λόγο αυτό το SSL αποτελεί το κύριο πρωτόκολλο ασφάλειας για το ηλεκτρονικό εμπόριο. Συγκεκριμένα, το πρωτόκολλο SSL παρέχει κρυπτογράφηση της μεταδιδόμενης πληροφορίας (Data Encryption), υποχρεωτική πιστοποίηση της 38
ταυτότητας του εξυπηρετητή (Server Authentication) και προαιρετική πιστοποίηση της ταυτότητας του πελάτη (Client Authentication) μέσω έγκυρων πιστοποιητικών που έχουν εκδοθεί από έμπιστες Αρχές Πιστοποίησης (Certificates Authorities). Υποστηρίζει πληθώρα μηχανισμών κρυπτογράφησης και ψηφιακών υπογραφών για την αντιμετώπιση όλων των διαφορετικών αναγκών. Επιπλέον εξασφαλίζει την ακεραιότητα των δεδομένων (Data Integrity), εφαρμόζοντας την τεχνική των Message Authentication Codes (MACs), ώστε κανείς να μην μπορεί να αλλοιώσει την πληροφορία χωρίς να γίνει αντιληπτός. Για κάθε κρυπτογραφημένη συναλλαγή δημιουργείται ένα κλειδί συνόδου (session key) το μήκος του οποίου μπορεί να είναι 40 bits ή 128 bits. Είναι γνωστό ότι όσο μεγαλύτερο είναι το μήκος του κλειδιού, τόσο πιο ασφαλής είναι η κρυπτογραφημένη επικοινωνία. Το πρωτόκολλο SSL αναπτύχθηκε από την Netscape Communications Corporation για την ασφαλή επικοινωνία ευαίσθητων πληροφοριών όπως προσωπικά στοιχεία και αριθμούς πιστωτικών καρτών. Έχουν υπάρξει τρεις εκδόσεις του SSL. Η ιστορία της εξέλιξης του SSL έχει ως εξής: Ιούλιος 1994: Κυκλοφόρησε η πρώτη έκδοση v.1.0 του πρωτοκόλλου SSL από τη Netscape, η οποία χρησιμοποιήθηκε μόνο για εσωτερικές ανάγκες της εταιρείας. Δεκέμβριος 1994: Κυκλοφόρησε η δεύτερη έκδοση v.2.0 του πρωτοκόλλου, η οποία ενσωματώθηκε στο web browser της Netscape, τον Netscape Navigator. Ιούλιος 1995: Εκδόθηκε ο αντίστοιχος web browser της Microsoft, ο Internet Explorer, ο οποίος υποστηρίζει και αυτός την έκδοση v.2.0 του SSL, με κάποιες όμως επεκτάσεις της Microsoft. Το SSL πρωτόκολλο, στην έκδοση v.2.0, καθιερώθηκε ως de facto πρότυπο για κρυπτογραφική προστασία της HTTP κυκλοφορίας δεδομένων. Το HTTP (Hyper Text Transfer Protocol) είναι ένα πρωτόκολλο που φροντίζει τη μεταφορά και τον τρόπο μετάδοσης δεδομένων στο διαδίκτυο. Ωστόσο το SSL v.2.0 είχε αρκετούς περιορισμούς τόσο ως προς την κρυπτογραφική ασφάλεια όσο και ως προς τη λειτουργικότητα του. Για το λόγο αυτό υπήρχε η ανάγκη για βελτίωση της έκδοσης v.2.0. Έτσι το πρωτόκολλο αναβαθμίστηκε σε SSL v.3.0 με δημόσια αναθεώρηση και σημαντική συνεισφορά από τη βιομηχανία. Νοέμβριος 1995: Κυκλοφόρησε επισήμως η έκδοση v.3.0 του SSL, ενώ λίγους μήνες πιο πριν εφαρμοζόταν σε προϊόντα της εταιρείας, όπως τον Netscape Navigator. Μάιος 1996: Το SSL περνά στη δικαιοδοσία του Internet Engineering Task Force - IETF, ο οποίος δημιουργεί την ειδική ομάδα εργασίας TLS Group και μετονομάζει την νέα έκδοση του SSL, σε TLS (Transport Layer Security). Η ομάδα εργασίας TLS group καθιερώθηκε το 1996 για να τυποποιήσει το πρωτόκολλο Transport Layer Security. Η TLS group εργάστηκε πάνω SSL v.3.0 πρωτόκολλο. Η ομάδα αυτή έχει ολοκληρώσει μια σειρά από προδιαγραφές που περιγράφουν τις εκδόσεις 1.0 και 1.1 του TLS πρωτοκόλλου, και ετοιμάζει την έκδοση 1.2. 39
Ιανουάριος 1999: Εκδίδεται η πρώτη έκδοση του πρωτοκόλλου TLS, η οποία μπορεί να θεωρείται και ως η έκδοση v.3.1 του SSL. Δεκέμβριος 2005: Δημοσιεύεται η έκδοση 1.1 του TLS πρωτοκόλλου από την TLS group. Η τρίτη έκδοση του πρωτοκόλλου SSL κάλυψε πολλές αδυναμίες της δεύτερης έκδοσης. Οι σημαντικότερες αλλαγές αφορούν: α) στη μείωση των απαραίτητων μηνυμάτων κατά το στάδιο εγκαθίδρυσης της σύνδεσης («χειραψία», «Handshake»), β) στην επιλογή των αλγορίθμων συμπίεσης και κρυπτογράφησης από τον εξυπηρετητή και γ) στην εκ νέου διαπραγμάτευση του κυρίως κλειδιού (Master Key) και του «αναγνωριστικού» συνόδου (Session ID). Ακόμη αυξάνονται οι διαθέσιμοι αλγόριθμοι κρυπτογράφησης και προστίθενται νέες τεχνικές για τη διαχείριση των κλειδιών. Γενικά, η τρίτη έκδοση του SSL (v.3.0) είναι πιο ολοκληρωμένη σχεδιαστικά από τη δεύτερη, με μεγαλύτερο εύρος υποστήριξης και λιγότερες ατέλειες. Επειδή η Netscape επιθυμούσε την παγκόσμια υιοθέτηση του πρωτοκόλλου SSL, γεγονός που ερχόταν σε σύγκρουση με την τότε νομοθεσία των Η.Π.Α περί εξαγωγής κρυπτογραφικών αλγορίθμων, αναγκάστηκε να επιτρέψει τη χρήση αλγορίθμων κρυπτογράφησης με κλειδί των 40 bits στις προς εξαγωγή εφαρμογές SSL, τη στιγμή που η κανονική έκδοση χρησιμοποιεί κλειδί των128 bits. 2.6.2.1 Αρχιτεκτονική του SSL Η αρχιτεκτονική τοποθέτηση του SSL απεικονίζεται στο Σχήμα 1. Σχήμα 1: Αρχιτεκτονική Τοποθέτηση του SSL. Το SSL μπορεί να λειτουργήσει πάνω από οποιοδήποτε πρωτόκολλο μεταφοράς. Δεν εξαρτάται από την ύπαρξη του TCP/IP και υποστηρίζει πρωτόκολλα εφαρμογών όπως τα HTTP, FTP και TELNET. Το TCP/IP (Transmission Control Protocol/Internet Protocol),όπως αναφέρθηκε και στο πρώτο μέρος, είναι το 40
πρωτόκολλο επικοινωνίας (Communication Protocol) για την επικοινωνία ανάμεσα σε υπολογιστές που είναι συνδεδεμένοι στο διαδίκτυο. Τα αρχικά TCP/IP αναφέρονται σε δύο από τα σημαντικότερα πρωτόκολλα που χρησιμοποιούνται στο διαδίκτυο, δηλ. στο TCP και στο IP. Το FTP (File Transfer Protocol) είναι ένα πρωτόκολλο μεταφοράς αρχείων, το οποίο φροντίζει για τη διακίνηση αρχείων μέσα στο διαδίκτυο, και το TELNET είναι ουσιαστικά μια υπηρεσία του διαδικτύου με την οποία οι χρήστες αποκτούν απευθείας πρόσβαση σε άλλους υπολογιστές στο διαδίκτυο. Είναι σημαντικό κάθε καινούργιο πρωτόκολλο επικοινωνίας να συμμορφώνεται με το μοντέλο διασύνδεσης ανοικτών συστημάτων (Open System Interconnection, OSI), έτσι ώστε να μπορεί να αντικαταστήσει εύκολα κάποιο υπάρχον πρωτόκολλο ή να ενσωματωθεί στην υπάρχουσα δομή πρωτοκόλλων. Το SSL λειτουργεί προσθετικά σε σχέση με την υπάρχουσα δομή του OSI και όχι ως πρωτόκολλο αντικατάστασης. Επιπλέον η χρήση του SSL δεν αποκλείει τη χρήση άλλου μηχανισμού ασφαλείας που λειτουργεί σε υψηλότερο επίπεδο, όπως για παράδειγμα το S/HTTP που εφαρμόζεται στο επίπεδο εφαρμογής πάνω από το SSL. Το S/HTTP (Secure HTTP) πρωτόκολλο φροντίζει για την ασφαλή μεταφορά δεδομένων στο διαδίκτυο. Ένα σημαντικό πλεονέκτημα της ασφάλειας επιπέδου μεταφοράς γενικά και του SSL ειδικότερα είναι η ανεξαρτησία από την εφαρμογή, που σημαίνει ότι μπορεί να χρησιμοποιηθεί για να παρέχει ασφάλεια διαφανώς σε οποιαδήποτε TCP/IP εφαρμογή στρωματοποιείτε στην κορυφή του. Το πρωτόκολλο SSL παρέχει TCP/IP ασφάλεια σύνδεσης, η οποία έχει τρεις βασικές ιδιότητες: Οι επικοινωνούντες μπορούν να αυθεντικοποιούνται αμοιβαία χρησιμοποιώντας κρυπτογραφία δημοσίου κλειδιού. Επιτυγχάνεται εμπιστευτικότητα των μεταδιδόμενων δεδομένων αφού η σύνδεση κρυπτογραφείται διαφανώς μετά από μια αρχική χειραψία και τον καθορισμό ενός κλειδιού συνόδου. Προστατεύεται η ακεραιότητα των μεταδιδόμενων δεδομένων, καθώς τα μηνύματα αυθεντικοποιούνται διαφανώς και ελέγχονται ως προς την ακεραιότητα τους κατά τη μετάδοση με χρήση MACs. Για τη γενική λειτουργία του πρωτοκόλλου SSL υπάρχουν δύο βασικές οντότητες: σύνοδος SSL. σύνδεση SSL. Η σύνοδος SSL αποτελεί τη δημιουργία μιας σχέσης μεταξύ ενός πελάτη και ενός εξυπηρετητή. Οι σύνοδοι δημιουργούνται από το SSL Handshake protocol και 41
είναι ομάδες παραμέτρων ασφάλειας, οι οποίες μπορούν να διαμοιραστούν ταυτόχρονα σε πολλές συνδέσεις. Ο κύριος λόγος για αυτό είναι η αποφυγή χρονοβόρων διαπραγματεύσεων νέων παραμέτρων ασφάλειας για κάθε νέα σύνδεση. Οι παράμετροι που περιέχονται και μοιράζονται σε μια σύνοδο είναι οι ακόλουθοι: Αναγνωριστικό συνόδου: επιλέγεται από τον εξυπηρετητή για αναγνώριση μιας ενεργούς ή επαναληπτικής κατάστασης συνόδου. Ψηφιακό πιστοποιητικό (μεταξύ ομότιμων οντοτήτων). Μέθοδος συμπίεσης των δεδομένων: Αλγόριθμος που χρησιμοποιείται για συμπίεση δεδομένων πριν την κρυπτογράφηση. Αλγόριθμος κρυπτογράφησης των δεδομένων. Κύριο μυστικό (Master Secret): Μοναδικός αριθμός μήκους 48-byte, κοινό μυστικό μεταξύ εξυπηρετητή και πελάτη. Δυνατότητα επανεκκίνησης της συνόδου. Σύνδεση SSL είναι η μεταφορά των πληροφοριών μεταξύ δύο οντοτήτων. Στο SSL οι συνδέσεις αυτές είναι σχέσεις μεταξύ ομότιμων οντοτήτων και είναι παροδικές. Οι παράμετροι που περιέχονται σε μια σύνδεση είναι οι ακόλουθοι: Τυχαίοι αριθμοί μεταξύ πελάτη και εξυπηρετητή, οι οποίοι είναι διαφορετικοί για κάθε σύνδεση. Μυστικό MAC εξυπηρετητή: Μυστικό που χρησιμοποιείται για MAC λειτουργίες σε δεδομένα εγγεγραμμένα από τον εξυπηρετητή. Μυστικό MAC πελάτη: Μυστικό που χρησιμοποιείται για MAC λειτουργίες σε δεδομένα εγγεγραμμένα από τον πελάτη. Όπως απεικονίζεται στο Σχήμα 1, το πρωτόκολλο SSL αποτελείται από δύο επιμέρους πρωτόκολλα, το SSL record protocol και το SSL handshake protocol. Το SSL record protocol παρέχει υπηρεσίες αυθεντικοποίησης, εμπιστευτικότητας και ακεραιότητας δεδομένων, καθώς επίσης και προστασία από επιθέσεις με επανεκπομπή μηνυμάτων. Συγκεκριμένα το πρωτόκολλο αυτό τοποθετεί τα δεδομένα σε πακέτα και αφού τα κρυπτογραφήσει τα μεταδίδει. Επίσης εκτελεί την αντίστροφη διαδικασία για τα παραλαμβανόμενα πακέτα. Το SSL handshake protocol είναι ένα πρωτόκολλο αυθεντικοποίησης και ανταλλαγής κλειδιών το οποίο επίσης διαπραγματεύεται, αρχικοποιεί και συγχρονίζει τις παραμέτρους ασφάλειας. Συγκεκριμένα το πρωτόκολλο αυτό διαπραγματεύεται τους αλγόριθμους κρυπτογράφησης που θα χρησιμοποιηθούν και πραγματοποιεί την πιστοποίηση της ταυτότητας του εξυπηρετητή και του πελάτη αν αυτό ζητηθεί. Μετά την ολοκλήρωση του SSL handshake protocol, τα δεδομένα των εφαρμογών μπορούν να 42
αποστέλλονται μέσω του SSL record protocol ακολουθώντας τις συμφωνημένες παραμέτρους ασφάλειας. Τα SSL record protocol και SSL handshake protocol περιγράφονται αναλυτικά παρακάτω. 2.6.2.2 SSL Record Protocol Το SSL Record Protocol παρέχει δύο υπηρεσίες για SSL συνδέσεις: Εμπιστευτικότητα: Το Handshake Protocol ορίζει ένα κοινό μυστικό κλειδί, το οποίο χρησιμοποιείται για την κρυπτογράφηση των δεδομένων του SSL. Ακεραιότητα: Το Handshake Protocol επίσης ορίζει ένα κοινό μυστικό κλειδί που χρησιμοποιείται για τη δημιουργία MAC όλων των μηνυμάτων που ανταλλάσσονται. Το SSL Record Protocol λαμβάνει δεδομένα από πρωτόκολλα υψηλότερων επιπέδων και ασχολείται με τον κατακερματισμό (Fragmentation), τη συμπίεση, την αυθεντικοποίηση και την κρυπτογράφηση δεδομένων. Ουσιαστικά το πρωτόκολλο αυτό μετατρέπει τα προς μετάδοση δεδομένα σε SSL πακέτα. Το Σχήμα 2 φανερώνει τη λειτουργία του SSL Record Protocol. Συγκεκριμένα το Record Protocol παίρνει το μήνυμα της εφαρμογής που θα μεταδοθεί, τμηματοποιεί τα δεδομένα σε εύχρηστα Blocks, προαιρετικά συμπιέζει τα δεδομένα με κατάλληλους μηχανισμούς που επιλέγονται κατά τη «χειραψία» και μετά εφαρμόζει ένα MAC πάνω από τα συμπιεσμένα δεδομένα. Στη συνέχεια κρυπτογραφεί το αποτέλεσμα χρησιμοποιώντας συμμετρική κρυπτογράφηση, προσθέτει μια επικεφαλίδα SSL και στο τέλος μεταδίδει το πακέτο. Η μέθοδος συμπίεσης και ο αλγόριθμος κρυπτογράφησης καθορίζονται κατά τη διάρκεια εκτέλεσης του SSL Handshake Protocol. Σχήμα 2: Λειτουργία του SSL Record Protocol. 43
Το SSL Record Protocol εκτελεί και την αντίστροφη διαδικασία για τα παραλαμβανόμενα πακέτα. Συγκεκριμένα τα δεδομένα που λαμβάνονται αποκρυπτογραφούνται, επιβεβαιώνονται, αποσυμπιέζονται, επανασυγκεντρώνονται και διανέμονται στους χρήστες των ανώτερων επιπέδων. Διάφορα πρωτόκολλα SSL μπορούν να στρωματοποιούνται στην κορυφή του SSL Record Protocol. Οι προδιαγραφές του SSL 3.0 καθορίζουν τα ακόλουθα τρία πρωτόκολλα SSL: Πρωτόκολλο προειδοποίησης (SSL Alert Protocol). Πρωτόκολλο χειραψίας (SSL Handshake Protocol). Πρωτόκολλο Αλλαγής Προδιαγραφών Κρυπτογραφίας (SSL Change Cipher Spec Protocol). Το SSL Alert Protocol χρησιμοποιείται για να μεταφέρει προειδοποιήσεις (alerts) μέσω του SSL Record Protocol. Οι προειδοποιήσεις είναι συνήθως μηνύματα προβλημάτων και λαθών (π.χ. λάθος MAC, μη αναμενόμενο μήνυμα κλπ.) που αφορούν τόσο τη σύνδεση όσο και τη μετάδοση των μηνυμάτων μεταξύ δύο ομότιμων οντοτήτων. Με τον τρόπο αυτό ειδοποιεί το SSL να διακόψει τη σύνδεση ή να προβεί σε όποιες άλλες ενέργειες έχουν καθοριστεί. Το SSL Handshake Protocol είναι το κύριο πρωτόκολλο SSL. Το πρωτόκολλο αλλαγής προδιαγραφών κρυπτογραφίας είναι το απλούστερο από τα πιο πάνω πρωτόκολλα. Χρησιμοποιείται για την αλλαγή μιας προδιαγραφής κρυπτογραφίας με μια άλλη. Κανονικά μια προδιαγραφή κρυπτογραφίας αλλάζει στο τέλος μιας SSL χειραψίας. Μπορεί όμως να τροποποιηθεί και σε οποιαδήποτε άλλη στιγμή. 2.6.2.3 SSL Handshake Protocol Το SSL Handshake Protocol είναι το περισσότερο περίπλοκο πρωτόκολλο από τα χρησιμοποιούμενα στο SSL. Αυτό το πρωτόκολλο επιτρέπει προαιρετικά στον πελάτη και τον εξυπηρετητή να εξακριβώσουν ο ένας την ταυτότητα του άλλου, να διαπραγματευτούν τον αλγόριθμο κρυπτογράφησης και τη μέθοδο συμπίεσης, και να δημιουργήσουν ένα κύριο μυστικό κλειδί (master secret key), από το οποίο προκύπτουν τα διάφορα κλειδιά συνόδου για αυθεντικοποίηση και κρυπτογράφηση μηνυμάτων. Μετά την εκτέλεση του SSL Handshake Protocol αρχίζει η μεταφορά των δεδομένων από το SSL Record Protocol. Στο SSL Handshake Protocol, για τη δημιουργία μιας SSL συνόδου, ο πελάτης και ο εξυπηρετητής ανταλλάσσουν μεταξύ τους τα ακόλουθα μηνύματα: C S : Client_Hello S C : Server_Hello Certificate Server_Key_Exchange 44
Certificate_Request Server_Hello_Done C S : Certificate Client_Key_Exchange Certificate_Verify Change_Cipher_Spec Finished S C : Change_Cipher_Spec Finished Μια εκτέλεση SSL Handshake Protocol συνήθως αρχίζει με τον πελάτη και τον εξυπηρετητή να αποστέλλουν μηνύματα χαιρετισμού (hello) ο ένας στον άλλο. Τα μηνύματα χαιρετισμού χρησιμοποιούνται για την ανταλλαγή πρόσθετων δυνατοτήτων ασφάλειας. Στο βήμα 1, όταν ένας πελάτης επιθυμεί να συνδεθεί με ένα συγκεκριμένο εξυπηρετητή, αποστέλλει ένα αντίστοιχο μήνυμα Client_Hello. Το μήνυμα αυτό περιλαμβάνει: Τον αριθμό της υψηλότερης έκδοσης SSL που μπορεί να υποστηρίξει ο πελάτης (τυπικά v.3.0). Μια τυχαία δομή που παράγεται από τον πελάτη, η οποία αποτελείται από μια χρονοσφραγίδα των 32 bits και μια τιμή των 28 byte που παράγεται από μια γεννήτρια τυχαίων αριθμών. Η χρονοσφραγίδα προστατεύει από επιθέσεις τύπου επανάληψης μηνυμάτων. Μια ταυτότητα αναγνώρισης συνόδου (session identity ID) που ο πελάτης επιθυμεί να χρησιμοποιήσει για αυτή τη σύνδεση. Ένα κατάλογο από περιβάλλοντα κρυπτογραφίας (cipher suites) που υποστηρίζει ο πελάτης. Ένα κατάλογο από μεθόδους συμπίεσης (compression methods) που υποστηρίζει ο πελάτης. Η τιμή ταυτότητας αναγνώρισης συνόδου δηλώνει μια σύνοδο μεταξύ του ίδιου πελάτη και εξυπηρετητή, της οποίας τις παραμέτρους ασφάλειας επιθυμεί να επαναχρησιμοποιήσει ο πελάτης. Η ταυτότητα αναγνώρισης συνόδου μπορεί να προέρχεται από μια προηγούμενη σύνδεση ή κάποια τρέχουσα ενεργή σύνδεση. Το πεδίο ταυτότητας αναγνώρισης συνόδου είναι κενό σε περίπτωση που δεν υπάρχει διαθέσιμη σύνοδος ή ο πελάτης επιθυμεί να δημιουργήσει νέες παραμέτρους ασφάλειας. Ο πελάτης μέσω του μηνύματος Client_Hello αποστέλλει στον εξυπηρετητή ένα σύνολο από περιβάλλοντα κρυπτογραφίας που υποστηρίζει. Κάθε περιβάλλον κρυπτογραφίας καθορίζει ένα αλγόριθμο ανταλλαγής κλειδιών και μια προδιαγραφή κρυπτογραφίας. Ο εξυπηρετητής θα επιλέξει ένα περιβάλλον κρυπτογραφίας ή αν δεν υπάρχουν αποδεκτές επιλογές θα επιστρέψει ένα μήνυμα 45
σφάλματος και θα τερματίσει τη σύνδεση. Αφού έχει στείλει το μήνυμα Client_Hello, ο πελάτης περιμένει για ένα μήνυμα Server_Hello. Στο βήμα 2, ο εξυπηρετητής επεξεργάζεται το μήνυμα Client_Hello και απαντά είτε με ένα μήνυμα σφάλματος είτε με ένα μήνυμα Server_Hello. Συγκεκριμένα το μήνυμα Server_Hello περιλαμβάνει: Έναν αριθμό έκδοσης εξυπηρετητή (συνήθως αυτόν που προτείνεται από τον πελάτη στο μήνυμα Client_Hello). Μια τυχαία δομή που παράγεται από τον εξυπηρετητή, η οποία επίσης αποτελείται από μια χρονοσφραγίδα των 32 bits και μια τιμή των 28 byte που παράγεται από μια γεννήτρια τυχαίων αριθμών. Μια ταυτότητα αναγνώρισης συνόδου (session ID) που αντιστοιχεί στη συγκεκριμένη σύνδεση. Ένα περιβάλλον κρυπτογραφίας, το οποίο επιλέχθηκε από τον εξυπηρετητή από τον κατάλογο περιβαλλόντων κρυπτογραφίας που υποστηρίζονται από τον πελάτη. Μια μέθοδο συμπίεσης, η οποία επιλέχθηκε από τον εξυπηρετητή από τον κατάλογο μεθόδων συμπίεσης που υποστηρίζονται από τον πελάτη. Αν η ταυτότητα αναγνώρισης συνόδου στο μήνυμα Client_Hello δεν είναι κενή, ο εξυπηρετητής αναζητά την ταυτότητα αυτή στη δική του μνήμη συνόδου. Σε περίπτωση που βρεθεί αυτή η ταυτότητα και ο εξυπηρετητής είναι πρόθυμος να καθιερώσει τη νέα σύνδεση χρησιμοποιώντας την αντίστοιχη κατάσταση συνόδου, απαντά με την ίδια τιμή με αυτή που προμηθεύτηκε από τον πελάτη. Αλλιώς το πεδίο αυτό περιέχει μια διαφορετική τιμή, η οποία προσδιορίζει τη νέα σύνοδο. Αν ο εξυπηρετητής πρόκειται να αυθεντικοποιηθεί αποστέλλει μετά το μήνυμα Server_Hello ένα πιστοποιητικό μέσα σε ένα αντίστοιχο μήνυμα Certificate. Ο τύπος του πιστοποιητικού πρέπει να είναι κατάλληλος για τον αλγόριθμο ανταλλαγής κλειδιών του περιβάλλοντος κρυπτογραφίας που επιλέχθηκε και συνήθως είναι ένα X.509 πιστοποιητικό. Πληροφορίες για τα πιστοποιητικά βρίσκονται στο κεφάλαιο 0. Ο ίδιος τύπος μηνύματος θα χρησιμοποιηθεί αργότερα για την απάντηση του πελάτη στο μήνυμα Certificate_Request του εξυπηρετητή. Στη συνέχεια ο εξυπηρετητής στέλνει στον πελάτη το μήνυμα Server_Key_Exchange. Το μήνυμα αυτό περιέχει το δημόσιο κλειδί του εξυπηρετητή, ανάλογα με τον αλγόριθμο ανταλλαγής κλειδιών που χρησιμοποιείται. Ο εξυπηρετητής μπορεί προαιρετικά να ζητά ένα πιστοποιητικό που αυθεντικοποιεί τον πελάτη. Στην περίπτωση αυτή αποστέλλει στον πελάτη ένα μήνυμα Certificate_Request. Το μήνυμα περιλαμβάνει ένα κατάλογο από τους τύπους των πιστοποιητικών που ζητούνται, ταξινομημένους κατά τη σειρά προτίμησης του 46
εξυπηρετητή, καθώς επίσης και ένα κατάλογο για αποδεκτά CAs (Certificate Authorities). Στο τέλος του βήματος 2 ο εξυπηρετητής αποστέλλει ένα μήνυμα Server_Hello_Done στον πελάτη, το οποίο υποδεικνύει το τέλος του μηνύματος Server_Hello και των συσχετιζόμενων μηνυμάτων. Κατά τη λήψη του μηνύματος Server_Hello και των συσχετιζόμενων μηνυμάτων ο πελάτης επιβεβαιώνει, αν απαιτείται, ότι ο εξυπηρετητής παρείχε ένα έγκυρο πιστοποιητικό και ελέγχει αν οι παράμετροι ασφάλειας που περιέχονται στο Server_Hello μήνυμα είναι αποδεκτές. Αν ο εξυπηρετητής έχει ζητήσει αυθεντικοποίηση του πελάτη, ο πελάτης στο βήμα 3 του στέλνει ένα μήνυμα Certificate το οποίο περιλαμβάνει ένα πιστοποιητικό για το δημόσιο κλειδί του. Στη συνέχεια ο πελάτης αποστέλλει ένα μήνυμα Client_Key_Exchange, του οποίου η μορφή εξαρτάται από τον αλγόριθμο ανταλλαγής κλειδιών που επιλέγεται από τον εξυπηρετητή. Αν χρησιμοποιείται ο αλγόριθμος RSA για αυθεντικοποίηση εξυπηρετητή και ανταλλαγή κλειδιών, ο πελάτης παράγει ένα προ-κύριο μυστικό (pre-master secret) των 48 byte χρησιμοποιώντας μια γεννήτρια τυχαίων αριθμών, το κρυπτογραφεί με το προσωρινό RSA δημόσιο κλειδί του εξυπηρετητή από το μήνυμα Server_Key_Exchange και αποστέλλει το αποτέλεσμα πίσω στον εξυπηρετητή μέσω του μηνύματος Client_Key_Exchange. Ο εξυπηρετητής χρησιμοποιεί το δικό του ιδιωτικό κλειδί για να αποκρυπτογραφήσει το προ-κύριο μυστικό. Αυτό το προ-κύριο μυστικό χρησιμοποιείται τόσο από την πλευρά του πελάτη, όσο και από την πλευρά του εξυπηρετητή για να παράγουν το κύριο μυστικό. Το κύριο μυστικό δε χρησιμοποιείται άμεσα για κρυπτογράφηση, αλλά για την παραγωγή δύο ζευγαριών κλειδιών. Τα ένα ζευγάρι ανήκει στον πελάτη και αποτελείται από το client-writekey που χρησιμοποιεί ο πελάτης για να κρυπτογραφήσει τα μηνύματα προς τον εξυπηρετητή και το client-read-key για να αποκρυπτογραφήσει ότι λαμβάνει από τον εξυπηρετητή. Το δεύτερο ζευγάρι ανήκει στον εξυπηρετητή και αποτελείται από το server-write-key για κρυπτογράφηση μηνυμάτων προς τον πελάτη και το server-read-key για αποκρυπτογράφηση των λαμβανομένων. Αξίζει να σημειωθεί ότι το client-write-key είναι το ίδιο με το serverread-key και το client-readkey είναι το ίδιο με το server-write-key. Στη συνέχεια ο πελάτης μπορεί να στείλει στον εξυπηρετητή ένα μήνυμα Certificate_Verify. Αυτό το μήνυμα χρησιμοποιείται για να παρέχει επιβεβαίωση του πιστοποιητικού του πελάτη. Τελικά ο πελάτης ολοκληρώνει το βήμα 3 αποστέλλοντας ένα μήνυμα Change_Cipher_Spec και ένα αντίστοιχο μήνυμα Finished στον εξυπηρετητή. Το μήνυμα Change_Cipher_Spec δηλώνει ότι ο πελάτης είναι έτοιμος να μεταβεί σε ασφαλή επικοινωνία. Το μήνυμα Finished αποστέλλεται πάντοτε αμέσως μετά το μήνυμα Change_Cipher_Spec για να επιβεβαιώσει ότι η ανταλλαγή κλειδιών και οι διαδικασίες πιστοποίησης αυθεντικότητας ήταν πράγματι επιτυχείς. 47
Η εκτέλεση του SSL Handshake Protocol ολοκληρώνεται έχοντας τον εξυπηρετητή να αποστέλλει ένα Change_Cipher_Spec μήνυμα και ένα αντίστοιχο μήνυμα Finished στον πελάτη, στο βήμα 4. Μετά την ολοκλήρωση του SSL Handshake Protocol, καθιερώνεται μια ασφαλής σύνδεση μεταξύ του πελάτη και του εξυπηρετητή. Αυτή η σύνδεση μπορεί τώρα να χρησιμοποιηθεί για την αποστολή δεδομένων εφαρμογών μέσω του SSL Record Protocol. 2.6.2.4 Αντοχή του SSL σε Γνωστές Επιθέσεις 2.6.2.4.1 Επίθεση Λεξικού Κατά την επίθεση αυτή, ένα τμήμα του μη κρυπτογραφημένου κειμένου βρίσκεται στην κατοχή κακόβουλων προσώπων. Το τμήμα αυτό κρυπτογραφείται με χρήση κάθε πιθανού κλειδιού και έπειτα ερευνάται ολόκληρο το κρυπτογραφημένο μήνυμα μέχρι να βρεθεί ένα κομμάτι που να ταιριάζει με κάποιο από τα προϋπολογισμένα. Σε περίπτωση που η έρευνα έχει επιτυχία, τότε το κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση ολόκληρου του κειμένου έχει βρεθεί. Το SSL δεν απειλείται από αυτήν την επίθεση αφού τα κλειδιά των αλγορίθμων του είναι πολύ μεγάλα (128 bits). Ακόμα και οι αλγόριθμοι σε εξαγόμενα προϊόντα, υποστηρίζουν 128 bits κλειδιά και παρ' όλο που τα 88 bits αυτών μεταδίδονται χωρίς κρυπτογράφηση, ο υπολογισμός 240 διαφορετικών ακολουθιών καθιστά την επίθεση εξαιρετικά δύσκολη. 2.6.2.4.2 Βίαιη Επίθεση Η επίθεση αυτή πραγματοποιείται με την χρήση όλων των πιθανών κλειδιών για την αποκρυπτογράφηση των μηνυμάτων. Όσο πιο μεγάλα σε μήκος είναι τα χρησιμοποιούμενα κλειδιά, τόσο πιο πολλά είναι τα πιθανά κλειδιά. Τέτοια επίθεση σε αλγορίθμους που χρησιμοποιούν κλειδιά των 128 bits είναι ατελέσφορη. 2.6.2.4.3 Επίθεση Επανάληψης Όταν ένας τρίτος καταγράφει την ανταλλαγή μηνυμάτων μεταξύ πελάτη - εξυπηρετητή και προσπαθεί να χρησιμοποιήσει ξανά τα μηνύματα του πελάτη για να αποκτήσει πρόσβαση στον εξυπηρετητή, έχουμε επίθεση τύπου replay attack. Όμως το SSL κάνει χρήση του αναγνωριστικού συνόδου (connection-id), το οποίο παράγεται από τον εξυπηρετητή με τυχαίο τρόπο και διαφέρει για κάθε σύνδεση. Έτσι δεν είναι δυνατόν πότε να υπάρχουν δυο ίδια αναγνωριστικά σύνδεσης. 2.6.2.4.4 Επίθεση Παρεμβολής Η επίθεση Man-In-The-Middle-Attack συμβαίνει όταν ένας τρίτος είναι σε θέση να παρεμβάλλεται στην επικοινωνία μεταξύ του εξυπηρετητή και του πελάτη. Αφού επεξεργαστεί τα μηνύματα του πελάτη και τα τροποποιήσει όπως αυτός επιθυμεί, τα προωθεί στον εξυπηρετητή. Ομοίως πράττει για τα μηνύματα που προέρχονται από τον εξυπηρετητή. Δηλαδή, προσποιείται στον πελάτη ότι είναι ο 48
εξυπηρετητής και αντίστροφα. Το SSL υποχρεώνει τον εξυπηρετητή να αποδεικνύει την ταυτότητα του με την χρήση έγκυρου πιστοποιητικού του οποίου η τροποποίηση είναι αδύνατη. 2.6.2.5 Το SSL στο Ηλεκτρονικό Εμπόριο Το πρωτόκολλο SSL μπορεί να χρησιμοποιείται για την εγκαθίδρυση ασφαλών συνδέσεων μεταξύ εξυπηρετουμένων (πελάτης) και εξυπηρετητών (έμπορας). Συγκεκριμένα μπορεί να χρησιμοποιείται για να αυθεντικοποιεί έναν εξυπηρετητή και προαιρετικά τον εξυπηρετούμενο, να εκτελεί ανταλλαγή κλειδιών και να παρέχει αυθεντικοποίηση και ακεραιότητα μηνυμάτων σε εφαρμογές ηλεκτρονικού εμπορίου και γενικά σε εφαρμογές διαδικτύου. Για τους λόγους αυτούς το πρωτόκολλο SSL αποτελεί σήμερα το πιο διαδεδομένο πρωτόκολλο ασφάλειας για το ηλεκτρονικό εμπόριο. Η μη διασφάλιση αυθεντικοποίησης εξυπηρετούμενου βοήθησε το πρωτόκολλο SSL να διαδοθεί σε περιβάλλοντα ηλεκτρονικού εμπορίου. Η υποστήριξη της αυθεντικοποίησης εξυπηρετούμενου απαιτεί ξεχωριστά δημόσια κλειδιά και πιστοποιητικά για κάθε εξυπηρετούμενο. Είναι λοιπόν φανερό ότι η αυθεντικοποίηση κάθε πελάτη στο ηλεκτρονικό εμπόριο είναι πρακτικά αδύνατη. Επίσης είναι πιο σημαντικό οι τελικοί καταναλωτές να μπορούν να ενημερώνονται σχετικά με την ταυτότητα των εμπόρων με τους οποίους συναλλάσσονται, παρά να απαιτείται ίδιος βαθμός ασφάλειας και από τους εμπόρους για τους καταναλωτές. Επιπλέον αφού ο αριθμός των εμπόρων-εξυπηρετητών διαδικτύου είναι πολύ μικρότερος από τον αριθμό των καταναλωτών-χρηστών, είναι ευκολότερο και πιο πρακτικό να εφοδιάζονται οι εξυπηρετητές με τα απαραίτητα δημόσια κλειδιά και πιστοποιητικά. Σήμερα το πρωτόκολλο SSL είναι το πιο διαδεδομένο πρωτόκολλο ασφάλειας για Διαδίκτυο γενικά και το ηλεκτρονικό εμπόριο συγκεκριμένα. Αξίζει να σημειωθεί ότι αν όχι όλες, οι περισσότερες τράπεζες που προσφέρουν τις υπηρεσίες τους διαμέσου του διαδικτύου έχουν αναπτύξει την ασφάλεια των εφαρμογών ηλεκτρονικής τραπεζικής με βάση το πρωτόκολλο SSL. Το πρωτόκολλο SSL χρησιμοποιείται συνήθως σε HTTP προϊόντα εξυπηρετητών και εξυπηρετούμενων. Για παράδειγμα, υπάρχουν αρκετοί HTTP εξυπηρετητές διαθέσιμοι οι οποίοι υποστηρίζουν το SSL. Από την πλευρά του εξυπηρετούμενου, σήμερα, οι περισσότεροι browsers ιστού υποστηρίζουν το SSL. Τα περισσότερα από αυτά τα προϊόντα υποστηρίζουν τον αλγόριθμο RC4 για κρυπτογράφηση και τα MD2 και MD5 για σύνοψη. Μειονέκτημα της χρήσης του SSL αποτελεί το γεγονός ότι επιβραδύνεται η επικοινωνία του browser του εξυπηρετούμενου με τον HTTPS εξυπηρετητή. Η καθυστέρηση οφείλεται στις λειτουργίες κρυπτογράφησης και αποκρυπτογράφησης με ασύμμετρο κρυπτοσύστημα κατά την αρχικοποίηση της SSL συνόδου. Πρακτικά οι χρήστες αντιλαμβάνονται λίγα δευτερόλεπτα καθυστέρηση μεταξύ της έναρξης 49
σύνδεσης με τον HTTPS εξυπηρετητή και της ανάκτησης της πρώτης HTML σελίδας από αυτόν. [2][3] 2.6.3 Πρωτόκολλο Ασφάλειας TLS Τον Απρίλιο του 1996 το IETF δημιούργησε το Transport Layer Security- TLS WG για την περιοχή ασφάλειας επιπέδου μεταφοράς. Ο αντικειμενικός στόχος του TLS WG ήταν να αναπτύξει πρότυπα RFCs για ένα TLS πρωτόκολλο (TLSP) βασιζόμενο στις πρόσφατες διαθέσιμες προδιαγραφές του SSL(2.0 και 3.0), του PCT (1.0) και του SSH (2.0).Σύμφωνα με τα πρακτικά της συνάντησης του IETF TLS WG, η στρατηγική της ομάδας εργασίας για τις προδιαγραφές του TLS 1.0 ήταν να βασίζονται στο SSL 3.0 παρά στα SSL 2.0, PCT 1.0, SSH 2.0 ή οποιαδήποτε άλλη πρόταση πρωτοκόλλου ασφάλειας μεταφοράς. Οι τροποποιήσεις στις προδιαγραφές SSL 3.0 αφορούσαν περισσότερο σημεία αποσαφήνισης, τα οποία συνοψίζονται σε ένα Internet Draft. Οι διαφορές μεταξύ του TLS 1.0 και του SSL 3.0 δεν είναι ιδιαίτερα σημαντικές, αλλά είναι αρκετά κρίσιμες ώστε τα TLS 1.0 και SSL 3.0 να μη συνεργάζονται εύκολα.ωστόσο το TLS 1.0 ενσωματώνει ένα μηχανισμό μέσω του οποίου μια υλοποίηση TLS μπορεί να γίνει συμβατή με το SSL 3.0. Όπως και στα SSL και PCT,το πρωτόκολλο TLS είναι από μόνο του ένα στρωματοποιημένο πρωτόκολλο. Στο χαμηλότερο επίπεδο, το TLS record protocol λαμβάνει τα προς μετάδοση μηνύματα, κατακερματίζει τα δεδομένα σε διαχειρίσιμα τμήματα, προαιρετικά τα συμπιέζει, υπολογίζει και προσαρτά ένα MAC σε κάθε τμήμα, κρυπτογραφεί το αποτέλεσμα και το αποστέλλει. Τα αντίστοιχα τμήματα καλούνται TLSPlaintext, TLSCompressed, TLSCiphertext. Όταν ληφθεί μια εγγραφή TLSCiphertext, με τη σειρά της, αποκρυπτογραφείται, επιβεβαιώνεται, αποσυμπιέζεται και επανασυναρμολογείται πριν παραδοθεί σε έναν υψηλότερου επιπέδου εξυπηρετούμενο. Μια κατάσταση TLS σύνδεσης αποτελεί το λειτουργικό περιβάλλον του TLS record protocol. Αυτή καθορίζει τους αλγόριθμους συμπίεσης, κρυπτογράφησης και αυθεντικοποίησης μηνυμάτων καθώς και τις παραμέτρους για τους αλγόριθμους αυτούς, όπως κλειδιά κρυπτογράφησης, MAC ΚΑΙ IVs για μια σύνδεση και προς τις δύο κατευθύνσεις ανάγνωσης και εγγραφής. Υπάρχουν πάντοτε τέσσερις καταστάσεις σύνδεσης που ξεχωρίζουν: οι τρέχουσες καταστάσεις εγγραφής και ανάγνωσης και οι καταστάσεις εγγραφής και ανάγνωσης σε αναμονή. Όλες οι εγγραφές γίνονται αντικείμενο επεξεργασίας κάτω από τις τρέχουσες καταστάσεις εγγραφής και ανάγνωσης. Οι παράμετροι ασφαλείας για τις καταστάσεις σε αναμονή μπορούν να τεθούν μέσω του TLS handshake protocol, το οποίο και μπορεί επιλεκτικά να κάνει οποιαδήποτε από τις καταστάσεις σε αναμονή τρέχουσα. Σε κάθε περίπτωση, η κατάλληλη τρέχουσα κατάσταση τερματίζεται και αντικαθίσταται από την κατάσταση σε αναμονή: η κατάσταση σε αναμονή τότε επαναρχικοποιείται σε μια κενή κατάστασή. Στο υψηλότερο επίπεδο, το TLS handshake protocol χρησιμοποιείται για να συμφωνηθεί μια κατάσταση συνόδου, η οποία αποτελείται από έναν προσδιοριστή 50
ταυτότητας συνόδου, ένα πιστοποιητικό ομότιμου, μια μέθοδο συμπίεσης, μια προδιαγραφή κρυπτογραφίας, ένα κύριο κλειδί, καθώς και μια δίτιμη μεταβλητή που δηλώνει αν η σύνοδος είναι επαναλαμβανόμενη και μπορεί να χρησιμοποιηθεί για την αρχικοποίηση νέων συνδέσεων. Τα στοιχεία αυτά χρησιμοποιούνται για τη δημιουργία παραμέτρων ασφαλείας που θα χρησιμοποιηθούν από το πρωτόκολλο, εγγραφής TLS κατά την προστασία δεδομένων εφαρμογών. Συγκεκριμένα το TLS handshake protocol αποτελείται από τρία υπό-πρωτόκολλα, τα οποία είναι εξυπηρετούμενοι του TLS record protocol: Το TLS change cipher spec protocol αποτελείται από ένα απλό μήνυμα CHANGECIPHERSPEC, το οποίο αποστέλλεται από τον εξυπηρετούμενο και τον εξυπηρέτη κατά την διάρκεια της χειραψίας, αφού έχουν συμφωνηθεί οι παράμετροι ασφάλειας, αλλά πριν σταλεί το μήνυμα επιβεβαίωσης FINISHED. Το TLS alert protocol χρησιμοποιείται για να αποστέλλει μηνύματα προειδοποίησης, τα οποία μεταβιβάζουν τη σημαντικότητα ενός μηνύματος προειδοποίησης, και μια περιγραφή της προειδοποίησης αυτής. Όπως και άλλα μηνύματα, τα μηνύματα προειδοποίησης είναι συμπιεσμένα, αυθεντικοποιημένα και κρυπτογραφημένα, όπως καθορίζεται σαφώς από την τρέχουσα κατάσταση σύνδεσης. Το TLS handshake protocol χρησιμοποιείται για να συμφωνηθεί μια κατάσταση συνόδου όπως περιγράφηκε παραπάνω. Όταν ένας εξυπηρετούμενος και ένας εξυπηρέτης αρχίζουν για πρώτη φορά να επικοινωνούν συμφωνούν την έκδοση πρωτοκόλλου, επιλέγουν αλγόριθμους κρυπτογράφησης, προαιρετικά αυθεντικοποιούνται αμοιβαία και χρησιμοποιούν κρυπτογραφία δημοσίου κλειδιού για να παράγουν ένα κύριο μυστικό και τα αντίστοιχα κλειδιά συνόδου. Η ροή μηνυμάτων ανταπόκρισης είναι ουσιαστικά η ίδια, όπως του SSL handshake protocol. Μετά την ολοκλήρωση μιας TLS χειραψίας ο εξυπηρετούμενος και ο εξυπηρέτης μπορούν να ανταλλάσσουν μηνύματα δεδομένων εφαρμογών. Τα μηνύματα αυτά μεταφέρονται μέσω του TLS record protocol και είναι κατατμημένα, συμπιεσμένα, αυθεντικοποιημένα και κρυπτογραφημένα ανάλογα. Τα μηνύματα αυτά αντιμετωπίζονται ως διαφανή δεδομένα στο επίπεδο εγγραφής TLS. [4] 51
Ασφάλεια και Ιδιωτικότητα Browsers 3 Σε αυτό το κεφάλαιο θα ασχοληθούμε με τα τεχνικά χαρακτηριστικά που προσφέρουν οι πέντε βασικότεροι browsers για την ασφάλεια και ιδιωτικότητα των χρηστών κατά την πλοήγησή τους στο διαδίκτυο. 3.1 Internet Explorer 9 O Internet Explorer 9 έλαβε υπόψη του ότι η ασφάλεια στο διαδίκτυο μειώνεται διαρκώς, έτσι σχεδιάστηκε με γνώμονα να εξασφαλίσει στους χρήστες του την ασφαλέστερη δυνατή πλοήγηση, διαθέτοντας μια σειρά από ενσωματωμένες τεχνολογίες ασφάλειας, προστασίας των προσωπικών δεδομένων και της αξιοπιστίας. Ο Internet Explorer 9 περιλαμβάνει τις παρακάτω δυνατότητες ασφαλείας και προστασίας προσωπικών δεδομένων: 3.1.1 Πιστοποιητικά Επικύρωσης Στον Internet Explorer 9 όταν μια ιστοσελίδα διαθέτει EV Certificates όλη η γραμμή διευθύνσεων θα πρασινίσει, πατώντας δίπλα από το λουκέτο, όπως φαίνεται και στην εικόνα, στην ονομασία της εταιρίας ο χρήστης μπορεί να μάθει περισσότερες πληροφορίες σχετικά με την ταυτότητα της ιστοσελίδας όπως επίσης και ποια πιστοποιητικά επικύρωσης χρησιμοποιεί. 3.1.2 XSS Filter Ο Windows Internet Explorer διαθέτει τη δυνατότητα "Φίλτρο προστασίας από επιθέσεις μέσω δέσμης ενεργειών από άλλη τοποθεσία (XSS)" το οποίο μπορεί να συμβάλλει στην αποτροπή προσθήκης κώδικα δέσμης ενεργειών από μια τοποθεσία Web σε άλλη. Το φίλτρο XSS αναλύει τον τρόπο αλληλεπίδρασης των τοποθεσιών Web και, όταν αναγνωρίσει πιθανή επίθεση, αποκλείει αυτόματα την εκτέλεση κώδικα δέσμης ενεργειών. Όταν συμβεί αυτό, θα εμφανιστεί ένα μήνυμα στη γραμμή ειδοποιήσεων που σας ενημερώνει ότι η ιστοσελίδα τροποποιήθηκε για να προστατεύσει τα προσωπικά δεδομένα και την ασφάλειά σας. 52
Το φίλτρο δεσμών ενεργειών από άλλες τοποθεσίες είναι ενεργοποιημένο από προεπιλογή για τη δική σας ασφάλεια. [38] 3.1.3 InPrivate Browsing Κατά την εκκίνηση της Περιήγησης InPrivate, ο Internet Explorer ανοίγει ένα νέο παράθυρο προγράμματος περιήγησης. Η προστασία που παρέχει η Περιήγηση InPrivate ισχύει μόνο για το διάστημα που χρησιμοποιείται το συγκεκριμένο παράθυρο. Ο χρήστης μπορεί να ανοίξει όσες καρτέλες θέλει στο παράθυρο αυτό και αυτές θα προστατεύονται από την Περιήγηση InPrivate. Ωστόσο, εάν ανοίξει παράθυρο σε άλλο πρόγραμμα περιήγησης, το παράθυρο αυτό δεν θα προστατεύεται από την Περιήγηση InPrivate. Για να τερματίστει η περίοδος λειτουργίας της Περιήγησης InPrivate, ο χρήστης κλείνει το παράθυρο του προγράμματος περιήγησης. Κατά την περιήγηση στο Web με χρήση της Περιήγησης InPrivate, ο Internet Explorer αποθηκεύει κάποιες πληροφορίες, όπως cookies και προσωρινά αρχεία Internet, έτσι ώστε οι ιστοσελίδες που επισκέπτεται οχρήστης να λειτουργούν σωστά. Ωστόσο, στο τέλος της περιόδου λειτουργίας της Περιήγησης InPrivate, οι πληροφορίες απορρίπτονται. Ενεργοποίηση περιήγησης InPrivate: Κάντε κλικ στο κουμπί Tools Επιλέξτε Security Κάντε κλικ στην επιλογή InPrivate Browsing. Η ιδιωτική περιήγηση έχει ενεργοποιηθεί. 3.1.4 Pop-up Blocking Ο "Pop-up Blocker" στον Internet Explorer 9 είναι ενεργοποιημένος από προεπιλογή. Για να απενεργοποιήσετε ή να ενεργοποιήσετε το Pop-up Blocking: 53
Κάντε κλικ στο εικονίδιο Tools που εμφανίζεται στο πάνω δεξιό μέρος του IE Κάντε κλικ στην επιλογή Internet Options Επιλέξτε την καρτέλα Privacy Σε αυτή την καρτέλα υπάρχει η επιλογή Pop-up Blocker (όπως φαίνεται και στην παραπάνω εικόνα). Επιλέγοντας ή από επιλέγοντας την επιλογή Turn on Pop-up Blocker, ενεργοποιείται ή απενεργοποιείται ο Pop-up Blocking μηχανισμός. Test Pop-up μπλοκαρίσματος Η δοκιμή του Internet Explorer 9 έγινε από το site: http://www.popuptest.com. Από την δοκιμή, όπως φαίνεται και στην παρακάτω εικόνα, ο Internet Explorer 9 μπλόκαρε τα pop up παράθυρα βγάζοντας μήνυμα προς τον χρήστη το όποιο του δίνει την δυνατότητα να διαχειριστεί τα pop-ups όπως εκείνος επιθυμεί για την συγκεκριμένη σελίδα. 3.1.5 Cookie Blocking Ο Internet Explorer εκτός από την δυνατότητα διαγραφής των cookies συμπεριλαμβάνει και την δυνατότητα μπλοκαρίσματος τους. Για ενεργοποίηση της λειτουργίας Cookie Blocking: Κάντε κλικ στο κουμπί Tools. Επιλέξτε Internet Options. 54
Επιλέξτε την καρτέλα Privacy και κάτω από τις ρυθμίσεις στο slider (όπως φαίνεται και στο σχήμα) μετακινώντας το στην κορυφή μπλοκάρονται όλα τα cookies, ενώ αντίθετα μετακινώντας το τέρμα κάτω επιτρέπονται όλα τα cookies. Οδηγίες μπλοκαρίσματος third-party cookies: Κάντε κλικ στο κουμπί Tools. Επιλέξτε Internet Options. Επιλέξτε την καρτέλα Privacy. Πατήστε το κουμπί με την ένδειξη Advanced. Θα σας εμφανιστεί ένα παράθυρο για τα cookies.σιγουρευτειτε ότι το κουτί με την επικεφαλίδα Override automatic cookie handling είναι επιλεγμένο. Πατήστε στην επιλογή Block της στήλης με ονομασία Third-party Cookies στα δεξιά. Αν θέλετε ο browser να σας ρωτάει κάθε φορά που εντοπίζει third-party cookie επιλέξτε Prompt αντί του Block. Αφού έχετε κάνει τις επιλογές σας πατήστε OK. 3.1.6 Content Advisor Ο Σύμβουλος περιεχομένου επιτρέπει στους χρήστες να ελέγχουν τους τύπους περιεχομένου του Internet το οποίο μπορεί να προβληθεί στον υπολογιστή τους. Ανάλογα με τον τρόπο που έχει ρυθμιστεί, ο Σύμβουλος χρησιμοποιεί χαρακτηρισμούς που παρέχονται από τις τοποθεσίες Web σε εθελοντική βάση για τον αποκλεισμό ή την αποδοχή συγκεκριμένου περιεχομένου. Επειδή δεν έχουν χαρακτηρισμό όλες οι τοποθεσίες Web, οι μη χαρακτηρισμένες τοποθεσίες αποκλείονται αυτόματα (αλλά ο χρήστης μπορεί να επιλέξει να επιτρέπονται). Αφού 55
προσαρμόσει τις ρυθμίσεις και ενεργοποιήσει τον Σύμβουλο, αυτός ελέγχει τις τοποθεσίες Web καθώς τις επισκέπτεται. Για να χρησιμοποιήσει ο χρήστης τον Σύμβουλο, πρέπει πρώτα να δημιουργήσει τον κωδικό πρόσβασης εποπτεύοντος και, στη συνέχεια, μπορεί να καθορίσει τα φίλτρα και τους κανόνες που θέλει να εφαρμόζονται κατά τη χρήση του Web από τα παιδιά του. Για να αλλάξει ρυθμίσεις, θα πρέπει να συνδεθεί με τον κωδικό πρόσβασης διαχειριστή, για να είναι σε θέση να πραγματοποιεί αλλαγές. Οι παρακάτω διαδικασίες περιγράφουν τον τρόπο με τον οποίο μπορεί να δημιουργήσει ή να αλλάξει τον κωδικό πρόσβασης διαχειριστή και πώς πραγματοποιεί συγκεκριμένες αλλαγές για τον έλεγχο της χρήσης του Internet. [39] Οδηγίες ενεργοποίησης Content Advisor: Κάντε κλικ στο κουμπί Εργαλεία και, στη συνέχεια, κάντε κλικ στο στοιχείο Επιλογές Internet. Κάντε κλικ στην καρτέλα Περιεχόμενο και, στη συνέχεια, στην περιοχή Σύμβουλος, κάντε ένα από τα εξής: o `Εάν είναι η πρώτη φορά που χρησιμοποιείτε τον Σύμβουλο, επιλέξτε Ενεργοποίηση. Αν σας ζητηθεί κωδικός πρόσβασης διαχειριστή ή επιβεβαίωση, πληκτρολογήστε τον κωδικό πρόσβασης ή παρέχετε την επιβεβαίωση. o Εάν έχετε ήδη ενεργοποιήσει τον Σύμβουλο, κάντε κλικ στις Ρυθμίσεις, πληκτρολογήστε τον κωδικό πρόσβασης και, στη συνέχεια, κάντε κλικ στο κουμπί OK. Αν σας ζητηθεί κωδικός πρόσβασης διαχειριστή ή επιβεβαίωση, πληκτρολογήστε τον κωδικό πρόσβασης ή παρέχετε την επιβεβαίωση. Στο παράθυρο διαλόγου Σύμβουλος, κάντε κλικ στην καρτέλα Γενικά και, στη συνέχεια, κάντε ένα από τα εξής: 56
o Επιλέξτε Δημιουργία κωδικού πρόσβασης και, στη συνέχεια, πληκτρολογήστε έναν κωδικό πρόσβασης και υπόδειξη κωδικού πρόσβασης. Ο κωδικός πρόσβασης χρησιμοποιείται για την αλλαγή ρυθμίσεων και την παράβλεψη του αποκλεισμού τοποθεσιών Web. Κάντε κλικ στο κουμπί ΟΚ. o Επιλέξτε Αλλαγή κωδικού πρόσβασης, πληκτρολογήστε τον παλιό κωδικό σας και, στη συνέχεια, πληκτρολογήστε το νέο κωδικό πρόσβασης και τη νέα υπόδειξη κωδικού πρόσβασης. Κάντε κλικ στο κουμπί ΟΚ. Κάντε κλικ στο κουμπί OK για να αποθηκεύσετε τον κωδικό πρόσβασης και να πραγματοποιήσετε έξοδο. Αφού ορίσετε τον κωδικό πρόσβασης, πρέπει να τον σημειώσετε και να τον φυλάξετε σε ασφαλές σημείο, καθώς θα τον χρειαστείτε για την απενεργοποίηση ή την αλλαγή ρυθμίσεων του Συμβούλου μελλοντικά. Για να επιλέξετε τα επιτρεπόμενα επίπεδα χαρακτηρισμών: Κάντε κλικ στην καρτέλα Ratings, επιλέξτε την κατηγορία στη λίστα Select a category to view the rating levels και, στη συνέχεια, μετακινήστε το ρυθμιστικό για να προσαρμόσετε το επίπεδο. Αφού έχετε ορίσει ένα επίπεδο για κάθε κατηγορία, κάντε κλικ στο κουμπί Apply και, στη συνέχεια, στο κουμπί OK. Για να αποκλείσετε ή να επιτρέψετε συγκεκριμένες τοποθεσίες Web: Κάντε κλικ στην καρτέλα Approved Sites. Στην ενότητα Allow this website, πληκτρολογήστε τη διεύθυνση URL για την τοποθεσία που θέλετε να επιτρέψετε ή να αποκλείσετε και, στη συνέχει, 57
επιλέξτε Always ή Never για να επιτρέπεται ή να αποκλείεται η τοποθεσία Web. Κάντε κλικ στο κουμπί Apply για να αποθηκευτούν οι ρυθμίσεις και, στη συνέχεια, κάντε κλικ στο κουμπί OK. Για να επιτρέψετε την προβολή μη χαρακτηρισμένων τοποθεσιών: Κάντε κλικ στην καρτέλα General. Στην ενότητα User options, επιλέξτε το παράθυρο διαλόγου Users can see websites that have no rating, κάντε κλικ στο κουμπί Apply και μετά πατήστε το κουμπί OK. 58
3.1.7 Φίλτρο SmartScreen Ο Internet Explorer 9 έχει σχεδιαστεί ώστε να προστατεύει τους χρήστες από τις απειλές του διαδικτύου και τις social engineering απειλές, οι οποίες εξελίσσονται συνεχώς. Με το Φίλτρο SmartScreen οι χρήστες μπορούν να περιηγηθούν στο Internet με περισσότερη ασφάλεια, καθώς έχουν ενισχυμένη προστασία ενάντια σε επιθέσεις αυτού του τύπου. Το Φίλτρο SmartScreen καταπολεμά αυτές τις απειλές με μια σειρά από προηγμένα εργαλεία: Anti-phishing Protection Για την ανίχνευση απειλών από παραπλανητικές τοποθεσίες Web, οι οποίες αποσκοπούν στην υποκλοπή προσωπικών πληροφοριών, όπως ονομάτων χρηστών, κωδικών πρόσβασης και δεδομένων χρέωσης. Application Reputation Για την κατάργηση των περιττών προειδοποιήσεων για γνωστά αρχεία και την εμφάνιση αυστηρών προειδοποιήσεων για στοιχεία λήψης υψηλού κινδύνου. Anti-malware Protection Την προστασία από πιθανώς επιβλαβές λογισμικό το οποίο μπορεί να βλάψει τον υπολογιστή σας. Αν εντοπιστεί μια κακόβουλη τοποθεσία, ο Internet Explorer 9 αποκλείει την πρόσβαση σε αυτήν. Επίσης, μπορεί να αποκλείσει με "χειρουργική" ακρίβεια το λογισμικό κακόβουλης λειτουργίας ή ηλεκτρονικού "ψαρέματος", το οποίο φιλοξενείται σε νόμιμες τοποθεσίες, αποκλείοντας τις κακόβουλες σελίδες χωρίς να επηρεάζει την υπόλοιπη τοποθεσία. Το Φίλτρο Smartscreen συνεργάζεται επίσης με το Πρόγραμμα διαχείρισης λήψεων, για να προστατεύσει τους χρήστες από κακόβουλα στοιχεία λήψης. Τα στοιχεία λήψης που είναι ενδεχομένως επικίνδυνα αποκλείονται. Στη συνέχεια, το Πρόγραμμα διαχείρισης λήψεων επισημαίνει με σαφήνεια τα προγράμματα με τον μεγαλύτερο κίνδυνο, ώστε να μπορούν οι χρήστες να λάβουν μια εμπεριστατωμένη απόφαση διαγραφής, εκτέλεσης ή αποθήκευσης του στοιχείου λήψης. [40] Για να ενεργοποιήσετε την λειτουργία Φιλτραρίσματος SmartScreen : Κάντε κλικ στο εικονίδιο Tools που εμφανίζεται στο πάνω δεξιό μέρος του IE Επιλέξτε Safety Eπιλέξτε Turn off SmartScreen Filter 59
Το παρακάτω μήνυμα του Internet Explorer εμφανίζεται όταν ο χρήστης προσπαθήσει να μπει σε μία ιστοσελίδα με κακόβουλο λογισμικό. 3.1.8 Προσαρμοσμένες Ρυθμίσεις ασφαλείας Μπορείτε να αλλάξετε τις ρυθμίσεις ασφαλείας του Windows Internet Explorer 9. Ακολουθήστε την εξής διαδικασία: Κάντε κλικ στο κουμπί Tools και, στη συνέχεια, κάντε κλικ στο στοιχείο Internet Options. Κάντε κλικ στην καρτέλα Security και, στη συνέχεια, εκτελέστε μία ή περισσότερες από τις ακόλουθες ενέργειες: o Για να αλλάξετε ρυθμίσεις για μια ζώνη ασφαλείας, κάντε κλικ στο εικονίδιο της ζώνης και, στη συνέχεια, μετακινήστε το ρυθμιστικό στο επίπεδο ασφαλείας που θέλετε να ορίσετε για τη συγκεκριμένη ζώνη. o Για να δημιουργήσετε τις δικές σας ρυθμίσεις ασφαλείας για μια ζώνη, κάντε κλικ στο εικονίδιο της ζώνης και, στη συνέχεια, κάντε κλικ στο κουμπί Προσαρμοσμένο επίπεδο. o Για να επαναφέρετε όλα τα επίπεδα ασφαλείας στις αρχικές ρυθμίσεις, κάντε κλικ στο κουμπί Επαναφορά όλων των ζωνών στο προεπιλεγμένο επίπεδο. 60
3.1.9 Διαγραφή Ιστορικού Πλοήγησης Ο Internet Explorer 9 αποθηκεύει τους παρακάτω τύπους πληροφοριών κατά την περιήγησή στο διαδίκτυο: Προσωρινά αρχεία Internet. Cookies. Ιστορικό των τοποθεσιών Web που έχετε επισκεφθεί. Πληροφορίες που έχετε καταχωρίσει σε τοποθεσίες Web ή στη γραμμή διευθύνσεων, όπως το όνομα και τη διεύθυνσή σας ή διευθύνσεις τοποθεσιών Web που έχετε επισκεφθεί. Αποθηκευμένοι κωδικοί πρόσβασης στο Web. Προσωρινές πληροφορίες που αποθηκεύονται από πρόσθετα του προγράμματος περιήγησης. Για διαγραφή όλου του ιστορικού περιήγησης ή μέρους του: Κάντε κλικ στο κουμπί Tools, τοποθετήστε το δείκτη στην επιλογή Safety Κάντε κλικ στην επιλογή Delete browsing history Εάν δεν θέλετε να διαγράψετε τα cookies και τα αρχεία που συσχετίζονται με τοποθεσίες Web στη λίστα αγαπημένων σας, επιλέξτε το πλαίσιο ελέγχου Preserve Favorites website data. Ενεργοποιήστε το πλαίσιο ελέγχου δίπλα σε κάθε κατηγορία πληροφοριών που θέλετε να διαγράψετε. Κάντε κλικ στο κουμπί Delete. 61
3.1.10 Φιλτράρισμα ActiveX Το Φιλτράρισμα ActiveX στον Internet Explorer μπορεί να σας βοηθήσει να λαμβάνετε εμπεριστατωμένες αποφάσεις για κάθε στοιχείο ελέγχου ActiveX που εκτελείτε, επιτρέποντάς σας να αποκλείετε τα στοιχεία ελέγχου ActiveX για όλες τις τοποθεσίες και, στη συνέχεια, να τα ενεργοποιείτε μόνο για τις τοποθεσίες που εμπιστεύεστε. Με αυτόν τον τρόπο, βελτιώνεται η προστασία σας από επικίνδυνα και αναξιόπιστα στοιχεία ελέγχου ActiveX. Για να ενεργοποιήσετε το φιλτράρισμα Active X : Κάντε κλικ στο κουμπί Tools Τοποθετήστε τον δείκτη στην επιλογή Safety Kάντε κλικ στην επιλογή ActiveX Filtering Όταν ο Internet Explorer εντοπίσει κάποιο επικίνδυνο στοιχείο ελέγχου στην ιστοσελίδα που επισκέπτεστε θα σας πετάξει το ακόλουθο παράθυρο: 62
3.1.11 Επισήμανση τομέα Ο πραγματικός τομέας που επισκέπτονται οι χρήστες επισημαίνεται στη γραμμή διευθύνσεων όπως φαίνεται στην παρακάτω εικόνα. 3.1.12 Προστασία από Εντοπισμό Η προστασία από εντοπισμό περιορίζει την επικοινωνία του προγράμματος περιήγησης με ορισμένες τοποθεσίες Web που προσδιορίζονται στη Λίστα προστασίας από εντοπισμό (Tracking Protection Lists), για να διατηρείται η ιδιωτικότητα των προσωπικών δεδομένων. Ειδικότερα οι λίστες αυτές αποτρέπουν την αυτόματη αποστολή των στοιχείων σε άλλους παροχείς σχετικά με την επίσκεψη κάποιου χρήστη σε ιστοσελίδες. Επιπλέον, όταν είναι ενεργοποιημένη η Tracking Protection List ή η Personalized Tracking Protection, ο Internet Explorer 9 θα στείλει ένα "Do NOT Track μήνυμα προς τους ιστότοπους που επισκέπτεται. Επίσης, θα στείλει ένα "Do Not Track" μήνυμα σε ιστοχώρους τρίτων που παρέχουν περιεχόμενο στις ιστοσελίδες που επισκέπτεται ο χρήστης. Για να ενεργοποιήσετε την Προστασία από Εντοπισμό: Κάντε κλικ στο κουμπί Tools, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Safety και, στη συνέχεια, κάντε κλικ στην επιλογή Tracking Protection Στο παράθυρο διαλόγου Manage Add-ons, κάντε κλικ σε μια Λίστα προστασίας από εντοπισμό και, στη συνέχεια, κάντε κλικ στο κουμπί Enable. 63
3.1.13 Πρόγραμμα διαχείρισης λήψεων Ο Internet Explorer 9 διαθέτει έναν πρόγραμμα διαχείρισης λήψεων το οποίο είναι ένα μεμονωμένο πρόγραμμα που σας επιτρέπει να βλέπετε την κατάσταση των στοιχείων λήψης σας, ενώ παράλληλα παρέχει πληροφορίες σχετικά με πιθανούς κινδύνους, πραγματοποιεί ελέγχους ασφαλείας στα αρχεία που λάβατε και προβάλλει την τελική θέση των στοιχείων λήψης σας. Το Πρόγραμμα διαχείρισης λήψεων είναι ενσωματωμένο στο φάκελο λήψης των Windows. Είναι ένας απλός τρόπος αλληλεπίδρασης με τα αρχεία λήψης, ο οποίος σας επιτρέπει να ταξινομείτε, να εκτυπώνετε ή να στέλνετε τα στοιχεία λήψης σας σε άλλες θέσεις, ακριβώς όπως γίνεται και με όλα τα άλλα αρχεία. Μπορείτε επίσης να χρησιμοποιήσετε το Πρόγραμμα διαχείρισης λήψεων για να ελέγξετε τα στοιχεία λήψης σας. Μπορείτε να κάνετε τα πάντα, από την εκτέλεση ή το άνοιγμα αρχείων, μέχρι την παύση ή την ακύρωση λήψεων. Μπορείτε ακόμα και να διαγράψετε στοιχεία λήψης από το Πρόγραμμα διαχείρισης λήψεων. Το Πρόγραμμα διαχείρισης λήψεων συνεργάζεται επίσης με το Φίλτρο SmartScreen, για να σας προστατεύσει από κακόβουλα στοιχεία λήψης. Τα στοιχεία λήψης που είναι ενδεχομένως επικίνδυνα αποκλείονται αμέσως. Στη συνέχεια, το πρόγραμμα διαχείρισης λήψεων επισημαίνει με σαφήνεια τα προγράμματα με τον μεγαλύτερο κίνδυνο, ώστε να μπορείτε να λάβετε μια εμπεριστατωμένη απόφαση διαγραφής, εκτέλεσης ή αποθήκευσης του στοιχείου λήψης. Οι λήψεις δεν επηρεάζουν την περιήγησή σας, είτε πρόκειται για ένα μικρό αρχείο, είτε για πολλά μεγάλα αρχεία. Αν μία από τις λήψεις σας διακοπεί, μπορείτε να συνεχίσετε γρήγορα τη λήψη σας την επόμενη φορά που θα ξεκινήσετε τον Internet Explorer 9. Έτσι, αν παρουσιαστεί ένα πρόβλημα σύνδεσης στο δίκτυο ή αν χρειαστεί να τερματίσετε τη λειτουργία του υπολογιστή σας, μπορείτε να συνεχίσετε από εκεί που σταματήσατε. [41] 64
3.1.14 SSL/TLS Certificates Ο Internet Explorer έχει ενεργοποιημένα από προεπιλογή το SSL 3.0 και το TLS 1.0. Για να επιλέξετε άλλες εκδόσεις των πρωτοκόλλων : Κάντε κλικ στο Internet Options Επιλέξτε την καρτέλα Advanced Κατεβάστε τον κέρσορα μέχρι να σας εμφανιστούν τα πρωτόκολλα όπως φαίνεται στην παρακάτω εικόνα. 65
3.2 Mozilla Firefox 7 Η ασφάλεια των χρηστών είναι η πρώτη προτεραιότητα για τον Mozilla Firefox. Βελτιώνοντας συνεχώς την τεχνολογία που χρησιμοποιεί για την ασφάλεια ώστε οι χρήστες να είναι πάντα προστατευμένοι. Παρακάτω ακολουθούν τα τεχνικά χαρακτηριστικά του Mozilla για την ασφάλεια και την ιδιωτικότητα : 3.2.1 Πιστοποιητικά Επικύρωσης Στον Firefox το εικονίδιο της ιστοσελίδας και το όνομα του δικτυακού τόπου θα πρασινίσει στη γραμμή διευθύνσεων. Για να δουν οι χρήστες το πιστοποιητικό μπορούν να κάνουν κλικ στο κουμπί που βρίσκεται στο κάτω δεξιό μέρος του παραθύρου Περισσότερα για αυτή την ιστοσελίδα. Επίσης Ο χρήστης για να είναι σίγουρος για την νομιμότητα μιας ιστοσελίδας πριν προβεί σε οποιαδήποτε συναλλαγή, μπορεί να κάνει κλικ στο εικονίδιο της ιστοσελίδας για άμεση επισκόπηση της ταυτότητάς της. Με ένα δεύτερο κλικ μπορεί να δεί πόσες φορές έχει επισκεφτεί τη συγκεκριμένη σελίδα και αν έχει αποθηκεύσει κωδικούς. 3.2.2 Πολιτική Ασφαλείας Περιεχομένου Η πολιτική ασφαλείας περιεχομένου του Firefox έχει σχεδιαστεί για να μην επιτρέπει επιθέσεις cross-site scripting(xss) και data injection επιθέσεις. Αυτές οι επιθέσεις χρησιμοποιούν τα πάντα, από κλοπή δεδομένων,σε παραμόρφωση δεδομένων των sites ή στη διανομή κακόβουλου λογισμικού. Ο Firefox χρησιμοποιεί αυτό το μηχανισμό για να μπορούν οι ιστοσελίδες να καθορίσουν αυστηρά ποιο περιεχόμενο είναι το γνήσιο. Έτσι, ο περιηγητής θα μπορεί να απορρίψει το περιεχόμενο που δεν αναγνωρίζει η ιστοσελίδα, διατηρώντας το χρήστη ασφαλή. Μετριάζοντας τις Cross site scripting επιθέσεις: Ο πρωταρχικός στόχος του CSP είναι να μετριαστούν και να αναφέρονται οι XSS επιθέσεις. Οι XSS επιθέσεις εκμεταλλεύονται την εμπιστοσύνη του browser για το περιεχόμενο που λαμβάνει από το διακομιστή. Οι κακόβουλες δέσμες εντολών εκτελούνται από τον περιηγητή, επειδή το πρόγραμμα περιήγησης εμπιστεύεται την πηγή του περιεχομένου, ακόμα και όταν αυτό δεν 66
προέρχεται απ 'όπου φαίνεται. Το CSP κάνει δυνατό στους διαχειριστές του server να μειώσουν ή να εξαλείψουν τους φορείς του XSS. Ένα συμβατό με CSP πρόγραμμα περιήγησης θα εκτελέσει μόνο τα scripts που φορτώνονται σε αρχεία κώδικα που προήλθαν από εγκεκριμένες λίστες, αγνοώντας όλα τα υπόλοιπα scripts (συμπεριλαμβανομένων των ενσωματωμένων scripts). Μετριάζοντας το clickjacking: Ένας δευτερεύον στόχος του CSP είναι να μετριαστεί το clickjacking. Το clickjacking συμβαίνει όταν ένα κακόβουλο site κατευθύνει το ποντίκι του θύματος να κλικάρει σε ένα site σε άλλη τοποθεσία. Το CSP μπορεί να προσδιορίσει ποια site μπορεί να έχουν ενσωματωμένες πηγές, βοηθώντας έτσι ώστε να αποτραπούν τέτοιου είδους επιθέσεις. [42] 3.2.3 Ασφαλείς Συνδέσεις σε Ιστοσελίδες Ο Firefox δεν επιτρέπει σε τρίτους την υποκλοπή ευαίσθητων δεδομένων με το να πραγματοποιεί αυτόματα ασφαλείς συνδέσεις σε ιστοσελίδες που υποστηρίζουν ασφαλή σύνδεση https στους διακομιστές τους. [43] 3.2.4 Ιδιωτική Πλοήγηση Οδηγίες Ενεργοποίησης : Στην κορυφή του παραθύρου του Firefox, κάντε κλικ στο μενού του Firefox (στα Windows XP στο μενού -> Tools), και επιλέξτε Έναρξη ιδιωτικής περιήγησης Όταν ενεργοποιείτε την ιδιωτική πλοήγηση, ο Firefox σας προειδοποιεί ότι θα αποθηκεύσει τα τρέχοντα παράθυρα και τις καρτέλες για μετά την ολοκλήρωση τη χρήσης της ιδιωτικής πλοήγησης. Κάντε κλικ στην Έναρξη ιδιωτικής περιήγησης για να συνεχίσετε. 67
Στη συνέχεια θα μπείτε στην ιδιωτική λειτουργία περιήγησης, και η οθόνη σχετικά με τις πληροφορίες για την ιδιωτική περιήγηση θα εμφανιστεί. Για να κλείσετε την ιδιωτική πλοήγηση πηγαίνετε στο μενού του Firefox και επιλέξτε Διακοπή ιδιωτικής περιήγησης Επίσης Ο Mozilla δίνει την δυνατότητα στους χρήστες να χρησιμοποιούν μόνιμα τις ιδιότητες της ιδιωτικής πλοήγησης κάθε φορά που ανοίγουν τον browser τους χωρίς να χρειάζεται να ακλουθούν τα βήματα που δείξαμε παραπάνω. Στο μενού του Firefox πατήστε Επιλογές,στο παράθυρο που θα εμφανιστεί επιλέξτε την καρτέλα Απόρρητο 68
Στην επιλογή -> O Firefox θα: Επιλέξτε Χρησιμοποιεί προσαρμοσμένες ρυθμίσεις για το ιστορικό Αφού έχετε επιλέξει Χρησιμοποιεί προσαρμοσμένες ρυθμίσεις για το ιστορικό,εμφανίζονται νέες ρυθμίσεις. Στις νέες ρυθμίσεις επιλέξτε Μόνιμη λειτουργία ιδιωτικής περιήγησης. Πατήστε OK και οι νέες ρυθμίσεις έχουν αποθηκευτεί. 3.2.5 Pop-Up Blocking Το Pop-up blocking στον Firefox είναι ενεργοποιημένο από προεπιλογή. Κατά τον αποκλεισμό ενός pop-up, ο Firefox εμφανίζει μια γραμμή πληροφοριών, όπως επίσης και ένα εικονίδιο στην γραμμή διευθύνσεων. Ορισμένες ιστοσελίδες, συμπεριλαμβανομένων και ορισμένων τραπεζών, χρησιμοποιούν pop-ups για σημαντικές λειτουργίες. Το μπλοκάρισμα όλων των popups απενεργοποιούν αυτά τα χαρακτηριστικά. Οι χρήστες έχουν την δυνατότητα να επιτρέψουν συγκεκριμένες ιστοσελίδες να χρησιμοποιούν αναδυόμενα παράθυρα, 69
ενώ μπλοκάρονται όλες οι υπόλοιπες με pop-ups, μπορούν να προσθέσουν συγκεκριμένους ιστότοπους στη λίστα των επιτρεπόμενων ιστοσελίδων. Επίσης Ο αποκλεισμός αναδυόμενων παραθύρων δεν λειτουργεί πάντα: Αν και ο Firefox μπλοκάρει τα περισσότερα αναδυόμενα παράθυρα, ορισμένες ιστοσελίδες μπορεί να εμφανίζουν αναδυόμενα παράθυρα χρησιμοποιώντας uncovered μεθόδους, ακόμη και όταν έχουν μπλοκαριστεί. Οδηγίες Ενεργοποίησης λειτουργίας Pop-Up Blocking : Στο μενού του Firefox πατήστε Επιλογές Στο παράθυρο που θα εμφανιστεί επιλέξτε την καρτέλα Περιεχόμενο. Τσεκάρετε την Φραγή αναδυόμενων παραθύρων. Πατώντας το κουμπί Εξαιρέσεις εμφανίζεται μια λίστα των τοποθεσιών που θέλετε να επιτρέψετε την εμφάνιση των pop-ups. Το παράθυρο Επιτρεπόμενες σελίδες έχει τις εξής επιλογές: Να επιτρέπεται: Κάντε κλικ εδώ για να προσθέσετε μια ιστοσελίδα στη λίστα εξαιρέσεων. Απομάκρυνση σελίδας: Κάντε κλικ εδώ για να αφαιρεθεί μια ιστοσελίδα από τη λίστα εξαιρέσεων. Απομάκρυνση 70
όλων σελίδων: Κάντε κλικ εδώ για να αφαιρεθούν όλες οι ιστοσελίδες από τη λίστα εξαιρέσεων. 3.2.6 Cookie Blocking Οδηγίες διαχείρισης λειτουργίας : Ρυθμίσεις Firefox για μπλοκάρισμα cookies από μια ιστοσελίδα: Πηγαίνετε στην ιστοσελίδα που θέλετε να αποκλείσετε Πατήστε δεξί κλικ πάνω στην ιστοσελίδα που έχετε ανοίξει και επιλέξτε Προβολή πληροφοριών σελίδας Στο παράθυρο Πληροφορίες σελίδας επιλέξτε την καρτέλα Δικαιώματα Στην Τοποθέτηση cookies από επιλέξτε το check box Χρήση προεπιλογών Τσεκάρετε την Φραγή 71
Κλείστε το παράθυρο Πληροφορίες σελίδας Ρυθμίσεις Firefox για μπλοκάρισμα cookies σε όλες τις ιστοσελίδες: Στο μενού του Firefox πατήστε Επιλογές Επιλέξτε την καρτέλα Απόρρητο Στην επιλογή -> O Firefox θα: Επιλέξτε -> Χρησιμοποιεί προσαρμοσμένες ρυθμίσεις για το ιστορικό Αφήστε κενό το check box Αποδοχή cookies από σελίδες Πατήστε OK Οδηγίες μπλοκαρίσματος third-party cookies: Στο μενού του Firefox πατήστε Επιλογές Επιλέξτε την καρτέλα Απόρρητο Στην επιλογή -> O Firefox θα: Επιλέξτε -> Χρησιμοποιεί προσαρμοσμένες ρυθμίσεις για το ιστορικό Αφήστε κενό το check box Αποδοχή cookies τρίτων Πατήστε OK 3.2.7 Γονικός Έλεγχος Ο Firefox δεν διαθέτει ενσωματωμένο γονικό έλεγχο, φιλτράρισμα περιεχομένου, μπλοκάρισμα πορνογραφικού περιεχομένου, ή λειτουργίες αποκλεισμού ιστοσελίδων. Χάρη στο μηχανισμό επέκτασης, ωστόσο, δίνεται η δυνατότητα στους χρήστες να τα προσθέσουν μόνοι τους. Οι χρήστες μπορούν να τα βρουν στο παρακάτω link του Firefox: https://addons.mozilla.org/en-us/firefox/search/?q=parental+control&cat=all Οδηγίες εγκατάστασης add-on γονικού ελέγχου : Ένα από τα add-ons που θα εμφανιστούν όταν ακολουθήσετε το παραπάνω link είναι το FoxFilter το οποίο μπλοκάρει πορνογραφικό και κάθε ανάρμοστο περιεχόμενο. Για να το ενεργοποιήσετε: Kάντε κλικ στο Continue to Download 72
Στο επόμενο παράθυρο που θα σας εμφανιστεί πατήστε Accept and Install Θα σας εμφανιστεί το παρακάτω παράθυρο Πατήστε Να επιτρέπεται και η λήψη του προσθέτου θα ξεκινήσει αυτόματα Κατά την λήψη θα εμφανιστεί ένα ακόμα προειδοποιητικό παράθυρο όπως φαίνεται παρακάτω.. Πατήστε Εγκατάσταση τώρα Ένα τελευταίο παράθυρο μας ενημερώνει ότι το FoxFilter έχει εγκατασταθεί με επιτυχία Αφού το FoxFilter έχει ενεργοποιηθεί, αν κάποιος χρήστης προσπαθήσει να επισκεφτεί κάποια ιστοσελίδα με ανάρμοστο περιεχόμενο τότε θα εμφανιστεί το παρακάτω παράθυρο το οποίο απαγορεύει στον χρήστη τη είσοδο του σε αυτή την ιστοσελίδα. 73
3.2.8 Phishing Protection Ο Firefox λαμβάνει ενημερώσεις για ιστοσελίδες ύποπτες για πλαστογραφία 48 φορές τη μέρα, οπότε αν προσπαθήσει ο χρήστης να επισκεφθεί μια επικίνδυνη ιστοσελίδα που ισχυρίζεται πως είναι μια ιστοσελίδα που εμπιστεύεται (όπως η τράπεζά για παράδειγμα), θα τον σταματήσει ένα - υπερβολικά μεγάλο - μήνυμα του περιηγητή του, όπως φαίνεται στην παρακάτω εικόνα. 3.2.9 Malware Protection Ο Firefox 4 προστατεύει από ιούς, worms, δούρειους ίππους και λογισμικό υποκλοπής. Αν κατά λάθος o χρήστης επισκεφθεί μια ιστοσελίδα που έχει φτιαχτεί για τέτοιου είδους επιθέσεις, θα δεί ένα προειδοποιητικό αποτρεπτικό μήνυμα που θα τον ενημερώνει για τους λόγους που δεν θεωρείται ασφαλής για χρήση. 74
3.2.10 Προσαρμοσμένες Ρυθμίσεις Ασφαλείας Ο χρήστης μπορεί να ελέγξει το βαθμό προφύλαξης του Firefox από μια ιστοσελίδα. Μπορεί ακόμα και να προσθέσει εξαιρέσεις ασφαλείας για ιστοσελίδες που πιστεύει πως δεν χρειάζονται ανάκριση για να πιστοποιηθούν. Μπορεί επίσης να έχει προσαρμοσμένες ρυθμίσεις για κωδικούς, cookies, φόρτωση εικόνων και εγκατάσταση πρόσθετων, έτσι ώστε να έχει τον απόλυτο έλεγχο της περιήγησης. Οδηγίες διαχείρισης λειτουργιών : Επιλογές ασφάλειας Στο μενού του Firefox πατήστε Επιλογές Στο παράθυρο που θα εμφανιστεί επιλέξτε την καρτέλα Ασφάλεια Προειδοποίηση όταν οι σελίδες προσπαθούν να εγκαταστήσουν πρόσθετα: Ο Firefox πάντα ζητάει επιβεβαίωση για την εγκατάσταση προσθέτων. Για να αποτρέψετε εγκαταστάσεις που δεν έχουν ζητηθεί που μπορεί να οδηγήσουν σε ακούσιες εγκαταστάσεις, ο Firefox σας προειδοποιεί όταν ένα site προσπαθεί να εγκαταστήσει ένα πρόσθετο και εμποδίζει την εγκατάσταση του. Για να επιτρέψετε εγκαταστάσεις από συγκεκριμένο site,κάντε κλικ Εξαιρέσεις, εισάγετε το όνομα του site και κάντε κλικ στο Να επιτρέπεται. Φραγή σελίδων που έχουν αναφερθεί ως κακόβουλες: Επιλέξτε αυτή την δυνατότητα αν θέλετε ο Firefox να ελέγχει αν τα site που επισκέπτεστε ενδέχεται να παρεμβαίνουν σε προσωπικά σας δεδομένα και να τα στέλνουν σε μη εξουσιοδοτημένα μέρη μέσω του διαδικτύου. Φραγή σελίδων που έχουν αναφερθεί ως πλαστές: 75
Αυτή την δυνατότητα αν θέλετε ο Firefox να ελέγχει αν τα site που επισκέπτεστε ενδέχεται να σας παραπλανεί για να υποκλέψει προσωπικές σας πληροφορίες. Κωδικοί Απομνημόνευση κωδικών για σελίδες: Ο Firefox μπορεί να σώσει με ασφάλεια τους κωδικούς πρόσβασης που πληκτρολογείτε σε φόρμες ιστοσελίδων για να καταστήσει ευκολότερη τη σύνδεση σας με δικτυακούς τόπους. Αφήστε κενό το κουτάκι για να αποτρέψετε τον Firefox να αποθηκεύει τους κωδικούς σας. Στην επιλογή εξαιρέσεις μπορείτε να εισάγετε ιστοσελίδες για τις οποίες δεν θέλετε να αποθηκεύονται οι κωδικοί. Χρήση ενός κύριου κωδικού: Ο Firefox μπορεί να προστατεύσει ευαίσθητες πληροφορίες,όπως τους αποθηκευμένους κωδικούς πρόσβασης και τα πιστοποιητικά με την κρυπτογράφηση τους χρησιμοποιώντας έναν κύριο κωδικό πρόσβασης. Αν δημιουργήσετε ένα κύριο κλειδί όταν θα ανοίγετε τον Firefox,θα σας ζητάει να βάλετε το password κάθε φορά που θα θέλετε να εισάγετε ένα πιστοποιητικό ή ένα αποθηκευμένο κωδικό. Μπορείτε να ρυθμίσετε, να αλλάξετε ή να αφαιρέσετε τον κύριο κωδικό πρόσβασης από τον έλεγχο ή αποεπιλέγοντας αυτή την επιλογή ή κάνοντας κλικ στο Αλλαγή κύριου κωδικού. 3.2.11 Διαγραφή Ιστορικού Περιήγησης Η λειτουργία clear recent history δίνει περισσότερο έλεγχο στη διαχείριση των προσωπικών δεδομένων. Εκτός του ότι είναι σε θέση να καθαρίσει το σύνολο ή μέρος των αποθηκευμένων στοιχείων του ιστορικού, δίνεται η δυνατότητα στους χρήστες να καθορίσουν ποιο ιστορικό θέλουν να διαγράψουν (π.χ. την τελευταία ώρα). Οδηγίες διαχείρισης λειτουργίας : Στο μενού του Firefox πατήστε Επιλογές Επιλέξτε την καρτέλα Απόρρητο Στην επιλογή -> O Firefox θα: Επιλέξτε Χρησιμοποιεί προσαρμοσμένες ρυθμίσεις για το ιστορικό Επιλέξτε το check box για Εκκαθάριση ιστορικού όταν κλείνει ο Firefox 76
Στις Ρυθμίσεις που βρίσκονται δεξιά από την εκκαθάριση ιστορικού μπορείτε να τσεκάρετε τι θέλετε να διαγράφεται αυτόματα κάθε φορά που κλείνετε τον Mozilla. Πατήστε OK και οι αλλαγές έχουν αποθηκευτεί 3.2.12 Αυτόματες Ενημερώσεις Από προεπιλογή, ο Firefox είναι ρυθμισμένος ώστε να ελέγχει αυτόματα για ενημερώσεις. Ενημερώσεις κατεβαίνουν στο παρασκήνιο και εγκαθίστανται κατά την επανεκκίνηση του Firefox. Αν μια ενημερωμένη έκδοση περιμένει να εγκατασταθεί για περισσότερο από 24 ώρες, θα δείτε μια ειδοποίηση με την επιλογή να επανεκκινήσετε τον Firefox και να εγκαταστήσετε την ενημέρωση. Οδηγίες διαχείρισης λειτουργίας: Στο μενού του Firefox πατήστε Επιλογές Στο παράθυρο που θα εμφανιστεί επιλέξτε την καρτέλα Για προχωρημένους Πηγαίνετε στην καρτέλα Ενημέρωση Στην παρακάτω εικόνα φαίνονται οι επιλογές αυτόματης ενημέρωσης 77
3.2.13 Do Not Track Πολλές σελίδες παρακολουθούν τις συνήθειες των χρηστών κατά την πλοήγηση τους στο διαδίκτυο και πωλούν τα δεδομένα που αποθηκεύουν σε διαφημιστές. Όταν ενεργοποιηθεί η δυνατότητα "Do Not Track ", ο Firefox ειδοποιεί κάθε ιστοσελίδα που επισκέπτεστε (όπως διαφημιστές και άλλους παρόχους ) ότι δεν θέλετε η συμπεριφορά περιήγησης σας να παρακολουθείται. Αυτή η ρύθμιση είναι προαιρετική - επιμέρους ιστοσελίδες, δεν είναι υποχρεωμένες να τη σεβαστούνε. Ιστοσελίδες που σέβονται αυτή η ρύθμιση θα πρέπει αυτόματα να διακόψουν την παρακολούθηση της συμπεριφοράς σας, χωρίς καμία περαιτέρω ενέργεια από εσάς. Επίσης Η ενεργοποίηση της δυνατότητας Do-Not-Track δεν επηρεάζει την ικανότητά του χρήστη να συνδέεται σε δικτυακούς τόπους ούτε κάνει τον Firefox να ξεχάσει τα προσωπικά του στοιχεία, όπως είναι τα περιεχόμενα των καρτών του, πληροφορίες τοποθεσίας ή τα στοιχεία των συνδέσεων του(password-username). Οδηγίες Ενεργοποίησης λειτουργίας : Η λειτουργία Do-Not-Track είναι απενεργοποιημένη από προεπιλογή. Στο μενού του Firefox πατήστε Επιλογές Στο παράθυρο που θα εμφανιστεί επιλέξτε την καρτέλα Για προχωρημένους 78
Τσεκάρετε Γνωστοποίηση στις ιστοσελίδες ότι δεν επιθυμώ να γίνεται εντοπισμός μου Πατήστε OK 3.2.14 Forget This Site Αν ο χρήστης μετάνιωσε για την επίσκεψη του σε κάποια ιστοσελίδα, με αυτό το χαρακτηριστικό μπορεί να αφαιρέσει κάθε ίχνος του από τον περιηγητή του. Οδηγίες Ενεργοποίησης λειτουργίας : Στο μενού του Firefox πατήστε Ιστορικό. Επιλέξτε Προβολή ιστορικού. Επιλέξτε το site που θέλετε να μην απομνημονευτεί. Κάντε δεξί κλικ και επιλέξτε Όχι απομνημόνευση αυτής της σελίδας όπως φαίνεται στην παρακάτω εικόνα. 79
Η ιστοσελίδα που επιλέξατε έχει ξεχαστεί. Επίσης Οι χρήστες πρέπει να γνωρίζουν ότι η λειτουργία Όχι Απομνημόνευση Αυτής Της Σελίδας κάνει περισσότερα από το να διαγράφει απλά το ιστορικό, οπότε να είναι προσεκτικοί όταν το χρησιμοποιούν. Ο Firefox θα απομακρύνει τα πάντα από το επιλεγμένο site και αυτό συμπεριλαμβάνει τα passwords, τα cookies, τα αποθηκευμένα δεδομένα, εξαιρέσεις (εικόνες,pop-ups) καθώς και σελιδοδείκτες, ιστορικό και την μνήμη cache. Επίσης δεν έχει αποτελέσματα που διαρκούν οπότε αν ξανά επισκεφθούν κάποιο ξεχασμένο site τότε τα δεδομένα από αυτό το site θα ξανά αποθηκευτούν. 3.2.15 Anti-Virus Integration Ο Firefox συνεργάζεται με το λογισμικό προστασίας από ιούς των Windows. Όταν οι χρήστες κάνουν λήψη ενός αρχείου, το λογισμικό προστασίας από ιούς του συστήματος τους το ελέγχει αυτόματα για να τους προστατέψει από ιούς ή άλλο κακόβουλο λογισμικό που θα μπορούσε να προκαλέσει προβλήματα στο σύστημα τους. Επίσης όταν επισκέπτονται μέρος δίπλα από την γραμμή διευθύνσεων ένα σήμα που σε συνδυασμό με το antivirus του υπολογιστή δείχνει εάν οι περιηγητές έχουν ψηφίσει θετικά ή αρνητικά για το συγκεκριμένο site όπως επίσης και ποιο είναι το περιεχόμενο του συγκεκριμένου site. κάποια ιστοσελίδα εμφανίζεται στο αριστερό 3.2.16 Πρόσθετες Λειτουργίες Οι πρόσθετες λειτουργίες είναι μικρά προγράμματα τρίτων κατασκευαστών που φτιάχνονται από εταιρείες όπως η Adobe Systems ή η Apple για να υποστηρίξουν βίντεο, κινούμενα σχέδια και παιχνίδια. Όταν οι εκδόσεις που είναι εγκατεστημένες δεν είναι ενημερωμένες, αυτό μπορεί να σημαίνει ότι υπάρχουν κρίσιμα κενά ασφαλείας στο σύστημα. Ακόμα ο Mozilla δεν μπορεί να εγκαθιστά τα plug-ins από μόνος του γι αυτό ο χρήστης πρέπει να ελέγχει συχνά την σελίδα που εμπεριέχονται τα plug-ins ώστε να είναι ασφαλής. 80
3.2.17 SSL/TLS Certificates Ο Mozilla έχει ενεργοποιημένα από προεπιλογή το SSL 3.0 και το TLS 1.0. Δεν δίνει την δυνατότητα στους χρήστες να επιλέξουν άλλες εκδόσεις. 81
3.3 Safari 5 Οι μηχανικοί της Apple σχεδίασαν τον Safari έτσι ώστε να παρέχει ασφάλεια από την πρώτη στιγμή χρήσης του και συνεχίζουν να σχεδιάζουν συνεχώς βελτιώσεις σε κάθε νέα έκδοσή του. Τα χαρακτηριστικά που περιλαμβάνονται στο Safari 5 για την παροχή ασφάλειας και ιδιωτικότητας κατά την πλοήγηση στο διαδίκτυο είναι τα εξής: 3.3.1 Πιστοποιητικά Επικύρωσης Για τις τοποθεσίες που διαθέτουν EV πιστοποιητικά, ο Safari εμφανίζει το όνομα του site στο πράσινο πεδίο διεύθυνσης στη δεξιά πλευρά του. Κάνοντας κλικ στο όνομα εμφανίζονται περισσότερα σχετικά με τα διαπιστευτήρια ασφαλείας της ιστοσελίδας. Για περισσότερες πληροφορίες σχετικά με τα πιστοποιητικά οι χρήστες μπορούν να ενημερωθούν πατώντας την επιλογή Learn more about certificates. 82
3.3.2 XSS Auditor Με τον XSS Auditor ο Safari φιλτράρει πιθανά κακόβουλα scripts που χρησιμοποιούνται σε cross-site scripting επιθέσεις ώστε ο χρήστης να είναι προστατευμένος. 3.3.3 Ιδιωτική Πλοήγηση Οδηγίες Ενεργοποίησης λειτουργίας : Στο menu των γενικών λειτουργιών του Safari υπάρχει η επιλογή Private Browsing κάνοντας αριστερό κλικ εμφανίζεται το ακόλουθο παράθυρο: Κάνοντας αριστερό κλικ στην επιλογή OK η ιδιωτική πλοήγηση έχει ενεργοποιηθεί και ένα κουμπί με την ένδειξη PRIVATE έχει εμφανιστεί στο δεξιό μέρος του πεδίου των διευθύνσεων. Κάνοντας δεξί κλικ στο κουμπί private η ιδιωτική πλοήγηση απενεργοποιείται και επιστρέφει στην κανονική πλοήγηση. 3.3.4 Pop-Up Blocking Οδηγίες Ενεργοποίησης λειτουργίας : Πηγαίνοντας στο γενικό μενού λειτουργιών του Safari,όπως φαίνεται και στην εικόνα,υπάρχει η επιλογή Block Pop-Up Windows κάνοντας αριστερό κλικ πάνω σε αυτήν την επιλογή μπορείς να ενεργοποιήσεις ή να απενεργοποιήσεις το μπλοκάρισμα των 83
αναδυόμενων παραθύρων,όταν δίπλα από την επιλογή υπάρχει το ότι η επιλογή είναι ενεργοποιημένη. σημαίνει Test Pop-up μπλοκαρίσματος Η δοκιμή του Safari έγινε από το site: http://www.popuptest.com 3.3.5 Cookie Blocking Οδηγίες Διαχείρισης των cookies: Πηγαίνοντας στο γενικό μενού του Safari πατήστε Preferences Επιλέγοντας την καρτέλα Security υπάρχει ο τομέας accept cookies, σε αυτόν τον τομέα ο χρήστης έχει την δυνατότητα να επιλέξει το πώς θα διαχειρίζεται ο Safari τα cookies. Για περισσότερες πληροφορίες σχετικά με τις επιλογές για την διαχείριση των cookies ο χρήστης μπορεί να κλικάρει στο ερωτηματικό που βρίσκεται στο κάτω δεξιό μέρος του παραθύρου. Αν ο χρήστης θέλει να δει περισσότερες πληροφορίες για τα cookies που αποθηκεύονται τον υπολογιστή του μπορεί να κάνει κλικ στην επιλογή show cookies. Οι ακόλουθες πληροφορίες εμφανίζονται για κάθε cookie ξεχωριστά: Η ιστοσελίδα που αποθήκευσε τα cookies Το όνομα Το path ή τη θέση στον υπολογιστή Ασφαλής κατάσταση: τα cookies που φέρουν την σήμανση "ασφαλής" στέλνονται από μια κρυπτογραφημένη σύνδεση 84
Ημερομηνία λήξης: πότε θα καταργηθεί από τον υπολογιστή Περιεχόμενο: συνήθως μια σειρά κώδικα Οδηγίες μπλοκαρίσματος third-party cookies: Πηγαίνοντας στο γενικό μενού του Safari πατήστε Preferences Κάντε κλικ στην καρτέλα Security Σιγουρευτείτε ότι κάτω από το Accept Cookies η επιλογή είναι Only from sites I visit Βάλτε ένα στο checkbox Allow websites to ask for location information Πατήστε OK για να αποθηκευτούν οι αλλαγές. Επίσης Αλλάζοντας τις προτιμήσεις των cookies ή αφαιρώντας cookies μπορεί να προκαλέσουν παρόμοιες αλλαγές και σε άλλες εφαρμογές. Επίσης, αν ο χρήστης έχει επιλέξει ο Safari να μπλοκάρει τα cookies μπορεί να χρειαστεί να αποδεχτεί τα cookies προσωρινά ώστε να ανοίξουν κάποιες ιστοσελίδες. 3.3.6 Ιδιωτική Πλοήγηση Parental Controls: Custom Filter Ο Safari συνεργάζεται με τους γονικούς ελέγχους του Mac OS X για την γρήγορη αναθεώρηση των ιστοχώρων ώστε να προσδιοριστεί άμεσα η καταλληλότητα τους για παιδιά. Αν κριθεί ακατάλληλο, το λειτουργικό OS Mac Χ τα μπλοκάρει. Επιπλέον μπορεί να γίνει προστασία από ενδεχομένως ακατάλληλο περιεχόμενο ιστοσελίδων για παιδιά με την προσθήκη ιστοσελίδων στην Never Allow list του γονικού ελέγχου στο System Preferences. (Αυτό ισχύει μόνο για Mac) Parental Controls: Logs Ο γονέας μπορεί να ελέγξει ποιες σελίδες έχει επισκεφτεί το παιδί του. Ανοίγοντας το Parental Control στο System Preferences και κλικάροντας το Log εμφανίζεται η λίστα των σελίδων που έχει επισκεφτεί,ποιες σελίδες έχουν μπλοκαριστεί και συγκεκριμένα από ποιο λογαριασμό. (Αυτό ισχύει μόνο για Mac) Parental Controls: Approved List Ο γονέας μπορεί να δημιουργήσει μια εγκεκριμένη λίστα με ιστοσελίδες που θα μπορούν να επισκεφτούν τα παιδία χρησιμοποιώντας τα Parental Controls από το System Preferences. Επιλέξτε ένα λογαριασμό, κάντε κλικ στην επιλογή Content, και επιλέξτε Allow access to only these websites. Ένα παιδί που θα μπει στον Mac χρησιμοποιώντας τον 85
συγκεκριμένο λογαριασμό θα μπορεί να έχει πρόσβαση μόνο στους ιστότοπους που έχει προσθέσει ο γονέας στη λίστα. Αν το παιδί θελήσει να αποκτήσει πρόσβαση σε μια τοποθεσία που δεν είναι στη λίστα, ο Safari θα ζητήσει από τον διαχειριστή τον κωδικό πρόσβασης. Εγκατάσταση Γονικού Ελέγχου (μονό για Mac): Πηγαίνοντας στις προτιμήσεις του υπολογιστή(system Preferences) επιλέξτε Accounts από τις διαθέσιμες επιλογές. Αφού έχετε ανοίξει το παράθυρο Account κάντε κλικ στο εικονίδιο με την κλειδαριά που βρίσκεται στην κάτω αριστερή πλευρά του παραθύρου ώστε να μπορέσετε να κάνετε αλλαγές στον λογαριασμό σας. Πληκτρολογήστε το password σας και το username ώστε να μπορέσετε να ξεκλειδώσετε τις προτιμήσεις σας. Επιλέξτε τον λογαριασμό στον οποίο θέλετε να κάνετε αλλαγές από την λίστα με τους χρήστες και κάντε κλικ. Θα 86
σας εμφανιστεί μια λίστα με τα προγράμματα του υπολογιστή σας τα οποία μπορούν να ρυθμιστούν. Επιλέξτε το κουτάκι δίπλα από το εικονίδιο του Safari,πατήστε το κουμπι παραμετροποίησης (configure) και πατήστε το ΟΚ όταν σας ζητηθεί αν θέλετε να ανοίξετε τον Safari. Πληκτρολογήστε την ηλεκτρονική διεύθυνση του site που θέλετε να επιτρέψετε στο παιδί σας να επισκεφθεί. Αν και η σελίδα δεν θα φορτωθεί, ο Safari θα σας ρωτήσει εάν θέλετε να προσθέσετε αυτή τη σελίδα στη γραμμή σελιδοδεικτών του παιδιού σας. Κάντε κλικ στο Add Web site για να ορίσετε τη σύνδεση. Πατήστε OK. 3.3.7 Phishing Protection Ο Safari προστατεύει από κακόβουλες ιστοσελίδες. Όταν ο χρήστης επισκεφτεί μια ύποπτη περιοχή, o Safari τον προειδοποιεί σχετικά με τον ύποπτο χαρακτήρα της και εμποδίζει αυτήν την σελίδα να φορτωθεί. Στην εικόνα φαίνεται η προειδοποίηση που εμφανίζει ο Safari όταν ο χρήστης προσπαθήσει να επισκεφθεί μια ιστοσελίδα η οποία είναι ύποπτη για χρήση ηλεκτρονικού ψαρέματος. 87
Ο Safari έχει από προεπιλογή ενεργοποιημένο το φίλτρο προστασίας και δεν χρειάζεται ενεργοποίηση από τον χρήστη. 3.3.8 Malware Protection Ο Safari αναγνωρίζει τις σελίδες που περιέχουν κακόβουλο λογισμικό πριν καν τις επισκεφτεί ο χρήστης. Αν ο Safari αντιληφτεί μια επικίνδυνη σελίδα προειδοποιεί τον χρήστη για την επικίνδυνη φύση της. Ενεργοποίηση λειτουργίας: Στο γενικό μενού του Safari κάνοντας κλικ στην επιλογή Preferences και στην καρτέλα Security υπάρχει η επιλογή: Warn when visiting a fraudulent site όταν το κουτάκι δίπλα από την επιλογή έχει τότε η προστασία από κακόβουλα λογισμικά είναι ενεργοποιημένη. 3.3.9 Επαναφορά Safari O χρήστης μπορεί να σβήσει κάθε ίχνος της περιήγησης του με ένα απλό βήμα. Επιλέγοντας Reset Safari από το μενού του Safari διαγράφονται το ιστορικό, η μνήμη cache, το ιστορικό λήψης, τα cookies, τα ονόματα και οι κωδικοί πρόσβασης, η αυτόματη συμπλήρωση πληροφοριών(autofill), καθώς και οι όροι αναζήτησης του Google, του Yahoo και του Bing από τον υπολογιστή. 88
3.3.10 Αυτόματες Ενημερώσεις Ο χρήστης μπορεί να αποκτήσει γρήγορη και εύκολη πρόσβαση στις πιο πρόσφατες ενημερώσεις ασφαλείας. Ο Safari εκμεταλλευόμενος το λογισμικό της Apple για Update, ελέγχει τις πιο πρόσφατες εκδόσεις του Safari ο χρήστης είναι συνδεδεμένος στο Internet. 3.3.11 Antivirus Integration Τα χαρακτηριστικά ασφαλείας και προστασίας της ιδιωτικής ζωής που προβλέπονται από τον browser Safari παρέχουν οφέλη αλληλεπίδρασης μεταξύ του antivirus και του browser στους χρήστες. Με τη χρήση των Windows, όταν ο χρήστης κατεβάζει εφαρμογές ή προγράμματα ή αρχεία, ο Safari επιτρέπει στο λογισμικό προστασίας να σαρώσει κάθε download. Αυτό έχει ως αποτέλεσμα την ανίχνευση ιών, κακόβουλων λογισμικών και άλλων απειλών που μπορούν να εισέρχονται μόνο μέσω των downloads. 3.3.12 Ασφαλείς Λήψεις Ο Safari συνεργάζεται με το λειτουργικό σύστημα Mac OS X για να παίρνει πληροφορίες σχετικά με το πότε και πού γίνονται οι λήψεις από το διαδίκτυο. Όταν ο χρήστης επιχειρεί να ανοίξει μια εφαρμογή λήψης, το Mac OS X του υπενθυμίζει από πού προήλθε πριν από το άνοιγμα για πρώτη φορά, έτσι μπορεί να είναι σίγουρος ότι είναι νόμιμο. 3.3.13 Ασφαλής Κρυπτογράφηση Για την αποφυγή υποκλοπών, πλαστογραφίας, καθώς και ψηφιακής αλλοίωσης, ο Safari χρησιμοποιεί τεχνολογία κρυπτογράφησης για την εξασφάλιση των web επικοινωνιών. O Safari υποστηρίζει τα τελευταία πρότυπα ασφάλειας, το 89
SSL(Secure Sockets Layer) πρωτόκολλο με τις εκδόσεις 2 και 3, το TLS (Transport Layer Security)πρωτόκολλο, με 40 - και 128-bit κρυπτογράφηση SSL, και πιστοποιημένες εφαρμογές Java. Για να επιλέξετε διαφορετικές εκδόσεις των πρωτοκόλλων : Κάντε κλικ στο Preferences Επιλέξτε την καρτέλα Advanced Πατήστε το εικονίδιο Change Settings Πηγαίνετε στην καρτέλα Advanced Κατεβάστε τον κέρσορα μέχρι να σας εμφανιστούν τα πρωτόκολλα όπως φαίνεται στην παρακάτω εικόνα. 3.3.14 Standards-Based Authentication Η τεχνολογία Authentication, μπορεί να αναγνωρίσει την ταυτότητα του χρήστη όταν αυτός επισκέπτεται ασφαλές ιστοσελίδες. Ο Safari υποστηρίζει πρωτόκολλα που βασίζονται στην αναγνώριση ταυτότητας ( όπως το πρωτόκολλο Kerberos), καθώς και ιδιόκτητα πρωτόκολλα ελέγχου ταυτότητας, όπως το NTLMv2 πρωτόκολλο. 3.3.15 Proxy Support Ο Safari υποστηρίζει τις πιο δημοφιλείς υπηρεσίες proxy και ανιχνεύει αυτόματα μια ποικιλία από πρωτόκολλα, συμπεριλαμβανομένης της αυτόματης παραμετροποίησης για Proxy, FTP Proxy, Web (HTTP) Proxy, Secure Web Proxy (HTTPS), Streaming Proxy (RTSP), εξυπηρετητή SOCKS Proxy, και Gopher Proxy. 90
3.4 Opera 11 Οι τεχνικοί του Opera 11 έχουν λάβει πολύ σοβαρά το θέμα της ασφάλειας, έτσι δημιούργησαν ένα προϊόν που παρέχει ασφάλεια και προστασία της ιδιωτικής ζωής των χρηστών από απάτες και κακόβουλα λογισμικά. 3.4.1 Πιστοποιητικά Επικύρωσης Ιστοσελίδες που παρέχουν πιστοποιητικά επικύρωσης υποδεικνύονται από ένα πράσινο σήμα ασφαλείας με ένα λουκέτο στο πεδίο διεύθυνσης. Αν θέλετε να μάθετε περισσότερες πληροφορίες σχετικά με την ασφάλεια της ιστοσελίδας, κάντε αριστερό κλικ πάνω στο πράσινο κουτάκι που εμφανίζεται στην γραμμή διευθύνσεων. Στην πρώτη καρτέλα εμφανίζονται οι πληροφορίες σχετικά με την ασφάλεια της ιστοσελίδας. Στην δεύτερη καρτέλα εμφανίζονται πληροφορίες για τον αν η ιστοσελίδα περιέχει κακόβουλα χαρακτηριστικά και δίνει την δυνατότητα στους χρήστες να αναφέρουν την συγκεκριμένη ιστοσελίδα αν πιστεύουν ότι μπορεί να περιέχει κακόβουλο λογισμικό. 91
Η τρίτη καρτέλα περιέχει πληροφορίες σχετικά με τα πιστοποιητικά που χρησιμοποιεί η συγκεκριμένη ιστοσελίδα. 3.4.2 Ιδιωτική Πλοήγηση Ο Opera υποστηρίζει ιδιωτικές καρτέλες και ιδιωτικά παράθυρα. Για να ανοίξετε μια ιδιωτική καρτέλα: Κάντε δεξί κλικ στο + εικονίδιο στην μπάρα της καρτέλας και μετά επιλέξτε New Private Tab. 92
Η ιδιωτική πλοήγηση έχει ενεργοποιηθεί. Κάθε δραστηριότητα περιήγησης σε αυτή την καρτέλα είναι ιδιωτική. Για να ανοίξετε ένα ιδιωτικό παράθυρο: Στο menu του Opera επιλέξτε Tabs and windows και κάντε κλικ στην επιλογή New Private Window. Μπορείτε να ξεκινήσετε την ιδιωτική πλοήγηση. 3.4.3 Pop-up Blocking Οδηγίες ενεργοποίησης: Στο menu του Opera κάντε κλικ στην επιλογή Settings Επιλέξτε Preferences Στο παράθυρο που θα σας ανοίξει επιλέξτε την καρτέλα General Όπως φαίνεται και στην εικόνα ο χρήστης έχει την δυνατότητα να επιλέξει πως θα διαχειρίζεται τα pop-ups. Κάντε κλικ στην επιλογή που θέλετε και πατήστε το OK. 93
Test Pop-up μπλοκαρίσματος Η δοκιμή του Opera έγινε από το site: http://www.popuptest.com Ο Opera μπλοκάρει τα αναδυόμενα παράθυρα και εμφανίζει στο κάτω δεξιό μέρος της σελίδας το μήνυμα που φαίνεται παρακάτω. 3.4.4 Διαχείριση των Cookies Ο Opera επιτρέπει στους χρήστες να επιλέξουν ποια cookies θα αποδέχονται ή θα απορρίπτουν. Ο Opera δέχεται όλα τα cookies από προεπιλογή. Οδηγίες διαχείρισης cookies: Στο menu του Opera κάντε κλικ στην επιλογή Settings Επιλέξτε Preferences Στο παράθυρο που θα σας ανοίξει επιλέξτε την καρτέλα Advanced, για τα cookies(όπως φαίνεται και στην παρακάτω εικόνα) Accept cookies Όλα τα cookies γίνονται αποδεκτά. Accept only cookies from the site I visit Cookies τρίτων, από τομείς που δεν επισκέπτεστε δεν επιτρέπονται. Never accept cookies Όλα τα cookies απορρίπτονται. 94
Delete new cookies when exiting Opera H αποδοχή των cookies σε κάποιες ιστοσελίδες είναι απαραίτητες για να μπορέσετε να χρησιμοποιήσετε σωστά τις υπηρεσίες τους. Αν θέλετε να δουλέψουν σωστά αυτά τα site,άλλα δεν θέλετε να κρατήσετε τα cookies μεταξύ των επισκέψεων, επιλέξτε Delete new cookies when exiting Opera. Ask me before accepting cookies Αν επιλέξετε Ask me before accepting cookies,το παράθυρο των cookies θα ανοίγει κάθε φορά που βρίσκει κάποιο cookie και θα περιέχει πληροφορίες σχετικά με την προέλευση του και τα χαρακτηριστικά του. Manage Cookies Η διαχείριση των cookies σας επιτρέπει να ελέγξετε και να επεξεργαστείτε τα cookies που αποθηκεύονται από τον Opera. Πατώντας το κουμπί Manage Cookies θα εμφανιστούν μια σειρά από φακέλους, ο καθένας από τους οποίους αντιστοιχεί και σε έναν τομέα. Χρησιμοποιείστε την γρήγορη αναζήτηση για να κάνετε αναζήτηση με το όνομα του τομέα, για να ανοίξτε τον αντίστοιχο φάκελο ώστε να πάρετε αναλυτικές πληροφορίες για όλα τα cookies που συνδέονται με το συγκεκριμένο τομέα. 3.4.5 Malware Protection Η προστασία από κακόβουλα λογισμικά είναι ενεργοποιημένη από προεπιλογή στον Opera 10, προειδοποιεί σχετικά με ύποπτες ιστοσελίδες ελέγχοντας τη σελίδα που ζητάτε από διάφορες βάσεις δεδομένων των γνωστών «phishing» και ιστότοπους κακόβουλου λογισμικού που ονομάζεται μαύρες λίστες. Αν και δεν είναι δυνατόν να εξαλειφθεί πλήρως ο κίνδυνος από ιστοσελίδες που έχουν ως σκοπό το phishing ή από κακόβουλα λογισμικά, ο κίνδυνος ελαχιστοποιείται. Ενεργοποίηση / απενεργοποίηση λειτουργίας: Στο menu του Opera επιλέξτε Settings Κάντε κλικ στην επιλογή Preferences 95
Κάντε κλικ στην καρτέλα Advanced Τσεκάρετε την επιλογή Enable Fraud and Malware Protection για να την ενεργοποιήσετε ή μην τσεκάρετε για να απενεργοποιηθεί.. 3.4.6 Διαγραφή Ιστορικού Πλοήγησης Οδηγίες διαγραφής ιστορικού περιήγησης: Στο menu του Opera κάντε κλικ στην επιλογή Settings Επιλέξτε Preferences Στο παράθυρο που θα σας ανοίξει επιλέξτε την καρτέλα Advanced,για το Ιστορικό όπως φαίνεται και στην παρακάτω εικόνα και επιλέξτε Empty Now. Επίσης, οι χρήστες μπορούν να επιλέξουν "Empty on Exit", ώστε να διαγράφετε το ιστορικό κάθε φορά που βγαίνουν από το πρόγραμμα περιήγησης. 96
3.4.7 Αυτόματες Ενημερώσεις O Opera πραγματοποιεί τακτικούς ελέγχους ώστε οι χρήστες να είναι ενημερωμένοι για τις τελευταίες, πιο ασφαλείς εκδόσεις και περιλαμβάνει έναν αυτόματο μηχανισμό ενημέρωσης. Ένα παράθυρο auto-update εμφανίζεται όταν μια συνιστώμενη ενημερωμένη έκδοση έχει κυκλοφορήσει. Περιλαμβάνει πληροφορίες σχετικά με την ενημερωμένη έκδοση και βοηθά τους χρήστες ώστε να το εγκαταστήσουν. Ενεργοποίηση λειτουργίας: Στο κεντρικό menu του Opera επιλέξτε Settings Καντε κλικ στην επιλογή Preferences Επιλέξτε την καρτέλα Advanced Στο κάτω δεξιό μέρος επιλέξτε Automaticaly install updates (όπως φαίνεται και στην εικόνα) Πατήστε OK 3.4.8 Ασφαλής Κρυπτογράφηση Η αποστολή και η λήψη πληροφοριών με το πρόγραμμα περιήγησης Opera χρησιμοποιεί τα ακόλουθα πρωτόκολλα ασφάλειας: SSL 2, SSL 3, TLS 1.0, και το TLS 1.1. Το επίπεδο κρυπτογράφησης( Advanced Encryption Standard) είναι 168-256-bit.Ο Opera θα εμφανίσει ένα προειδοποιητικό μήνυμα σχετικά με απαρχαιωμένες μεθόδους κρυπτογράφησης εάν το κλειδί είναι μικρότερο από 900 bits. 97
Για αλλαγή στις ρυθμίσεις των πρωτοκόλλων: Κάντε κλικ στο γενικό μενού του Opera Επιλέξτε Settings Επιλέξτε Preferences Επιλέξτε την καρτέλα Advanced Όπως φαίνεται και στην εικόνα επιλέγοντας το Security εμφανίζεται το Security Protocols Κάντε κλικ στο Security Protocols και θα σας εμφανιστούν όλες οι εκδόσεις των πρωτοκόλλων που υποστηρίζει ο Opera ώστε να επιλέξετε τις αλλαγές που θέλετε να κάνετε. 3.4.9 Blocking Ads or Contents Ο Opera παρέχει στους χρήστες την δυνατότητα να ελέγχουν ποια περιεχόμενα θα βλέπουν, έτσι μπορούν να μπλοκάρουν ενοχλητικές προσθήκες(ads), ώστε να βλέπουν μόνο τα περιεχόμενα που χρειάζονται. Ένας ενσωματωμένος διαχειριστής περιεχομένου περιλαμβάνεται στο πρόγραμμα περιήγησης του Opera. Αυτή η δυνατότητα είναι πολύ χρήσιμη αν οι χρήστες θέλουν να αποκλείσουν κάποιες διαφημίσεις ή ενεργά περιεχόμενα σε μια ιστοσελίδα. Οδηγίες διαχείρισης περιεχομένου: Όταν σε μια ιστοσελίδα που έχετε επισκεφθεί, εμφανιστεί κάποια διαφήμιση που προτιμάτε να μην δείτε, μπορείτε να κάνετε το εξής: 98
Κάντε δεξί κλικ σε ένα κενό σημείο στην ιστοσελίδα Κάντε κλικ στο Block Content από το μενού που εμφανίζεται. Κάντε κλικ στις εικόνες που θέλετε να αποκλείσετε ή αν θέλετε να αποκλείσετε μόνο συγκεκριμένες εικόνες, και όχι όλο το περιεχόμενο από έναν τομέα, μπορείτε να κάνετε Shift και κλικ στις εικόνες που θέλετε να αποκλείσετε. Για να δείτε ποιο περιεχόμενο έχετε αποκλείσει, όπως και επίσης για να διαγράψετε ή να προσθέσετε περιεχόμενα ιστοσελίδων ακολουθήστε τα παρακάτω βήματα: Στο menu του Opera κάντε κλικ στην επιλογή Settings Επιλέξτε Preferences Στο παράθυρο που θα σας ανοίξει επιλέξτε την καρτέλα Advanced,για Content (όπως φαίνεται και στην παρακάτω εικόνα) Κάντε κλικ στο κουμπί Blocked Content 99
Το παράθυρο που ανοίγει σας δίνει την δυνατότητα να ελέγχετε,να διαγράφετε και να εισάγετε περιεχόμενο. 3.4.10 Διαγραφή Προσωπικών Δεδομένων Οδηγίες διαχείρισης λειτουργίας: Στο menu του Opera κάντε κλικ στην επιλογή Settings Κάντε κλικ στην επιλογή Delete Private Data Ένα παράθυρο με την ονομασία Delete Private Data θα εμφανιστεί μπροστά από το παράθυρο του browser σας. Το προειδοποιητικό μήνυμα σε αυτό το παράθυρο σας ενημερώνει ότι όλες οι ανοιχτές καρτέλες θα κλείσουν και όλα τα downloads(αν υπάρχουν σε εξέλιξη) θα σταματήσουν μόλις ξεκινήσει η διαδικασία διαγραφής. Στον χρήστη δίνονται πολλές επιλογές σχετικά με τους τύπους δεδομένων που θα ήθελε να διαγράψει. Εάν το κουτάκι δίπλα από μια επιλογή είναι τσεκαρισμένο, αυτός ο τύπος δεδομένων θα διαγραφεί αφού πατηθεί το κουμπί Delete. 100
3.5 Chrome 15 Το Google Chrome περιλαμβάνει λειτουργίες που βοηθούν στη δική σας προστασία και του υπολογιστή σας από κακόβουλους ιστότοπους καθώς περιηγείστε στον ιστό. Το Chrome χρησιμοποιεί τεχνολογίες όπως η "Ασφαλής περιήγηση", περιβάλλον δοκιμών και αυτόματες ενημερώσεις προκειμένου να βοηθήσει στην προστασία ενάντια στο ηλεκτρονικό "ψάρεμα" (phishing) και τις κακόβουλες επιθέσεις. 3.5.1 Πιστοποιητικά Επικύρωσης Όταν μια ιστοσελίδα χρησιμοποιεί Extended Validation SSL πιστοποιητικό, το όνομα του οργανισμού εμφανίζεται στην μπάρα διευθύνσεων δεξιά από το εικονίδιο με την κλειδαριά. Αν οι χρήστες δεν βλέπουν το όνομα του οργανισμού, πρέπει να σιγουρευτούν ότι έχουν ρυθμίσει τον browser ώστε να τσεκάρει τις ιστοσελίδες για αναγνώριση πιστοποιητικών. Ενεργοποίηση λειτουργίας: Κάντε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης. Πατήστε Επιλογές Κάντε κλικ στην καρτέλα Σύνθετες επιλογές Επιλέξτε το κουτί Έλεγχος για ακύρωση πιστοποιητικού διακομιστή 3.5.2 Ιδιωτική Πλοήγηση Αν οι χρήστες θέλουν να περιηγηθούν σε μυστική κατάσταση, το Google Chrome προσφέρει τη λειτουργία Incognito. Άνοιγμα παραθύρου ανώνυμης περιήγησης: Κάντε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης Επιλέξτε New Incognito Window 101
Θα ανοίξει ένα νέο παράθυρο με το εικονίδιο στη γωνία. Μπορείτε να συνεχίσετε την περιήγηση ως συνήθως στο άλλο παράθυρο. 3.5.3 Pop-Up Blocking Κάθε φορά που το πρόγραμμα περιήγησης αποκλείει αναδυόμενα παράθυρα για κάποιον ιστότοπο, στη γραμμή διευθύνσεων εμφανίζεται το εικονίδιο. Οι χρήστες μπορούν να κάνουν κλικ στο εικονίδιο για να δουν τα αναδυόμενα παράθυρα που αποκλείστηκαν ή για τη διαχείριση των ρυθμίσεων αναδυόμενων παραθύρων για τον ιστότοπο. Για να δείτε αποκλεισμένα αναδυόμενα παράθυρα για κάποιον ιστότοπο, ακολουθήστε τα βήματα που παρατίθενται παρακάτω: Αν τα αναδυόμενα παράθυρα έχουν αποκλειστεί, θα εμφανιστεί το εικονίδιο στη γραμμή διευθύνσεων. Κάντε κλικ στο εικονίδιο για να εμφανιστεί μια λίστα αποκλεισμένων αναδυόμενων παραθύρων. Κάντε κλικ στον σύνδεσμο για το αναδυόμενο παράθυρο που θέλετε να δείτε. Για να εμφανίζονται πάντα αναδυόμενα παράθυρα από αυτόν τον ιστότοπο, επιλέξτε "Να εμφανίζονται πάντα τα αναδυόμενα παράθυρα από τον ιστότοπο". Ο ιστότοπος θα προστεθεί στη λίστα εξαιρέσεων, την οποία μπορείτε να διαχειριστείτε στο παράθυρο διαλόγου "Ρυθμίσεις περιεχομένου". Να επιτρέπονται όλα τα αναδυόμενα παράθυρα: Μπορείτε να επιτρέψετε την εμφάνιση όλων των αναδυόμενων παραθύρων απενεργοποιώντας τον αποκλεισμό αναδυόμενων παραθύρων. Ακολουθήστε τα εξής βήματα: Κάντε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης. Πατήστε Επιλογές Κάντε κλικ στην καρτέλα Σύνθετες επιλογές Κάντε κλικ στην επιλογή Ρυθμίσεις περιεχομένου στο τμήμα "Απόρρητο" Στην ενότητα "Αναδυόμενα παράθυρα", επιλέξτε "Να επιτρέπεται η εμφάνιση αναδυόμενων παραθύρων σε όλους τους ιστότοπους". Προσαρμόστε τις άδειες για συγκεκριμένους ιστότοπους κάνοντας κλικ στην επιλογή Διαχείριση εξαιρέσεων 102
Test Pop-up μπλοκαρίσματος Η δοκιμή του Google Chrome έγινε από το site: http://www.popuptest.com 3.5.4 Cookie Blocking Οι χρήστες έχουν απόλυτο έλεγχο όσον αφορά τις άδειες cookie στο Google Chrome. Όλα τα cookie επιτρέπονται από προεπιλογή αλλά μπορούν να προσαρμόσουν αυτή τη ρύθμιση. Αν τα cookie έχουν οριστεί ή αποκλειστεί για τη σελίδα που προβάλλεται, εμφανίζεται ένα εικονίδιο στο τέλος της γραμμής διευθύνσεων. Προσαρμογή αδειών cookie: Κάντε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης. Πατήστε Επιλογές Κάντε κλικ στην καρτέλα Σύνθετες επιλογές Κάντε κλικ στην επιλογή Ρυθμίσεις περιεχομένου στο τμήμα "Απόρρητο". Κάντε κλικ στην καρτέλα Cookie, στο παράθυρο Ρυθμίσεις περιεχομένου που θα εμφανιστεί: Να επιτρέπονται τα cookie από προεπιλογή: 103
Βεβαιωθείτε ότι έχετε επιλέξει "Να επιτρέπεται ο ορισμός τοπικών δεδομένων", προκειμένου να επιτρέπονται cookie αρχικού κατασκευαστή και τρίτου μέρους. Εάν θέλετε να αποδέχεστε μόνο cookie αρχικού κατασκευαστή, επιλέξτε το πλαίσιο ελέγχου "Αποκλεισμός όλων των cookie τρίτου μέρους χωρίς εξαίρεση". Για διαγραφή cookie: Κάντε κλικ στην επιλογή Όλα τα cookie και τα δεδομένα ιστότοπων για να ανοίξετε το παράθυρο διαλόγου "Cookie και άλλα δεδομένα". Για να διαγράψετε όλα τα cookie, κάντε κλικ στην επιλογή Κατάργηση όλων στο κάτω μέρος του παράθυρου διαλόγου. Για να διαγράψετε ένα συγκεκριμένο cookie, επιλέξτε τον ιστότοπο που εξέδωσε το cookie, στη συνέχεια το cookie και κάντε κλικ στην επιλογή Κατάργηση. 104
Αποκλεισμός cookie από προεπιλογή: Για τον αποκλεισμό όλων των cookie, επιλέξτε "Αποκλεισμός ιστότοπων από το να ρυθμίζουν δεδομένα". Πρέπει να γνωρίζετε ότι ενεργοποιώντας αυτήν τη ρύθμιση, δεν θα λειτουργούν οι περισσότεροι από τους ιστότοπους που απαιτούν να συνδεθείτε για να τους χρησιμοποιήσετε. Στη γραμμή διευθύνσεων, θα βλέπετε την ένδειξη όταν ένα cookie έχει αποκλειστεί. Αποκλεισμός cookie μόνο third-party: Πατήστε στο πλαίσιο ελέγχου "Αποκλεισμός cookie τρίτων μερών προκειμένου να μην οριστούν". Ακόμη κι αν έχετε προσθέσει έναν ιστότοπο στη λίστα "Εξαιρέσεις" και έχετε επιλέξει να επιτρέψετε τα cookie του, τα cookie τρίτου μέρους του ιστότοπου δεν θα γίνονται αποδεκτά αν έχει επιλεγεί αυτό το πλαίσιο ελέγχου. 3.5.5 Φίλτρα Ασφαλούς Αναζήτησης Πολλοί χρήστες προτιμούν να μην περιλαμβάνονται ιστότοποι με περιεχόμενο για ενήλικες στα αποτελέσματα αναζήτησης (ειδικά, εάν χρησιμοποιούν τον ίδιο υπολογιστή παιδιά). Τα φίλτρα Ασφαλούς Αναζήτησης του Google δίνουν τη δυνατότητα στους χρήστες να αλλάξουν τη ρύθμιση του προγράμματος περιήγησης προκειμένου να αποτρέπεται η εμφάνιση περιεχομένου για ενηλίκους στα αποτελέσματα αναζήτησής τους. Το Google χρησιμοποιεί αυτοματοποιημένες μεθόδους για να εντοπίζει ανάρμοστο περιεχόμενο και συνεχώς εργάζεται για να βελτιώσει αυτές τις μεθόδους βάσει των σχολίων των χρηστών. Για σεξουαλικό περιεχόμενο, το φίλτρο βασίζεται κυρίως σε αλγόριθμους που συνυπολογίζουν 105
πολλούς παράγοντες, όπως ενδεικτικά λέξεις-κλειδιά, συνδέσμους και εικόνες. Κανένα φίλτρο δεν είναι 100 τοις εκατό ακριβές, ωστόσο, η Ασφαλής Αναζήτηση θα βοηθάει στην αποφυγή του μεγαλύτερου όγκου αυτού του είδους ανεπιθύμητων αποτελεσμάτων. [44] Ενεργοποίηση του φίλτρου: Μεταβείτε στη σελίδα "Προτιμήσεις Google" στο http://www.google.com/preferences Στην ενότητα "Φιλτράρισμα Ασφαλούς Αναζήτησης", επιλέξτε το επίπεδο Ασφαλούς Αναζήτησης που θέλετε να χρησιμοποιήσετε: o Η αυστηρή ρύθμιση φιλτραρίσματος φιλτράρει βίντεο και εικόνες με σεξουαλικό περιεχόμενο από τις σελίδες αποτελεσμάτων της Αναζήτησης Google, καθώς και αποτελέσματα που ενδέχεται να οδηγούν σε σελίδες με ανάρμοστο περιεχόμενο. o Η μέτρια ρύθμιση φιλτραρίσματος αποκλείει βίντεο και εικόνες με σεξουαλικό περιεχόμενο από τις σελίδες αποτελεσμάτων της Αναζήτησης Google, αλλά δεν φιλτράρει αποτελέσματα που ενδέχεται να οδηγούν σε σελίδες με ανάρμοστο περιεχόμενο. Αυτή είναι η προεπιλεγμένη ρύθμιση της Ασφαλούς Αναζήτησης. o Η ρύθμιση Χωρίς φίλτρο, όπως καταλαβαίνετε, απενεργοποιεί πλήρως το φιλτράρισμα της Ασφαλούς Αναζήτησης. Κάντε κλικ στην επιλογή Αποθήκευση προτιμήσεων που βρίσκεται στο κάτω μέρος της σελίδας όταν τελειώσετε με τη ρύθμιση των προτιμήσεων. 3.5.6 Phishing And Malware Protection Κάθε φορά που το Google Chrome εντοπίζει ότι ο ιστότοπος στον οποίο μεταβαίνετε μπορεί να είναι επιβλαβής οι χρήστες λαμβάνουν αυτόματη ειδοποίηση. Το πρόγραμμα περιήγησης αποστέλλει ένα μερικό αντίγραφο της διεύθυνσης URL 106
που επισκέπτοντε στη Google για να την ελέγξει με βάση μια λίστα γνωστών ιστότοπων ηλεκτρονικού "ψαρέματος και κακόβουλων προγραμμάτων. Απενεργοποίηση εντοπισμού ηλεκτρονικού "ψαρέματος" και κακόβουλων προγραμμάτων: Κάντε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης Πατήστε Επιλογές Κάντε κλικ στην καρτέλα Σύνθετες επιλογές και εντοπίστε την ενότητα "Απόρρητο" Καταργήστε την επιλογή στο πλαίσιο ελέγχου "Ενεργοποίηση προστασίας από ηλεκτρονικό "ψάρεμα" και κακόβουλα προγράμματα" 3.5.7 Διαγραφή Προσωπικών Δεδομένων Οι χρήστες έχουν τον πλήρη έλεγχο επί των δεδομένων που προκύπτουν κατά την περιήγησή τους. Σε αυτά τα δεδομένα περιλαμβάνεται το ιστορικό της περιήγησης και των λήψεών τους, η προσωρινή μνήμη, τα cookie, οι κωδικοί πρόσβασης και τα αποθηκευμένα δεδομένα φορμών. Διαγραφή όλων των δεδομένων: Κάντε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης. Επιλέξτε Εργαλεία. Επιλέξτε Εκκαθάριση δεδομένων περιήγησης. Στο παράθυρο που θα ανοίξει, επιλέξτε τα πλαίσια ελέγχου για τους τύπους των πληροφοριών που θέλετε να καταργήσετε. Χρησιμοποιήστε το μενού στο πάνω μέρος της οθόνης για να επιλέξτε τα δεδομένα που θέλετε να διαγράψετε. Επιλέξτε διαγραφή των δεδομένων: o Της τελευταίας ώρας. 107
o Της τελευταίας μέρας. o Της τελευταίας εβδομάδας. o Των τελευταίων τεσσάρων εβδομάδων. o Όλου του χρόνου. Κάντε κλικ στο κουμπί Εκκαθάριση δεδομένων περιήγησης. 3.5.8 Γνωστοποίηση Τοποθεσίας Ορισμένοι ιστότοποι μπορούν να χρησιμοποιούν τις πληροφορίες της τοποθεσίας των χρηστών για να εξατομικεύουν τις πληροφορίες που τους δείχνουν. Έχουν πλήρη έλεγχο ως προς το αν θα γνωστοποιήσουν την τοποθεσία τους στους ιστότοπους. Το Google Chrome δεν θα γνωστοποιήσει ποτέ την τοποθεσία του χωρίς την άδειά του χρήστη. Από προεπιλογή, κάθε φορά που βρίσκεται σε ιστότοπο που θέλει να χρησιμοποιήσει πληροφορίες σχετικά με την τοποθεσία του, το Google Chrome τον προειδοποιεί, εμφανίζοντάς μήνυμα υπενθύμισης στο πάνω μέρος της σελίδας. Ενεργοποίηση ή απενεργοποίηση της γνωστοποίησης της τοποθεσίας: Κάντε κλικ στο εικονίδιο με το κλειδί προγράμματος περιήγησης. Πατήστε Επιλογές Κάντε κλικ στην καρτέλα Σύνθετες επιλογές Πατήστε Ρυθμίσεις Περιεχομένου στη γραμμή εργαλείων του 108
Στη σελίδα που εμφανίζεται, κάντε κύλιση προς τα κάτω για να βρείτε την ενότητα "Τοποθεσία". Επιλέξτε την προεπιλεγμένη άδεια που θα παραχωρείται σε μελλοντικά αιτήματα σχετικά με την τοποθεσία σας: o o o Να επιτρέπεται σε όλους τους ιστότοπους να ανιχνεύουν την τοποθεσία που βρίσκομαι: Κάντε αυτή την επιλογή για να επιτρέπετε σε όλους τους ιστότοπους να έχουν αυτόματη πρόσβαση στην τοποθεσία σας. Να ερωτώμαι κάθε φορά που κάποιος ιστότοπος επιχειρεί να ανιχνεύσει την τοποθεσία που βρίσκομαι: Κάντε αυτή την επιλογή αν θέλετε το Google Chrome να σας προειδοποιεί κάθε φορά που κάποιος ιστότοπος πραγματοποιεί αίτημα σχετικά με την τοποθεσία σας. Να μην επιτρέπεται σε κανέναν ιστότοπο να ανιχνεύει την τοποθεσία που βρίσκομαι: Κάντε αυτή την επιλογή για να απορρίπτονται αυτόματα όλα τα αιτήματα ιστότοπων που πραγματοποιούνται σχετικά με την τοποθεσία σας. Επίσης Πατήστε Διαχείριση εξαιρέσεων για να καταργήσετε άδειες που έχουν παραχωρηθεί παλαιότερα σε συγκεκριμένους ιστότοπους. 3.5.9 Google Chrome Sandbox O Google Chrome είναι χτισμένος με ένα επιπλέον επίπεδο προστασίας γνωστό ως "sandbox". Το sandbox στον browser δημιουργεί ένα περιβάλλον που παρέχει ασφάλεια από κακόβουλο λογισμικό και άλλες απειλές ώστε να αποφθεχθεί η μόλυνση του υπολογιστή. Εάν ο χρήστης ανοίξει μια κακόβουλη ιστοσελίδα, το sandbox αποτρέπει τον κακόβουλο κώδικα να περάσει από τον browser στο σκληρό 109
του δίσκο ώστε να εγκατασταθεί εκεί. Ο κακόβουλος κώδικας επομένως δεν μπορεί να διαβάσει, να τροποποιήσει, ή να πραγματοποιήσει περαιτέρω ζημία των δεδομένων στον υπολογιστή του. 3.5.10 SSL/TLS Certificates Ο Google Chrome έχει ενεργοποιημένα από προεπιλογή το SSL 3.0 και το TLS 1.0. Δεν δίνει την δυνατότητα στους χρήστες να επιλέξουν άλλες εκδόσεις. 110
3.6 Συγκριτική Ανάλυση Browsers για τεχνικά χαρακτηριστικά Cross-Site Scripting Phishing Protection Malware Protection Private Browsing Pop-Up Blocking Cookie Blocking Ev Certificates Parental Controls Automatic Updates Clear history Password Manager Internet Explorer 9 Mozilla Firefox 7 Google Chrome 15 Safari 5 Opera 11 *1 *1 *2 *3 *4 *5 *6 SSL/TLS *7 *8 *9 *10 *11 Proxy Possibilities Secure Encryption Επισήμανση Τομέα 111
1. Ενώ o Opera υπόσχεται malware και phishing protection, μετά από δοκιμές σε διάφορα site όπως το zzzz.hostindianet.com απέτυχε να περάσει τα test. 2. Ο Mozilla δεν έχει ενσωματωμένη δυνατότητα γονικού έλεγχου, χάρη όμως στον μηχανισμό επέκτασης που διαθέτει, οι χρήστες μπορούν να προσθέσουν μόνοι τους add-ons για γονικό έλεγχο. 3. Ο Google Chrome διαθέτει ένα φίλτρο ανάρμοστου περιεχομένου το SafeSearch filter.το συγκεκριμένο φίλτρο όμως δεν προσφέρει ολοκληρωμένο γονικό έλεγχο καθώς αποκλείει μονο σεξουαλικού χαρακτήρα περιεχόμενα. 4. Οι ρυθμίσεις του γονικού ελέγχου στον Safari μπορούν να υλοποιηθούν μόνο σε Mac Η/Υ. 5. Ο Opera δεν έχει ενσωματωμένη δυνατότητα γονικού έλεγχου. Η μόνη δυνατότητα που προσφέρει είναι το μπλοκάρισμα περιεχομένου σε ιστοσελίδες που επισκέπτονται οι χρήστες. 6. Δεν υπάρχει online δυνατότητα ενημέρωσης ενσωματωμένη στον IE, αλλά ενημερώνεται από το Windows Update όταν ενεργοποιηθεί. 7. Ο Internet Explorer υποστηρίζει 128-bit AES κρυπτογράφηση. [45] 8. Ο Mozilla υποστηρίζει 256-bit AES κρυπτογράφηση. [45] 9. Ο Google Chrome υποστηρίζει 256-bit AES κρυπτογράφηση. [45] 10. Ο Safari υποστηρίζει 128-bit AES κρυπτογράφηση. [45] 11. Ο Opera υποστηρίζει 256-bit AES κρυπτογράφηση. [45] 112
3.6.1 Συγκριτική Ανάλυση Browsers για Μπλοκάρισμα Αναδυόμενων Παραθύρων Στον παρακάτω πίνακα παρατίθεται μια ενδεικτική συγκριτική μελέτη για την συμπεριφορά των Browsers όταν επισκέπτονται sites με pop up παράθυρα. Όταν δίπλα από το site υπάρχει το σύμβολο σημαίνει ότι ο browser μπλόκαρε επιτυχώς το pop up παράθυρο ενώ όταν υπάρχει το σύμβολο δεν το μπλόκαρε. Internet Explorer 9 http://abcnews.go.com/ http://www.topix.com/ http://www.youporn.com/ http://www.pornhub.com/ http://www.usatoday.com/tech/news/techinnovations/2005-11- 21-video-websites_x.htm Mozilla Firefox 7 http://abcnews.go.com/ http://www.topix.com/ http://www.youporn.com/ http://www.pornhub.com/ http://www.usatoday.com/tech/news/techinnovations/2005-11- 21-video-websites_x.htm Chrome 15 http://abcnews.go.com/ http://www.topix.com/ http://www.youporn.com/ http://www.pornhub.com/ http://www.usatoday.com/tech/news/techinnovations/2005-11- 21-video-websites_x.htm Safari 5 http://abcnews.go.com/ http://www.topix.com/ http://www.youporn.com/ http://www.pornhub.com/ http://www.usatoday.com/tech/news/techinnovations/2005-11- 21-video-websites_x.htm 113
Opera 11 http://abcnews.go.com/ http://www.topix.com/ http://www.youporn.com/ http://www.pornhub.com/ http://www.usatoday.com/tech/news/techinnovations/2005-11- 21-video-websites_x.htm 114
3.6.2 Συγκριτική Ανάλυση Browsers για Μπλοκάρισμα Third- Party Cookies Οι παρακάτω πίνακες δείχνουν τα αποτελέσματα που προέκυψαν μετά από δοκιμές των browsers βάση των τεχνικών χαρακτηριστικών που προσφέρουν για μπλοκάρισμα third-party cookies. Internet Explorer 9 http://www.star.gr/ http://www.antenna.gr/ http://www.mega.gr/ http://www.megatv.com/ http://www.alphatv.gr/ Αν και η επιλογή μπλοκαρίσματος των third-party cookies ήταν ενεργοποιημένη, ο Internet Explorer 9 δεν κατάφερε να μπλοκάρει όλα τα third-party cookies του http://www.megatv.com/ αφήνοντας πίσω του το cookie:<user>@stats.-ego.gr/. Mozilla Firefox 7 http://www.star.gr/ http://www.antenna.gr/ http://www.mega.gr/ http://www.megatv.com/ http://www.alphatv.gr/ Ο Mozilla μπλόκαρε και από τα πέντε sites τα third-party cookies. Chrome 15 http://www.star.gr/ http://www.antenna.gr/ http://www.mega.gr/ http://www.megatv.com/ http://www.alphatv.gr/ Ο Chrome μπλόκαρε και από τα πέντε sites τα third-party cookies. Safari 5 http://www.star.gr/ http://www.antenna.gr/ http://www.mega.gr/ http://www.megatv.com/ http://www.alphatv.gr/ Αν και η επιλογή μπλοκαρίσματος των third-party cookies ήταν ενεργοποιημένη, ο Safari δεν κατάφερε να μπλοκάρει όλα τα third-party cookies: 115
Στο site http://www.star.gr/ κράτησε το cookie:<user>@doubleclick.net, και το cookie:<user>@googleads.g.doubleclick.net. Όπως και στο site http://www.alphatv.gr/ κράτησε τα ίδια cookies, cookie:<user>@doubleclick.net, και το cookie:<user>@googleads.g.doubleclick.net. Opera 11 http://www.star.gr/ http://www.antenna.gr/ http://www.mega.gr/ http://www.megatv.com/ http://www.alphatv.gr/ Αν και η επιλογή μπλοκαρίσματος των third-party cookies ήταν ενεργοποιημένη, ο Opera κατάφερε να μπλοκάρει τα third-party cookies μόνο ενός από τα πέντε site: Στο site http://www.star.gr/ κράτησε το cookie:<user>@doubleclick.net, το cookie:<user>@googleads.g.doubleclick.net και το cookie:<user> @imrworldwide.com. Στα site http://www.antenna.gr/ και στο site http://www.megatv.com/ κράτησε το cookie:<user>@imrworldwide.com. Στο site http://www.alphatv.gr/ κράτησε το cookie:<user>@doubleclick.net και το cookie:<user>@googleads.g.doubleclick.net. 116
ΠΑΡΑΡΤΗΜΑ 1 Υλοποίηση Εφαρμογής (Ιστοσελίδα) Για την δημιουργία του Site χρησιμοποιήθηκε HTML κώδικας, Javascript για την υλοποίηση του δυναμικού menu και CSS για την σχεδίαση των αντικειμένων του menu. Τι είναι η Javascript: Η JavaScript είναι γλώσσα προγραμματισμού η οποία έχει σαν σκοπό την παραγωγή δυναμικού περιεχομένου και την εκτέλεση κώδικα στην πλευρά του πελάτη (client-side) σε ιστοσελίδες. Ο κώδικας JavaScript συνήθως ενσωματώνεται στον ΗTML κώδικα. Η JavaScript είναι μια ερμηνευμένη γλώσσα (interpreted language), δηλαδή τα scripts εκτελούνται χωρίς να έχει προηγηθεί μεταγλώττιση του κώδικα. Η JavaScript υποστηρίζεται από όλους τους δημοφιλείς browsers. Με τον παρακάτω κώδικα καλούμε μέσω της HTML το Javascript αρχείο με του οποίου την βοήθεια δημιουργούμε το κεντρικό μας menu: <script type="text/javascript" src="css/jscr.js"> </script> Με τον παρακάτω κώδικα HTML δημιουργούμε έναν πινάκα που θα μας βοηθήσει να στοιχίσουμε τα κουμπιά του menu: <table border="0" width="240" align="left" cellpadding="0" cellspacing="0"> Μέσα σε κάθε κελί του πινάκα υπάρχει και ένα κουμπί από το menu, αυτό με την σειρά του όταν πάμε το mouse πάνω του (με την βοήθεια του Javascript που καλείτε πριν) μας εμφανίζει το υπό-menu του. Παρακάτω φαίνεται ο κώδικας που δημιουργεί ένα κουμπί από το menu με το υπόmenu του (πχ. Εισαγωγή στα Τεχνικά Χαρακτηριστικά - > Private Browsing): <td> <ul id="sddm"> <li><a href="#" onmouseover="mopen('m1')" onmouseout="mclosetime()">τεχνικά Χαρακτηριστικά Browsers</a> <div id="m1" onmouseover="mopen('m1')" onmouseout="mclosetime()"> <a href="menu/1/1.html" target="main">ιδιωτική Πλοήγηση</a> <a href="menu/1/2.html " target="main">pop-ups</a> <a href="menu/1/3.html " target="main">cookies</a> 117
<a href="menu/1/4.html " target="main">πιστοποιητικά Επικύρωσης</a> <a href="menu/1/5.html " target="main">επισήμανση Τομέα</a> </div> </li> </ul> </td> Το αποτέλεσμα του παραπάνω κώδικα: Όταν ο χρήστης επιλέξει ένα από τα στοιχεία του menu τότε καλείτε η αντίστοιχη σελίδα και την φορτώνει σε ένα iframe που έχει δημιουργηθεί με HTML κώδικα: <iframe src="welcome.html" name="main" width="950" height="100%"></iframe> Όπως βλέπουμε παρακάτω όταν κάνουμε Click στο Τι είναι Γονικός Έλεγχος.. τότε στο iframe μας φέρνει την σελίδα του Τι είναι Γονικός Έλεγχος.. : Επίσης όπως αναφέραμε παραπάνω, χρησιμοποιήσαμε και ένα CSS αρχείο για την σχεδίαση των αντικειμένων του menu το οποίο καλείτε και αυτό με HTML κώδικα. Ο κώδικας HTML ο οποίος καλεί το CSS αρχείο: 118