Professional Documents
Culture Documents
Εργασία για την ασφάλεια και την αξιολόγηση ασφάλειας των πληροφοριακών συστημάτων
Εργασία για την ασφάλεια και την αξιολόγηση ασφάλειας των πληροφοριακών συστημάτων
1
Περιεχόμενα
Περιεχόμενα................................................................................................2
2
Ορισμός και Ρόλος του Πληροφοριακού συστήματος
(ΠΣ)
3
• το σύστημα διοίκησης και λήψης αποφάσεων είναι το υποσύστημα το
οποίο παραλαμβάνει δεδομένα από το πληροφοριακό υποσύστημα και
παράγει εντολές προς το φυσικό σύστημα παραγωγής και οδηγίες για τις
προσδοκίες και επιδιώξεις της διοίκησης, που επιθυμεί να επιτευχθούν.
4
αλλά και του ίδιου του ΠΣ στην ολότητά του. Αρκετά συχνά απαντάται ο όρος
ασφάλεια στις τεχνολογίες πληροφορικής και επικοινωνιών. Όπως είναι φανερό, ο
όρος αυτός δίνει έμφαση στους τεχνικούς παράγοντες που σχετίζονται με την
ασφάλεια.
5
Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία της πληροφορίας
στην ολότητά της και των σχετικών με την ασφάλεια ιδιοτήτων. Ως θεμελιώδεις
ιδιότητες ασφάλειας θεωρούνται η ακεραιότητα, η εμπιστευτικότητα και η
διαθεσιμότητα, οι οποίες ορίζονται ως εξής:
7
Τα διαχειριζόμενα δεδομένα μπορεί να χαρακτηριστούν κάτω από
συγκεκριμένες συνθήκες ως άξια ή μη προστασίας. Τα δεδομένα που χρήζουν
προστασίας από δυνητικές απειλές αποκαλούνται ευπαθή. Για παράδειγμα, τα
δεδομένα που αφορούν στον σχεδιασμό πωλήσεων μίας επιχείρησης ή ενός
στρατιωτικού σχεδίου άμυνας χρήζουν προστασίας.
Ευπαθή δεδομένα
8
Τα δεδομένα που χρησιμοποιούνται από τα Πληροφοριακά Συστήματα δεν
παρουσιάζουν την ίδια ευπάθεια (vulnerability) και αυτό δεν οφείλεται μόνο στα
ιδιαίτερα χαρακτηριστικά των ΠΣ τα οποία χρησιμοποιούν τα δεδομένα, αλλά και
στην ίδια τη φύση ή τις ιδιαιτερότητές τους.
Και στις τρεις παραπάνω περιπτώσεις η αξία της πληροφορίας και κατά
συνέπεια η ευπάθεια των δεδομένων ενός ΠΣ εξαρτάται από το κοινωνικό σύστημα,
στα πλαίσια του οποίου χρησιμοποιούνται τα δεδομένα. Η χρονική και τοπική
συγκυρία, η οντότητα που αφορούν τα δεδομένα, το σύστημα αξιών του κοινωνικού
αυτού συνόλου και ο βαθμός διείσδυσης της τεχνολογίας σε αυτό, είναι ορισμένοι
από τους περιβαλλοντικούς παράγοντες που επηρεάζουν την ευπάθεια των
δεδομένων.
9
μέλη του κοινωνικού συνόλου (αν και η έντασή της είναι δυνατό να κυμαίνεται από
μέλος σε μέλος) ονομάζεται ως συνολική και εγγενής ευπάθεια.
Η συνολική και εγγενής ευπάθεια είναι αυτή που προκαλεί θεσμικές και
κοινωνικές παρεμβάσεις είτε υπό τη μορφή νόμων είτε υπό τη μορφή κανόνων
δεοντολογίας. Έτσι, η ευπάθεια αυτή ανακλάται στο σύνολο σχεδόν των θεσμών που
αφορούν στην προστασία του πολίτη, όπως είναι η μυστικότητα της ψήφου, και η
προστασία των προσωπικών δεδομένων [Ν2472/97]. Τα δεδομένα που αφορούν τις
πολιτικές και θρησκευτικές αντιλήψεις ενός πολίτη και την κατάσταση της
σωματικής και ψυχικής του υγείας, είναι ευρύτατα αποδεκτά ως συνολικά και
εγγενώς ευπαθή δεδομένα και χρήζουν ιδιαίτερης προστασίας.
10
προσπέλαση σε μετακινούμενα δεδομένα, με πιθανό αποτέλεσμα να
παραβιαστεί η ιδιωτικότητά τους.
11
• Άρνηση παροχής υπηρεσίας (Denial of Service) : Σε αυτή την περίπτωση ο
εισβολέας επιχειρεί να επηρεάσει αρνητικά τη διαθεσιμότητα μίας
υπηρεσίας, αφού έχει παρεισφρήσει στο σύστημα που την παρέχει. Το ίδιο
μπορεί να συμβεί όταν ο εισβολέας καταφέρει να εγκαταστήσει λογισμικό
που καταναλώνει ανεξέλεγκτα όλους τους διαθέσιμους πόρους του
συστήματος ή του δικτύου, με αποτέλεσμα οι υπόλοιπες υπηρεσίες να
παραμείνουν ουσιαστικά ανενεργές.
12
• Ιομορφικό λογισμικό (viral software) : Πρόκειται για κακόβουλο λογισμικό
που εκτελείται ή φορτώνεται δυναμικά στο σύστημα και προκαλεί ποικίλα
σημαντικά προβλήματα. Συνήθως βρίσκεται ενσωματωμένο σε εκτελέσιμο
κώδικα ή αυτόνομο σε μορφή δέσμης εντολών (script). Φροντίζει να
προσκολλάται σε άλλα εκτελέσιμα αρχεία ή να διαδίδεται μέσω δικτυακών
εφαρμογών, έτσι ώστε να επηρεάζει όσο το δυνατόν περισσότερα
συστήματα.
ερμηνεύεται λανθασμένα πολλές φορές από τις εταιρείες που θέλουν να εμπλακούν
στο χώρο της ασφάλειας της πληροφορικής. Οι λόγοι που οδηγούν στην παρερμηνεία
είναι είτε επειδή χρησιμοποιούν την δική τους εταιρική ορολογία είτε λόγω άγνοιας
του αντικειμένου. Αξίζει να σημειωθεί ότι συνήθως παρερμηνεύεται με την
διαδικασία εύρεσης ευπαθών σημείων σε ένα πληροφοριακό σύστημα (Vulnerability
Analysis).
13
και τις διαδικασίες της εταιρείας, όσο και μέχρι ποιο βαθμό αξιολόγησης θέλει η
εταιρεία να προχωρήσει. Η χρυσή τομή βρίσκεται κατόπιν συνεννοήσεως με την
εταιρεία αξιολόγησης ασφαλείας και με την εταιρεία – πελάτη. Στο τέλος, τα
αποτελέσματα της αξιολόγησης καταγράφονται σε μια αναφορά. Στην αναφορά αυτή
παρουσιάζεται μια σύνοψη των αποτελεσμάτων του ελέγχου ανά κριτήριο καθώς
επίσης και των προτεινόμενων λύσεων και στρατηγικών που καλείται να
ακολουθήσει η εταιρεία για την βελτίωση της ασφάλειας της.
14
ένα τέτοιο άτομο θα μας δώσει μια συνολική εικόνα για την αξιοπιστία των
συστημάτων μας.
15
Καταλήγοντας, η εταιρεία πρέπει να αναζητήσει μια αξιόπιστη επιχείρηση η
οποία θα προβεί στην αξιολόγηση ασφαλείας. Θα πρέπει να προσέχει τα άτομα να
είναι υπεύθυνα, έμπειρα και εχέμυθα έτσι ώστε να μην διατρέχει κίνδυνο λαθών
απειρίας ή εκμετάλλευσης των πληροφοριών από τρίτους. Ένα κρίσιμο κριτήριο θα
είναι η εταιρία που θα αναλάβει την αξιολόγηση να είναι χρόνια στο χώρο και τα
άτομα που θα την στελεχώνουν να είναι κάτοχοι πιστοποιήσεων ασφαλείας όπως οι
πιστοποιήσεις CCIE Security, CEH, CISSP, CCSP,GIAC, OPSTA και Security+ .
2. Τα εγκλήματα τα οποία έχουν σαν στόχο ένα H/Y. Σε αυτή την κατηγορία
είναι αρκετά δύσκολο να εντοπίσουμε την ταυτότητα, τον τόπο δράσης του
εγκληματία και άλλες λεπτομέρειες λόγω της εμπλοκής συνήθως πολύπλοκων
τεχνολογικών τεχνικών επίθεσης. Ένα χαρακτηριστικό στοιχείο είναι ότι από αρμόδιο
όργανο του CSI/FBI παρατηρήθηκε το 2002 από το 90% των δηλωμένων
ηλεκτρονικών παραβιάσεων μόνο το 34% οδηγήθηκε στο νόμο.
16
Όσον αφορά την αξιολόγηση ασφαλείας έχουν ψηφιστεί αρκετοί νόμοι που
καθορίσουν το νομικό πλαίσιο της. Οι νόμοι αυτοί διαφέρουν από χώρα σε χώρα γι’
αυτό και πρέπει να γνωρίσουμε σε γενικές γραμμές το παγκόσμιο αυτό νομικό
γίγνεσθαι.
Στην Ευρώπη υπάρχουν οδηγίες και νόμοι που καθορίζουν τι ισχύει για το
ηλεκτρονικό έγκλημα. Πιο συγκεκριμένα, ο κοινός οργανισμός οικονομικής
συνεργασίας και ανάπτυξης (Organisation for Economic Co-Operation and
Development-OECD) προώθησε ειδικές οδηγίες για την ασφάλεια τις οποίες
καλούνται να τις εφαρμόσουν τα κράτη-μέλη για να υπάρχει οικονομική ανάπτυξη.
Το 1992 εκδόθηκαν οι οδηγίες αυτές για την ασφάλεια των πληροφοριακών
συστημάτων και δικτύων και στις 2 Ιουλίου του 2002 αναθεωρήθηκαν. Στην
αναθεώρηση αυτή προτείνονται οι καλές πρακτικές που πρέπει να ακολουθηθούν για
την ασφάλεια και για την αξιολόγηση ασφαλείας. Ειδικότερα, αναφέρεται ότι η
αξιολόγηση ασφαλείας είναι απαραίτητη για να διαπιστωθούν κενά και να
διορθωθούν οι πολιτικές ασφαλείας, οι πρακτικές, τα μέτρα αντιμετώπισης και οι
διαδικασίες σε μια εταιρεία. Επιπλέον, πρέπει να αναφέρουμε ότι η Αγγλία και η
Γαλλία έχουν συστήσει ξεχωριστά ειδικά κρατικά συμβούλια για την προστασία των
χρηστών και των εταιριών από τα ηλεκτρονικά εγκλήματα. Ακόμη, το 1995 τα κράτη
της ευρωπαϊκής ένωσης κλήθηκαν μέσα από μια ντιρεκτίβα που κατατέθηκε από το
Ευρωπαϊκό κοινοτικό συμβούλιο προστασίας δεδομένων να ακολουθήσουν τις
οδηγίες OECD ενώ παράλληλα έχοντας σαν βάση αυτές να συντάξουν παρόμοιες
εθνικές οδηγίες ασφαλείας.
17
Κατ’ αρχήν, ο ορισμός “Ηacking” πρωτοαναφέρθηκε από το τεχνολογικό
ινστιτούτο της Μασαχουσέτης (MIT) την δεκαετία του 1960 όταν σε συνεργασία με
τον σύλλογο Tech Model Railroad Club (TMRC) προσπάθησαν να βελτιώσουν τα
κυκλώματα των δικών τους μοντέλων των τραίνων με σκοπό να βελτιστοποιήσουν
την απόδοση τους. Ο σύλλογος ήθελε να αναλύσουν μαζί με το MIT εκ νέου τα
κυκλώματα και να τα μετασχηματίσουν έχοντας σαν βάση στην μελέτη τους τον
τρόπο λειτουργίας τους. Σήμερα ο χαρακτηρισμός “Hacking” κατέληξε να σημαίνει
την διαδικασία κατά την οποία προσπαθεί κάποιος να αυξήσει την αποδοτικότητα
ενός προγράμματος ή ενός συστήματος τροποποιώντας ή μετασχηματίζοντας το
πληροφοριακό σύστημα ή το δίκτυο.
Τέλος, υπάρχουν εκείνοι που χρησιμοποιούν τις γνώσεις στο χώρο του
hacking πότε με έννομο και πότε άνομο τρόπο και γι’ αυτό και χαρακτηρίζονται ως
grey hat hackers.
18
να αξιολογήσουν το σύνολο της ηλεκτρονικής ασφάλειας της. Ένα τέτοιο άτομο
καλείται αξιολογητής ασφάλειας υπολογιστικών συστημάτων – penetration tester. Το
άτομο αυτό είναι ένας “ηθικός” hacker και αμείβεται για να μπορέσει να εισβάλει στο
δίκτυο της επιχείρησης με σκοπό να αξιολογήσει το επίπεδο ασφάλειας της.
Όταν δουλεύει μια ομάδα από ethical hackers για την εισβολή σε ένα δίκτυο
καλείται tiger team. Οι διαδικασίες που πρέπει να ακολουθήσει σε μια τέτοιου είδους
αξιολόγηση συνήθως γίνεται κατόπιν διευκρινιστικών οδηγιών από την επιχείρηση.
Χαρακτηριστικό είναι το παράδειγμα ότι συνήθως δεν μπορεί να χρησιμοποιήσει
επιθέσεις τύπου άρνησης παροχής υπηρεσιών (denial of service–DoS ) ή να
εγκαταστήσει ιούς διότι τα αποτελέσματα μπορούν να αποβούν καταστροφικά για
όλο το εταιρικό περιβάλλον. Παρόλα αυτά, η κάθε εταιρεία καθορίζει ανάλογα με τις
ανάγκες της πόσο λεπτομερής και εξονυχιστική θα είναι μια αξιολόγηση ασφαλείας.
20
την αναφορά του ο αξιολογητής έχει εξετάσει το ενδεχόμενο της ύπαρξης πιθανών
απειλών και αδύναμων σημείων μέσα στο σύστημα.
Με τον όρο απειλή (Threat) εννοούμε ένα περιβάλλον ή μία κατάσταση που
μπορεί να προκαλέσει ζημιά ή παραβίαση σε τμήμα ή στο σύνολο του δικτύου. Ο
αναλυτής έχει σαν προτεραιότητα να αναζητήσει πιθανές απειλές μέσα στο σύστημα.
21
καθοδηγήσει τον οργανισμό ή την εταιρεία για να κάνει τις απαραίτητες διορθωτικές
κινήσεις έτσι ώστε να είναι πιο ασφαλής. Επιπλέον, οφείλει να εντοπίσει και εν
συνεχεία να διορθώσει γνωστά κενά ασφαλείας των συστημάτων και των δικτύων και
καθώς και να εντοπίσει με τις κατάλληλες τεχνικές, πρωτοεμφανιζόμενα “κενά” των
συστημάτων (zero-day exploits).
22
επαφή μας με το σύστημα. Χαρακτηριστικά μπορεί να είναι μια σάρωση των θυρών ή
άντληση πληροφοριών από τον ιστότοπο του στόχου.
24
• Εργαλεία ανίχνευσης Ευπαθειών σε διακομιστή ιστοσελίδων (Web
Vulnerability Scanners) Όπως τα εξής: Nikto, Paros proxy, WebScarab, WebInspect,
Burpsuite, Wikto, Acunetix WVS, Watchfire AppScan και N-Stealth.
25
τους σύγχρονους τεχνικούς, οικονομικούς, νομικούς και ηθικούς κανόνες. Οι
Έμπιστες Τρίτες Οντότητες είναι λειτουργικά διασυνδεδεμένες με μια αλυσίδα
εμπιστοσύνης που συχνά αναφέρεται ως ‘διαδρομή πιστοποίησης’ δημιουργώντας
την υποδομή δημοσίου κλειδιού (Public Key Infrastructure - PKI) σε εταιρικό, εθνικό
ή διεθνές επίπεδο.
26
ανεξάρτητα από τη συγκεκριμένη εφαρμογή. Για μία ομάδα χρηστών μικρού
μεγέθους το πρόβλημα θα ήταν εύκολο να επιλυθεί, αλλά για μεγάλες και ανοικτές
ομάδες το πρόβλημα γίνεται διαρκώς ολοένα δυσκολότερο και για την επίλυσή του
απαιτείται η ύπαρξη της ΕΤO.
Είναι φανερό, ότι οι ορισμοί και οι αναλύσεις των όρων ασφάλεια και
εμπιστοσύνη έχουν περισσότερο διαισθητικό χαρακτήρα. Έτσι μπορούμε να δώσουμε
τους παρακάτω ορισμούς, όπου ο όρος "σε κάποιο βαθμό" χρησιμοποιείται για την
εισαγωγή σχετικότητας στους ορισμούς ασφάλειας και εμπιστοσύνης:
28
Κατηγοριοποίηση των ΕΤΟ
Πρόκειται για την περίπτωση της ΕΤΟ η οποία θεωρείται έμπιστη για την
υλοποίηση των λειτουργιών διαχείρισης ψηφιακών πιστοποιητικών και για την
παροχή υπηρεσιών προστιθέμενης αξίας που βασίζονται στην τεχνολογία
κρυπτογράφησης δημόσιου κλειδιού. Η ΕΤΟ είναι έμπιστη και αποδεκτή κυρίως για
την αξιοπιστία της διαδικασίας πιστοποίησης της ταυτότητας του αιτούντος που
προηγείται της έκδοσης πιστοποιητικού. Μία ΕΤΟ αυτού του τύπου δεν απαιτεί και
δεν επιτρέπεται να γνωρίζει τα ιδιωτικά κλειδιά των χρηστών. Η λειτουργικότητά της
περιορίζεται μόνο σε υπηρεσίες κατά τις οποίες παρεμβαίνει έμμεσα στην
πιστοποίηση της ασφάλειας των διακινούμενων δεδομένων, χωρίς να γνωρίζει το
περιεχόμενό τους. Η συνήθης πρακτική σε αυτή την περίπτωση είναι τα αποδεικτικά
τεκμήρια που παρέχονται να μην σχετίζονται με το ίδιο το περιεχόμενό των κειμένων,
αλλά με τις συνόψεις που τους αντιστοιχούν μονοσήμαντα.
Συμπέρασμα
30
δηλαδή διαθέτουν τις επιμέρους ιδιότητες της εμπιστευτικότητας, της ακεραιότητας
και της διαθεσιμότητας.
Βιβλιογραφία
-Μαρούλης Δ., Γκρίτζαλης Δ., Κάτσικας Σ., “Ο ρόλος της Έμπιστης Τρίτης
Οντότητας στην ασφάλεια δικτύων”, Ασφάλεια Πληροφοριών, Τεχνικά, Νομικά και
Κοινωνικά θέματα, Εκδόσεις ΕΠΥ, Αθήνα, 1995
31
-www.insecure.org
-www.wikipedia.org
-www.thc.org
-www.securiteam.com
-http://sectools.org/
32