Ασφάλεια Υπολογιστών και Προστασία ∆εδοµένων

Σηµειώσεις Μαθήµατος ∆’ Εξαµήνου

Κέρκυρα, 2007

Τµήµα Πληροφορικής Ιόνιο Πανεπιστήµιο

∆ιδάσκων:

∆ρ. Εµµανουήλ Μάγκος

Περιεχόµενα

1 Εισαγωγή στην Ασφάλεια Η/Υ ...........................................................................4 1.1 Βασικές Έννοιες.............................................................................................4 1.2 Απειλές, Αδυναµίες και Συνέπειες ................................................................8 1.3 Μοντέλο Επιτιθέµενου ................................................................................14 1.4 Κρίσιµα Ερωτήµατα κατά το Σχεδιασµό της Ασφάλειας............................17 1.5 Πολιτικές Ασφάλειας ...................................................................................22 1.6 Λάθη κατά το Σχεδιασµό Ασφάλειας ..........................................................24

2 Έλεγχος Πρόσβασης & Επαλήθευση Ταυτότητας..........................................30 2.1 Βασικές Έννοιες...........................................................................................30 2.2 Ταυτοποίηση µε Κωδικούς Πρόσβασης ......................................................33

2.2.1 Οι Απειλές............................................................................................34 2.2.2 Σωστή Επιλογή Κωδικών Πρόσβασης ................................................43

2.3 Ταυτοποίηση µε Βιοµετρικές Τεχνικές........................................................47 2.3.1 Βασικές Έννοιες...................................................................................47 2.3.2 Φυσιολογικά Χαρακτηριστικά.............................................................52

2.3.2.1 ∆αχτυλικό Αποτύπωµα (Fingerprint) ...............................................52 2.3.2.2 Αναγνώριση Ίριδας (Iris Recognition) .............................................53 2.3.2.3 Αναγνώριση Αµφιβληστροειδούς (Retina) ........................................54 2.3.2.4 Αναγνώριση Προσώπου (Facial Recognition) .................................55 2.3.2.5 Αναγνώριση Φωνής (Voice Recognition) .......................................56 2.3.2.6 Άλλες Κατηγορίες .............................................................................59

2.3.3 Συµπεριφοριστικά Χαρακτηριστικά ....................................................59 2.3.3.1 Αναγνώριση Υπογραφής ...................................................................59 2.3.3.2 Άλλες Κατηγορίες Συµπεριφοριστικών Μεθόδων .............................61

2.3.4 Ασφάλεια και Χρήσεις Συστηµάτων Βιοµετρίας ................................61 3 Μοντέλα Ελέγχου Προσπέλασης ......................................................................65

3.1 Βασικές Έννοιες...........................................................................................65 3.2 «Κατά ∆ιάκριση» Μοντέλο DAC................................................................68

3.2.1 ∆ικαιώµατα Πρόσβασης σε Συστήµατα Windows (NTFS) ................72 3.2.2 ∆ικαιώµατα Πρόσβασης σε Συστήµατα τύπου Unix...........................74 3.2.3 Πλεονεκτήµατα και Μειονεκτήµατα του µοντέλου DAC ...................76

3.3 «Κατ’ Απαίτηση» Μοντέλο MAC...............................................................77 3.3.1 Το Μοντέλο Bell-LaPadula .................................................................78 3.3.2 Το Μοντέλο Biba.................................................................................79

3.4 Εξουσιοδότηση Βασισµένη σε Ρόλους (RBAC) .........................................80 4 Προστασία από Κακόβουλο Λογισµικό ......................Σφάλµα! ∆εν έχει οριστεί

σελιδοδείκτης. 4.1 Κακόβουλο Λογισµικό (Malware)........................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

4.1.1 Κατηγοριοποίηση & Παρενέργειες Κακόβουλων Προγραµµάτων Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.1.2 «Κλασσικοί» Ιοί..................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.1.3 Σκουλήκια (Worms)............Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.1.4 ∆ούρειοι Ίπποι (Trojan Horses). ...................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.1.5 Spyware – Adware και Hoax ........................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

3

4.1.6 Σύγχρονο Κακόβουλο Λογισµικό.................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

4.2 Μέτρα Αντιµετώπισης ................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.2.1 Προγράµµατα Antivirus......Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.2.2 Προσωπικά Συστήµατα Firewall ..................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.2.3 Ανιχνευτές Ευπαθειών (Vulnerability Scanners).......Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.2.4 Συστήµατα Ανίχνευσης Εισβολών (Intrusion Detection Systems) Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 4.2.5 Λήψη Αντιγράφων Ασφάλειας (Backup) .....Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

5 Ασφάλεια ∆ικτυωµένου Η/Υ...............Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.1 Κινητός Κώδικας (Mobile Code)Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.2 Αρχεία Cookies...........................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.3 Ασφάλεια Ηλεκτρονικής Αλληλογραφίας (e-Mail Security) ....Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.4 Ασφάλεια στο TCP/IP ................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

5.4.1 Ασφάλεια στο Σύστηµα DNS (Domain Name System) ....Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.4.2 Υποκλοπή Πακέτων (Packet Sniffing) .........Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.4.3 Επιθέσεις Πλαστοπροσωπίας (IP Spoofing).Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.4.4 Επιθέσεις Άρνησης Εξυπηρέτησης...............Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

5.5 Μέτρα Προστασίας .....................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.5.1 To πρωτόκολλο SSL ...........Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.5.2 Το πρότυπο IPSEC..............Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 5.5.3 ∆ικτυακά Firewalls .............Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

6 Εισαγωγή στην Κρυπτογραφία...........Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 6.1 Βασικές Έννοιες..........................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 6.2 Υβριδικά Συστήµατα ..................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 6.3 Μονόδροµες Συναρτήσεις Hash (One-way Ηash functions).....Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. 6.4 Έλεγχος Αυθεντικότητας χρήστη σε συστήµατα ∆ηµόσιου Κλειδιού Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

6.4.1 Κώδικες Αυθεντικότητας Μηνύµατος (MAC) ..........Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

6.5 ∆ιαχείριση Κλειδιού ...................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης. Βιβλιογραφία - ∆ικτυογραφία.....................Σφάλµα! ∆εν έχει οριστεί σελιδοδείκτης.

4

1 Εισαγωγή στην Ασφάλεια Η/Υ

1.1 Βασικές Έννοιες Στον όρο «Ασφάλεια» µπορούν να αποδοθούν πολλές ερµηνείες, κάθε µία από τις οποίες µπορεί να αποδώσει µε ακρίβεια διαφορετικές καταστάσεις. Σύµφωνα µε τον ορισµό του λεξικού της Οξφόρδης, «ασφάλεια είναι η ελευθερία από τον κίνδυνο ή το φόβο». ∆ιάφοροι άλλοι ορισµοί µπορούν να χρησιµοποιηθούν για να προσδιορίσουν την ασφάλεια όπως (βλ.λεξικό Μπαµπινιώτη):

• Η κατάσταση στην οποία δεν υπάρχουν κίνδυνοι, όπου αισθάνεται κανείς ότι δεν απειλείται.

• Η αποτροπή κινδύνου ή απειλής, η εξασφάλιση σιγουριάς και βεβαιότητας.

• Υπηρεσία της Αστυνοµίας.

• Ηλεκτρική διάταξη που αποτρέπει πιθανά ατυχήµατα.

• Μηχανισµός στην πόρτα αυτοκινήτου.

• Συµφωνία µεταξύ ασφαλιστικής εταιρείας και πελάτη.

• Ιατροφαρµακευτική περίθαλψη.

Από µία πρακτική άποψη, η ασφάλεια µπορεί να έγκειται στην επαρκή προστασία ανθρώπων και αγαθών, για την οποία µπορεί να λαµβάνονται διάφορα µέτρα προστασίας από πιθανούς κινδύνους. Για παράδειγµα, η φυσική ασφάλεια ενός κτηρίου έγκειται στην αποτροπή εισόδου κακόβουλων ατόµων και στην αποτροπή ζηµιών από φυσικές καταστροφές. Αντίστοιχα, η ασφάλεια µίας ηλεκτρονικής βάσης δεδοµένων έγκειται στην προστασία των δεδοµένων από καταστροφή, διαγραφή, αλλοίωση ή αποκάλυψη σε µη εξουσιοδοτηµένους χρήστες.

Η Ασφάλεια Τεχνολογίας Πληροφορίας και Επικοινωνιών – ασφάλεια ΤΠΕ (Information and Communication Technology Security – ICT Security) περιλαµβάνει την ασφάλεια:

1. Των υπολογιστικών συστηµάτων και εφαρµογών, δηλαδή την προστασία από µη εξουσιοδοτηµένες ενέργειες όπως αλλαγή δικαιωµάτων πρόσβασης, κακόβουλη εκτέλεση εντολών, τροποποίηση της διάρθρωσης του συστήµατος, κακόβουλη ή λανθασµένη χρήση, διακοπή λειτουργίας, καθώς και τη φυσική προστασία των υπολογιστικών συστηµάτων.

2. Των δικτύων και των υποδοµών, δηλαδή την προστασία από µη εξουσιοδοτηµένη λογική πρόσβαση σε ένα δίκτυο, παράκαµψη ή τροποποίηση των κανόνων δροµολόγησης στο δίκτυο, παρακολούθηση του µέσου επικοινωνίας, διακοπή της επικοινωνίας, φυσική προστασία των υποδοµών επικοινωνίας κτλ.

3. Των πληροφοριών, δηλαδή την προστασία των δεδοµένων ως προς την εµπιστευτικότητα, την ακεραιότητα και τη διαθεσιµότητά τους.

5

Το παρακάτω σχήµα επεξηγεί τη σχέση των διαφόρων τµηµάτων της Ασφάλειας Τεχνολογίας Πληροφορίας και Επικοινωνιών.

Ασφάλεια ΤΠΕΑΣΦΑΛΕΙΑ ΤΠΕ

ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ

ΑΣΦΑΛΕΙΑ ∆ΙΚΤΥΩΝΚΑΙ ΥΠΟ∆ΟΜΩΝ

ΑΣΦΑΛΕΙΑΠΛΗΡΟΦΟΡΙΩΝ

∆ΙΑΘΕΣΙΜΟΤΗΤΑ

ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ

ΑΚΕΡΑΙΟΤΗΤΑ

ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ

ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ

ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ

∆ΙΑΘΕΣΙΜΟΤΗΤΑ

ΑΥΘΕΝΤΙΚΟΤΗΤΑ

Η επιστήµη της Ασφάλειας Υπολογιστών σχετίζεται µε ένα πλήθος γνωστικών αντικειµένων, θεωριών και τεχνολογιών που σκοπό έχουν: Την πρόληψη, ανίχνευση και αντιµετώπιση µη εξουσιοδοτηµένων πράξεων, οι οποίες σχετίζονται µε τη χρήση υπολογιστικών συστηµάτων Ο ρόλος του Η/Υ κατά την εκτέλεση των µη εξουσιοδοτηµένων πράξεων συνήθως είναι διττός: 1. Αποτελεί βασικό εργαλείο (αλλά όχι πάντα αποκλειστικό) για την τέλεση τους, 2. Ο ίδιος ο Η/Υ (και συγκεκριµένα τα δεδοµένα ή/και οι πληροφορίες που

περιέχονται ή δηµιουργούνται σε αυτόν) αποτελεί στόχο των πράξεων αυτών. Οι µη εξουσιοδοτηµένες πράξεις, ανάλογα µε τις συνέπειες τους µπορούν να αποτελούν ή όχι ένα Ηλεκτρονικό Έγκληµα (e-crime, computer crime). Οι [Forester and Morrison, 1994] ορίζουν το Ηλεκτρονικό Έγκληµα ως: «Μία εγκληµατική πράξη κατά την τέλεση της οποίας ο Η/Υ αποτελεί το βασικό εργαλείο» Η Ασφάλεια Υπολογιστών χρησιµοποιεί (χωρίς να περιορίζεται από) τη γνώση που πηγάζει από τη µελέτη αρκετών γνωστικών χώρων, όχι απαραίτητα αλληλοσυσχετιζόµενων, όπως Πληροφορική, Κρυπτογραφία και Κοινωνικές Επιστήµες. Συγκεκριµένα:

6

• Πληροφορική

Ανάπτυξη λογισµικού. Η γνώση βασικών τεχνικών προγραµµατισµού κρίνεται απαραίτητη για την αντιµετώπιση των «εχθρών» του συστήµατος (hackers, crackers κ.λ.π) οι οποίοι παράγουν κακόβουλο κώδικα µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση στους πόρους του συστήµατος ή εκµεταλλεύονται λάθη στον κώδικα των εφαρµογών του χρήστη-συστήµατος. ∆ιαχείριση ∆ικτύων-Internet & Τεχνολογίες Υλικού. Η κατανόηση των ηλεκτρονικών διατάξεων, των δικτυακών υποδοµών, καθώς και των υπηρεσιών που τις χρησιµοποιούν (λογισµικό δικτύου, δικτυακές εφαρµογές και υπηρεσίες Internet, αρχιτεκτονικές πρωτόκολλων, κ.λ.π).

• Κρυπτογραφία

Η επιστήµη που ασχολείται µε την προστασία της εµπιστευτικότητας, της αυθεντικότητας και της ακεραιότητας των δεδοµένων και πληροφοριών κατά την αποθήκευση ή/και µεταφορά τους µεταξύ υπολογιστικών διατάξεων. Η κρυπτογραφία χρησιµοποιεί (χωρίς να περιορίζεται από) στοιχεία θεωρίας πληροφοριών (Information theory), µαθηµατικά µοντέλα και στοιχεία θεωρίας γραµµικής άλγεβρας (linear algebra), θεωρίας αριθµών (number theory) κ.α., για το σχεδιασµό τεχνικών προστασίας των δεδοµένων.

• Κοινωνικές Επιστήµες

∆ιοίκηση Ανθρώπινων Πόρων & Ψυχολογία. Η ασφάλεια αξιοποιεί βασικές γνώσεις της θεωρίας της ψυχολογίας (π.χ. προφίλ επιτιθέµενου & αµυνόµενου).

• ∆ίκαιο και Ηθική του Κυβερνοχώρου

Η νοµοθεσία αποτελεί ίσως το σηµαντικότερο µη τεχνικό (non-technical) µέσο για την πρόληψη επιθέσεων στην ασφάλεια Η/Υ. Ωστόσο, ζητήµατα όπως η ανωνυµία των χρηστών, η ελευθερία έκφρασης και η προστασία των πνευµατικών δικαιωµάτων σχετίζονται σε µεγάλο βαθµό και µε την αποκαλούµενη ως Ηθική του Κυβερνοχώρου (Cyber Ethics).

• Ιστορία

Η µελέτη των γεγονότων (στα στρατιωτικά και διπλωµατικά µέτωπα) κατά τους Α’ και Β’ Παγκόσµιους πολέµους (κώδικες, επιθέσεις σε συστήµατα κρυπτογράφησης επικοινωνιών) καθώς και η γνώση που απορρέει από τη µελέτη περιπτώσεων παραβίασης συστηµάτων Η/Υ και επικοινωνιών από τα µέσα της δεκαετίας του 1980 και µετά (δηµιουργία και εξάπλωση κακόβουλου λογισµικού – βλέπε Ενότητα 4).

Ασφάλεια – γιατί τη χρειαζόµαστε Τα τελευταία χρόνια, και κυρίως λόγω της άνθησης και εξάπλωσης των τεχνολογιών και υπηρεσιών Web, οι πληροφοριακοί κίνδυνοι κατά της ασφάλειας Η/Υ και δικτύων είναι πολυάριθµοι. Μια (όχι πλήρης) λίστα από παραδείγµατα:

7

• Κακόβουλο Λογισµικό, π.χ. Ιοί (Viruses), Σκουλήκια (Worms), ∆ούρειοι Ίπποι

(Trojan Horses), Spyware, Adware, µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση στους πόρους ενός Η/Υ.

• Μη εξουσιοδοτηµένη εισβολή σε υπολογιστικά-πληροφοριακά συστήµατα

(Hacking). Χρήση κακόβουλου λογισµικού ή/και τεχνικών Κοινωνικής Μηχανικής (Social Engineering) µε σκοπό την εκµετάλλευση των αδυναµιών και την πρόσβαση στους πόρους του συστήµατος

• Επιθέσεις Άρνησης Εξυπηρέτησης (Denial Of Service). ∆ιακοπή ή υποβάθµιση

των παρεχοµένων υπηρεσιών ενός συστήµατος. • Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading). Χρήση «πλαστής»

ταυτότητας µε σκοπό τη µη ανίχνευση του επιτιθέµενου, ή/και την παράκαµψη των τεχνικών ελέγχου πρόσβασης του συστήµατος.

• Υποκλοπές Επικοινωνιών - Αλλοίωση δεδοµένων. Επιθέσεις στην

εµπιστευτικότητα (confidentiality) και ακεραιότητα (integrity) των δεδοµένων-πληροφοριών που είναι αποθηκευµένες ή ανταλλάσσονται µεταξύ δύο ηλεκτρονικών διατάξεων.

• Μη ζητηθείσα επικοινωνία (spam). Μηνύµατα ηλεκτρονική αλληλογραφίας που

αποστέλλονται χωρίς τη συγκατάθεση του παραλήπτη, ενώ συχνά η ταυτότητα του αποστολέα είναι πλαστογραφηµένη ή απλά αδύνατον να εντοπιστεί.

• Παραβίαση δικαιωµάτων πνευµατικής ιδιοκτησίας. Αντιγραφή, αναπαραγωγή,

παραποίηση ή/και αναδιανοµή δεδοµένων-πληροφοριών που προστατεύονται από τους νόµους περί πνευµατικής ιδιοκτησίας, χωρίς τη συγκατάθεση του δηµιουργού τους.

9

8

1.2 Απειλές, Αδυναµίες και Συνέπειες Απαραίτητη προυπόθεση για το σχεδιασµό-διαχείριση της ασφάλειας ενός συστήµατος είναι η καταγραφή των απειλών και των αδυναµιών του συστήµατος. Έπειτα αναζητούνται και εφαρµόζονται τα κατάλληλα µέτρα προστασίας. Στην ενότητα αυτή παρατίθενται και επεξηγούνται οι όροι που σχετίζονται µε την παραπάνω διαδικασία.

Πληροφοριακός Πόρος ή Αγαθό (Asset). Κάθε αντικείµενο ή πόρος που ανήκει ή υποστηρίζει ένα πληροφοριακό σύστηµα και το οποίο αξίζει να προστατευθεί. Υπάρχουν διάφορες κατηγορίες αγαθών, όπως: - Φυσικά Αγαθά (Physical Assets): Κτήρια, Υπολογιστές, ∆ικτυακή Υποδοµή,

Έπιπλα, κτλ - Αγαθά ∆εδοµένων (Data Assets): Αρχεία (ηλεκτρονικά, έντυπα) - Αγαθά Λογισµικού (Software Assets): Λογισµικό Εφαρµογών, Λειτουργικά

Συστήµατα, κτλ.

Συνέπεια ή Αξία Αγαθού (Impact or Value). Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού. Αυτή µπορεί να µετρηθεί ως:

• Άµεση Οικονοµική Συνέπεια, δηλαδή το κόστος που απαιτείται για την επαναγορά

του αγαθού ή για την συλλογή, επαναδηµιουργία ή συντήρηση.

• Έµµεση συνέπεια, δηλαδή το µη µετρήσιµο κόστος που θα µπορούσε να προκληθεί από την προσβολή του αγαθού. Παραδείγµατα έµµεσης συνέπειας είναι:

- Συνέπειες ∆υσφήµησης και Απώλειας Καλής Πίστης: Είναι η απώλεια που θα

προκαλέσει σε έναν οργανισµό µία επιτυχηµένη επίθεση ασφάλειας, λόγω της δυσφήµησης και της απώλειας καλής πίστης που θα προκαλέσει. Για παράδειγµα, µία επιτυχηµένη επίθεση στο δίκτυο µίας τράπεζας θα αποτρέψει πολλούς πελάτες από τη χρήση υπηρεσιών ηλεκτρονικής τραπεζικής και άρα θα έχει συνέπειες στα έσοδα αυτής της υπηρεσίας.

- Νοµικές Συνέπειες: Είναι η απώλεια που θα προκαλέσει σε έναν οργανισµό

µία επιτυχηµένη επίθεση ασφάλειας λόγω αδυναµίας συµµόρφωσης µε νοµικές υποχρεώσεις. Για παράδειγµα, σε περίπτωση που κάποιο νοσηλευτικό ίδρυµα δεν λαµβάνει τα αναγκαία µέτρα για την προστασία των δεδοµένων ασθενών και εξαιτίας ελλιπών µέτρων διαρρεύσουν δεδοµένα υγείας ενός ασθενούς, τότε ενδέχεται να υπάρξουν πρόστιµα λόγω παραβίασης της νοµοθεσίας περί προστασίας προσωπικών δεδοµένων.

- Συνέπειες ∆ιακοπής ή Παρεµπόδισης Λειτουργίας: Είναι το κόστος που

προκαλείται λόγω της προσωρινής διακοπής ή παρεµπόδισης λειτουργίας. Για παράδειγµα, εάν το δίκτυο ενός τηλεπικοινωνιακού παρόχου υποστεί µία επιτυχηµένη επίθεση άρνησης εξυπηρέτησης (Denial-of-Service attack) και δεν λειτουργεί κανονικά για ορισµένο χρονικό διάστηµα, τότε θα υπάρξουν απώλειες από τη µη χρήση της υπηρεσίας για το χρονικό αυτό διάστηµα (χαµένες κλήσεις sms, κτλ).

9

- Κοινωνικές Συνέπειες: Αυτές αφορούν τις απώλειες που θα προκληθούν στο

κοινωνικό σύνολο από µία επιτυχηµένη επίθεση στις ΤΠΕ ενός οργανισµού. Για παράδειγµα, σε περίπτωση που το σύστηµα συλλογής κλήσεων άµεσης δράσης της Αστυνοµίας υποστεί επίθεση και δεν λειτουργεί, θα υπάρξουν συνέπειες στο κοινωνικό σύνολο από την αδυναµία κλήσεως της Αρχής για αυτό το χρονικό διάστηµα.

Σηµειώνεται ότι σε πολλές περιπτώσεις µία επιτυχηµένη επίθεση ασφάλειας µπορεί να έχει περισσότερες από µία άµεσες ή έµµεσες συνέπειες σε ένα αγαθό. Σε αυτή την περίπτωση η συνέπεια θα εκτιµηθεί µε βάση την µεγαλύτερη συνέπεια της συγκεκριµένης επίθεσης.

Απειλή (Threat). Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό. Μία απειλή µπορεί να προκληθεί από τυχαία ή εσκεµµένα γεγονότα. Παραδείγµατα απειλών είναι:

• Περιβαλλοντικές απειλές: Φωτιά, σεισµός, πληµµύρα, καταιγίδα, καύσωνας,

κεραυνός, προβλήµατα κλιµατισµού, προβλήµατα ηλεκτρισµού κτλ • Σκόπιµες ανθρώπινες απειλές: πλαστοπροσωπία, εύρεση κωδικού, εκµετάλλευση

αδυναµιών δικτύου, λογισµικού, λειτουργικού συστήµατος, κακή χρήση των πόρων, µη εξουσιοδοτηµένη πρόσβαση, κλοπή, απάτη, βανδαλισµός, εµπρησµός κτλ

• Μη σκόπιµες ανθρώπινες απειλές: Λανθασµένη χρήση συστήµατος,

προγραµµατιστικά λάθη, µη σκόπιµη αποκάλυψη δεδοµένων, µη σκόπιµη καταστροφή εξοπλισµού κτλ.

Οι απειλές στην ασφάλεια του συστήµατος διακρίνονται σε Εξωτερικές (δηλαδή απειλές που προέρχονται από το εξωτερικό περιβάλλον – π.χ. εκτός του Οργανισµού/Επιχείρησης) και σε Εσωτερικές (δηλαδή απειλές που προέρχονται από το εσωτερικό περιβάλλον – π.χ. εντός του Οργανισµού/Επιχείρησης). 1. Εξωτερικές απειλές. Γεγονότα, καταστάσεις ή οντότητες που δρουν ή

εκτυλίσσονται στο εξωτερικό περιβάλλον απειλούν την ασφάλεια του συστήµατος.

• Εξωτερικοί Εισβολείς (outsiders): Hackers / Crackers / Vandals / Hacktivists,

Πραγµατοποίηση Επιθέσεων όπως:

o Footprinting – Εύρεση στοιχείων για την επιχείρηση π.χ. µπλοκ IP διευθύνσεων, e-mail διευθύνσεις, τοπολογία δικτύου, ονόµατα υπολογιστών, διάρθρωση της επιχείρησης κ.λ.π

o Scanning & enumerating - Εύρεση υπηρεσιών, προγραµµάτων εφαρµογών και πρωτοκόλλων που υλοποιούν/εκτελεί ο υπολογιστής-στόχος,

o Hacking - Παράκαµψη του µηχανισµού ασφάλειας µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση σε κάποιο αγαθό του συστήµατος).

10

• Κακόβουλο λογισµικό: Ιοί (Viruses), Σκουλήκια (Worms), ∆ούρειοι Ίπποι (Trojan Horses), λογισµικό spyware/adware κ.λ.π.

• Κοινωνικοί Μηχανικοί (Social Engineers): Εξωτερικοί χρήστες που εκµεταλλεύονται τον ανθρώπινο παράγοντα για να παρακάµψουν έναν µηχανισµό ασφάλειας και να αποκτήσουν µη εξουσιοδοτηµένη πρόσβαση στο σύστηµα.

2. Εσωτερικές Απειλές. ∆ηλαδή, «νόµιµοι» χρήστες του συστήµατος οι οποίοι

προσπαθούν να αποκτήσουν µη εξουσιοδοτηµένη πρόσβαση σε πόρους του συστήµατος.

- Χρήστες της Επιχείρησης/Οργανισµού που παρακάµπτουν τις διαδικασίες

ελέγχου για την πρόσβαση σε διαβαθµισµένα δεδοµένα/πληροφορίες. - Χρήστες που αποκτούν πρόσβαση σε λογαριασµούς χρηστών µε περισσότερα

δικαιώµατα σε σχέση µε τα δικαιώµατα που ήδη έχουν. Αδυναµία (Vulnerability). Οποιοδήποτε χαρακτηριστικό κάνει ευάλωτο ένα αγαθό σε κάποια απειλή. Για παράδειγµα, εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται επαρκώς, το αρχείο έχει µεγάλη αδυναµία στην απειλή της κλοπής. Όσο µεγαλύτερη είναι η αδυναµία ενός αγαθού σε µία απειλή, τόσο µεγαλύτερες θα είναι οι συνέπειες στο αγαθό σε περίπτωση που εκδηλωθεί η απειλή αυτή. Οι αδυναµίες µπορεί είτε να είναι «εγγενείς» (π.χ. υπερχείλιση καταχωρητή – «κακή» διαχείριση της µνήµης από µια εφαρµογή ή το Λ.Σ.), ή να δηµιουργούνται από κακή χρήση-διαχείριση του συστήµατος (π.χ. λάθος ορισµός των «δικαιωµάτων» - permissions σε ένα αρχείο).

18

Επιθέσεις (attacks) Μια εξωτερική (ή εσωτερική) απειλή εκµεταλλεύεται µια ή περισσότερες αδυναµίες και εξαπολύει µια επίθεση που έχει ως συνέπεια την παραβίαση της

11

εµπιστευτικότητας, της αυθεντικότητας, της ακεραιότητας ή της διαθεσιµότητας του συστήµατος. Τυχαίες και Εσκεµµένες Επιθέσεις. Οι επιθέσεις που πραγµατοποιούνται µπορεί να είναι:

- Τυχαίες - π.χ. λάθη, αµέλεια, φωτιά, διακοπή ρεύµατος.. - Εσκεµµένες – π.χ. hackers, crackers, vandals,..

Ένα σύστηµα αποτελείται από διατάξεις υλικού (Υλικό), εφαρµογές λογισµικού (Λογισµικό), ∆εδοµένα, Γραµµές Επικοινωνίας, καθώς και ανθρώπους που τα διαχειρίζονται-χρησιµοποιούν. Σε χαµηλό επίπεδο, εκτός από τις προηγούµενες γενικές κατατάξεις, οι επιθέσεις στην Ασφάλεια Η/Υ µπορούν επίσης να κατηγοριοποιηθούν ανάλογα µε το είδος της συνέπειας που επιφέρουν, καθώς και ανάλογα µε τον τύπο του αγαθού που επηρεάζουν. Έτσι, οι επιθέσεις διακρίνονται σε: • Επιθέσεις Υποκλοπής (Interception)

- Μία µη εξουσιοδοτηµένη οντότητα αποκτά πρόσβαση σε ένα αγαθό.

Οι επιθέσεις Υποκλοπής µπορεί να έχουν ως στόχο το Υλικό (π.χ. εξαγωγή κλειδιών-κωδικών από κάρτες), τα ∆εδοµένα (π.χ. επιθέσεις sniffing, µη εξουσιοδοτηµένη ανάγνωση ή αντιγραφή εγγράφων/φακέλων, αρχείων κωδικών (password files), υποκλοπή αριθµών πιστωτικών καρτών, κωδικών PIN, κωδικών password κατά τη µεταφορά τους στο δίκτυο), το Λογισµικό (π.χ. µη εξουσιοδοτηµένη πρόσβαση στον κώδικα των προγραµµάτων, µη εξουσιοδοτηµένη αντιγραφή προγραµµάτων) ή τις Γραµµές Επικοινωνίας του συστήµατος (π.χ. επιθέσεις ανάλυσης κίνησης -traffic analysis). Ουσιαστικά αποτελούν επιθέσεις κατά της Εµπιστευτικότητας (Confidentiality) του Συστήµατος. • Επιθέσεις ∆ιακοπής (Interruption)

- Ένα αγαθό χάνεται, γίνεται µη διαθέσιµο, ή τίθεται εν αχρηστία. Για παράδειγµα, διαγραφή αρχείων, δεδοµένων και πληροφοριών, επιθέσεις άρνησης εξυπηρέτησης (DOS attacks) κ.λ.π

Οι επιθέσεις ∆ιακοπής µπορεί να έχουν ως στόχο το Υλικό (ζηµιά, βλάβες, διακοπή ρεύµατος, επιθέσεις άρνησης εξυπηρέτησης σε ηλεκτρονικές διατάξεις), το Λογισµικό (διαγραφή ή αναστολή της εκτέλεσης προγράµµατος ή του Λ.Σ.), τα ∆εδοµένα (π.χ. διαγραφή ή απώλεια δεδοµένων, επιθέσεις στο Σύστηµα Αρχείων –file system) ή τις Γραµµές Επικοινωνίας (π.χ. βλάβη/επίθεση στους δροµολογητές ή στο µέσο µετάδοσης µε σκοπό τη διακοπή της επικοινωνίας). Ουσιαστικά αποτελούν επιθέσεις κατά της ∆ιαθεσιµότητας (Availability) του Συστήµατος. • Επιθέσεις Αλλοίωσης (Modification)

- Μία οντότητα αποκτά µη εξουσιοδοτηµένη πρόσβαση µε σκοπό την αλλοίωση-τροποποίηση των περιεχοµένων ενός αγαθού.

12

Οι επιθέσεις Αλλοίωσης µπορεί να έχουν ως στόχο το Υλικό (π.χ. φθορά ή επιθέσεις σε ηλεκτρονικές διατάξεις µε σκοπό την παράκαµψη µηχανισµών ασφάλειας π.χ. αλλαγή των δεδοµένων που καταγράφονται σε τακογράφους, αλλαγή στα κυκλώµατα των αποκωδικοποιητών συνδροµητικού περιεχοµένου κ.λ.π), το Λογισµικό (π.χ. αλλοίωση του κώδικα του προγράµµατος), ή τα ∆εδοµένα του Συστήµατος (αλλοίωση των περιεχοµένων ενός αρχείου, των εγγραφών σε µια Β∆, αλλοίωση του ποσού πληρωµής σε µια συναλλαγή Ηλ/ Εµπορίου κλπ. Ουσιαστικά αποτελούν επιθέσεις κατά της Ακεραιότητας (Integrity) του Συστήµατος. • Επιθέσεις Εισαγωγής (Fabrication)

- Ένα (µη αυθεντικό) αντικείµενο ή υποκείµενο εισέρχεται στο σύστηµα. Οι επιθέσεις Πλαστοπροσωπίας (Spoofing), παραπλανητικής αλληλογραφίας (Phishing), Ενδιάµεσης Οντότητας (Man in the Middle), καθώς και οι επιθέσεις Επανάληψης (replay attacks) αποτελούν υποπεριπτώσεις αυτής της κατηγορίας επιθέσεων.

20

Υποκλοπή (Interception)Μία µη εξουσιοδοτηµένη οντότητα αποκτάπρόσβαση σε ένα αγαθό

∆ιακοπή (Interruption)Ένα αγαθό χάνεται, γίνεται µη διαθέσιµο, ή τίθεται εν αχρηστία

Αλλοίωση (Modification)Μία µη εξουσιοδοτηµένη οντότητα όχι µόνοαποκτά πρόσβαση αλλά σε ένα αγαθό, αλλάεπιπλέον το αλλοιώνει-τροποποιεί

Εισαγωγή (Fabrication)Ένα (µη αυθεντικό) αντικείµενο εισέρχεταιστο σύστηµα

Κατηγοριοποίηση επιθέσεων

Οι επιθέσεις Εισαγωγής µπορεί να έχουν ως στόχο το Υλικό (π.χ. αντικατάσταση ηλεκτρονικής διάταξης), το Λογισµικό (π.χ. αντικατάσταση του νοµίµου προγράµµατος µε κάποιο άλλο, συνήθως κακόβουλο πρόγραµµα), τα ∆εδοµένα ή τους Ανθρώπους του συστήµατος (π.χ. επιθέσεις πλαστοπροσωπίας, IP/DNS spoofing, πλαστά πιστοποιητικά δηµόσιου κλειδιού, Phishing, επιθέσεις Ενδιάµεσης Οντότητας κλπ). Αποτελούν επιθέσεις κατά της Ακεραιότητας (Integrity) και της Αυθεντικότητας του Συστήµατος. Σηµείωση: Οι επιθέσεις Κοινωνικής Μηχανικής έχουν ως αρχικό στόχο τους ανθρώπους-µέλη του συστήµατος, µε απώτερο όµως σκοπό την πραγµατοποίηση µιας εκ των ως άνω επιθέσεων.

13

Οι επιθέσεις κατά του Συστήµατος µπορούν επίσης να κατηγοριοποιηθούν σε Παθητικές και Ενεργητικές: • Παθητικές (Passive): Επιθέσεις υποκλοπής κατά τις οποίες ο «εχθρός» αποκτά

µη εξουσιοδοτηµένη πρόσβαση σε κάποιο αγαθό του συστήµατος. Αναφέρονται ως παθητικές επειδή ο «εχθρός» υποκλέπτει (και µόνον) το αγαθό χωρίς να τροποποιεί, να διαγράφει ή να εισάγει δεδοµένα που διακινούνται στο σύστηµα.

• Ενεργητικές (Active): Ο εχθρός έχει τη δυνατότητα να εξαπολύσει επιθέσεις

∆ιακοπής, Αλλοίωσης, ή Εισαγωγής. Οι ενεργητικές επιθέσεις θεωρούνται οι πλέον δύσκολες ως προς την αντιµετώπιση τους.

Απαιτήσεις Ασφάλειας Ποιες είναι οι απαιτήσεις ασφάλειας που πρέπει να ικανοποιούνται σε ένα σύστηµα; Μια διαδεδοµένη κατηγοριοποίηση περιλαµβάνει τα εξής: • Ιδιωτικότητα (Privacy). Η ιδιωτικότητα θεωρείται ένας αρκετά γενικός όρος.

Στη βιβλιογραφία συναντάµε δύο επιπλέον έννοιες που σχετίζονται µε την ιδιωτικότητα:

- Ανωνυµία (Anonymity): Απόκρυψη της ταυτότητας µιας οντότητας

(υποκείµενο, πρόγραµµα, ηλεκτρονική διάταξη) που συµµετέχει σε µια συναλλαγή.

- Εµπιστευτικότητα / Μυστικότητα (Confidentiality, Secrecy). Το περιεχόµενο

των αποθηκευµένων ή µεταφερόµενων δεδοµένων προστατεύεται από µη εξουσιοδοτηµένη ανάγνωση-αντιγραφή (επιθέσεις υποκλοπής).

• Αυθεντικότητα (Authenticity, Authentication). Στη βιβλιογραφία, ο όρος συχνά

σχετίζεται µε τις ακόλουθες έννοιες:

- Ταυτοποίηση (Identification) ή Αυθεντικοποίηση Οντότητας (Entity Authentication): Με την ταυτοποίηση δίνεται απάντηση στο ερώτηµα «Ποιος είναι αυτός που θέλει να αποκτήσει πρόσβαση;»

- Αυθεντικοποίηση Προέλευσης Μηνύµατος (Data Origin Authentication):

∆ίνεται απάντηση στο ερώτηµα: «Ποιος έστειλε αυτό το µήνυµα;» - Εξουσιοδότηση (Authorization) ή Έλεγχος Προσπέλασης: Τα µοντέλα

εξουσιοδότησης δίνουν απάντηση στο ερώτηµα «Τι µπορεί να κάνει αυτός που απέκτησε πρόσβαση;»

- Μη αποποίηση Ευθύνης (Non-Repudiation): ∆ίνεται (αρνητική) απάντηση στο

ερώτηµα: «Μπορεί ο χρήστης Α να αρνηθεί ότι πραγµατοποίησε τη συναλλαγή;» Η απαίτηση της «µη αποποίησης Ευθύνης» βρίσκει σηµαντική εφαρµογή σε εφαρµογές Ηλεκτρονικού Εµπορίου.

Παράδειγµα: Μπορεί ένα από τα συµβαλλόµενα µέρη σε µια ηλεκτρονική συναλλαγή, να αρνηθεί τη συναλλαγή;

14

• Ακεραιότητα (Integrity). Προστασία των αγαθών του συστήµατος από µη

εξουσιοδοτηµένη τροποποίηση-αλλοίωση. Στη βιβλιογραφία, ο όρος συχνά σχετίζεται-ταυτίζεται µε την ιδιότητα της Αυθεντικότητας.

Σηµείωση: Εάν ένα µήνυµα, κατά την µεταφορά του, τροποποιηθεί π.χ. εσκεµµένα από κάποιον τρίτο, τότε το µήνυµα, εκτός από την ακεραιότητα, χάνει επίσης την αυθεντικότητα του. • ∆ιαθεσιµότητα (Availability). Εξασφάλιση της συνεχούς και αδιάλειπτης

πρόσβασης στα [δεδοµένα / πληροφορίες / προγράµµατα / υπηρεσίες / υλικό] του συστήµατος.

1.3 Μοντέλο Επιτιθέµενου Πρωταρχικό ρόλο κατά το σχεδιασµό της ασφάλειας ενός συστήµατος είναι ο εντοπισµός των απειλών (εσωτερικών ή εξωτερικών). Το µοντέλο των απειλών αντανακλάται στην Πολιτική Ασφαλείας (Security Policy) που σχεδιάζεται, δηµοσιεύεται και υλοποιείται µε σκοπό την προστασία των αγαθών µιας επιχείρησης. Σε αυτήν τη διαδικασία, µεγάλο ενδιαφέρον παρουσιάζει το «προφίλ» του δυνητικού εισβολέα. Το προφίλ αυτό βρίσκεται σε άµεση συνάρτηση µε την σηµασία των αγαθών του συστήµατος που επιθυµούµε να προστατεύσουµε. Όσο µεγαλύτερη αξία έχουν τα αγαθά υπό προστασία, τόσο πιο έξυπνες και στοχευµένες θα είναι οι επιθέσεις που αναµένεται να εξαπολύσει ο δυνητικός εισβολέας.

29

Σχεδιάζοντας την ασφάλεια…;Κρίσιµες Ερωτήσεις…

A. Ποιο είναι το µοντέλο του επιτιθέµενου; (Attacker model)1. Derek is a 19-year old. He's looking for a low-risk

opportunity to steal something like a video recorder which he can sell.

2. Charlie is a 40-year old inadequate with seven convictions forburglary. He's spent seventeen of the last twenty-ve years inprison. Although not very intelligent he is cunning andexperienced; he has picked up a lot of `lore' during his spellsinside. He steals from small shops and prosperous lookingsuburban houses, and takes whatever he thinks he can sell tolocal fences. Ross Anderson, Security Engineering, 2001

Το µοντέλο του επιτιθέµενου περιγράφεται από τον [Anderson 2001] ως άνω. Τα προφίλ των χρηστών Derek, Charlie, Bruno και Abdurrahman αντανακλούν και τις δυνατότητες του δυνητικού εισβολέα.

15

Σηµείωση: Ένα σύνηθες λάθος κατά το σχεδιασµό της Ασφάλειας του συστήµατος είναι όταν τα αγαθά του συστήµατος διαφυλάσσονται έναντι του Charlie, ωστόσο µπορεί να προσελκύουν το ενδιαφέρον του Bruno ή του Abdurrachman.

30

Σχεδιάζοντας την ασφάλεια…;Κρίσιµες Ερωτήσεις…

A. Ποιο είναι το µοντέλο του επιτιθέµενου; (Attacker model)3. Bruno is a `gentleman criminal'. His business is mostly

stealing art. As a cover, he runs a small art gallery. He has a (forged) university degree in art history on the wall, and one conviction for robbery eighteen years ago. After two years in jail, he changed his name and moved to a different part of the country. He has done occasional `black bag' jobs for intelligence agencies who know his past. He'd like to get into computer crime, but the most he's done so far is stripping $100,000 worth of memory chips from a university's PCs back in the mid-1990s time when there was a memory famine.

Ross Anderson, Security Engineering, 2001 Ερασιτέχνες Εισβολείς (Amateurs) Η κατηγορία του ερασιτέχνη hacker, αντιστοιχεί στον Derek, σύµφωνα µε το µοντέλο του [Anderson 2001]. Οι ερασιτέχνες εισβολείς (amateurs) συνήθως διαθέτουν επαρκείς γνώσεις προγραµµατισµού και δικτύων Η/Υ, ωστόσο είναι ικανοί να εντοπίσουν (τυχαία ή εσκεµµένα) µια αδυναµία στο σύστηµα και να την εκµεταλλευτούν. Συνήθως χρησιµοποιούν έτοιµα εργαλεία-προγράµµατα που έχουν δηµιουργηθεί από (elite) hackers (π.χ. εργαλεία port scanning, sniffing, toolkits κατασκευής ιών, σκουληκιών και trojans, προγράµµατα παραβίασης προγραµµάτων - cracking, κ.λ.π). Οι ερασιτέχνες εισβολείς επιτίθενται ορµώµενοι είτε από περιέργεια (π.χ. «τι µπορώ να κάνω µε αυτό το εργαλείο;») είτε από τη διάθεση για µάθηση. Χαρακτηριστικό παράδειγµα επίσης αποτελεί και η κατηγορία δυσαρεστηµένων υπαλλήλων (εσωτερικοί εχθροί – insiders) που εκµεταλλεύονται µια ευπάθεια του συστήµατος. Εισβολείς (Hackers, Crackers) Ο όρος Hacker, στενά συνδεδεµένος µε την έννοια της παραβίασης συστηµάτων, χρησιµοποιείται συχνά για να συµπεριλάβει όλα τα είδη των (κακόβουλων και µη) εξωτερικών εισβολέων. Στο µοντέλο απειλών που µελετούµε, ο όρος hacker αναφέρεται σε άρτιους γνώστες (διαδικτυακού) προγραµµατισµού, δικτύων Η/Υ, αρχιτεκτονικών πρωτοκόλλων και υπηρεσιών του Internet, που εισβάλουν σε υπολογιστικά και πληροφοριακά συστήµατα κυρίως οδηγούµενοι από περιέργεια και (σπάνια) για προσωπικό (όχι απαραίτητα οικονοµικό) κέρδος. Συνήθως αναπτύσσουν

16

οι ίδιοι τα εργαλεία που χρησιµοποιούν (επιστρατεύοντας, εκτός των άλλων, γλώσσες προγραµµατισµού χαµηλού επιπέδου). Κατά κανόνα λειτουργούν στα πλαίσια µιας αυστηρής ιεραρχίας, ανήκουν σε οµάδες ακτιβιστικού χαρακτήρα, ισχυριζόµενοι ότι έχουν ως στόχο την ελεύθερη διακίνηση ιδεών και προγραµµάτων. Η κατηγορία του hacker, αντιστοιχεί µε τον χρήστη Charlie στο µοντέλο του [Anderson 2001].

31

Σχεδιάζοντας την ασφάλεια…;Κρίσιµες Ερωτήσεις…

A. Ποιο είναι το µοντέλο του επιτιθέµενου; (Attacker model)4. Abdurrahman heads a cell of a dozen militants, most with

military training. They have infantry weapons and explosives, with PhD-grade technical support provided by a disreputable country. Abdurrahman himself came third out of a class of 280 at the military academy of that country but was not promoted because he's from the wrong ethnic group. He thinks of himself as a good man rather than a bad man. His mission is to steal plutonium..

Τελικά: Το σύστηµα µας θα είναι ασφαλές έναντι τίνοςµοντέλου;

Ross Anderson, Security Engineering, 2001 Στο µοντέλο ασφάλειας που µελετούµε, οι Crackers έχουν ως σκοπό την εισβολή σε συστήµατα και την εξαπόλυση επιθέσεων υποκλοπής, εισαγωγής, διαγραφής και αλλοίωσης, µε απώτερο σκοπό το κέρδος, ή την καταξίωση στην κοινότητα των hackers. Οι δηµιουργοί των ιών (και γενικότερα κακόβουλου λογισµικού) µπορούν να θεωρηθούν ως crackers. Συχνά οι όροι hacker και cracker χρησιµοποιούνται αλληλένδετα. Επαγγελµατίες Εισβολείς (Career Criminals) Οι Επαγγελµατίες Εισβολείς (career criminals) συνδυάζουν συνήθως τη γνώση των hackers και τις ικανότητες ενός Κοινωνικού Μηχανικού (Social Engineer). Ένας Κοινωνικός Μηχανικός δεν επαφίεται µόνον στη γνώση της τεχνολογίας ούτε έχει ως αποκλειστικό στόχο µια συγκεκριµένη κατηγορία αγαθών (π.χ. ∆εδοµένα, Λογισµικό, Υλικό, Γραµµές Επικοινωνίας). Στόχος της επίθεσης ενός Κοινωνικού Μηχανικού είναι ο άνθρωπος (π.χ. τεχνικές phishing). H λέξη «Επαγγελµατίας» προσδιορίζει και τον απώτερο σκοπό των επιθέσεων που εξαπολύονται, δηλαδή το κέρδος.. Στο µοντέλο του Anderson, η κατηγορία του επαγγελµατία εισβολέα, αντιστοιχεί µε τον χρήστη Bruno. Ο σχεδιασµός της Πολιτικής Ασφάλειας ενός Οργανισµού/Επιχείρησης οφείλει να λαµβάνει υπ’όψιν τις απειλές που σχετίζονται µε την Κοινωνική Μηχανική Σηµείωση: Στο µοντέλο ασφάλειας του [Anderson 2001], Θεωρείται ότι ο Abdurrahman δεν είναι δυνατό να αντιµετωπιστεί από κανένα σύστηµα ασφάλειας.

17

1.4 Κρίσιµα Ερωτήµατα κατά το Σχεδιασµό της Ασφάλειας Α. Η προστασία θα επικεντρωθεί στα δεδοµένα, στις διαδικασίες, ή στους χρήστες; ∆εδοµένα: Τεχνικές ελέγχου πρόσβασης (access control) µε τη χρήση εξειδικευµένων προγραµµάτων και εξοπλισµού ασφαλείας. ∆ιαδικασίες: Η ασφάλεια επικεντρώνεται κυρίως στις διαδικασίες που ακολουθούνται (Organizational Security) και λιγότερο σε εξεζητηµένα τεχνολογικά µέσα. Για παράδειγµα, όταν οι χρήστες ταυτοποιούνται, η πολιτική ασφάλειας µπορεί να καθορίζει ότι κατά την ταυτοποίηση του χρήστη θα παρίσταται και ένα τρίτο εξουσιοδοτηµένο πρόσωπο (π.χ. προσωπικό ασφάλειας) ώστε, σε περίπτωση που το ηλεκτρονικό σύστηµα απορρίψει λανθασµένα (False Reject) την είσοδο στο σύστηµα, να ελέγχεται η ταυτότητα του ατόµου µε φυσικά µέσα. Συχνά οι διαδικασίες ασφάλειας περιγράφονται στα πλαίσια µιας Πολιτικής Ασφάλειας (Security Policy) και συµπληρώνονται ή/και υποβοηθούνται από τεχνολογικά µέσα. Χρήστες: ∆ίνεται έµφαση στον ανθρώπινο παράγοντα, µε σκοπό τη γνώση για την αντιµετώπιση επιθέσεων κοινωνικής µηχανικής (π.χ. ενηµέρωση των χρηστών του συστήµατος για την προστασία τους από τεχνικές παραπλάνησης - phishing). Σηµείωση: Ένα ολοκληρωµένο σύστηµα ασφάλειας επικεντρώνεται εξίσου και στα τρεις κατηγορίες.

37

Σχεδιάζοντας την ασφάλεια…;Κρίσιµες Ερωτήσεις…

B. Η προστασία θα επικεντρωθεί στην τεχνολογία, στιςδιαδικασίες, ή στους χρήστες;

18

Β. Σε ποιο επίπεδο θα εφαρµόσουµε µηχανισµούς ασφάλειας; Σε γενικές γραµµές, όσο πιο χαµηλό είναι το επίπεδο στο οποίο ενσωµατώνονται κάποιος µηχανισµός ασφάλειας, τόσο πιο δύσκολη είναι η παράκαµψη του. Για παράδειγµα, ξεκινώντας από τα χαµηλά επίπεδα, η κατηγοριοποίηση έχει ως εξής: • Υλικό. Παράδειγµα αποτελούν οι «έξυπνες» κάρτες (tamper-resistant smartcards)

– οποιαδήποτε προσπάθεια µη εξουσιοδοτηµένης ανάγνωσης των περιεχοµένων της κάρτας έχει ως αποτέλεσµα την αυτόµατη διαγραφή των δεδοµένων της κάρτας. Τονίζεται πως η παράκαµψη ενός µηχανισµού ασφάλειας που εφαρµόζεται σε αυτό το επίπεδο, ενδεχοµένως απαιτεί επαρκείς γνώσεις τεχνολογιών υλικού και αρχιτεκτονικής Η/Υ, καθώς επίσης και εξοπλισµό (συνήθως) υψηλού κόστους.

• Λειτουργικό Σύστηµα (Λ.Σ.). Οι µηχανισµοί ασφάλειας εφαρµόζονται στο

επίπεδο του Λ.Σ. Παράδειγµα αποτελεί ο καθορισµός δικαιωµάτων πρόσβασης (permissions) στα σύγχρονα Λ.Σ. (τύπου Unix και Windows), τα αρχεία καταγραφής (log files) στο Λ.Σ., η δηµιουργία Τοµέων (Domains) στο Λ.Σ. Windows 2000 κλπ.

• Λογισµικό Εφαρµογών. Οι µηχανισµοί ασφάλειας εφαρµόζονται σε επίπεδο

εφαρµογών χρήστη. Παραδείγµατα αποτελούν οι εφαρµογές ασφαλούς ηλεκτρονικής αλληλογραφίας (π.χ. PGP), οι τεχνολογίες ασφαλών συναλλαγών µέσω του ∆ιαδικτύου (π.χ. SSΗ), καθώς και εφαρµογές τύπου antivirus, προσωπικά firewalls, anti-spyware, Ανιχνευτές Ευπαθειών (Vulnerability Scanners), Συστήµατα Ελέγχου Εισβολών (IDS), εφαρµογές Καταγραφής και Ελέγχου (Logging and Audit systems), προστασία από παράνοµη αντιγραφή (π.χ. συστήµατα DRM) κ.λ.π

• ∆εδοµένα. Στο επίπεδο αυτό εφαρµόζονται τεχνολογίες προστασίας ή

κρυπτογράφησης των δεδοµένων, ανεξαρτήτως της εφαρµογής που τα δηµιουργεί ή διαχειρίζεται.

39

Λογισµικό Εφαρµογών

Σχεδιάζοντας την ασφάλεια…;Κρίσιµες Ερωτήσεις…

C. Σε ποιο επίπεδο θα ενσωµατώσουµε µηχανισµούς ασφάλειας;

Λειτουργικό Σύστηµα

Υλικό

∆εδοµένα

19

Γ. Θα δoθεί έµφαση στην πρόληψη (prevention), ανίχνευση (detection), ή ανάνηψη (recovery) από παραβίαση ασφάλειας; Οι πλέον σηµαντικές πρακτικές στην ασφάλεια Η/Υ επικεντρώνονται σε τρεις κατευθύνσεις: • Πρόληψη. Στόχος είναι η αποτροπή µιας επίθεσης κατά των αγαθών του

συστήµατος, πριν αυτή συµβεί. Για παράδειγµα, η χρήση µίας πόρτας ασφαλείας στοχεύει στο να αποτρέψει τη µη εξουσιοδοτηµένη είσοδο σε ένα χώρο. Αντίστοιχα, η χρήση ενός συστήµατος firewall σε ένα δίκτυο αποσκοπεί στο να αποτρέψει τη µη εξουσιοδοτηµένη είσοδο (έξοδο) πακέτων σε (από) ένα δίκτυο. Τεχνολογίες όπως Έλεγχος Πρόσβασης σε επίπεδο Λ.Σ., ταυτοποίηση χρηστών, κρυπτογράφηση, ασφάλεια εφαρµογών, συστήµατα antivirus, ανιχνευτές ευπαθειών (vulnerability scanners) χρησιµοποιούνται κατά κόρον για να αποτρέψουν κάθε πιθανή εισβολή.

• Ανίχνευση. Ανεξαρτήτως του είδους και της ποσότητας των µέτρων πρόληψης

που θα υιοθετηθούν, κανένα σύστηµα δε µπορεί να είναι 100% ασφαλές. Στο σχεδιασµό ασφάλειας θα πρέπει λοιπόν να ενσωµατωθούν πρακτικές οι οποίες έχουν ως στόχο να ανιχνεύσουν µια εισβολή, όταν και εφόσον αυτή συµβεί. Τα συστήµατα συναγερµού (alarm systems) αποτελούν το πλέον χαρακτηριστικό παράδειγµα στη φυσική ασφάλεια συστηµάτων. Σε επίπεδο εφαρµογών, ενδιαφέρον παρουσιάζουν τα Συστήµατα Ανίχνευσης Εισβολής (Intrusion Detection Systems) και τα προγράµµατα καταγραφής συµβάντων (logging & audit systems). Με τη χρήση των συστηµάτων IDS, είναι επίσης δυνατόν να περιοριστεί (ή ακόµα και να εξαλειφθεί) ένα περιστατικό εισβολής εν τη γενέσει του, εφόσον το IDS συνεργάζεται, σε πραγµατικό χρόνο, µε προγράµµατα αποτροπής (π.χ. firewalls).

• Ανάνηψη-Επαναφορά. Τα µέτρα ανάνηψης είναι µέτρα προστασίας που

στοχεύουν στο να µειώσουν τον απαιτούµενο χρόνο για την ανάκαµψη µετά από την εκδήλωση επίθεσης. Για παράδειγµα, η ασφαλιστική κάλυψη στοχεύει στο να αποκατασταθούν οι ζηµιές από µία ενδεχόµενη κλοπή ή φυσική καταστροφή. Αντίστοιχα η λήψη αντιγράφων ασφάλειας (backup) σε ένα υπολογιστικό σύστηµα στοχεύει να ελαχιστοποιήσει τις απώλειες και να επισπεύσει το χρόνο ανάκαµψης ενός συστήµατος από µία πιθανή διακοπή λειτουργίας. Η βιωσιµότητα (survivability) ή αλλιώς Συνέχιση Λειτουργίας (Continuity) ενός συστήµατος εξασφαλίζεται µε τεχνικές όπως: αυτόµατη λήψη (ή/και επαναφορά) Αντιγράφων Ασφαλείας (backup), εργαλεία αφαίρεσης κακόβουλου λογισµικού, συστήµατα Πλεονασµού (redundancy) και Ανοχής Λαθών (fault-tolerant systems) όπως συστοιχίες RAID, τεχνικές hot swapping, συστήµατα UPS, εφεδρικές γραµµές επικοινωνίας, τεχνικές load balancing κ.α.

20

40

Σχεδιάζοντας την ασφάλεια…;Κρίσιµες Ερωτήσεις…

D. Θα δωθεί έµφαση στην πρόληψη (prevention), ανίχνευση(detection), ή ανάνηψη (recovery) από παραβίαση ασφάλειας;

Κλείδωσε τα

Παρακολούθησε τα

Αν κλαπούν ήΑλλοιωθούν, Ανάκτησε τα

Κόστος Ασφάλειας (Security Cost). Η οποιαδήποτε επιβάρυνση προκύπτει από τη χρήση ενός µέτρου προστασίας. Το κόστος µπορεί να αφορά την αγορά, εγκατάσταση και συντήρηση του µηχανισµού προστασίας, το λειτουργικό κόστος καθώς και τα κόστη εργασίας του εµπλεκόµενου προσωπικού. ∆. Ασφάλεια εναντίον Λειτουργικότητας Είναι σαφές ότι όσο περισσότεροι και πολύπλοκοι είναι οι µηχανισµοί ασφάλειας που υιοθετούνται, τόσο λιγότερη είναι η λειτουργικότητα-ευελιξία για τους χρήστες και διαχειριστές του συστήµατος. Ένα ιδανικό σύστηµα π.χ. που θα απαιτούσε από τους χρήστες να παρέχουν, εκτός από τον κωδικό password, το δαχτυλικό τους αποτύπωµα καθώς και το αποτύπωµα της ίριδας τους, θα ήταν ιδιαίτερα ασφαλές, ωστόσο δε θα ήταν καθόλου λειτουργικό. Οι µηχανισµοί ασφάλειας που ενσωµατώνονται-υιοθετούνται κατά την κατάρτιση µιας Πολιτικής Ασφάλειας για την επιχείρηση/οργανισµό, θα πρέπει να λαµβάνουν υπ’ όψιν α) την αξία των αγαθών της επιχείρησης, β) το µοντέλο απειλών και γ) τη λειτουργικότητα και το µέγεθος των οικονοµικών πόρων που είµαστε διατεθειµένοι να καταναλώσουµε προκειµένου να επιτύχουµε ένα αποδεκτό επίπεδο προστασίας. Η χρυσή τοµή στο αντιστάθµισµα (trade-off) µεταξύ ασφάλειας και (λειτουργικότητας & κόστος), αποτελεί τη βέλτιστη λύση. Σηµείωση: Σε κάθε πληροφοριακό και δικτυακό σύστηµα, κατά τις διαδικασίες ανάπτυξης και συντήρησης του, θα πρέπει να πραγµατοποιείται µια Ανάλυση Επικινδυνότητας (Risk Analysis) µε σκοπό την επιλογή των µηχανισµών προστασίας που θα µειώσουν τους κινδύνους σε αποδεκτά για την επιχείρηση/οργανισµό επίπεδα.

21

38

∆ιαχείριση Επικινδυνότητας: Στόχος Ασφάλειας

Στόχος της ασφάλειας (Infosec goal)

Ο αντικειµενικός σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού, νακαθορίσει την επιθυµητή ισορροπία µεταξύ του κόστους και τηςσυνέπειας από την επίθεση σε αγαθά

Κόστος Ασφάλειας << Κόστος Αγαθών

Κόστος Επίθεσης >> Ενδεχόµενο Όφελος

Ε. Κεντρική ∆ιαχείριση ή Αποκεντρωµένη ∆ιαχείριση Κεντρική ∆ιαχείριση. Η στρατηγική κεντρικής διαχείρισης των µηχανισµών ασφάλειας προσφέρει µεγαλύτερη ασφάλεια, καθώς ο έλεγχος επικεντρώνεται σε ένα σηµείο (π.χ. στον Domain Server ενός δικτύου Η/Υ), ενώ απαιτείται ένας περιορισµένος αριθµός διαχειριστών. Για παράδειγµα, σε ένα δίκτυο Η/Υ που είναι οργανωµένο σε Τοµείς (Domains), οι χρήστες συνδέονται (login) και ταυτοποιούνται στον Εξυπηρετητή Τοµέα (Domain Server), όπου και εφαρµόζεται η πολιτική εξουσιοδότησης. Τα αρχεία των χρηστών διατηρούνται στον server, κάτι που καθιστά πιο εύκολη την κατάστρωση της πολιτικής πρόσβασης και τη λήψη αντιγράφων ασφάλειας. Ο server µπορεί επίσης να λειτουργεί και ως proxy για τη σύνδεση στον Ιστό (Web), φιλτράροντας έτσι την εισερχόµενη ή/και εξερχόµενη κίνηση από και προς το Web. Σηµείωση: Όταν ο έλεγχος ασκείται κεντρικά από (σε) ένα σηµείο, τότε το σηµείο αυτό παρουσιάζει και το µεγαλύτερο ενδιαφέρον για έναν δυνητικό εισβολέα. Αν καταρρεύσει το σηµείο αυτό τότε διακυβεύεται η λειτουργία ολόκληρου του συστήµατος Αποκεντρωµένη ∆ιαχείριση. Ο έλεγχος δεν ασκείται κεντρικά σε (από) ένα σηµείο, αλλά κατανέµεται σε περισσότερους από έναν ελεγκτές. Στο µοντέλο οµότιµων σταθµών εξυπηρέτησης (Peer to Peer), ο έλεγχος κατανέµεται εξίσου σε όλους τους κόµβους του δικτύου. Η στρατηγική αποκεντρωµένης διαχείρισης προσφέρει λιγότερη ασφάλεια και δυσκολότερη διαχείριση, αλλά περισσότερη λειτουργικότητα. ΣΤ. Τεχνικά και Μη Τεχνικά Μέσα Τεχνικά µέσα. Στα τεχνικά µέσα συµπεριλαµβάνονται όλες οι τεχνικές ελέγχου λογικής πρόσβασης (Logical Access Control) που αναφέραµε και που θα

22

µελετήσουµε στη συνέχεια, καθώς και οι τεχνολογίες ανίχνευσης και αντιµετώπισης εισβολών. Μη τεχνικά µέσα. Συχνά οι τεχνολογίες ελέγχου λογικής πρόσβασης συµπληρώνονται από επικουρικά µέτρα προστασίας. Για παράδειγµα, οι ισχύοντες νόµοι σε εθνικό ή παγκόσµιο επίπεδο συµβάλουν στην αποτροπή-πρόληψη επιθέσεων. Λόγω της αυξανόµενης διείσδυσης του Internet και του Ηλεκτρονικού Εµπορίου, οι νόµοι περί της προστασίας των καταναλωτών, οι νόµοι περί προστασίας πνευµατικής ιδιοκτησίας καθώς και περί ηλεκτρονικών εγκληµάτων παρουσιάζουν το µεγαλύτερο ενδιαφέρον. Μια άλλη κατηγορία συνιστούν οι έλεγχοι φυσικής πρόσβασης και ανίχνευσης, π.χ. ασφάλεια κτιρίου, προσωπικό ασφαλείας, ασφαλείς εγκαταστάσεις, γεννήτριες ρεύµατος κ.λ.π. Ένα άλλο παράδειγµα ελέγχου φυσικής πρόσβασης είναι η τοποθέτηση των «κρίσιµων» (από τη σκοπιά της ασφάλειας) υπολογιστικών συστηµάτων και άλλων ηλεκτρονικών διατάξεων σε ασφαλείς χώρους µε ελεγχόµενη πρόσβαση. Η ενηµέρωση των χρηστών του συστήµατος αποτελεί επίσης ένα «µη τεχνικό» µέσο προστασίας. Η πολιτική του οργανισµού µπορεί να προβλέπει τη διεξαγωγή, σε τακτά χρονικά διαστήµατα, σεµιναρίων µε σκοπό την ενηµέρωση των χρηστών του συστήµατος για τις απειλές παραπλάνησης (phishing) και Κοινωνικής Μηχανικής (Social Engineering).

1.5 Πολιτικές Ασφάλειας Σε έναν οργανισµό (επιχείρηση, δηµόσιο φορέα κτλ), ενδέχεται να ορίζονται Πολιτικές για διάφορα ζητήµατα, όπως Πολιτική Ποιότητας, Πολιτική Ρύθµισης Σχέσεων µε Πελάτες κτλ, όπου κάθε µία από τις οποίες καθορίζει τη στρατηγική του οργανισµού για αυτά τα ζητήµατα. Όπως έχει ήδη αναφερθεί οι περισσότεροι σύγχρονοι οργανισµοί στηρίζουν πολλές από τις βασικές επιχειρηµατικές λειτουργίες τους σε Τεχνολογίες Πληροφορίας και Επικοινωνιών (ΤΠΕ). Συνεπώς η ασφάλεια των ΤΠΕ είναι επίσης πολύ σηµαντική για την εύρυθµη λειτουργία του οργανισµού. Ως εκ τούτου, οι οργανισµοί πρέπει να καθορίζουν τη στρατηγική για την ασφάλεια των πληροφοριών και των συστηµάτων τους µέσα από µία Πολιτική Ασφάλειας ΤΠΕ (ή απλώς, Πολιτική Ασφάλειας). Ως «Πολιτική Ασφάλειας» ορίζεται το έγγραφο εκείνο το οποίο µε επίσηµο και δοµηµένο τρόπο καθορίζει τις γενικές αρχές που πρέπει να ισχύουν για την ασφάλεια των:

• πληροφοριών, • πληροφοριακών συστηµάτων, • δικτύων και υποδοµών

ενός οργανισµού για την επαρκή προστασία τους από τους υφιστάµενους πληροφοριακούς κινδύνους. Σηµειώνεται ότι µία Πολιτική Ασφάλειας δεν καθορίζει τους πληροφοριακούς κινδύνους που αντιµετωπίζει ένας οργανισµός, ούτε και το επίπεδο αυτών των

23

κινδύνων. Αυτή η διαδικασία του καθορισµού και της µέτρησης των πληροφοριακών κινδύνων γίνεται στο προηγούµενο στάδιο της Ανάλυσης Πληροφοριακού Κινδύνου. Η σύνταξη (ή σε περίπτωση που ήδη υπάρχει, η τροποποίηση) της Πολιτικής Ασφάλειας θα µπορούσε να θεωρηθεί ως µέρος της ∆ιαχείρισης Πληροφοριακού Κινδύνου, εφόσον αφορά το στρατηγικό σχεδιασµό για τη µετέπειτα λήψη των κατάλληλων µέτρων ασφάλειας τα οποία και θα µειώνουν τους υφιστάµενους πληροφοριακούς κινδύνους. Συνεπώς, η Πολιτική Ασφάλειας βοηθά στην αποτελεσµατική διαχείριση του υφιστάµενου κινδύνου. Μάλιστα, για να ανταποκρίνεται στις πραγµατικές ανάγκες ασφάλειας ενός οργανισµού, η Πολιτική Ασφάλειας θα πρέπει να χρησιµοποιεί τα αποτελέσµατα της ανάλυσης κινδύνου (risk analysis), ώστε να εστιάζει στα πραγµατικά προβλήµατα ασφάλειας που αντιµετωπίζει ο οργανισµός και στον απαιτούµενο βαθµό. Πηγές για την Ανάπτυξη µιας Πολιτικής Ασφάλειας Η ανάπτυξη της Πολιτικής πρέπει να βασίζεται σε διάφορε πηγές, οι οποίες αφενός µεν θα εστιάζουν στα συγκεκριµένα προβλήµατα ασφάλειας του οργανισµού, αφετέρου δε θα δίδουν γενικές κατευθύνσεις µε βάση τις διεθνώς αποδεκτές βέλτιστες πρακτικές. Οι πηγές αυτές περιλαµβάνουν: 1. Αποτελέσµατα Ανάλυσης Επικινδυνότητας

• Aξιολογείται η αξία των αγαθών, οι αδυναµίες του συστήµατος, οι (εσωτερικές και εξωτερικές) απειλές και υπολογίζεται το επίπεδο κινδύνου για κάθε συνδυασµό (Αγαθό, Αδυναµία, Απειλή) Επίπεδο Κινδύνου

• Είναι απαραίτητα ώστε η Πολιτική που θα αναπτυχθεί να αντιµετωπίζει τους υφιστάµενους κινδύνους και να µην είναι γενικόλογη και αόριστη

• Η πολιτική θα θέτει το πλαίσιο για τη λήψη των κατάλληλων τεχνικών και οργανωτικών µέτρων για την αντιµετώπιση των κινδύνων

2. Πρότυπα Ασφάλειας και Συστάσεις Ασφάλειας

• Είναι γενικές κατευθύνσεις που µπορούν να χρησιµοποιηθούν για την ανάπτυξη µίας πολιτικής

• Παράγονται από διεθνείς οργανισµούς τυποποίησης όπως ISO, BSI, κτλ ή από οργανισµούς που ασχολούνται µε ζητήµατα ασφάλειας όπως NIST, Open Forum κτλ.

• Τα πρότυπα αναπτύσσονται συνήθως λαµβάνοντας υπόψη κοινά ζητήµατα και προβλήµατα ασφάλειας τα οποία και οµαδοποιούν

• Οι συστάσεις έχουν πάντα συµβουλευτικό χαρακτήρα. 3. Νοµοθεσία

• Μπορεί να περιλαµβάνει Εθνική Νοµοθεσία, Κοινοτική Νοµοθεσία/Οδηγίες, Κανονισµούς Ρυθµιστικών Αρχών (Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, Αρχή ∆ιασφάλισης του Απορρήτου των Επικοινωνιών κτλ)

24

• Θα πρέπει να λαµβάνεται υπόψη κατά την ανάπτυξη µίας πολιτικής ώστε να ικανοποιούνται οι απαιτήσεις συµβατότητας ενός οργανισµού µε το νοµικό και ρυθµιστικό πλαίσιο της χώρας

• Παραδείγµατα: - Προστασία από την επεξεργασία προσωπικών δεδοµένων - ∆ιασφάλιση απορρήτου επικοινωνιών - Προστασία Πνευµατικών ∆ικαιωµάτων - Παρεµπόδιση ποινικών εγκληµάτων.

1.6 Λάθη κατά το Σχεδιασµό Ασφάλειας Ένα Σύστηµα αποτελείται από υποκείµενα (subjects) που επικοινωνούν µεταξύ τους βάσει ορισµένων κανόνων. Εποµένως, κατά το σχεδιασµό της ασφάλειας του συστήµατος θα πρέπει να λάβουµε υπ’ όψιν τα τρία αυτά δοµικά στοιχεία. • Υποκείµενα του Συστήµατος: Μπορεί να είναι άνθρωποι, προγράµµατα, Η/Υ

και άλλες ηλεκτρονικές (ή µη) διατάξεις. • Μέσα Επικοινωνίας: Η δικτυακή και τηλεπικοινωνιακή υποδοµή (ενσύρµατη ή

ασύρµατη) που χρησιµοποιείται. • Πρωτόκολλα: Ένα πρωτόκολλο είναι ένα σύνολο κανόνων-διαδικασιών που

ακολουθούνται-τηρούνται από τα υποκείµενα (subjects) του συστήµατος. Τα πληροφοριακά συστήµατα µεγάλης εµβέλειας (π.χ. χρηµατοοικονοµικά συστήµατα συναλλαγών µεταξύ τραπεζών, ενδο-νοσοκοµειακά ή δια-νοσοκοµειακά συστήµατα πληροφορικής) οµολογουµένως περιέχουν ένα ευρύ πλέγµα τέτοιων κανόνων-διαδικασιών, οι οποίες αλληλεπιδρούν, αλληλο-συµπληρώνονται ή πολλές φορές αλληλο-συγκρούονται. Ο σχεδιασµός της ασφάλειας ενός τέτοιου συστήµατος καθίσταται εξ’ ορισµού µια ιδιαιτέρως πολύπλοκη και δύσκολη διαδικασία. Λάθη στο Σχεδιασµό Μελέτη Περίπτωσης (Anderson, 2001): Στο παρελθόν ορισµένες τράπεζες κρυπτογραφούσαν το PIN του πελάτη τους χρησιµοποιώντας ένα (συµµετρικό) κλειδί το οποίο ήταν γνωστό στα ΑΤΜ και στα κεντρικά συστήµατα της τράπεζας. Το κρυπτογραφηµένο PIN αποθηκευόταν στην µαγνητική ταινία της κάρτας του πελάτη. Ο έλεγχος του PIN γινόταν τοπικά από το ATM, και στη συνέχεια το αίτηµα εκτέλεσης προωθούνταν στο κεντρικό σύστηµα. Επίθεση: Ένας προγραµµατιστής κατάφερε να επέµβει στα περιεχόµενα της µαγνητικής ταινίας της κάρτας του. Συγκεκριµένα αντικατέστησε τον αριθµό λογαριασµού του µε τον αριθµό λογαριασµού της συζύγου του. Στη συνέχεια, χρησιµοποιώντας την κάρτα του και το PIN του, κατάφερε να πραγµατοποιήσει ανάληψη από το λογαριασµό της συζύγου του µέσω ΑΤΜ. Αργότερα χρησιµοποίησε την τεχνική αυτή για να πραγµατοποιήσει ανάληψη χρηµάτων και από άλλους πελάτες, των οποίων ήξερε ή µάθαινε τον αριθµό λογαριασµού τους.

25

Μελέτη Περίπτωσης: Ηλεκτρονικές Κλειδαριές Αυτοκινήτων - Στα µέσα της δεκαετίας του 90 τα πρώτα συστήµατα συναγερµού λειτουργούσαν ως εξής: µία συσκευή remote control εξέπεµπε έναν σειριακό αριθµό 16-bit, που ουσιαστικά αποτελούσε έναν κωδικό (password). Λίγο αργότερα εµφανίστηκαν ειδικές συσκευές (grabbers) που µπορούσαν να υποκλέψουν τον κωδικό και (αργότερα) να τον αναπαράγουν, προκειµένου να «ξεκλειδώσουν» το αυτοκίνητο. Λύση Α: ∆ηµιουργήθηκαν ξεχωριστοί κωδικοί για το κλείδωµα και το ξεκλείδωµα της ηλεκτρονικής κλειδαριάς. Η λύση αυτή δεν ήταν επαρκής, καθώς ο «κακός» θα µπορούσε να υποκλέψει τον κωδικό την ώρα που ξεκλειδώνει το αµάξι, και να τον αναπαράγει κάποια στιγµή αργότερα (όταν ο κάτοχος θα απουσίαζε). Λύση Β: Αύξηση του µήκος του κωδικού, από 16 σε 32 bit. Προφανώς ούτε η λύση αυτή επίλυε το πρόβληµα µε τις συσκευές υποκλοπής (grabbers). Λάθη λόγω Αλλαγής στο Περιβάλλον Μελέτη Περίπτωσης: Τόπος & Πλαίσιο: Ολλανδία (1993, 1994). Πολλοί πελάτες τραπεζών διαµαρτυρήθηκαν πως εξαφανίστηκαν χρήµατα από το λογαριασµό τους. Οι τράπεζες ισχυριζόταν πως τα συστήµατα τους ήταν ασφαλή. Λόγω της διάστασης που έλαβε το πρόβληµα, οι τράπεζες αποφάσισαν να το διερευνήσουν. Αιτία του προβλήµατος: Η έρευνα έδειξε ότι οι περισσότερες συναλλαγές υπό αµφισβήτηση είχαν εκτελεστεί σε ένα συγκεκριµένο µηχάνηµα ΑΤΜ, σε ένα πρατήριο καυσίµων στην Utrecht. Κάποιος υπάλληλος του πρατηρίου είχε «παγιδεύσει» τη γραµµή που συνέδεε τον αναγνώστη κάρτας (card reader) µε το PC που βρίσκονταν στο εσωτερικό του ATM, και υπέκλεπτε τα δεδοµένα της µαγνητικής ταινίας της κάρτας, καθώς αυτά µεταφέρονταν από τον reader στο PC. Αλλαγή του περιβάλλοντος: Τα πρότυπα (standards) διαχείρισης συναλλαγών µε κάρτες µαγνητικής ταινίας αναπτύχθηκαν στις αρχές της δεκαετίας του 80. Κατά τη σχεδίαση των προτύπων, θεωρήθηκε ως δεδοµένο ότι το δίκτυο µεταφοράς είναι ασφαλές. Η υπόθεση αυτή ίσχυε στο βαθµό όπου οι αναλήψεις γίνονταν µέσω ΑΤΜ τοποθετηµένων σε τράπεζες, που συνδεόταν µε το υπόλοιπο τραπεζικό δίκτυο µέσω ασφαλών (µισθωµένων) καναλιών επικοινωνίας. Ωστόσο σήµερα, το περιβάλλον των συναλλαγών έχει αλλάξει, και οι αναλήψεις γίνονται από µη ελεγχόµενα σηµεία. Ένα απλό πρωτόκολλο Ταυτοποίησης Στο πρωτόκολλο που φαίνεται στο σχήµα, ο ρόλος του Α µπορεί να αντιστοιχηθεί µε το τηλεχειριστήριο ξεκλειδώµατος του αυτοκινήτου, και ο ρόλος του Β µε την κλειδαριά του αυτοκινήτου. O A εκπέµπει (π.χ. ασύρµατα, µέσω υπέρυθρης ακτινοβολίας) ένα σειριακό αριθµό (ο οποίος µπορεί να θεωρηθεί ότι αντιστοιχεί στην ταυτότητα του Α), και στη συνέχεια στέλνει ένα µήνυµα Μ = Α, Ν ΚΑ το οποίο αποτελείται από τον αριθµό Α και έναν τυχαίο αριθµό Ν, κρυπτογραφηµένα µε ένα κλειδί ΚΑ, µοναδικό για τη συσκευή Α. Το κλειδί Κ το γνωρίζουν µόνον ο Α και ο Β. Ταυτοποίηση: Ο Β διαβάζει τον αριθµό Α, ανακτά από το αρχείο του το κλειδί ΚΑ, αποκρυπτογραφεί το µήνυµα Μ, και στη συνέχεια α) ελέγχει εάν το Μ περιέχει τον αριθµό Α, και β) ελέγχει εάν ο αριθµός Ν έχει χρησιµοποιηθεί ξανά στο παρελθόν.

26

51

Ένα “απλό” πρωτόκολλο Ταυτοποίησης(Identification)

A Β: Α, Α,ΝΚΑ

A = Η ταυτότητα του Α (π.χ. ένας 16-bit σειριακός αριθµός)

Ν = Ένας τυχαίος αριθµός

ΚΑ = Ένα µυστικό κλειδί έχει µόνον ο Α (και ο Β)

Α,ΝΚΑ = Τα Α και Ν κρυπτογραφούνται µε το κλειδί ΚΑ.

Παρατηρήσεις: Στο παραπάνω πρωτόκολλο, η ασφάλεια του συστήµατος δε στηρίζεται στη µυστικότητα του αριθµού Α, αλλά στη µυστικότητα του κλειδιού ΚΑ. Επίσης, ο αριθµός Ν είναι ένας τυχαίος αριθµός που χρησιµοποιείται µόνον µια φορά (Number used ONCE - nonce). Έτσι, οι επιθέσεις επανάληψης (replay attacks) καθίστανται πιο δύσκολες (η κλειδαριά δεν πρόκειται να αποδεχθεί ποτέ ως αυθεντικό ένα µήνυµα ακριβώς ίδιο µε το προηγούµενο που έλαβε). Λάθη στη σχεδίαση: Στο προηγούµενο παράδειγµα ταυτοποίησης, κάποια συστήµατα ήλεγχαν εάν ο τυχαίος αριθµός (π.χ. Ν_2) είναι ίδιος µε τον αµέσως προηγούµενο αριθµό (π.χ. Ν_1). Το λάθος είναι προφανές: ο «κακός» χρησιµοποιεί µια συσκευή grabber και υποκλέπτει µια σύνοδο (session) επιτυχούς ταυτοποίησης. Στη συνέχεια, αναµένει την επόµενη σύνοδο ταυτοποίησης του κατόχου. Μόλις αυτή ολοκληρωθεί, ο «κακός» εκτελεί το πρωτόκολλο ταυτοποίησης (υποκρινόµενος τον κάτοχο) µε το σύστηµα, αναπαράγει τη σύνοδο που είχε υποκλέψει και παραβιάζει (µε επιτυχία) το µηχανισµό ελέγχου πρόσβασης. Άλλα προβλήµατα: Ένα ερώτηµα που τίθεται σε τέτοιου είδους πρωτόκολλα είναι: «Πόσες τιµές Ν θα πρέπει ο Β να «θυµάται» ώστε να αποτρέπονται επιθέσεις επανάληψης;» Μία λύση θα ήταν η χρήση ενός µετρητή (counter): η κλειδαριά θα δέχεται τιµές: Ν, Ν+1, Ν+2…. ως έγκυρες. Ωστόσο τέτοιου είδους λύσεις δεν είναι ικανοποιητικές: Τι θα συµβεί, για παράδειγµα, αν ο κάτοχος ενεργοποιήσει κατά λάθος το µηχανισµό ταυτοποίησης, αυξάνοντας τον µετρητή; Σύµφωνα µε ένα ακραίο σενάριο, ένας «κακός» µε πρόσβαση στο µηχανισµό ταυτοποίησης θα µπορούσε να τον ενεργοποιήσει και χρησιµοποιώντας µια συσκευή grabber να υποκλέψει τον επόµενο έγκυρο αριθµό π.χ. N+3.

27

Τεχνικές Πρόκλησης-Απάντησης (Challenge-Response) Τα σύγχρονα πρωτόκολλα ταυτοποίησης χρησιµοποιούν τεχνικές «πρόκλησης-απάντησης» (challenge-response). H οντότητα Β που ταυτοποιεί (Verifier) αποστέλλει έναν τυχαίο αριθµό Ν, ενώ η οντότητα Α που ταυτοποιείται, συνδυάζει τον αριθµό Ν µε ένα µυστικό (π.χ. ένα κλειδί κρυπτογράφησης) που είναι γνωστό στους Α και Β, ώστε να παράγει το µήνυµα που στέλνεται τελικώς στον Β. Σηµείωση: Οι τεχνικές κατά τις οποίες η ταυτοποίηση βασίζεται στην από κοινού γνώση του ίδιου µυστικού, ονοµάζονται και συµµετρικές (symmetric). Στην Ενότητα 6 θα αναφερθούµε επίσης στις ασύµµετρες τεχνικές (π.χ. ψηφιακή υπογραφή µε τη γνώση ενός ιδιωτικού κλειδιού).

53

Μελέτη περίπτωσης: Πρωτόκολλα Challenge-Response (πρόκληση/ απάντηση)

Προφύλαξη ενάντια σε επιθέσεις επανάληψης (replay attacks)

Παράδειγµα: Κωδικοί µιας Χρήσης (One time Passwords). Ο χρήστης δέχεται έναν τυχαίο αριθµό-πρόκληση (challenge) Ν από τον server, µήκους π.χ. 8 ψηφίων. Ο χρήστης πληκτρολογεί τον αριθµό Ν σε µια ειδική συσκευή (γεννήτορας κωδικών - password generator), µαζί µε έναν αριθµό PIN µήκους 4 ψηφίων (ο αριθµός αυτός χρησιµεύει για την ταυτοποίηση του χρήστη από τη συσκευή). Η συσκευή κρυπτογραφεί τα 12 ψηφία µε ένα µυστικό κλειδί Κ, το οποίο γνωρίζει µόνον η συσκευή και o server. Στη συνέχεια, η συσκευή εµφανίζει στην οθόνη τα πρώτα 8 ψηφία του αποτελέσµατος. Ο χρήστης πληκτρολογεί στη συσκευή εισόδου του server τα 8 ψηφία. Ο server χρησιµοποιεί το κλειδί Κ, αποκρυπτογραφεί το µήνυµα που έλαβε, και ελέγχει εάν περιέχεται ο σωστός αριθµός Ν. Αν ναι, ο χρήστης γίνεται δεκτός από το σύστηµα. Τα πρωτόκολλα πρόκλησης-απάντησης δεν είναι αλάνθαστα. Στο γνωστό, ιστορικό παράδειγµα του πολέµου µεταξύ Ν. Αφρικής-Αγκόλας, η πολεµική αεροπορία των δυο αντιµαχόµενων δυνάµεων χρησιµοποιούσε τα γνωστά συστήµατα αναγνώρισης αεροσκαφών IFF (Identification Friend-or-Foe). Τα συστήµατα αυτά βασιζόταν σε µια παραλλαγή του πρωτοκόλλου πρόκλησης-απάντησης που εξετάστηκε

28

προηγουµένως. Στη συνέχεια περιγράφουµε την επίθεση επανάληψης (replay attack) που υπέστησαν τα συστήµατα IFF της Ν. Αφρικής, και που είχαν ως συνέπεια τον τερµατισµό του πολέµου:

1) Η Ν. Αφρική στέλνει αεροσκάφη (SA) για επίθεση στην Αγκόλα 2) Η Αγκόλα διατηρεί έναν αριθµό αεροσκαφών (ANG) σε ετοιµότητα, σε

περιοχή κοντά στην Ν. Αφρική

3) Τα αεροσκάφη ANG απογειώνονται και πλησιάζουν τα αντιαεροπορικά συστήµατα (SAAF) της Ν. Αφρικής

4) Τα συστήµατα SAAF στέλνουν έναν αριθµό-πρόκληση (challenge) Ν στα

αεροσκάφη ANG.

5) Τα αεροσκάφη ANG προωθούν τον αριθµό N στα αντιαεροπορικά συστήµατα (SAMS) της Αγκόλα.

6) Τα συστήµατα SAMS προωθούν τον αριθµό N στα αεροσκάφη SA.

7) Τα αεροσκάφη SA απαντούν µε την έγκυρη απάντηση [Ν]Κ

8) Τα συστήµατα SAMS προωθούν την απάντηση στα φιλικά αεροσκάφη ANG

9) Τα αεροσκάφη ANG απαντούν στα συστήµατα SAAF µε τον σωστό κωδικό

[N]Κ

10) Tα συστήµατα SAAF αφήνουν τα αεροσκάφη ANG να διαπεράσουν την περίµετρο ασφάλειας.

AngolaNamibia

South African bomberCuban MIG

Challenge N

Secret key K

Secret key K

Retransmitchallenge N

N

ResponseNK

NKNK

Response correct!

H Επίθεση “MIG-in the MIDDLE” (Anderson)

http://www.cs.utexas.edu/~shmat/courses/cs378_spring05/03auth.ppt

1

2 345

6

29

Σηµείωση: Οι επιθέσεις αυτές είναι γνωστές και ως Επιθέσεις Ενδιάµεσης Οντότητας (Man in the Middle attacks).

H Επίθεση “Mafia in the Middle”

12

34

56

Η χρήση ψηφιακών υπογραφών (Digital Signatures), δεν επιλύει από µόνη της τα προβλήµατα επιθέσεων Ενδιάµεσης Οντότητας. Στο παράδειγµα του σχήµατος, ένας χρήστης Α, επισκέπτεται ένα δικτυακό τόπο S (θεωρούµε ότι o A έχει ήδη πραγµατοποιήσει εγγραφή στο site S, κάποια στιγµή στο παρελθόν). To site S ταυτοποιεί τον Α χρησιµοποιώντας ένα πρωτόκολλο πρόκλησης-απάντησης. Ταυτόχρονα, το site S, γνωρίζοντας τα στοιχεία της ταυτότητας του A, επιχειρεί να κάνει ανάληψη ηλεκτρονικών νοµισµάτων από µια τράπεζα T της οποίας ο A είναι πελάτης. Αν υποθέσουµε ότι τόσο η τράπεζα όσο και το site S χρησιµοποιούν τον ίδιο µηχανισµό ταυτοποίησης, η επίθεση είναι επιτυχής, όπως φαίνεται και στο σχήµα. Συµπεράσµατα:

1) Η χρήση του ίδιου µυστικού (κλειδιά, κωδικοί κ.λ.π) σε περισσότερα από ένα περιβάλλοντα, κρίνεται επισφαλής.

2) Το κείµενο που αυθεντικοποιείται (π.χ. µε ψηφιακή υπογραφή ή µε

συµµετρικά πρωτόκολλα ταυτοποίησης), θα πρέπει να περιέχει όσο το δυνατόν περισσότερες πληροφορίες σχετικές µε τη συναλλαγή που πραγµατοποιείται (π.χ. το είδος συναλλαγής, τα ονόµατα των οντότητων που συµµετέχουν κ.λ.π). Στο προηγούµενο παράδειγµα, εάν ο πελάτης υπέγραφε, το µήνυµα [Χ, customer, porn_site], η επίθεση δεν θα ήταν επιτυχής.

30

2 Έλεγχος Πρόσβασης & Επαλήθευση Ταυτότητας

2.1 Βασικές Έννοιες Έλεγχος Πρόσβασης: Ο όρος παραπέµπει σε ένα σύνολο λογικών ή φυσικών µηχανισµών ασφάλειας που σχεδιάζονται-εφαρµόζονται για να προστατέψουν από τη µη εξουσιοδοτηµένη πρόσβαση (π.χ. είσοδος στο σύστηµα, ανάγνωση, εγγραφή, είσοδος στο δίκτυο, κ.α.), στους πόρους-αγαθά του συστήµατος. Ο όρος «έλεγχος πρόσβασης», συχνά χρησιµοποιείται για να περιγράψει ένα σύνολο διαδικασιών στο οποίο συµµετέχουν άνθρωποι, ηλεκτρονικές διατάξεις, προγράµµατα, και άλλος ηλεκτρονικός ή µη εξοπλισµός, µε σκοπό

α) Ο εξουσιοδοτηµένος χρήστης να έχει πρόσβαση στο σύστηµα β) Οι µη εξουσιοδοτηµένοι χρήστες να µην έχουν πρόσβαση στο σύστηµα.

Σηµείωση: Το αντιστάθµισµα (trade-off) µεταξύ ασφάλειας και λειτουργικότητας καθιστά σαφές, πως, 1. Η υιοθέτηση πολύπλοκων και εξεζητηµένων µέτρων ασφαλείας επιτυγχάνει το

στόχο B, αλλά δυσχεραίνει την υλοποίηση του στόχου A, 2. Η υιοθέτηση «χαλαρών» µέτρων ασφάλειας επιτυγχάνει το στόχο A, ωστόσο

καθιστά δύσκολη και επίφοβη την υλοποίηση του στόχου Β.

XΈξυπνες Κάρτες (smartcards)

XXΈλεγχος και Εποπτεία

XXXΣυστήµατα Ανίχνευσης & Αποτροπής Εισβολών (IDS/IPS)

XXFirewalls (Packet Filters, Application Gateways)

XΚρυπτογράφηση ∆εδοµένων και Επικοινωνιών

XXXΛογισµικό Antivirus, Anti-Spyware,..

XΛίστες Ελέγχου Πρόσβασης (ACLs), MAC, RBAC,…

Λογικής Πρόσβασης (παραδείγµατα)

ΧXXΕκπαίδευση υπαλλήλων

ΧXXΠολιτικές Ασφάλειας

∆ιαχειριστικός (παραδείγµατα)

ΧXXΠροσωπικό Ασφαλείας

XXΦράχτες

Φυσικής πρόσβασης (παραδείγµατα

ΑντιµετώπισηΑνίχνευσηΠρόληψηΚατηγορία Ελέγχου`

http://www.cs.uwf.edu/~rdavid/CEN4540/sec3.ppt

Κλοπή Ταυτότητας – Πλαστοπροσωπία. Στις επιθέσεις αυτές, µια οντότητα Α αποκτά ικανό αριθµό προσωπικών πληροφοριών ή αντικειµένων που ανήκουν σε (π.χ. πιστωτικές κάρτες, κινητά τηλέφωνα, κωδικοί passwords, PINs, αριθµοί

31

πιστωτικών καρτών, κρυπτογραφικά κλειδιά κ.α.) ή αφορούν σε (π.χ προσωπικά στοιχεία – ονόµατα, διευθύνσεις, κ.α.) µια οντότητα B, ώστε o A να µπορεί να: • .. πραγµατοποιήσει συναλλαγές µε ανθρώπους, υπηρεσίες, επιχειρήσεις,

οργανισµούς, τράπεζες, υποκρινόµενος τον Β, • .. αποκτήσει µη εξουσιοδοτηµένη πρόσβαση σε έγγραφα, δεδοµένα και

πληροφορίες που ανήκουν ή χρησιµοποιεί ο Β και είναι αποθηκευµένες σε Η/Υ, • .. αποστείλει µηνύµατα ηλεκτρονικής αλληλογραφίας (π.χ. µη ζητηθείσα

αλληλογραφία - spam, κακόβουλο λογισµικό, phishing) µε πλαστή ταυτότητα αποστολέα. Σηµειώνουµε πως τα περισσότερα κακόβουλα λογισµικά τύπου worm εξαπλώνονται ακριβώς µε αυτόν τον τρόπο.

• .. να διαπράξει ένα ηλεκτρονικό έγκληµα (π.χ. επιθέσεις Άρνησης Εξυπηρέτησης,

εισβολή σε συστήµατα, κ.λ.π) ενοχοποιώντας στη συνέχεια τον Β. Η έννοια του υποκειµένου ως γνωστόν µπορεί να περιλαµβάνει ανθρώπους, προγράµµατα, Η/Υ ή άλλες διατάξεις. Ως εκ τούτου, η έννοια της ταυτοποίησης δεν αφορά µόνον τους µηχανισµούς για την ταυτοποίηση α) ανθρώπων από ανθρώπους ή α) ανθρώπων από προγράµµατα ή Η/Υ αλλά και γ) τους µηχανισµούς για την ταυτοποίηση προγραµµάτων ή διατάξεων από άλλα προγράµµατα ή διατάξεις. Σηµείωση: Συνήθως οι πρώτες δύο κατηγορίες παρουσιάζουν σηµαντικά προβλήµατα διαχείρισης. Γιατί; ∆ιότι εµπλέκεται ο άνθρωπος! Παραδείγµατα:

• Το πρόβληµα της αποµνηµόνευσης των κωδικών πρόσβασης στο σύστηµα • Απώλεια καρτών, κλειδιών. • Επιθέσεις Κοινωνικής Μηχανικής

Έλεγχος πρόσβασης (Access Control) Περίπτωση: Ταυτοποίηση Host-to-Host

Network-Based AuthenticationΤαυτοποίηση ενός Η/Υ στο Internet βάσει της IP διεύθυνσης(IP-based authentication)

Ταυτοποίηση ενός Η/Υ στο Internet βάσει του ονόµατος DNS του Η/Υ (name-based authentication).

Προηγµένες (κρυπτογραφικές τεχνικές). Χρήση τεχνικών challenge-response

Άλλες κρυπτογραφικές τεχνικές

Κέντρα ∆ιανοµής Κλειδιού (π.χ. Kerberos), Πιστοποιητικά∆ηµόσιου κλειδιού (π.χ. SSL, Ssh, DNSSec),…

32

Ταυτοποίηση Χρήστη. ∆ιακρίνουµε τρεις µεγάλες κατηγορίες συστηµάτων ταυτοποίησης χρήστη: 1) Ταυτοποίηση SYK, 2) Ταυτοποίηση SYH, 3) Ταυτοποίηση SYA. Με τις κατηγορίες αυτές θα ασχοληθούµε στη συνέχεια της ενότητας

Ταυτοποίηση χρηστών

Σε ένα τυπικό σύστηµα ασφάλειας, το σύστηµα µπορεί ναελέγξει την αυθεντικότητα των χρηστών µε τρεις τρόπους.

Γνώση µιας πληροφορίας (“Something Υou Κnow”)

Passwords, PIN, κρυπτογραφικό κλειδί, …

Φυσική κατοχή ενός αντικειµένου (“Something Υou Ηave”)

PDA, USB flash, κάρτα (smart or magnetic)

Φυσικά χαρακτηριστικά (“Something Υou Αre”)

Βιολογικά ή Συµπεριφοράς: Ίριδα, δαχτ. αποτυπώµατα, βάδισµα,…

… ή χρησιµοποιώντας ένα συνδυασµό των παραπάνω

Λόγω κόστους: Συνήθως υιοθετείται η µέθοδος SYK...

Η ταυτοποίηση SYK (Something You Know - SYK) προϋποθέτει την αποµνηµόνευση από το χρήστη µιας µυστικής πληροφορίας, και συνήθως σχετίζεται µε έννοιες και τεχνικές όπως:

1. Στατικοί κωδικοί (δηλαδή κωδικοί που δεν αλλάζουν ή που αλλάζουν σπάνια): Passwords, PINs,…

Κωδικός πρόσβασης (ή συνθηµατικό). Μυστική συµβολοσειρά που χρησιµοποιείται για τον έλεγχο της αυθεντικότητας του χρήστη.

2. Τεχνικές Πρόκλησης – Απάντησης (challenge-response)

3. Κωδικοί µιας χρήσης (one-time passwords)

4. Χρήση συστηµάτων ψηφιακής υπογραφής

Για τις µεθόδους ταυτοποίησης 2 και 4 συχνά γίνεται χρήση καρτών ή άλλων διατάξεων (π.χ. Password generators – βλέπε Ενότητα Α). Σε αυτές τις περιπτώσεις, το σύστηµα ταυτοποίησης αποτελεί συνδυασµό SYK (όταν π.χ. η χρήση της κάρτας εξουσιοδοτείται µε τη γνώση ενός κωδικού PIN) και SYH (η κάρτα περιέχει τα απαραίτητα κλειδιά και πληροφορίες για την ταυτοποίηση του χρήστη). Η ταυτοποίηση µε τη φυσική κατοχή ενός αντικειµένου (Something you Have – SYH) αποτελεί ίσως τον απλούστερο και λιγότερο ασφαλή τύπο ταυτοποίησης, για αυτό συχνά συνδυάζεται µε κάποιον από τους άλλους δύο τύπους ταυτοποίησης. Η κατοχή ενός αντικειµένου που µπορεί να κλαπεί, δανειστεί, απωλεσθεί, δε µπορεί να

33

θεωρηθεί το πλέον αξιόπιστο κριτήριο για να πιστοποιήσει κανείς την ταυτότητα ενός υποκειµένου. Η ταυτοποίηση µε βιοµετρικές µεθόδους (Something you Are - SYΑ) αφορά ανθρώπους και µόνον, και θα εξεταστεί ξεχωριστά. Σηµείωση: Ο συνδυασµός και των τριών τρόπων ταυτοποίησης αποτελεί την ασφαλέστερη µέθοδο. Ωστόσο, εκτός από τις περιπτώσεις όπου απαιτείται ένα υψηλότατο επίπεδο ασφάλειας (π.χ. στρατιωτικές εγκαταστάσεις), σπάνια υιοθετούνται συστήµατα που ενσωµατώνουν και τους τρεις τύπους SYK, SYH, SYA, και αυτό λόγω κόστους και µειωµένης λειτουργικότητας. Η πλέον δηµοφιλής τεχνική είναι η ταυτοποίηση SYK (Όνοµα χρήστη - user name και κωδικός - password).

Ασφαλής σύνδεση σε αποµακρυσµένο Η/Υ Συναλλαγές σε ΑΤΜ µε τη χρήση κωδικού PIN

PIN σε κινητό

Σύνδεση στο web banking log-in σε περιβάλλον Windows

2.2 Ταυτοποίηση µε Κωδικούς Πρόσβασης Η επαλήθευση ταυτότητας µε τη χρήση κωδικών πρόσβασης αποτελεί την πλέον δηµοφιλή µέθοδο ταυτοποίησης. Τα παραδείγµατα είναι πολλά: • Πρόσβαση σε Η/Υ (π.χ. log-on στα Windows, Unix,..): Χρήση ενός ονόµατος

χρήστη (username) και ενός κωδικού για την πρόσβαση στον Η/Υ • Πρόσβαση στον server του δικτύου (π.χ. Domain Server, Unix server): Χρήση

ενός ονόµατος χρήστη και ενός κωδικού για την πρόσβαση στο χώρο του δίσκου που έχει εκχωρηθεί στον χρήστη από τον server.

• Πρόσβαση στον mail server για την αποστολή, λήψη και διαχείριση e-mail:

Χρήση ενός ονόµατος χρήστη και ενός κωδικού για την πρόσβαση στην ταχυδροµική θυρίδα του διακοµιστή εισερχόµενης αλληλογραφίας (incoming

34

mail server) ή για την αποστολή e-mail µέσω του διακοµιστή εξερχόµενης αλληλογραφίας (outgoing mail server)

• Πρόσβαση στην κάρτα SIM του κινητού τηλεφώνου, στην κάρτα ανάληψης

(ATM): Χρήση ενός αριθµού PIN (Personal Identification Number). Μη «παραδοσιακά» συνθηµατικά. Σε αρκετές περιπτώσεις (που αφορούν κυρίως συναλλαγές που διεκπεραιώνονται µέσω τηλεφώνου) το σύστηµα µπορεί αντί για κωδικό να ζητήσει από το χρήστη ορισµένες πληροφορίες, όχι απαραίτητα µυστικές: Για παράδειγµα, µπορεί να ζητηθεί το ονοµατεπώνυµο, ο αριθµός ταυτότητας, η διεύθυνση, ο αρ. τηλεφώνου, το ΑΦΜ κ.λ.π. Η λογική αυτής της προσέγγισης είναι πως ενώ κάθε µια από αυτές τις πληροφορίες είναι εύκολο να γίνει γνωστή σε κάποιον τρίτο, η πιθανότητα να γίνουν ΟΛΕΣ γνωστές είναι µικρή. Βέβαια, η προσέγγιση αυτή δεν µπορεί να θεωρηθεί ασφαλής, ιδίως σε περιβάλλοντα συναλλαγών όπου απαιτείται υψηλό επίπεδο ασφάλειας. Σηµείωση: Συχνά (π.χ. σε περιβάλλοντα phone banking) χρησιµοποιείται ένας συνδυασµός από παραδοσιακά και µη παραδοσιακά συνθηµατικά.

2.2.1 Οι Απειλές Το πρόβληµα µε τους κωδικούς πρόσβασης. Συχνά τίθεται το εξής ερώτηµα: «Πώς θα επιτύχουµε την εύρεση ενός κωδικού πρόσβασης που θα είναι α) δύσκολο να παραβιαστεί από κάποιον τρίτο (εποµένως, αρκετά τυχαίος – random), και ταυτόχρονα β) αρκετά εύκολος ώστε να τον θυµόµαστε; Αρχικά, οι δύο αυτές απαιτήσεις φαντάζουν ως αντιφατικές. ∆ιαφορά συµµετρικών µε ασύµµετρες τεχνικές ταυτοποίησης: Στις συµµετρικές τεχνικές SYK, ο χρήστης Α γνωρίζει ένα µυστικό Κ (π.χ κλειδί, κωδικός, PIN). H γνώση αυτού του µυστικού ταυτοποιεί τον χρήστη σε κάποιον τρίτο S. Ο χρήστης Α εµπιστεύεται ότι ο S δε θα χρησιµοποιήσει το µυστικό Κ προκειµένου να «κλέψει» την ταυτότητα του Α και να τη χρησιµοποιήσει σε συναλλαγές µε τρίτους. Περίπτωση: Εάν ο χρήστης Α εµπλακεί σε µια εγκληµατική πράξη, και το µόνο στοιχείο που υπάρχει είναι η γνώση ότι έγινε χρήση του κωδικού Κ για την είσοδο στο σύστηµα, πώς µπορούµε να είµαστε βέβαιοι ότι ενεπλάκη ο Α και όχι ο S; Σε ένα τέτοιο σενάριο ο Α θα ήταν δυνατόν να αποποιηθεί ευθύνη (repudiation) για τις πράξεις του. Πώς θυµάται ο χρήστης τον κωδικό πρόσβασης; • Ένας «δύσκολος» κωδικός που χρησιµοποιείται συχνά είναι εύκολο να

αποµνηµονευτεί • Ένας «εύκολος» κωδικός που χρησιµοποιείται σπάνια είναι δύσκολο να

αποµνηµονευτεί

35

• Λάθος τακτική: επιλογή ενός «δύσκολου» κωδικού, και στη συνέχεια χρήση του σε περισσότερα του ενός περιβάλλοντα (δικτυακοί τόποι, συστήµατα ελέγχου πρόσβασης, πρόσβασης σε Η/Υ κλπ)

Σηµείωση: Η χρήση κωδικών πρόσβασης, παρά τις αδυναµίες της, αποτελεί τον πλέον δηµοφιλή τρόπο ταυτοποίησης για συστήµατα που απαιτούν χαµηλό έως µέσο επίπεδο ασφάλειας. Ο χρήστης µπορεί να «χάσει» την αποκλειστικότητα του κωδικού του πρόσβασης όταν:

• Χρησιµοποιεί τον ίδιο κωδικό σε πολλά συστήµατα • Αποκαλύψει τον κωδικό του σε κάποιον τρίτο (για διευκόλυνση – π.χ. «θέλω

να δω κάτι στον υπολογιστή σου», τυχαία – π.χ. «σε είδα την ώρα που πληκτρολογούσες το PIN σου», ή ως αποτέλεσµα παραπλάνησης – τεχνικές phishing - Κοινωνική Mηχανική).

Μία επίθεση Κοινωνικής Μηχανικής (Phishing). To αρχείο approved-

password.zip µε µεγάλη πιθανότητα περιέχει κακόβουλο λογισµικό. Η ταυτότητα

αποστολέα webmaster@ionio.gr είναι, µε µεγάλη πιθανότητα, πλαστή.

Όσο πιο «δύσκολος» είναι ο κωδικός πρόσβασης, τόσο πιο υψηλή είναι η πιθανότητα

1. Να ξεχαστεί 2. Να σηµειώσει ο χρήστης τον κωδικό του σε ένα χαρτί.

Παρατήρηση: Σηµειώνοντας τον κωδικό πρόσβασης, o τύπος ταυτοποίησης µετατρέπεται αυτόµατα από «Κάτι που ξέρεις – SYK» σε «Κάτι που Έχεις – SYH», αποκτώντας όλες τις αδυναµίες που είναι εγγενείς στον τύπο SYH (π.χ. απώλεια, κλοπή, καταστροφή, ανάγνωση από τρίτο κ.λ.π)

36

Όσο πιο «εύκολος» είναι ο κωδικός πρόσβασης τόσο πιο εύκολη είναι η αποµνηµόνευση του, εποµένως τόσο πιο υψηλή είναι η πιθανότητα

1. Κάποιος τρίτος να «σπάσει» τον κωδικό χρησιµοποιώντας εξειδικευµένα εργαλεία

2. Κάποιος τρίτος να υποθέσει τον κωδικό, αξιοποιώντας προσωπικές ή άλλες

πληροφορίες που γνωρίζει για τον χρήστη. Μελέτη Περίπτωσης: Οι κωδικοί για την εκτόξευση πυρηνικών κεφαλών στις Η.Π.Α έχουν µήκος 12 δεκαδικών ψηφίων. Το µήκος των κωδικών δεν είναι τυχαίο. Τη στιγµή που θα χρειαστεί να εισαχθούν οι κωδικοί στο σύστηµα, τα άτοµα που τους διαχειρίζονται ενδέχεται να βρίσκονται σε κατάσταση υπερβολικού άγχους. Ένας κωδικός µεγαλύτερου µήκους, ναι µεν θα αύξανε το επίπεδο ασφάλειας, ωστόσο θα µείωνε τη λειτουργικότητα του συστήµατος. Σηµείωση: Μία µέση λύση που προτείνεται συχνά είναι η χρήση ενός «δύσκολου» κωδικού πρόσβασης σε περιβάλλοντα που απαιτούν υψηλή ασφάλεια (π.χ. e-banking, πρόσβαση στο προσωπικό e-mail και ηλεκτρονικές πληρωµές), και αντίστοιχα ενός «εύκολου» κωδικού πρόσβασης σε περιβάλλοντα χαµηλού ή µέσου επίπεδου ασφάλειας (π.χ. εγγραφή σε forum, πύλες, web mail, newsgroups, κ.λ.π)

Μελέτη περίπτωσης (case study)

Πανεπιστήµιο του Sydney [Anderson, 2001]

«336 χρήστες έλαβαν e-mail µε την υπόδειξη να αποστείλουντον κωδικό τους ώστε να ενηµερωθεί η βάση του δικτύου…»

138 απέστειλαν το σωστό κωδικό

30 απέστειλαν λάθος κωδικό

Ελάχιστοι ανέφεραν το γεγονός στον υπεύθυνο Ασφαλείας τουσυστήµατος

H µελέτη αυτή περίπτωσης καταδεικνύει πως: το ποσοστό όσων εξαπατώνται από επιθέσεις τύπου phishing είναι αρκετά υψηλό. Σήµερα, το ποσοστό αυτό είναι σαφώς µικρότερο. Ωστόσο, αν υποθέσουµε π.χ. ένα ποσοστό εξαπάτησης. 1/1000, και το ίδιο mail φθάσει σε 1.000.000 ανθρώπους, τότε κατά µέσο όρο θα εξαπατηθούν 1000 άνθρωποι. Επίσης, λόγω της υψηλής διείσδυσης του Internet, ένα µεγάλο ποσοστό των ανθρώπων που λαµβάνουν τέτοιου είδους αλληλογραφία δεν

37

είναι ενηµερωµένοι σχετικά µε τους κινδύνους που ελλοχεύουν (security awareness). Το γεγονός αυτό αυξάνει τις πιθανότητες εξαπάτησης. Το πρόβληµα της αποµνηµόνευσης των κωδικών πρόσβασης δεν περιορίζεται στην πρόσβαση σε Ηλεκτρονικούς Υπολογιστές. Καθηµερινά χρησιµοποιούµε συσκευές που απαιτούν τη χρήση ενός συνθηµατικού πρόσβασης (π.χ. PIN σε κινητά τηλέφωνα, συσκευές ATM κ.λ.π) Λάθη στη σχεδίαση (design errors). Ένα σύνηθες λάθος είναι η χρήση µιας ή περισσότερων προσωπικών πληροφοριών ως κωδικών πρόσβασης. Η χρήση τέτοιων συνθηµατικών, ναι µεν είναι αποδεκτή σε συστήµατα που απαιτούν χαµηλό επίπεδο ασφάλειας (π.χ. ερώτηση για τον υπολειπόµενο χρόνο οµιλίας στο τµήµα Εξυπηρέτησης Πελατών του Παρόχου Κινητής Τηλεφωνίας), δε συµβαίνει όµως το ίδιο σε συστήµατα µέσου και υψηλού επιπέδου ασφαλείας. Σε αυτές τις περιπτώσεις, το σύστηµα θα πρέπει να ελέγχει την εγκυρότητα των κωδικών που επιλέγονται ώστε να αποφεύγονται παρόµοιες καταστάσεις. Μελέτη περίπτωσης: Μια αλυσίδα ξενοδοχείων στη Γαλλία εισήγαγε ένα σύστηµα ηλεκτρονικής ταυτοποίησης που δεν απαιτούσε τη φυσική παρουσία υπαλλήλων για την εξυπηρέτηση των πελατών κατά τις νυχτερινές ώρες. Ο πελάτης εισέρχεται στο ξενοδοχείο, εισάγει την πιστωτική κάρτα στο µηχάνηµα POS στη αίθουσα υποδοχής, και λαµβάνει µια απόδειξη της συναλλαγής καθώς και έναν αριθµητικό κωδικό για την πρόσβαση στο δωµάτιο του. Προκειµένου να διατηρήσει τα κόστη χαµηλά, η διεύθυνση του ξενοδοχείου αποφάσισε να διαθέτει WC κοινής χρήσης (και όχι σε κάθε δωµάτιο χωριστά). Το πρόβληµα γίνεται αντιληπτό στην περίπτωση που ο πελάτης «ξεχάσει» τον κωδικό πρόσβασης κατά τη διαδροµή ∆ωµάτιο-WC-∆ωµάτιο. Λάθη χρηστών. Κατά τη διαχείριση πολλών συσκευών ή προγραµµάτων απαιτείται η εισαγωγή κωδικού πρόσβασης. Κατά την πρώτη σύνδεση ενδέχεται να υπάρχει προ-εγκατεστηµένος ένας αρχικός (default) κωδικός, ο οποίος α) είναι εύκολος στην αποµνηµόνευση, και β) συνήθως είναι ο ίδιος για όλα τα προϊοντα της εταιρίας. Συχνά οι χρήστες αµελούν ή αποφεύγουν να αλλάξουν τους αρχικούς κωδικούς. Σε αυτήν την περίπτωση, οι κίνδυνοι είναι προφανείς, π.χ. αποµακρυσµένη διαχείριση router, πρόσβαση dial-up, πρόσβαση στο voice mail, κ.α.. Μελέτη περίπτωσης: Οι περισσότερες τράπεζες επιτρέπουν στους πελάτες τους να επιλέγουν το PIN της αρεσκείας τους. Σε αρκετές περιπτώσεις το PIN που επιλέγεται είναι η ηµεροµηνία γέννησης του πελάτη ή κάποιου συγγενικού του προσώπου. Σε µια τέτοια περίπτωση, και µε δεδοµένο ότι οι αριθµοί PIN είναι συνήθως 4 δεκαδικών ψηφίων, οι πιθανότητες που έχει κάποιος να µαντέψει το σωστό PIN, αυξάνονται από 1 στις 104 σε (το πολύ) 1 στις 100. Αν µάλιστα ο «θύτης» γνωρίζει το «θύµα», οι πιθανότητες αυξάνονται ακόµη περισσότερο. Συχνά επίσης, το PIN που επιλέγεται για τις συναλλαγές µε την τράπεζα, χρησιµοποιείται και κατά την πρόσβαση στο κινητό τηλέφωνο ή/και σε άλλες συσκευές. Έτσι, η πιθανότητα µη εξουσιοδοτηµένης πρόσβασης στις συσκευές αυτές είναι εξαιρετικά υψηλή. Περίπτωση: Στο σχήµα που ακολουθεί, το σύστηµα αποµνηµόνευσης χρησιµοποιεί µια µήτρα (κάρτα) µεγέθους 4X10 και λειτουργεί ως εξής: έστω ότι το PIN είναι ο αριθµός 2256. Ο χρήστης επιλέγει τυχαία µια λέξη 4 γραµµάτων (π.χ. Blue) και

38

εισάγει κάθε γράµµα στην 2η, 2η, 5η και 6η στήλη της κάρτας αντίστοιχα. Στη συνέχεια «γεµίζει» τις υπόλοιπες θέσεις της κάρτας µε τυχαία γράµµατα. Γιατί το σύστηµα δεν είναι ασφαλές; Αρχικά, διότι µετατρέπει τον τύπο ταυτοποίησης από SYK σε ταυτοποίηση SYH. Επίσης, στατιστικά, ένας πίνακας 4x10 µε τυχαίους χαρακτήρες δεν µπορεί να παράγει περισσότερες από 40-50 λέξεις (Anderson 2001). Κατ’ αυτόν τον τρόπο, οι πιθανότητες που έχει ο «εχθρός» να µαντέψει το σωστό PIN σε τρεις προσπάθειες αυξάνονται από 1 στις 3000 (εφόσον 104 / 3 ≈ 3000) σε 1 στις ~15 (εφόσον 45/3=15).

Ένα (κακό) σύστηµα αποµνη-µόνευσης του κωδικού πρόσβασης

Έστω το PIN είναι 2256

Επιλέγουµε µια λέξη 4 γραµµάτων (π.χ. blue)

Την τοποθετούµε ως εξής στην κάρτα (π.χ. Από την τράπεζα)

0987654321

HSoAeBsojL

EgnBEUwtrI

CtYEULkiLo

EvmNDPzFba

To µοντέλο απειλών καθορίζει και την πολιτική ασφάλειας που πρέπει να ακολουθηθεί: Απειλή 1. Επίθεση σε έναν (συγκεκριµένο) λογαριασµό. Οι επιθέσεις τέτοιου τύπου είναι απόλυτα στοχευµένες. Ο στόχος είναι ένα συγκεκριµένο µηχάνηµα ή χρήστης. Απειλή 2. Επίθεση σε οποιονδήποτε λογαριασµό του συστήµατος. Ο στόχος του εισβολέα είναι η είσοδος στο σύστηµα µε οποιονδήποτε τρόπο. Συνήθως, οι επιθέσεις τέτοιου τύπου είναι στοχευµένες (π.χ. στόχος: η Microsoft) και κλιµακωτές, όταν δηλαδή χρησιµοποιούνται ως προθάλαµος µιας γενικότερης επίθεσης στο σύστηµα. (π.χ. «θέλω να συνδεθώ ως οποιοσδήποτε χρήστης στο microsoft.com, και στη συνέχεια να αποκτήσω δικαιώµατα ∆ιαχειριστή»). Σε πολλά συστήµατα τα δικαιώµατα πρόσβασης που εκχωρούνται στους εσωτερικούς χρήστες (insiders) του συστήµατος είναι σηµαντικά περισσότερα σε σχέση µε αυτά που εκχωρούνται σε εξωτερικούς χρήστες (outsiders). Έτσι, το πιο σηµαντικό (άρα, και το πιο δύσκολο) βήµα που έχει να διανύσει ο «εισβολέας» είναι η επιτυχής πρόσβαση σε κάποιον (οποιονδήποτε) λογαριασµό χρήστη του συστήµατος (ακόµα και αν ο λογαριασµός αυτός έχει περιορισµένα δικαιώµατα). Στη συνέχεια ο εισβολέας θα χρησιµοποιήσει

39

έξυπνες τεχνικές-εργαλεία για να αυξήσει ακόµα περισσότερο τα δικαιώµατα που του παρέχει το σύστηµα. Απειλή 3. Επίθεση σε οποιονδήποτε λογαριασµό οποιουδήποτε συστήµατος. Π.χ. για την αποθήκευση-διακίνηση παρανόµως διακινούµενου υλικού (λογισµικό, παιχνίδια, ταινίες κ.λ.π). Ο λογαριασµός αυτός µπορεί να χρησιµοποιηθεί αργότερα στα πλαίσια µιας επίθεσης DOS ή DDOS σε κάποιο άλλο σύστηµα (π.χ. ως zombie σε δίκτυα BotNet). Σηµείωση: Η ταξινοµία αυτή είναι χρήσιµη γιατί µας βοηθάει να θέσουµε χρήσιµα ερωτήµατα όταν επιλέγουµε ή σχεδιάζουµε ένα σύστηµα ασφάλειας µε κωδικούς πρόσβασης. Έτσι, αξιολογούνται οι εξής περιπτώσεις: α) όταν η επιλογή ενός «εύκολου» κωδικού από έναν χρήστη δυνητικά θα βλάψει µόνον το χρήστη και β) όταν η επιλογή ενός «εύκολου» κωδικού από έναν χρήστη δυνητικά βλάπτει άλλους χρήστες ή το πληροφοριακό σύστηµα της Επιχείρησης/Οργανισµού. Στην δεύτερη περίπτωση, η πολιτική ασφάλειας της επιχείρησης πρέπει να τροποποιηθεί ώστε οι χρήστες του συστήµατος να υποχρεώνονται (στο βαθµό που αυτό είναι εφφικτό) να επιλέξουν κωδικούς χαµηλής προβλεψιµότητας.

Επιθέσεις Online (Ενεργητικές) καιΕπιθέσεις Offline (Παθητικές)

Επιθέσεις OnlineO Mallory συνδέεται στο σύστηµα (log-in) και δοκιµάζει υποψήφιουςκωδικούς

Η επίθεση (συνήθως) προϋποθέτει τη γνώση του ονόµατος χρήστη(username), π.χ. ως αποτέλεσµα τεχνικών footprinting

Επιθέσεις σε συνδέσεις HTTP, Telnet, Pop, FTP, SMB κ.λ.π

Προγράµµατα: Brutus, ObiWan, pop.c, TeeNet, SNMPbrute, …

Σηµείωση: Πολλά «ύποπτα» προγράµµατα µπορούν να πραγµατοποιήσουνonline επιθέσεις λεξικού. Σε αυτήν την περίπτωση, βεβαίως, η επίθεσηπροϋποθέτει την µη ύπαρξη µηχανισµών κλειδώµατος (lockout) µετά απόέναν αριθµό αποτυχηµένων προσπαθειών (π.χ. 3)

Στη συνέχεια µελετούµε τρεις περιπτώσεις υποκλοπής κωδικών πρόσβασης σε ένα πληροφοριακό σύστηµα. 1. Υποκλοπή Κωδικών Πρόσβασης κατά την εισαγωγή • Περίπτωση - Λογισµικό Spyware στον Η/Υ. Τη στιγµή που ο χρήστης

πληκτρολογεί τον κωδικό πρόσβασης, κακόβουλο λογισµικό τύπου spyware που βρίσκεται εγκατεστηµένο στη µνήµη του Η/Υ τον υποκλέπτει και στη συνέχεια τον αποστέλει π.χ. µε e-mail στον «εχθρό».

40

• Παράδειγµα λάθους σχεδιασµού (Πηγή: Anderson 2001). Στo Λειτουργικό Σύστηµα PDP-10 TENEX ο έλεγχος των κωδικών γίνεται σε κάθε χαρακτήρα ξεχωριστά. Το σύστηµα εµφάνιζε ένα µήνυµα λάθους αµέσως µόλις εισαγόταν ένας λάθος χαρακτήρας. Οι ευπάθειες αυτού του µηχανισµού ταυτοποίησης είναι προφανείς. Ο «εισβολέας» µπορεί να µαντέψει κάποιους ή όλους τους χαρακτήρες του κωδικού µε διαδοχικές (όχι απαραίτητα ταυτόχρονες) δοκιµές.

• Παράδειγµα λάθους σχεδιασµού ∆ιεπαφής (Interface): Η συσκευή εισόδου του

κωδικού πρόσβασης σε αρκετά µηχανήµατα τύπου ΑΤΜ βρίσκεται σε υψηλό (σε σχέση µε το έδαφος) σηµείο.

2. Υποκλοπή (eavesdropping, interception) κατά τη µετάδοση Κατά την επικοινωνία µεταξύ δύο κόµβων συχνά παρεµβάλλονται ένας ή περισσότεροι ενδιάµεσοι κόµβοι (π.χ. routers, servers κ.λ.π). Επίσης, σε περιβάλλοντα τοπικών δικτύων (LAN), ένας Η/Υ µπορεί να έχει (ή να αποκτήσει, µε κακόβουλο τρόπο), πρόσβαση στα πακέτα δεδοµένων που µεταδίδονται από τις κάρτες δικτύου «γειτονικών» Η/Υ του τοπικού δικτύου). Στις περιπτώσεις αυτές, ένας (µη κρυπτογραφηµένος) κωδικός ενδέχεται να υποκλαπεί κατά τη µετάδοση του. Σήµερα, τεχνολογίες κρυπτογράφησης όπως το Secure Socket Layer (SSL) προσφέρουν κρυπτογράφηση δεδοµένων στο επίπεδο εφαρµογής, κατά τη µεταφορά τους µεταξύ δύο Η/Υ που επικοινωνούν µέσω Internet. Επίσης, υπηρεσίες και πρωτόκολλα επιπέδου εφαρµογής όπως (Telnet, rcp κ.α.) έχουν αντικατασταθεί-µετεξελιχτεί (π.χ. αποµακρυσµένη σύνδεση µε το πρωτόκολλο OpenSSH) ώστε η επικοινωνία µεταξύ δύο host να κρυπτογραφείται. Τέλος, οι τεχνολογίες κρυπτογράφησης σε χαµηλότερα επίπεδα (π.χ. IPSEC, WPA κ.α.), µπορούν επίσης να αποτελέσουν εργαλεία πρόληψης για τις επιθέσεις αυτής της κατηγορίας. Ειδική Περίπτωση - Επιθέσεις εισαγωγής (fabrication). Παράδειγµα αποτελούν οι επιθέσεις Ενδιάµεσης Οντότητας (Man in the Middle attacks) – βλέπε Ενότητα 1 ή οι επιθέσεις Web spoofing, όπου η αίτηση σύνδεσης του χρήστη προωθείται σε κάποιο «πλαστής ταυτότητας» δικτυακό τόπο (π.χ. ως αποτέλεσµα µιας επίθεσης τύπου phishing µέσω ηλ. Αλληλογραφίας) όπου και ζητείται από το χρήστη να ταυτοποιηθεί, δίνοντας π.χ. τον κωδικό του ή τα στοιχεία της κάρτας πληρωµών του. 3. Υποκλοπή κατά την αποθήκευση (password storage) Στα περισσότερα συστήµατα, το αρχείο µε τους κωδικούς των χρηστών (password file), βρίσκεται αποθηκευµένο, συνήθως σε κωδικοποιηµένη µορφή, σε έναν κεντρικό εξυπηρετητή (server). To αρχείο αυτό εφόσον περιέλθει στην κατοχή του εισβολέα, θα χρησιµοποιηθεί στα πλαίσια µιας επίθεσης λεξικού (dictionary attack) από ειδικό λογισµικό (π.χ. password crackers) για την εξαγωγή του κωδικού του χρήστη. Επιθέσεις Λεξικού. Οι επιθέσεις αυτές οφείλονται στην επιλογή «εύκολων» κωδικών από τους χρήστες, καθώς και στην ολοένα αυξανόµενη επεξεργαστική ισχύ, η οποία επιτρέπει το «σπάσιµο» ενός (όχι πολύ σύνθετου) συνθηµατικού σε µικρό χρονικό διάστηµα. Οι επιθέσεις αυτές συνήθως χρησιµοποιούν κάποιο λεξικό/λεξικά στα οποία περιέχονται τα συνθηµατικά που επιλέγουν πιο συχνά οι χρήστες (dictionary attack), καθώς και πλήθος λέξεων πολλών αλφάβητων. Ορισµένα προγράµµατα (π.χ. L0phtcrack) χρησιµοποιούν αρκετά πιο εξελιγµένες τεχνικές: εκτός από µια

41

συγκεκριµένη λέξη, δοκιµάζονται επίσης όλοι οι πιθανοί αναγραµµατισµοί της λέξης καθώς και συνδυασµοί χαρακτήρων της λέξης µε αριθµούς ή/και σύµβολα.

Επιθέσεις Offline(Επιθέσεις Λεξικού ήΩµής Βίας)

O Mallory αποκτά πρόσβαση στοαρχείο («κρυπτογραφηµένων») κωδικών του συστήµατος (π.χ. /etc/passwd, SAM file)

H επίθεση προϋποθέτει ότι o Mallory έχει ήδη συνδεθεί στοσύστηµα, π.χ. ως απλός χρήστηςή administrator

Στη συνέχεια ο Mallory εκτελείένα πρόγραµµα ανάκτησηςκωδικών (cracking software)

Εργαλεία: pwdump, L0phtCrack, John Ripper, Crack …

Πώς πραγµατοποιείται η επίθεση λεξικού (dictionary attack): Ο εισβολέας αποκτά ένα αντίγραφο του αρχείου µε τους κωδικοποιηµένους (hashed) κωδικούς των χρηστών του συστήµατος (password file). Στη συνέχεια ο εισβολέας κάνει χρήση µιας ή περισσοτέρων λιστών λέξεων (word lists ή αλλιώς λεξικά-dictionaries) που έχει συλλέξει. Τα λεξικά αυτά περιέχουν, µε µεγάλη πιθανότητα, λέξεις που, είτε αυτούσιες είτε αναγραµµατιζόµενες, ταυτίζονται µε κάποιο από τους «εύκολους» κωδικούς ενός συστήµατος. Τα λεξικά, µαζί µε το αρχείο κωδικών, δίνονται ως είσοδος σε εξειδικευµένο λογισµικό (password cracker) το οποίο συνήθως καταφέρνει να «σπάσει» έναν ή περισσότερους από τους λεγόµενους «εύκολους» κωδικούς. Το λογισµικό κωδικοποιεί κάθε λέξη του λεξικού (µε τη χρήση της συνάρτησης hash) και στη συνέχεια τη συγκρίνει µε όλες τις κωδικοποιηµένες λέξεις του αρχείου κωδικών, µέχρι να βρει κάποιο ταίριασµα.

Επίθεση Λεξικού

Κωδικός 1Κωδικός 2

Κωδικός 4Κωδικός 3

Κωδικός n………

……

hash Κ∆-1hash Κ∆-2

hash Κ∆-4hash Κ∆-3

hash Κ∆-n………

……

hash

Αρχείο κωδικών, περιέχει τουςκωδικούς τωνχρηστών σεκωδικοποιηµένηµορφή

Αρχείο κωδικών, περιέχει τουςκωδικούς τωνχρηστών σεκωδικοποιηµένηµορφή

Λεξικό Κωδικών

http://www.csse.monash.edu.au/courseware/cse2500/ppt/Authentication.ppt

Σύγκριση

42

Σηµείωση: Έχουµε αναφέρει ότι οι κωδικοί που φυλάσσονται στο αρχείο κωδικών είναι κρυπτογραφηµένοι. Ωστόσο, η συνάρτηση hash (hash function) που χρησιµοποιείται για την κρυπτογράφηση τους, δεν απαιτεί τη χρήση κάποιου κλειδιού. Η ασφάλεια της συνάρτησης hash, έγκειται στο γεγονός (και µόνον) ότι η αντιστροφή της συνάρτησης είναι δύσκολη (one way). Ωστόσο, οποιοσδήποτε (άρα και ο εισβολέας) µπορεί να κρυπτογραφεί πιθανές λέξεις και να τις συγκρίνει µε τους κρυπτογραφηµένους κωδικούς. Εποµένως η ασφάλεια του συστήµατος βασίζεται στην επιλογή «δύσκολων» κωδικών πρόσβασης από το χρήστη. ∆ιαφορά επιθέσεων λεξικού µε επιθέσεις ωµής βίας (brute force). Στις επιθέσεις brute force, το λογισµικό δοκιµάζει όλους τους δυνατούς συνδυασµούς χαρακτήρων για να σπάσει έναν κωδικό. Οι επιθέσεις αυτές συνήθως είναι στοχευµένες, δηλαδή αποσκοπούν στο «σπάσιµο» ενός συγκεκριµένου κωδικού ή κλειδιού. Ένας κωδικός που έχει επιλεγεί σύµφωνα µε τα κριτήρια της πολιτικής ασφάλειας που αναφέρουµε στην Ενότητα 2.2.2, είναι ανθεκτικός απέναντι στις επιθέσεις λέξικού, αλλά όχι και απέναντι στις επιθέσεις «brute force». Κάποια στιγµή, εφόσον το πλήθος των πιθανών κωδικών είναι πεπερασµένο, η επίθεση brute force θα φανερώσει τον κωδικό που χρησιµοποιήθηκε. Οι συνέπειες των επιθέσεων brute force µετριάζονται εφόσον εφαρµόζεται σωστά η πολιτική της ανανέωσης (update) των κωδικών χρήστη σε τακτά χρονικά διαστήµατα. Πόσοι κωδικοί υπάρχουν; Αυτό εξαρτάται από το αλφάβητο εισόδου και το µέγεθος (µήκος) του κωδικού πρόσβασης. Παράδειγµα Έστω ότι το αλφάβητο εισόδου είναι το [a,b] και το µήκος του κωδικού 2, τότε οι πιθανοί κωδικοί είναι:

aa, ab, ba, bb 4 Εάν το µήκος του κωδικού είναι 3, τότε οι πιθανοί κωδικοί είναι =

aaa, aab, aba, abb, baa,bab, bba, bbb = 8 Εάν το αλφάβητο εισόδου έχει µέγεθος 26 (π.χ. τα πεζά γράµµατα της λατινικής αλφαβήτου), τότε:

Για κωδικούς µήκους 2 26 Χ 26 = 676 πιθανοί κωδικοί Για κωδικούς µήκους 3 26 Χ 26 Χ 26 = 17576 πιθανοί κωδικοί

Εάν το αλφάβητο εισόδου έχει µήκος 96 (π.χ. πεζά και κεφαλαία γράµµατα της λατινικής αλφαβήτου : 52, αριθµητικοί χαρακτήρες : 10, σύµβολα και σηµεία στίξης από το πληκτρολόγιο : 34), τότε

Για κωδικούς µήκους 8 96^8 = 7213895789838336 πιθανοί κωδικοί

43

Μελέτη περίπτωσης: Πηγή (Schneier, 2000). Κατά τα παλαιότερα χρόνια, οι επιθέσεις ωµής βίας (brute force) δεν ήταν εύκολη διαδικασία, επειδή οι υπολογιστές δεν διέθεταν υψηλή επεξεργαστική ισχύ. Σήµερα, µε την ολοένα αυξανόµενη επεξεργαστική ισχύ, οι επιθέσεις αυτές είναι εφικτές, ακόµη και για περιπτώσεις κωδικών πρόσβασης «µεγάλου» µήκους. Το λογισµικό L0phtcrack για παράδειγµα, είναι βελτιστοποιηµένο για επιθέσεις εύρεσης κωδικών σε συστήµατα Windows NT. Σε έναν («κλασσικό») Pentium II 400 Mhz, το L0phtcrack µπορεί να εξετάσει όλους τους 7-ψήφιους αλφαριθµητικούς κωδικούς (χωρίς σύµβολα) σε 5.5 ώρες, καθώς και όλους τους 7-ψήφιους κωδικούς (πεζά γράµµατα της αλφαβήτου και σύµβολα) σε 480 ώρες.

2.2.2 Σωστή Επιλογή Κωδικών Πρόσβασης Ένας ασφαλής κωδικός για συστήµατα χαµηλής-µέσης ασφάλειας θεωρητικά πρέπει να πληροί τις εξής προυποθέσεις: • Έχει τουλάχιστον 8 χαρακτήρες • Περιέχει τουλάχιστον έναν χαρακτήρα από τις εξής κατηγορίες:

- Kεφαλαία (A-Z) - Πεζά (a-z) - Aριθµούς (0-9) - Eιδικούς χαρακτήρες (!, @, #, %, : κτλ.)

• ∆εν σχετίζεται µε προσωπική πληροφορία • ∆εν αποτελεί λέξη σε (οποιοδήποτε) αλφάβητο • …

Εκπαίδευση των χρηστών –Μία µελέτη περίπτωσης

100 φοιτητές χωρίστηκαν σε 3 οµάδες (Anderson, 2001)Στην «κόκκινη» οµάδα δόθηκαν οι συνήθεις οδηγίες για τηνεπιλογή σωστού password

(τουλάχιστον 6 χαρ., & ένας µη αλφαριθµητικός χαρ.)

Στην «πράσινη» οµάδα ζητήθηκε να σκεφθούν µια φράση(passphrase) και να επιλέξουν γράµµατα από αυτή

π.χ “It’s 12 noon and I am hungry” I’S12&IAH

Στην «κίτρινη» οµάδα δόθηκε ένας πίνακας χαρακτήρων(γράµµατα & αριθµοί): «Επιλέξτε 8 χαρακτήρες. Γράψτε τονκωδικό σε ένα χαρτί. Καταστρέψτε το χαρτί 1 εβδοµάδα µετά…»

Από τις τρεις οµάδες που αναφέρονται στη µελέτη περίπτωσης του Σχήµατος, η πρώτη οµάδα κωδικών παρουσιάζει και το υψηλότερο ποσοστό επικινδυνότητας, ενώ η δεύτερη και η τρίτη οµάδα θεωρούνται ασφαλείς. Γενικότερα, η δηµιουργία συνθηµατικών από χαρακτήρες φράσεων που µπορούµε να τις θυµηθούµε εύκολα, αποτελεί τη χρυσή τοµή µεταξύ των δύο βασικών απαιτήσεων που θέσαµε για την

44

επιλογή ενός ασφαλούς κωδικού: (α) Να αποµνηµονεύεται εύκολα και (β) Να είναι δύσκολο να ανακαλυφθεί από κάποιον τρίτο.

Εκπαίδευση των χρηστών –Μία µελέτη περίπτωσης [1]

30% των κωδικών από την κόκκινη οµάδα «έσπασαν» εύκολα(χρησιµοποιώντας ειδικό λογισµικό – cracking software)

Οι άλλες 2 οµάδες είχαν 10% αντίστοιχο ποσοστό

Οι χρήστες ρωτήθηκαν ως προς τη δυσκολία αποµνηµόνευσηςΗ κίτρινη οµάδα είχε το µεγαλύτερο πρόβληµα…

Συµπεράσµατα ; …….

Για παράδειγµα, η φράση

"My son Eiten is three years older than my daughter Anna." θα µπορούσε να µετατραπεί στον κωδικό:

M$8ni3y0tmd@ Σε αυτήν την περίπτωση ο χρήστης δεν αποµνηµονεύει τον κωδικό αλλά τη φράση από την οποία αυτός προέρχεται. Απόσπασµα από την Πολιτική Ασφάλειας του «φανταστικού» οργανισµού Χ Εκτός των περιπτώσεων όπου υπάρχει ρητή συµφωνία µε τους ∆ιαχειριστές Συστηµάτων, οι κωδικοί πρόσβασης των πληροφοριακών συστηµάτων του Χ πρέπει να φέρουν τα ακόλουθα χαρακτηριστικά ασφάλειας: • Πρέπει να έχουν µήκος τουλάχιστον οκτώ (8) χαρακτήρων. • Πρέπει να είναι δύσκολο να ανακαλυφθούν ή µαντευθούν. Ειδικότερα δεν πρέπει

να αποτελούνται από κύριες λέξεις, παράγωγα ταυτοτήτων χρηστών, τοπωνύµια, ακρωνύµια και συνήθεις ακολουθίες χαρακτήρων (π.χ. "123456"). Επίσης δεν πρέπει να αποτελούνται από προσωπικά στοιχεία όπως ονόµατα συγγενικών προσώπων, αριθµούς κυκλοφορίας αυτοκινήτων, ηµεροµηνίες γέννησης ή επετείων, ή από σταθερά και µε προβλεπόµενο τρόπο εναλλασσόµενα µέρη (π.χ. η χρήση του συνθηµατικού "X34JAN" το µήνα Ιανουάριο ακολουθούµενη από το συνθηµατικό "X34FEB" για το µήνα Φεβρουάριο).

45

• Πρέπει να περιέχουν τουλάχιστον τρία από τα παρακάτω: - ένα πεζό αλφαβητικό χαρακτήρα - ένα κεφαλαίο αλφαβητικό χαρακτήρα - έναν αριθµό - ένα µη αλφαβητικό χαρακτήρα (σηµεία στίξης, κλπ) • Όλοι οι χρήστες θα πρέπει να αλλάζουν τους κωδικούς πρόσβασης τους

τουλάχιστον κάθε εκατόν ογδόντα (180) ηµέρες. Οι νέοι κωδικοί πρόσβασης δεν πρέπει να είναι ίδιοι ή αρκετά όµοιοι µε αυτούς που αντικαθιστούν. Επίσης, δεν θα πρέπει να γίνεται χρήση οποιουδήποτε από τα τελευταία πέντε (5) συνθηµατικά.

• Επιπλέον όλων των παραπάνω, όλοι οι κωδικοί πρόσβασης διαχειριστών

πληροφοριακών συστηµάτων ή χρηστών µε αυξηµένα δικαιώµατα πρόσβασης πρέπει:

- να έχουν µήκος τουλάχιστον δέκα (10) χαρακτήρων. - να αλλάζουν κάθε ενενήντα (90) ηµέρες • Εφόσον είναι εφικτό θα πρέπει όλοι οι χρήστες να υποχρεώνονται από τα ίδια τα

πληροφοριακά συστήµατα να εφαρµόζουν τη συγκεκριµένη πολιτική. Φιλτράρισµα Κωδικών Πρόσβασης Οι σύγχρονες διαδικασίες αυτόµατου φιλτραρίσµατος κωδικών πρόσβασης (λογισµικό password filter) ελέγχουν τον κωδικό που επιλέγει ο χρήστης, µε βάση κριτήρια που καθορίζονται από την Πολιτική Ασφάλειας για τους κωδικούς των χρηστών. Για παράδειγµα: • Αν ο κωδικός πληρεί τις βασικές προϋποθέσεις (τουλάχιστον ένας αριθµητικός

και ένας µη αλφαριθµητικός χαρακτήρας) • Αν ο κωδικός ανήκει σε µια (γνωστή) λίστα µε εύκολα passwords • Αν ο κωδικός σχετίζεται µε κάποια προσωπική πληροφορία (που ο χρήστης ήδη

έχει δηλώσει στο σύστηµα) • … Σε συστήµατα υψηλής ασφάλειας, οι διαδικασίες ελέγχου των κωδικών των χρηστών περιλαµβάνουν τεχνικές παρόµοιες µε αυτές που χρησιµοποιούν οι εισβολείς συστηµάτων: µε τη χρήση ειδικού λογισµικού (cracking), ελέγχεται η ευκολία του κωδικού πρόσβασης που επέλεξε ο χρήστης. Παραµετροποποίηση του Λειτουργικού Συστήµατος (Λ.Σ.) Σκιώδη (shadow) Αρχεία Κωδικών: Στα παλαιότερα συστήµατα τύπου UNIX, το αρχείο των κωδικών (password file) βρισκόταν στον κατάλογο /etc/passwd. Για

46

λειτουργικούς σκοπούς, το αρχείο αυτό ήταν αναγνώσιµο από όλους τους χρήστες (world readable) του συστήµατος. Ένας εισβολέας µπορούσε να αντιγράψει το αρχείο κωδικών και στη συνέχεια να εξαπολύσει µια επίθεση λεξικού (ή ωµής βίας). Στις σύγχρονες διανοµές, τα αρχεία των κωδικών είναι προσβάσιµα (αναγνώσιµα) µόνον από το διαχειριστή του συστήµατος. Για το λόγο αυτό ονοµάζονται και σκιώδη (shadow). Κλείδωµα Λογαριασµού µετά από έναν αριθµό ανεπιτυχών προσπαθειών (επιθέσεις Online): To σύστηµα IDS/IPS που εκτελείται στο σύστηµα, είναι προγραµµατισµένο να κλειδώνει το λογαριασµό του χρήστη σε περίπτωση online επιθέσεων ωµής βίας. Ωστόσο, παρότι είναι ιδιαιτέρως αποτελεσµατική σε αρκετές περιπτώσεις (π.χ. απόπειρες ανάληψης χρηµάτων από ΑΤΜ µε κλεµµένες κάρτες), η συγκεκριµένη πολιτική ασφαλείας πρέπει να χρησιµοποιείται µε προσοχή, καθώς είναι δυνατόν να οδηγήσει σε επιθέσεις Άρνησης Εξυπηρέτησης (DOS), όπου για παράδειγµα ο επιτιθέµενος επιχειρεί να συνδεθεί στο σύστηµα, απλώς και µόνον για να κλειδωθούν ένας ή περισσότεροι λογαριασµοί. Για αυτόν το λόγο, εξαίρεση σε αυτή την πολιτική συνήθως αποτελούν οι λογαριασµοί διαχειριστών συστηµάτων για τους οποίους επιτρέπεται απεριόριστος αριθµός ανεπιτυχών προσπαθειών. Πολιτική Ανανέωσης Κωδικών: Η επιβολή ανανέωσης κωδικών ανά τακτά χρονικά διαστήµατα περιορίζει το πρόβληµα, χωρίς ωστόσο να το επιλύει. Ακόµα και στις περιπτώσεις όπου τηρείται ιστορικό παρελθόντων κωδικών (ώστε να αντιµετωπίζεται το ενδεχόµενο ένας χρήστης να εναλλάσσει τους κωδικούς του), συχνά παρατηρείται το φαινόµενο ο χρήστης π.χ. να επιλέγει τον κωδικό manos01 για τον Ιανουάριο, manos02 για τον Φεβρουάριο κ.λ.π.

http://www.albany.edu/~goel/classes/spring2005/msi416/password.ppt

47

Παραµετροποίηση Λ.Σ. – Τεχνική Salting Η τεχνική salting χρησιµοποιείται συχνά µε σκοπό να µετριάσει τις συνέπειες των επιθέσεων λεξικού ή ωµής βίας. Λειτουργεί ως εξής: 1) O χρήστης επιλέγει έναν κωδικό. Tο σύστηµα παράγει έναν τυχαίο αριθµό (salt:

ένας αριθµός στο διάστηµα [1 – 4096]) και στη συνέχεια κρυπτογραφεί τον κωδικό του χρήστη και τον αριθµό salt, µε µια κρυπτογραφική συνάρτηση hash. To αποτέλεσµα αποθηκεύεται στο αρχείο κωδικών, µαζί µε τον αριθµό salt.

2) Ταυτοποίηση χρήστη: ο χρήστης εισάγει το όνοµα χρήστη και τον κωδικό. Από το

όνοµα χρήστη, το σύστηµα ανακτά τον αριθµό salt που αντιστοιχεί στο χρήστη, από το αρχείο κωδικών. Στη συνέχεια το σύστηµα κρυπτογραφεί, µε τη συνάρτηση hash, τον κωδικό που υπέβαλε ο χρήστης και τον αντίστοιχο αριθµό salt. Το αποτέλεσµα συγκρίνεται µε τον αποθηκευµένο (hashed) κωδικό. Εάν οι δύο τιµές είναι ίδιες, η ταυτοποίηση είναι επιτυχής και ο χρήστης αποκτά πρόσβαση στο σύστηµα.

Περίπτωση: Έστω ένας εισβόλεας αποκτά το αρχείο των κωδικών (password file) του συστήµατος ώστε να εξαπολύσει µια επίθεση λεξικού. Εάν ο στόχος είναι ένας συγκεκριµένος κωδικός (του οποίου η τιµή salt είναι γνωστή), τότε ο εισβολέας θα πρέπει να υπολογίσει την τιµή hash για όλους τους συνδυασµούς [λέξη1, salt], [λέξη2, salt]….[ΛέξηΝ, salt]. Εφόσον ο χρήστης, έχει επιλέξει ως κωδικό µια («εύκολη») λέξη που υπάρχει στο λεξικό, τότε ο κωδικός θα αποκαλυφθεί. Εάν όµως ο στόχος είναι να εντοπιστούν όλα τα «εύκολα» passwords οποιουδήποτε συστήµατος, ο εισβολέας θα πρέπει να έχει προ-υπολογίσει (και αποθηκεύσει) τις 4096 παραλλαγές κάθε λέξης του λεξικού που διαθέτει (αφού, για κάθε λέξη µπορεί να έχει χρησιµοποιηθεί οποιαδήποτε από τις 4096 πιθανές τιµές salt). Είναι σαφές πως η τεχνική salting δεν αποτρέπει τις επιθέσεις υποκλοπής απλά τις δυσχεραίνει. Σηµείωση: Η συνάρτηση hash είναι µονής κατεύθυνσης (βλέπε και Ενότητα 6). Αυτό σηµαίνει ότι κάποιος που έχει στην κατοχή του τον αποθηκευµένο (hashed) κωδικό και την τιµή salt, δεν µπορεί να βρει τον αρχικό κωδικό. Η µόνη λύση είναι ο εισβολέας να πραγµατοποιήσει µια επίθεση τύπου dictionary attack (ή brute force).

2.3 Ταυτοποίηση µε Βιοµετρικές Τεχνικές

2.3.1 Βασικές Έννοιες Βιοµετρία. Είναι η επιστήµη µέτρησης και στατιστικής ανάλυσης βιολογικών δεδοµένων. Στο γνωστικό αντικείµενο της Ασφάλειας, ο όρος αναφέρεται σε τεχνολογικές µεθόδους που επιτρέπουν τη συλλογή και ανάλυση χαρακτηριστικών του ανθρώπινου σώµατος ή/και της ανθρώπινης συµπεριφοράς, µε σκοπό τον έλεγχο πρόσβασης στους πόρους του συστήµατος, ή στα πλαίσια της φυσικής ασφάλειας (physical security) σε σηµεία ενδιαφέροντος. Στόχος Α: Επαλήθευση Ταυτότητας (Identity Verification): Σύγκριση ενός χαρακτηριστικού µε ένα χαρακτηριστικό της βάσης δεδοµένων, µε σκοπό την εύρεση «ταιριάσµατος» (matching). Υποερώτηµα που απαντάται:

48

Είναι ο Α όντως ο Α;

Στόχος Β: Ταυτοποίηση (Identification): Σύγκριση ενός χαρακτηριστικού µε όλα τα χαρακτηριστικά της βάσης δεδοµένων, µε σκοπό την εύρεση ενός «ταιριάσµατος». Υποερώτηµα που απαντάται:

Ποια είναι η ταυτότητα του υποκειµένου; Η έννοια της ταυτοποίησης παρουσιάζει το µεγαλύτερο τεχνολογικό και ερευνητικό ενδιαφέρον σε σχέση µε την επαλήθευση ταυτότητας. Σε περιπτώσεις κατά τις οποίες το µέγεθος της βάσης είναι ιδιαίτερα µεγάλο, η ταυτοποίηση καθίσταται µια πολύ δύσκολη διαδικασία. Στην πράξη, οι βιοµετρικές µέθοδοι χρησιµοποιούνται κυρίως για την επαλήθευση ταυτότητας (identity verification) των χρηστών ενός συστήµατος, στα πλαίσια της ταυτοποίησης SYA (Something You Are). Απαιτήσεις Συστήµατος Ένα σύστηµα (ή συσκευή) βιοµετρίας συνήθως αποτελείται από:

• ∆ιαδικασίες και συσκευές εισόδου και εξαγωγής χαρακτηριστικών από το αρχικό δείγµα,

• Έναν αποθηκευτικό χώρο (π.χ. µια Βάση ∆εδοµένων- Β∆) µε τα

χαρακτηριστικά που έχουν εξαχθεί,

• ∆ιαδικασίες αναγνώρισης (σύγκρισης και εξαγωγής αποτελέσµατος). Λήψη δείγµατος: Κατά το στάδιο της εγγραφής, λαµβάνεται το πρώτο δείγµα από ένα υποκείµενο. Η ποιότητα του πρώτου δείγµατος είναι σηµαντική για τη µετέπειτα αναγνώριση του υποκειµένου. Εάν η ποιότητα δεν είναι ικανοποιητική, τότε η διαδικασία λήψης πρέπει να επαναληφθεί. Συνήθως, η λήψη του πρώτου δείγµατος, πραγµατοποιείται υπό την καθοδήγηση ειδικού προσωπικού. Στη συνέχεια θα ακολουθήσει η ψηφιοποίηση του δείγµατος και η εξαγωγή χαρακτηριστικών. Εξαγωγή χαρακτηριστικών: Το δείγµα που αποκτάται κατά το στάδιο της εγγραφής, δεν αποθηκεύεται στη Β∆ µε την αρχική του µορφή. Το πρώτο δείγµα περιέχει ορισµένη ποσότητα πληροφορίας που δεν είναι χρήσιµη, και εποµένως πρέπει να αποµονωθεί. Ένα πολύ µικρό υποσύνολο του δείγµατος που αποκτάται, θεωρείται ως µοναδικό για το υποκείµενο, και παρουσιάζει το µεγαλύτερο ενδιαφέρον (άρα είναι χρήσιµο) κατά τον έλεγχο πρόσβασης. Η ποιότητα και η ποσότητα των χαρακτηριστικών του δείγµατος που παρουσιάζουν το µεγαλύτερο ενδιαφέρον, εξαρτώνται από το είδος της βιοµετρικής µεθόδου. Σηµείωση: Η διαδικασία της εξαγωγής χαρακτηριστικών είναι απωλεστική (lossy): αυτό σηµαίνει ότι τα χαρακτηριστικά που εξάγονται, δεν είναι ικανά να οδηγήσουν στην τέλεια αναδηµιουργία του αρχικού δείγµατος.

49

Εγγραφή: Αποθήκευση ενός χαρακτηριστικού σεµια βάση δεδοµένων

Φυσικήπαρουσία Λήψη Επεξεργασία Αποθήκευση

Ταίριασµα

∆ΕΚΤΟΣ

Μη ταίριασµα

ΑΠΟΡΡΙΠΤΕΤΑΙ

Συστήµατα Βιοµετρίας∆ιαδικασίες - βήµατα

Αναγνώριση: Συσχέτιση µε µιααποθηκευµένη εγγραφή

Λήψη Επεξεργασία

Σύγκριση

Φυσικήπαρουσία

Αποθήκευση χαρακτηριστικών: Τα χαρακτηριστικά που εξάγονται µπορούν να αποθηκευτούν σε µία (έξυπνη) κάρτα, σε µια βάση δεδοµένων σε κάποιον εξυπηρετητή (server), σε έναν σταθµό εργασίας (workstation) ή απευθείας στο τερµατικό που χρησιµοποιείται για τον έλεγχο πρόσβασης/ταυτοποίηση. Αναγνώριση: Σε ένα «ιδανικό» σύστηµα, η συσκευή που χρησιµοποιείται για τη λήψη του πρώτου δείγµατος είναι η ίδια µε τη συσκευή που χρησιµοποιείται κατά τη λήψη του δείγµατος που πρόκειται να ελεγχθεί. Επίσης, οι συνθήκες του εξωτερικού περιβάλλοντος θα πρέπει να είναι όσο το δυνατόν παρόµοιες µε τις συνθήκες του περιβάλλοντος κατά το στάδιο της εγγραφής. Παραδείγµατα αποτελούν το φόντο (background) κατά την αναγνώριση προσώπου, ο θόρυβος κατά την αναγνώριση φωνής, η υγρασία κατά την αναγνώριση δαχτυλικού αποτυπώµατος κλπ. Στην πράξη, η ποιότητα του δείγµατος που αποκτάται στο στάδιο του ελέγχου πρόσβασης, είναι χαµηλή σε σύγκριση µε την ποιότητα του δείγµατος που αποκτήθηκε κατά την εγγραφή. Σηµείωση: Σε γενικές γραµµές τα φυσιολογικά χαρακτηριστικά (π.χ. ίριδα, αµφιβληστροειδής, δαχτυλικό Αποτύπωµα) είναι πιο αξιόπιστα από τα συµπεριφοριστικά (π.χ. βάδισµα, υπογραφή, πληκτρολόγηση). Αυτό συµβαίνει επειδή οι εξωγενείς συνθήκες (π.χ. συναισθηµατική κατάσταση, ασθένεια κλπ) είναι πιο εύκολο να µεταβληθούν κατά τη λήψη ενός συµπεριφοριστικού δείγµατος .

50

Λανθασµένη αποδοχή – Λανθασµένη Απόρριψη

FAR – ένας µη εξουσιοδοτηµένος χρήστης γίνεται δεκτός

FRR – ένας εξουσιοδοτηµένος χρήστης απορρίπτεται

Αντιστάθµιση (tradeoff) µεταξύ ασφάλειας-λειτουργικότητας

[2]

Ένα βιοµετρικό χαρακτηριστικό δε µπορεί ποτέ να είναι 100% ίδιο µε το χαρακτηριστικό που ελήφθη κατά την εγγραφή. Αυτό συµβαίνει επειδή το περιβάλλον ή/και άλλοι εξωγενείς παράγοντες (ζέστη, φωτισµός, υγρασία, σκόνη, συναισθηµατική/πνευµατική κατάσταση, κόπωση, ασθένεια κ.λ.π) επηρεάζουν τη διαδικασία. Εποµένως, ένα σύστηµα που ελέγχει (και απαιτεί) 100% ταύτιση για να επιτρέψει την πρόσβαση, θα ήταν πρακτικά άχρηστο, αφού θα απέρριπτε πολλούς εξουσιοδοτηµένους χρήστες (Λανθασµένη Απόρριψη – False Rejection). Ανάλογα προβλήµατα εντοπίζονται σε περιπτώσεις όπου, ένα σύστηµα είναι πολύ «χαλαρό», δηλαδή αποφαίνεται θετικά ακόµα και στην περίπτωση όπου το ποσοστό οµοιότητας είναι χαµηλό. Το σύστηµα αυτό θα ήταν επίσης πρακτικά άχρηστο, αφού θα επέτρεπε την πρόσβαση σε πολλούς µη εξουσιοδοτηµένους χρήστες (Λανθασµένη Αποδοχή - False Acceptance). Είναι σαφές ότι τα ποσοστά FRR και FAR είναι αντιστρόφως ανάλογα. Το σηµείο ισορροπίας (security threshold) είναι το σηµείο εκείνο κατά το οποίο έχουµε αποδεκτά ποσοστά FAR και FRR, και εξαρτάται από την πολιτική ασφάλειας του συστήµατος. Το σηµείο ισορροπίας απεικονίζει την ακρίβεια του συστήµατος, και συγκεκριµένα το ποσοστό διαφοροποίησης που επιτρέπεται µεταξύ του αρχικού και του τελικού δείγµατος: αν η διαφοροποίηση είναι µικρότερη του σηµείου ισορροπίας, τότε ο χρήστης γίνεται αποδεκτός, αλλιώς ο χρήστης απορρίπτεται. Σηµείωση: • Σε συστήµατα υψηλού επιπέδου ασφάλειας, όπου η ασφάλεια είναι πιο σηµαντική

από τη λειτουργικότητα, το FAR διατηρείται σε πολύ µικρά επίπεδα µε συνέπεια το ποσοστό εξουσιοδοτηµένων χρηστών που απορρίπτονται από το σύστηµα να είναι υψηλό. Σε αυτήν την περίπτωση συνήθως χρησιµοποιούνται συµπληρωµατικές διαδικασίες, π.χ. προσωπικό ασφάλειας για τον φυσικό έλεγχο της ταυτότητας όσων το σύστηµα απορρίπτει.

51

• Σε συστήµατα χαµηλού-µέσου επιπέδου ασφαλείας, όπου η λειτουργικότητα είναι

πιο σηµαντική από την ασφάλεια, το FRR διατηρείται σε πολύ µικρά επίπεδα, µε συνέπεια το ποσοστό εξουσιοδοτηµένων χρηστών που γίνονται αποδεκτοί από το σύστηµα να είναι υψηλό. Για παράδειγµα, ο µηχανισµός ελέγχου πρόσβασης σε ένα φωτοτυπικό µηχάνηµα θα πρέπει να έχει χαµηλό FRR.

http://www.csse.monash.edu.au/courseware/cse2500/ppt/Authentication.ppt

Non-matchingprints

Matchingprints

MatchingThreshold

False non-matches False matches

d

Ανίχνευση Ζωής. Η ανίχνευση ζωής είναι σηµαντική, ιδίως σε περιβάλλοντα όπου το σύστηµα δεν επικουρείται από προσωπικό ασφάλειας. Όπως θα δούµε σε επόµενη ενότητα, η ανίχνευση ζωής διαφέρει από µέθοδο σε µέθοδο, και σχετίζεται µε το εκάστοτε χαρακτηριστικό (φυσιολογικό ή συµπεριφοριστικό) που εξετάζεται.

Βιοµετρία – ∆αχτυλικόαποτύπωµα (fingerprint)

«Παλαιά» µέθοδος για τον Έλεγχο Πρόσβασης

Λήψη ψηφιοποιηµένου αποτυπώµατοςΠρώτα: χρήση µελάνης & σάρωση

Σήµερα:Οπτικοί αναγνώστες (optical readers)

Ευαισθησία στη σκόνη

Τεχνολογίες σιλικόνης (Silicon chip)

Ευαισθησία στην υγρασία

Χρήση υπερήχων (ultrasonic)

52

2.3.2 Φυσιολογικά Χαρακτηριστικά

2.3.2.1 ∆αχτυλικό Αποτύπωµα (Fingerprint) Ο έλεγχος πρόσβασης µε τη χρήση δαχτυλικών αποτυπωµάτων είναι από τις πλέον κλασσικές τεχνικές ταυτοποίησης. Οι πρώτες αυτοµατοποιηµένες µέθοδοι χρησιµοποιήθηκαν κατά τη δεκαετία του 60 στις ΗΠΑ για την διαλεύκανση εγκληµάτων. Λήψη δείγµατος: Οι παραδοσιακές µέθοδοι κάνουν χρήση µελάνης για την αποτύπωση του δείγµατος σε χαρτί. Στη συνέχεια χρησιµοποιείται ένας σαρωτής για την ψηφιοποίηση του δείγµατος. Τα σύγχρονα συστήµατα περιλαµβάνουν αναγνώστες (readers) βασισµένους σε: • Τεχνολογίες φωτός (οπτικοί – optical): Η εξαγωγή των χαρακτηριστικών

βασίζεται στις διαφοροποιήσεις της αντανάκλασης του φωτός (χρήση LED) ανάλογα µε το είδος της επιφάνειας στην οποία προσκρούει. Ένα µειονέκτηµα των οπτικών αναγνωστών είναι ότι η ακρίβεια τους επηρεάζεται από τη σκόνη και τις ακαθαρσίες.

• Σιλικόνη (Silicon): To δάχτυλο τοποθετείται σε µια επιφάνεια σιλικόνης που

αποτελείται από µικροσκοπικά στοιχεία (pixels) - Όσο µεγαλύτερος είναι ο αριθµός των pixels (µεγαλύτερη ανάλυση) τόσο πιο ακριβή είναι τα αποτελέσµατα (π.χ 500 dpi). Με τη χρήση ειδικών αισθητήρων µετρώνται χαρακτηριστικά όπως η πίεση ή/και η απόσταση µεταξύ της επιφάνειας του δαχτύλου και των pixels. Οι αναγνώστες που βασίζονται στη χρήση ολοκληρωµένων (chips) σιλικόνης, χαρακτηρίζονται από το χαµηλό τους µέγεθος και ως εκ τούτου χρησιµοποιούνται σε περιβάλλοντα όπου το µικρό µέγεθος είναι σηµαντικό (π.χ. κινητή τηλεφωνία, φορητοί Η/Υ κ.λ.π).

∆αχτυλικό αποτύπωµαΕξαγωγή χαρακτηριστικών

www.cis.rit.edu

Σηµεία Minutiae

53

• Υπέρηχοι (ultrasonic): Η χρήση υπέρηχων εξάγει τα χαρακτηριστικά του δέρµατος που βρίσκεται κάτω από την επιφάνεια του δάχτυλου (η οποία µπορεί να επηρεάζεται από σκόνη ή αµυχές). Θεωρούνται περισσότερο ακριβή (και ακριβά) από τους οπτικούς αναγνώστες.

Στις περισσότερες των περιπτώσεων, τα χαρακτηριστικά που εξάγονται είναι οι γραµµές και οι καµπύλες (τα σηµεία «Minutiae») από τις οποίες αποτελείται κάθε δαχτυλικό αποτύπωµα, και οι οποίες (στο σύνολο τους) είναι µοναδικές για κάθε υποκείµενο. Περίπου 30 τέτοια σηµεία εξάγονται από κάθε αποτύπωµα, ενώ το συνολικό µέγεθος του αποτυπώµατος που εξάγεται δεν ξεπερνάει το 1 ΚΒ. Η πιθανότητα δύο άτοµα να έχουν περισσότερα από 8-10 τέτοια σηµεία, θεωρείται πάρα πολύ µικρή. Πλεονεκτήµατα: H αναγνώριση δαχτυλικού αποτυπώµατος είναι γνωστή και γρήγορη µέθοδος, εµφανίζει σχετικά υψηλή ακρίβεια κατά την επαλήθευση ταυτότητας & την ταυτοποίηση. Επιπλέον, τα χαρακτηριστικά που εξάγονται είναι πλούσια σε πληροφορία (δηλαδή, υπάρχουν σηµαντικές διαφορές µεταξύ δύο υποκειµένων). Μειονεκτήµατα: Η αναγνώριση δαχτυλικού αποτυπώµατος επηρεάζεται συχνά από αλλαγές στο περιβάλλον, όπως η ηλικία, η σκόνη, η υγρασία, η καταπόνηση του χεριού λόγω εργασίας κ.λ.π. Επίσης, όταν το δαχτυλικό αποτύπωµα είναι χαµηλής ποιότητας, η εξαγωγή των χαρακτηριστικών είναι δύσκολη.

2.3.2.2 Αναγνώριση Ίριδας (Iris Recognition) Η ίριδα είναι η κυκλική επιφάνεια που περικλείει την κόρη του µατιού. Η ίριδα του µατιού περιέχει ένα πλούσιο και πολύπλοκο µωσαϊκό γραµµών και σχηµάτων (υπάρχουν περίπου 200 τέτοια σηµεία), τα οποία είναι µοναδικά για κάθε υποκείµενο. Οι µέθοδοι αναγνώρισης που βασίζονται στην ίριδα θεωρούνται από τις πλέον ακριβείς (accurate) µεθόδους: H έρευνα έχει δείξει ότι ο έλεγχος πρόσβασης µε τη χρήση του αποτυπώµατος της ίριδας εµφανίζει ποσοστά ακρίβειας µεγαλύτερα και από τις µεθόδους αναγνώρισης DNA.

Αναγνώριση Ίριδας

H πλέον ακριβής & αξιόπιστη µέθοδος αναγνώρισηςΠιθανότητα 2 άνθρωποι να έχουν ίδια ίριδα: 1:1052

Κατάλληλη για ταυτοποίησηΕπιθέσεις επανάληψης (replay attacks): δύσκολες -αδύνατες

ΕγγραφήΧρήση κάµερας σε απόσταση 10-40 εκ. από το µάτι (IR)

Εξαγωγή χαρακτηριστικών<= 512 bytes το µέγεθος κάθε αποτυπώµατος

http://www.globalsecurity.org/security/systems/eye_scan.htm

54

Λήψη ∆είγµατος: Πραγµατοποιείται λήψη φωτογραφίας (µε τη χρήση υπέρυθρης ακτινοβολίας) από κοντινή απόσταση. Η φωτογραφία θα πρέπει να έχει υψηλή ανάλυση, ώστε να µην απωλεστούν τα χαρακτηριστικά της ίριδας. Ανίχνευση ζωής: Ορισµένα τερµατικά ανιχνεύουν τις περιοδικές διακυµάνσεις του µεγέθους της κόρης του µατιού, ώστε να αποφευχθούν επιθέσεις επανάληψης (replay attacks) – π.χ. τοποθέτηση φωτογραφίας της ίριδας µπροστά στην κάµερα. Πλεονεκτήµατα: Το αποτύπωµα της ίριδας παραµένει αναλλοίωτο στη διάρκεια ζωής του ανθρώπου. Τα χαρακτηριστικά που εξάγονται είναι αρκετά πλούσια, το µέγεθος του αποτυπώµατος είναι µικρό, ενώ η διαδικασία είναι ιδιαίτερα γρήγορη, τόσο κατά τον έλεγχο πρόσβασης όσο και κατά την ταυτοποίηση. Μειονεκτήµατα: Η µέθοδος απαιτεί τη λήψη φωτογραφίας από πολύ κοντινή απόσταση και σε υψηλή ανάλυση. Αυτό µπορεί να θεωρηθεί ενοχλητικό για πολλούς χρήστες του συστήµατος. Επίσης, η µέθοδος δεν ενδείκνυται για ταυτοποίηση σε πολυσύχναστους χώρους, σε αντίθεση µε άλλες µεθόδους (π.χ. αναγνώριση προσώπου).

Αναγνώριση Αµφιβληστροειδούς(Retina)

Ανίχνευση και καταγραφή του πλέγµατος των αιµοφόρων αγγείωνστον αµφιβληστροειδή του µατιού

Όχι ιδιαίτερα διακριτική µέθοδος (χρήση δέσµης laser)

Κατάλληλη για ταυτοποίηση & επαλήθευση ταυτότηταςΣτην πράξη µόνον για επαλήθευση ταυτότητας (identity verification)

∆ύο δίδυµα έχουν διαφορετικά αποτυπώµατα:

Twin One Twin Twohttp://perso.wanadoo.fr/fingerchip/biometrics/types/retinal.htm

2.3.2.3 Αναγνώριση Αµφιβληστροειδούς (Retina) Η µέθοδος αυτή ανιχνεύει και καταγράφει το πλέγµα των αιµοφόρων αγγείων στον αµφιβληστροειδή του µατιού. Η ρέτινα δεν είναι άµεσα ορατή. Εποµένως, ή λήψη του δείγµατος απαιτεί τη χρήση ακτινοβολίας (υπέρυθρη, ή laser) για να φωτιστεί / αναδειχθεί ο αµφιβληστροειδής. Στη συνέχεια αποκτάται η εικόνα της ρέτινας η οποία και αναλύεται για την εύρεση και εξαγωγή των µοναδικών χαρακτηριστικών. Τα χαρακτηριστικά που εξάγονται περιέχονται στο πλέγµα των αιµοφόρων αγγείων που ξεκινούν από το οπτικό νεύρο και διατρέχουν τη ρέτινα, που είναι διαφορετικά σε κάθε άνθρωπο. Η ακρίβεια της µεθόδου είναι πάρα πολύ υψηλή, και τα

55

χαρακτηριστικά που εξάγονται είναι πλούσια. Ως εκ τούτου µπορεί να χρησιµοποιηθεί για επαλήθευση ταυτότητας αλλά και για ταυτοποίηση. Στην πράξη χρησιµοποιείται για επαλήθευση ταυτότητας σε συστήµατα πολύ υψηλού επιπέδου ασφαλείας. Πλεονεκτήµατα: Το αποτύπωµα της ρέτινας παραµένει αναλλοίωτο στη διάρκεια ζωής του ανθρώπου (µε εξαιρέσεις, π.χ. λόγω ασθενειών του µατιού). Τα χαρακτηριστικά που εξάγονται είναι αρκετά πλούσια (περίπου 400 χαρακτηριστικά), το µέγεθος του αποτυπώµατος είναι µικρό (<100 B), ενώ η διαδικασία είναι ιδιαίτερα γρήγορη, τόσο κατά την επαλήθευση ταυτότητας όσο και κατά την ταυτοποίηση. Μειονεκτήµατα: Η ρέτινα είναι πιο ευπαθής σε ασθένειες του µατιού, σε σχέση µε την ίριδα. Συνήθως απαιτείται εξειδικευµένο προσωπικό για τη καθοδήγηση του υποκειµένου στη λήψη του δείγµατος κατά την εγγραφή και τον έλεγχο πρόσβασης. Επίσης, η µέθοδος απαιτεί τη λήψη φωτογραφίας από πολύ κοντινή απόσταση και σε υψηλή ανάλυση, κάτι που θεωρείται ενοχλητικό για τους χρήστες του συστήµατος (ιδίως, όταν γίνεται χρήση δέσµης laser κατά τη λήψη του δείγµατος). Ανίχνευση ζωής: Η ανίχνευση ζωής συνήθως δεν αποτελεί πρόβληµα για τα συστήµατα αναγνώρισης ρέτινας, αφού τα συστήµατα αυτά απαιτούν εξειδικευµένο προσωπικό ασφάλειας κατά την επαλήθευση/ταυτοποίηση.

Γεωµετρία χεριού(Hand Geometry)

Το σχήµα χεριών κάθε ανθρώπου είναι διαφορετικόΜέτρηση µήκους & πλάτους χεριού & δάχτυλων (2∆) Μέτρηση πάχους χεριών, δάχτυλων & κονδύλων (3∆)

Υπέρ:∆εν επηρεάζεται από ηλικία, ή άλλους παράγοντες (σκόνη, υγρασία)Εύκολο στη χρήση, ώριµη τεχνολογία

Κατά:Εξαγωγή: όχι ιδιαίτερα «πλούσια»FAR 3% - FRR 10%

Χρήση κυρίως για επαλήθευση ταυτότητας (identity verification)Συστήµατα χαµηλού-µέσου επιπέδου ασφαλείας

ModerateAcceptability

$1500-$2000Sensor Cost

9 BytesTemplate Size

2-3 SecondsUser Time

HighEase of Use

ModerateAccuracy

http://www.montgomerycollege.edu/faculty/~cchiang/public_html/nist.ppt

2.3.2.4 Αναγνώριση Προσώπου (Facial Recognition) Λήψη ∆είγµατος: Σε ιδανικές συνθήκες, ο χρήστης στέκεται σε συγκεκριµένη απόσταση από την κάµερα και κοιτάζει προς την κάµερα. Εξαγωγή χαρακτηριστικών: Αρχικά, το λογισµικό αναλαµβάνει να εντοπίσει το πρόσωπο ή τα πρόσωπα στη φωτογραφία. Στη συνέχεια εξάγονται τα χαρακτηριστικά

56

του προσώπου (π.χ. θέση µατιών, µύτης, στόµατος, καθώς και η απόσταση µεταξύ τους). Τα συστήµατα αναγνώρισης προσώπου ενδείκνυνται κυρίως για έλεγχο πρόσβασης χρηστών σε συστήµατα χαµηλού-µέσου επιπέδου ασφαλείας, καθώς τα χαρακτηριστικά που εξάγονται δεν είναι πλούσια. Πλεονεκτήµατα: Τα τελευταία χρόνια, η ακρίβεια των συστηµάτων αναγνώρισης προσώπου έχει αυξηθεί σηµαντικά, ωστόσο υπολείπεται άλλων µεθόδων. Μειονεκτήµατα: ∆υσκολία διάκρισης µεταξύ ατόµων µε υψηλό ποσοστό οµοιότητας (π.χ. δίδυµα). Η ακρίβεια του συστήµατος επηρεάζεται από εξωγενείς (π.χ. φωτισµός) και άλλους παράγοντες (π.χ. ηλικία, πληγές, αλλαγή µαλλιών, γυαλιά, κ.λ.π). Επιπλέον, τα συστήµατα αναγνώρισης προσώπου συχνά εγείρουν αντιδράσεις καθώς η λήψη του αποτυπώµατος µπορεί να γίνει και χωρίς τη συγκατάθεση του υποκειµένου. Ανίχνευση ζωής: Σε περιπτώσεις όπου το σύστηµα αναγνώρισης δεν επικουρείται από προσωπικό ασφάλειας, το σύστηµα είναι ευπαθές σε επιθέσεις επανάληψης (π.χ. επίδειξη φωτογραφίας). Στα πλαίσια ενός µηχανισµού ανίχνευσης ζωής συνήθως ζητείται από το χρήστη να µεταβάλλει κάποιο από τα χαρακτηριστικά του προσώπου του (π.χ. κλείσιµο µατιών, κίνηση στόµατος, µορφασµοί). Εναλλακτικά µπορεί να χρησιµοποιηθεί και δεύτερη κάµερα µε σκοπό τη φωτογράφηση του προφίλ του υποκειµένου.

Αναγνώριση προσώπου(facial recognition)

Η πλέον «παλαιά» (µαζί µε την αναγνώριση φωνής) µέθοδος

Εγγραφή: Χρήση κάµερας σε κατάλληλο φωτισµό

ΧαρακτηριστικάΘέση µατιών, µύτης στόµατος, και απόσταση µεταξύ τους

Εξαγωγή: όχι ιδιαίτερα «πλούσια» σε µέγεθος

Έλεγχος πρόσβασηςΕπαλήθευση ταυτότητας & Ταυτοποίηση

Υψηλό FAR για πρόσωπα που µοιάζουν (π.χ. δίδυµα)

Σηµαντική η ανίχνευση ζωής (life detector)

(επίθεση επανάληψης - επίδειξη φωτογραφίας)

2.3.2.5 Αναγνώριση Φωνής (Voice Recognition) Η αναγνώριση φωνής (ή αλλιώς αναγνώριση οµιλούντος – speaker recognition) διαφέρει από την αναγνώριση οµιλίας. Τα συστήµατα αναγνώρισης οµιλίας έχουν ως στόχο την αναγνώριση του περιεχοµένου της οµιλίας (π.χ. συστήµατα φωνητικής

57

υπαγόρευσης), ενώ τα συστήµατα αναγνώρισης φωνής έχουν ως στόχο την αναγνώριση του υποκειµένου που οµιλεί. Λήψη ∆είγµατος: H λήψη του φωνητικού δείγµατος είναι µια απλή διαδικασία η οποία συνήθως χρησιµοποιεί ένα µικρόφωνο, συνδεδεµένο µε έναν πολυµεσικό Η/Υ. Κατά την εγγραφή το σύστηµα ζητεί από το χρήστη να εκφωνήσει µια ή περισσότερες λέξεις/φράσεις). Αργότερα, κατά την αναγνώριση, το σύστηµα θα ζητήσει από το χρήστη να εκφωνήσει την ίδια φράση. Εξαγωγή χαρακτηριστικών: Στη συνέχεια γίνεται εξαγωγή ορισµένων φωνητικών χαρακτηριστικών της ανθρώπινης φωνής, τα οποία σχετίζονται µε τη φωνητική οδό του ατόµου (φωνητική οδός: αρχίζει από το άνοιγµα των φωνητικών χορδών περιλαµβάνει τον φάρυγγα, τη στοµατική και ρινική κοιλότητα και έχει µέσο µήκος για τους άνδρες 17 cm)

Αναγνώριση Φωνής(Speaker recognition)

Η πλέον διακριτική µέθοδοςΑναγνώριση φωνής ≠ αναγνώριση οµιλίας (speech recognition)

∆εν ενδιαφέρει τι ειπώθηκε, αλλά ποιος το είπε

ΕγγραφήΧρήση απλού µικροφώνου σε πολυµεσικό Η/Υ

Εξαγωγή (όχι «πλούσια»)Φωνητικά χαρακτηριστικά (χορδές-φάρυγγας-στόµα-µύτη)

Έλεγχος ΠρόσβασηςΚυρίως χρησιµοποιείται για επαλήθευση ταυτότητας (υψηλό FRR)∆υνατότητα αποµακρυσµένου ελέγχου πρόσβασης µέσω τηλεφώνουΕπηρεάζεται από θόρυβο, συναισθηµατική κατάσταση, ηλικία, ασθένεια

Θα µπορούσε να θεωρηθεί και ως συµπεριφοριστική µέθοδος

Προσοχή στις επιθέσεις επανάληψης

www.eie.polyu.edu.hk/ ~mwmak/SpeakerVerSys.htm

Πλεονεκτήµατα: Σε αντίθεση µε άλλα βιολογικά χαρακτηριστικά, η φωνή ενός ανθρώπου δε «χάνεται». Η µέθοδος είναι η πλέον αποδεκτή από τους χρήστες του συστήµατος, λόγω ευκολίας (και διακριτικότητας) στον τρόπο λήψης του αποτυπώµατος. Επίσης η µέθοδος είναι ιδανική για αποµακρυσµένη πρόσβαση (π.χ. µέσω ενός τηλεφώνου). Η µέθοδος εµφανίζει καλή αναλογία κόστους/απόδοσης, εφόσον δεν απαιτείται ιδιαίτερος εξοπλισµός, παρά µόνον ειδικό λογισµικό.

58

Φωνητική οδός

Φωνητική

Οδός

Μειονεκτήµατα: Η ακρίβεια της µεθόδου αναγνώρισης µπορεί να επηρεαστεί από εξωγενείς (π.χ. θόρυβος) ή άλλους παράγοντες (συναισθηµατική φόρτιση, ηλικία οµιλούντος, ασθένεια κ.λ.π). Ανίχνευση ζωής: Τα συστήµατα που ζητούν από το χρήστη τη διατύπωση συγκεκριµένης λέξης/φράσης, είναι ευπαθή σε επιθέσεις επανάληψης. Αρκετά συστήµατα αναγνώρισης κάνουν χρήση ενός µηχανισµού πρόκλησης-απάντησης (challenge-response): Κατά την εγγραφή ζητείται από το χρήστη η διατύπωση περισσότερων από µία λέξεων/φράσεων (π.χ. η εκφώνηση µιας λίστας από αριθµούς). Κατά την αναγνώριση, το σύστηµα ζητάει (ή δείχνει) µια λέξη και ο χρήστης καλείται να την εκφωνήσει.

Άλλες µέθοδοι αναγνώρισηςφυσιολογικών χαρακτηριστικών

Αποτύπωµα παλάµης (Palmprint)

Αγγεία χεριού (Hand vein)

Αναγνώριση DNA

Σχήµα αυτιού (ear shape)

∆έρµα νυχιών (nail bed)

Οσµή σώµατος (body odor)

http://biometrics.cse.msu.edu/

http://www.cedar.buffalo.edu/~govind/CSE666/presentations/cse666/hand_vein.ppt

http://perso.wanadoo.fr/fingerchip/biometrics/types/ear.htm

www.htgadvancesystems.com

http://www.nail-id.com/

59

2.3.2.6 Άλλες Κατηγορίες • Αναγνώριση Αποτυπώµατος παλάµης – Αποτελεί διαφοροποίηση της µεθόδου

αναγνώρισης δαχτυλικού αποτυπώµατος. Χρησιµοποιεί οπτικούς αναγνώστες. • Αναγνώριση Αγγείων χεριού - Βασίζεται στo γεγονός ότι το πλέγµα των

αιµοφόρων αγγείων στο ανθρώπινο χέρι (στο πίσω τµήµα του χεριού) είναι µοναδικό. Η λήψη του αποτυπώµατος γίνεται µε µια κάµερα και τη χρήση υπέρυθρης ακτινοβολίας: Τα αγγεία του χεριού απορροφούν την υπέρυθρη ακτινοβολία και κατ’ αυτόν τον τρόπο η παρουσία τους απεικονίζεται στη φωτογραφία που λαµβάνεται. Η τεχνική βρίσκεται ακόµα στο στάδιο της έρευνας.

• Αναγνώριση δέρµατος νυχιού. Σύµφωνα µε αυτήν τη µέθοδο, αναγνωρίζονται οι

γραµµές και οι κοιλότητες στην επιφάνεια του δέρµατος, κάτω από το νύχι του δαχτύλου. ∆ιαφοροποιείται ελαφρά από τη µέθοδο αναγνώρισης δαχτυλικού αποτυπώµατος. Χρησιµοποιεί οπτικούς αναγνώστες.

• Αναγνώριση DNA. Είναι µία από τις πλέον ακριβείς µεθόδους αναγνώρισης. H

αναγνώριση µέσω του DNA απαιτεί την ύπαρξη δειγµάτων αίµατος, ιστού κ.λ.π και ως εκ τούτου δεν ευνοείται η ευρεία χρήση της σε συστήµατα πρόσβασης. Η ταχύτητα αναγνώρισης δεν είναι µεγάλη (στο εργαστήριο, οι βέλτιστοι χρόνοι που επιτυγχάνονται είναι της τάξης των 10 λεπτών).

• Αναγνώριση σχήµατος αυτιού. Χρησιµοποιεί εξοπλισµό που ενσωµατώνεται σε

ακουστικά τηλεφώνου. Η τεχνολογία βρίσκεται σε πρώιµο στάδιο. • Αναγνώριση οσµής σώµατος. Η τεχνολογία βρίσκεται σε πρώιµο στάδιο.

2.3.3 Συµπεριφοριστικά Χαρακτηριστικά

2.3.3.1 Αναγνώριση Υπογραφής Κατά την εγγραφή ο χρήστης καλείται να υπογράψει (περισσότερες από µια φορές π.χ. 3-10 φορές) ένα κείµενο. Στη συνέχεια µε τη χρήση ειδικού λογισµικού εξάγονται τα ειδικά χαρακτηριστικά της υπογραφής. Τα συστήµατα αναγνώρισης υπογραφής βασίζονται περισσότερο στη δυναµική (dynamics) της υπογραφής και όχι στην σύγκριση της εικόνας της υπογραφής µε την εικόνα που είναι αποθηκευµένη. ∆ηλαδή εξετάζονται χαρακτηριστικά όπως η πίεση του υπογράφοντος, η φορά, η επιτάχυνση, η χρονική διάρκεια κ.λ.π. Ένα πλεονέκτηµα της µεθόδου αυτής είναι πως η γνώση της εικόνας µιας υπογραφής δεν καθιστά ικανή την κλοπή της ταυτότητας του υπογράφοντος. Ορισµένα συστήµατα εξετάζουν (κάποια από) τα παραπάνω χαρακτηριστικά, σε συνδυασµό µε την εµφάνιση της υπογραφής.

60

Συµπεριφοριστικές Μέθοδοι:Αναγνώριση Υπογραφής

Χαρακτηριστικά που εξάγονταιΣυντεταγµένες 2∆

Πίεση, ταχύτητα-επιτάχυνση, χρόνος…

Σύγχρονές µέθοδοι: καταγραφή συντ/µένων 3∆ (άξονες χ, ψ, z)

Απόσταση από την επιφάνεια, κλίση, …

Εξαγωγή χαρακτηριστικών: όχι ιδιαίτερα «πλούσια»

Επαλήθευση Ταυτότητας & ΤαυτοποίησηΤα περισσότερα συστήµατα αγνοούν την εµφάνιση και ελέγχουν ταυπόλοιπα χαρακτηριστικά

Όχι κατάλληλη για ταυτοποίηση

Στην πράξη η αναγνώριση υπογραφής χρησιµοποιείται για την επαλήθευση ταυτότητας και µόνον. Τα χαρακτηριστικά που εξάγονται δεν είναι ιδιαίτερα πλούσια, ενώ το γεγονός ότι είναι συµπεριφοριστική µέθοδος (µια υπογραφή δεν επαναλαµβάνεται ποτέ µε τον ίδιο ακριβώς τρόπο) την καθιστά αυτόµατα ανεπιθύµητη µέθοδο πρόσβασης για συστήµατα υψηλής ασφάλειας. Συνήθως χρησιµοποιείται ως µια συµπληρωµατική µέθοδος αναγνώρισης, σε συστήµατα χαµηλού- µέσου επιπέδου ασφάλειας. Σηµείωση: ∆ιαφορά µε ψηφιακή υπογραφή – Σε αντίθεση µε την φυσική υπογραφή, η ψηφιακή υπογραφή είναι µια ντετερµινιστική διαδικασία. Αυτό σηµαίνει, πως εφόσον δοθεί το ίδιο (ιδιωτικό) κλειδί ως είσοδος στον αλγόριθµο ψηφιακής υπογραφής, το αποτέλεσµα θα είναι πάντα το ίδιο.

HighHighLowModerateHighModerateHighEase of Use

TouchingRemote1-2 inches12+ inchesTouching12+ inchesTouchingIntrusiveness

4-6 seconds4-7 seconds5-9 seconds3-6 seconds2-3 seconds3-6 seconds2-3 secondsUser Time

50-300 B3-15 KB96 B256 B9 B100-3500 B512-1000 BTemplate Size

Noise, Colds

Low

High

Moderate

Low

Moderate

Low

Verify

Voice Verification

LowHighHighModerateLowLowCost/HW Unit

LowVery HighHighModerateLowHighUniqueness

Changing Signatures

GlassesPoor LightingHand Injury, Age

Lighting, Hair, Age, Glasses

Dryness, Dirt, Age, Race

Potential Interference

HighVery LowLowModerateHighModerateAcceptability

LowHighHighModerateModerateModerateRobustness

ModerateVery HighVery HighModerateModerateHighSecurity Level

LowVery HighVery HighModerateModerateHighAccuracy

VerifyEitherEitherVerifyEitherEitherVerify/Identify

Signature Verification

Retinal Scanning

Iris Scanning

Hand Geometry

Facial Recognition

Fingerprint Verification

Biometric /

Characteristic

Biometric Technology Comparison

http://www.montgomerycollege.edu/faculty/~cchiang/public_html/nist.ppt

61

2.3.3.2 Άλλες Κατηγορίες Συµπεριφοριστικών Μεθόδων Πληκτρολόγηση (keystroke dynamics) – Μια µέθοδος Επαλήθευσης Ταυτότητας που µετρά το ρυθµό µε τον οποίο πληκτρολογεί ένα υποκείµενο (προορίζεται τόσο για αρχάριους όσο και για έµπειρους χρήστες) Τα συστήµατα αναγνώρισης συνήθως εκτελούνται κατά την είσοδο (log-in) του χρήστη, και ως εκ τούτου µπορούν να συνδυαστούν µε τη γνώση ενός κωδικού (κάτι που ξέρω & κάτι που είµαι). Το κόστος τους είναι χαµηλό, εφόσον δε χρησιµοποιείται εξειδικευµένο hardware. Βάδισµα. Η τεχνολογία βρίσκεται σε πρώιµο στάδιο

(Ακρίβεια) Απόδοση vs Αποδοχή..

0

1

2

3

4

Accuracy >>

Affo

rdab

ility

>>

http://www.csse.monash.edu.au/courseware/cse2500/ppt/Authentication.ppt

2.3.4 Ασφάλεια και Χρήσεις Συστηµάτων Βιοµετρίας Αλλαγές στο περιβάλλον: Στην Ενότητα 1 εξετάσαµε πώς τα περισσότερα συστήµατα ασφάλειας επηρεάζονται σε µικρό ή µεγάλο βαθµό από λάθη στο σχεδιασµό του συστήµατος ή αλλαγές του περιβάλλοντος µέσα στο οποίο λειτουργούν. Παροµοίως, τα συστήµατα Ελέγχου Πρόσβασης µε βιοµετρικές µεθόδους µπορούν να επηρεαστούν από αλλαγές του περιβάλλοντος στο οποίο δρουν και εξελίσσονται: Θόρυβος, σκόνη, φωτισµός, συναισθηµατική κατάσταση, ηλικία, ασθένειες κ.λ.π.

62

Συστήµατα Βιοµετρίας:Πρακτικά ζητήµατα –Υπάρχουν καλές και κακές µέθοδοι;

Καθολικότητα (Universality)Όλοι πρέπει να διαθέτουν το χαρακτηριστικό που εξετάζεται

ΜοναδικότηταΤα χαρακτηριστικά οποιωνδήποτε δύο ανθρώπων πρέπει να είναι µοναδικά

∆ιάρκειαΤο χαρακτηριστικό δεν πρέπει να µεταβάλλεται µε το χρόνο

Ευκολία στη χρήση – ΑποδοχήTo χαρακτηριστικό πρέπει να αποκτάται εύκολα, ενώ ο τρόπος λήψης να είναι«διακριτικός»

Απόδοση & ΑκρίβειαΤαχύτητα στην λήψη, εξαγωγή & σύγκρισηΑκρίβεια στις συγκρίσεις, Μικρά FAR και FRR

Επίσης, οι όποιες αλλαγές στην πολιτική ασφάλειας του συστήµατος (π.χ. µια «ανοικτή» πολιτική µεταλλάσσεται σε «κλειστή» πολιτική ή αντίστροφα) θα πρέπει να αντανακλώνται στον επανακαθορισµό του σηµείου ισορροπίας (security threshold) στο βιοµετρικό σύστηµα. Επίσης, ένας µηχανισµός ελέγχου πρόσβασης που λειτουργεί ικανοποιητικά σε ένα µικρό σύστηµα, δεν σηµαίνει ότι θα λειτουργήσει καλά και σε ένα µεγαλύτερο σύστηµα. Ή, ένα σύστηµα που προσφέρει υπηρεσίες Επαλήθευσης Ταυτότητας, ενδεχοµένως να µην ενδείκνυται για Ταυτοποίηση Χρηστών. Τα βιοµετρικά συστήµατα, όπως και τα περισσότερα συστήµατα ελέγχου πρόσβασης, λειτουργούν καλύτερα όταν επικουρούνται από εξειδικευµένο προσωπικό ασφαλείας (µελέτη περίπτωσης: τα συστήµατα ελέγχου αποσκευών στα αεροδρόµια: αν τα συστήµατα ελέγχου αποσκευών δεν επικουρούνταν από προσωπικό ασφαλείας, τότε θα είχαµε λανθασµένες απορρίψεις). Μυστικά και βιοµετρία. Τα βιοµετρικά χαρακτηριστικά δεν αποτελούν µυστική πληροφορία, όπως ένα PIN ή ένας κωδικός password. Το δαχτυλικό µας αποτύπωµα, το πρόσωπο και άλλα χαρακτηριστικά, τα επιδεικνύουµε / χρησιµοποιούµε καθηµερινά, ηθεληµένα ή όχι. Εποµένως κάποιος τρίτος θα µπορούσε, στα πλαίσια µιας επίθεσης επανάληψης (replay attack) να τα χρησιµοποιήσει για να «κλέψει» την ταυτότητα µας και να ταυτοποιηθεί σε ένα σύστηµα ασφαλείας που ελέγχει αποκλειστικά και µόνο το συγκεκριµένο βιοµετρικό χαρακτηριστικό προκειµένου να επιτρέψει ή όχι την είσοδο στο σύστηµα. Οι παραδοσιακές µέθοδοι πρόκλησης/απάντησης (challenge-response) µπορούν να χρησιµοποιηθούν για την αντιµετώπιση επιθέσεων επανάληψης, ωστόσο η εφαρµογή τους δεν είναι πάντα εφικτή στα συστήµατα βιοµετρίας, µε εξαιρέσεις (π.χ. αναγνώριση προσώπου – φωνής). Σηµείωση: Τα βιοµετρικά χαρακτηριστικά δεν είναι µυστικά ωστόσο αποτελούν ευαίσθητη προσωπική πληροφορία και ως εκ τούτου θα πρέπει να θεωρούνται και να

63

αντιµετωπίζονται ως µυστικά. Αυτό σηµαίνει για παράδειγµα, ότι το κανάλι µετάδοσης καθώς και ο χώρος αποθήκευσης θα πρέπει να προστατεύονται µε τις κατάλληλες µεθόδους (π.χ. κρυπτογράφηση SSL κατά τη µετάδοση και κρυπτογράφηση κατά την αποθήκευση) Εµπιστοσύνη. Το σύστηµα ελέγχου πρόσβασης «εµπιστεύεται» την ορθή λειτουργία των διατάξεων εισόδου/λήψης/αποθήκευσης του βιοµετρικού χαρακτηριστικού, του λογισµικού εξαγωγής και σύγκρισης και του υποδικτύου που χρησιµοποιείται για τη µετάδοση. Εάν παραποιηθεί ή αλλοιωθεί η λειτουργία κάποιας-ων από αυτές τις οντότητες (π.χ. αλλαγή του ονόµατος του ιδιοκτήτη ενός αποτυπώµατος στη βάση δεδοµένων), τότε το σύστηµα µπορεί να παρακαµφθεί εύκολα. Για παράδειγµα, σε ένα σενάριο επαλήθευσης ταυτότητας µε αποµακρυσµένη σύνδεση, το σύστηµα θα πρέπει να «εµπιστευτεί» τον αποµακρυσµένο αναγνώστη (reader) καθώς και το λογισµικό που είναι υπεύθυνο για την επεξεργασία και την εξαγωγή των αποτυπωµάτων. Για αυτό το λόγο τα βιοµετρικά συστήµατα ταυτοποίησης συνήθως λειτουργούν σε «προστατευµένο» περιβάλλον ή/και υποβοηθούνται από εξειδικευµένο προσωπικό ασφαλείας. Προς αυτήν την κατεύθυνση µπορεί να βοηθήσει και η ολοένα αυξανόµενη χρήση των έξυπνων καρτών (smartcards). Οι κάρτες αυτές είναι ανθεκτικές σε παραβιάσεις (tamper-resistant) και ως εκ τούτου µπορούν να χρησιµοποιηθούν για την αποθήκευση του προτύπου (template) χαρακτηριστικού, ή/και για την ασφαλή εκτέλεση (µέρους) του λογισµικού ελέγχου πρόσβασης.

Προβλήµατα και Λύσεις..

Τα βιοµετρικά χαρακτηριστικά δεν είναι µυστικά∆ιαφορά µε passwordsΟι επιθέσεις επανάληψης (replay attacks) είναι πιο εύκολες

Μηχανισµοί ανίχνευσης ζωής (liveness detection)∆υσκολία χρήσης πρωτοκόλλων challenge-response

Πόσο εµπιστευόµαστε τα υποσυστήµατα λήψης, µετάδοσης, αποθήκευσηςΣενάριο: Αποµακρυσµένη ταυτοποίηση µέσω InternetΧρήση έξυπνων καρτών (tamper-resistant smartcards)

Tamper-resistance: Η κάρτα δεν «παραβιάζεται» εύκολα (αν παραβιαστεί, τα περιεχόµενα της σβήνονται αυτόµατα).

Τα βιοµετρικά χαρακτηριστικά είναι ευαίσθηταΠροστασία µε κρυπτογραφία στη µετάδοση και αποθήκευση

Σηµείωση: Οι µηχανισµοί Ε.Π µε βιοµετρικές µεθόδους ενθαρρύνουν εξαιρετικά καινοτόµες δραστηριότητες, κυρίως στο πεδίο της έρευνας. Πολλές από αυτές τις µεθόδους είναι εξαιρετικά ακριβείς και έχουν παγιωθεί στη συνείδηση των σχεδιαστών συστηµάτων ασφαλείας. Παρόλα αυτά, οι βιοµετρικές µέθοδοι δεν επιλύουν πλήρως το πρόβληµα της ταυτοποίησης. Η ενσωµάτωση τους στο ευρύτερο σύστηµα ασφαλείας πρέπει να γίνεται µε προσοχή. Συνήθως, µια βιοµετρική µέθοδος συνδυάζεται µε άλλες µεθόδους ταυτοποίησης.

64

Προβλήµατα και ΛύσειςΒιοµετρία και Κρυπτογραφία

Κρυπτογραφία: βασίζεται σε µυστικά κλειδιάΠου αποθηκεύουµε το µυστικό κλειδί;

Στο PC…

Σε µια κάρτα …

Ποιον εµπιστευόµαστε;

Πώς προστατεύουµε το κλειδί;

Χρήση συστηµάτων βιοµετρίας

Μελέτη περίπτωσης: χρήση δαχτυλικού αποτυπώµατος και κάρτας (η πρόσβαση στην οποία γίνεται µε τη χρήση PIN) για την είσοδο στο σύστηµα ή για τη χρήση ενός ιδιωτικού κλειδιού κρυπτογράφησης.

65

3 Μοντέλα Ελέγχου Προσπέλασης

3.1 Βασικές Έννοιες Εµπιστευτικότητα. Η υπηρεσία της εµπιστευτικότητας προσφέρει υπηρεσίες έναντι «παθητικών» (passive) επιθέσεων, κατά τις οποίες ο εισβολέας προσπαθεί να αποκτήσει µη εξουσιοδοτηµένη πρόσβαση στα δεδοµένα. Οι επιθέσεις είναι «παθητικές» υπό την έννοια ότι ο εισβολέας δεν αλλάζει την κατάσταση του συστήµατος (π.χ. επιθέσεις εισαγωγής ή αλλοίωσης ή διαγραφής), αλλά απλώς υποκλέπτει «αντίγραφα» των δεδοµένων που µεταδίδονται µέσω δικτύου ή που είναι αποθηκευµένα στο σύστηµα. Ακεραιότητα. (∆εδοµένων-Προγραµµάτων) Η υπηρεσία της ακεραιότητας προσφέρει υπηρεσίες έναντι «ενεργητικών» (active) επιθέσεων κατά τις οποίες ο εισβολέας προσπαθεί να αποκτήσει µη εξουσιοδοτηµένη πρόσβαση στα δεδοµένα µε σκοπό την τροποποίηση / αλλοίωση τους. Ένα σύστηµα που προσφέρει ακεραιότητα, λέγεται επίσης ότι προσφέρει προστασία από τη µη εξουσιοδοτηµένη εγγραφή (write) στα δεδοµένα-προγράµµατα. Σηµείωση: H αλλοίωση του κώδικα προγραµµάτων µπορεί να είναι αποτέλεσµα µιας επίθεσης που εξαπολύεται από κακόβουλο λογισµικό, µε σκοπό την αναπαραγωγή-µετάδοση του (π.χ. ιός, σκουλήκι), ή απλά τη δυσλειτουργία-διακοπή του προγράµµατος (σε αυτήν την περίπτωση η επίθεση έχει ως στόχο τη διαθεσιµότητα του συστήµατος). ∆ιαθεσιµότητα. Συχνά, οι εφαρµογές λογισµικού δε λειτουργούν σωστά, ή δε λειτουργούν καθόλου. Η αξιοπιστία-βιωσιµότητα και η ανοχή σε λάθη (fault-tolerance) αποτελούν σηµαντικό κοµµάτι της πολιτικής ασφαλείας ενός συστήµατος. Τονίζουµε πως η Ασφάλεια Η/Υ ασχολείται µε περιπτώσεις δυσλειτουργίας που σχετίζονται µε (ή προκαλούνται από) κακόβουλες επιθέσεις, εξωτερικές ή εσωτερικές, κατά της διαθεσιµότητας του συστήµατος. Εξουσιοδότηση (Authorization). Στην ενότητα 2 (ταυτοποίηση) εξετάσαµε πώς οι µηχανισµοί ταυτοποίησης, στα πλαίσια του Ελέγχου Πρόσβασης (Ε.Π.), µας επιτρέπουν να απαντήσουµε σε ερωτήσεις όπως «ποιος είναι αυτός που προσπαθεί να αποκτήσει πρόσβαση στο σύστηµα;». Τι γίνεται όπως όταν το υποκείµενο Α, του οποίου την ταυτότητα επιβεβαιώσαµε, αποκτήσει πρόσβαση στο σύστηµα; Τι µπορεί να κάνει το υποκείµενο Α στο σύστηµα, και συγκεκριµένα ποια είναι τα δικαιώµατα που έχει στους πόρους του συστήµατος; Το υποσύστηµα του ελέγχου λογικής πρόσβασης που ασχολείται µε τον καθορισµό των δικαιωµάτων που παρέχονται σε ένα υποκείµενο, ονοµάζεται υποσύστηµα Εξουσιοδότησης (Authorization) του συστήµατος. Σηµείωση: Στην βιβλιογραφία, ή εξουσιοδότηση αναφέρεται και συχνά και ως έλεγχος προσπέλασης. Οι έννοιες είναι αλληλένδετες. Συχνά επίσης αναφέρεται και ως έλεγχος πρόσβασης. Στην Ενότητα αυτή, κάνουµε έναν διαχωρισµό των εννοιών για την καλύτερη κατανόηση τους

66

Αντικείµενα, Υποκείµενα. Ο Ε.Π., στα πλαίσια της πολιτικής ασφάλειας του συστήµατος, καθορίζει εκτός των άλλων τα δικαιώµατα που έχουν οι χρήστες, καθώς και τα προγράµµατα που εκτελούνται εξ‘ ονόµατος των. Οι χρήστες, τα προγράµµατα, καθώς και τα ονόµατα διευθύνσεων Η/Υ που προσπαθούν να ανταλλάξουν δεδοµένα µέσω δικτύου, θεωρούµε ότι ανήκουν στην κατηγορία Υποκείµενα. Αντίστοιχα, οι πόροι του συστήµατος, ή αλλιώς τα Αντικείµενα στα οποία προσπαθεί να αποκτήσει πρόσβαση ένα υποκείµενο, είναι οι περιοχές της µνήµης, οι φάκελοι και τα αρχεία, οι υπηρεσίες (services) που εκτελούνται στο παρασκήνιο, τα προγράµµατα, οι βάσεις δεδοµένων, τα υποσυστήµατα hardware του Η/Υ κ.λ.π. ∆ικαιώµατα. Tα δικαιώµατα που εκχωρούνται σε ένα υποκείµενο και επιτρέπουν την πρόσβαση σε έναν πληροφοριακό πόρο (αντικείµενο). Όταν ένας χρήστης ταυτοποιηθεί, το επίπεδο εξουσιοδότησης καθορίζει τα δικαιώµατα πρόσβασης που µπορεί να έχει. Τα δικαιώµατα συνήθως τυποποιούνται ως εξής: Ανάγνωση (διάβασµα), Εγγραφή (τροποποίηση), Εκτέλεση κ.λ.π. Στη συνέχεια της ενότητας θα δούµε περισσότερο αναλυτικά τα δικαιώµατα επί των αντικειµένων Σηµείωση: Ενίοτε, ένα υποκείµενο µπορεί να µετατραπεί σε αντικείµενο, ανάλογα µε την περίσταση (π.χ. ένα πρόγραµµα τροποποιείται από κάποιο άλλο πρόγραµµα).

Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)

Αντικείµενα (objects)

Υποκείµενα (Subjects)

Τύπος Πρόσβασης

Οι τεχνικές εξουσιοδότησης εφαρµόζονται σε:Λειτουργικά ΣυστήµαταΒάσεις δεδοµένωνΕξυπηρετητές Web, ∆ίκτυα…

Πόροι που χρειάζονταιπροστασία (περιοχέςµνήµης, αρχεία, φάκελοι, υπηρεσίες, hardware,.)

Οντότητες που ζητούνπρόσβαση σε κάποιον πόρο(χρήστες, εφαρµογές, υπηρεσίες, hosts..)Ανάγνωση, Εγγραφή, Εκτέλεση..

Πολιτική Εξουσιοδότησης: Κανόνες οι οποίοι καθορίζουνποια υποκείµενα έχουν τι είδους πρόσβαση σε ποιααντικείµενα

Πολιτική Εξουσιοδότησης. Κανόνες οι οποίοι καθορίζουν

Ποια υποκείµενα έχουν τι είδους πρόσβαση σε ποια αντικείµενα Σηµείωση: Ανάλογα µε την περίσταση, ένας χρήστης µπορεί να συνδέεται στο σύστηµα µε ένα ή περισσότερα ονόµατα (user names). Η πολιτική Εξουσιοδότησης αποτελεί τµήµα της Πολιτικής Ασφαλείας της Επιχείρησης/Οργανισµού. Θέτει τους κανόνες ελέγχου των δικαιωµάτων πρόσβασης των χρηστών. Οι κανόνες αυτοί είναι αρκετά γενικοί ώστε να επιτρέπουν την

67

υλοποίηση τους µε περισσότερους από έναν µηχανισµούς/µοντέλα εξουσιοδότησης. Σε κάθε πληροφοριακό και δικτυακό σύστηµα, κατά τις διαδικασίες ανάπτυξης και συντήρησης του, θα πρέπει να γίνεται µια Ανάλυση Επικινδυνότητας (Ποιος µας απειλεί; Τι είδους συνέπειες µπορεί να έχει η πραγµατοποίηση µιας απειλής;) µε σκοπό την επιλογή µηχανισµών που θα µειώνουν τους κινδύνους σε αποδεκτά για την επιχείρηση / οργανισµό επίπεδα. Τα µοντέλα εξουσιοδότησης θα πρέπει να επιλέγονται βάσει των αποτελεσµάτων της Ανάλυσης Επικινδυνότητας.

Έλεγχος λογικής πρόσβασης και Εξουσιοδότηση

Referencemonitor

op on o

s oop

s

ΚαταγραφήΕξουσιοδότησηΤαυτοποίηση

Ποιοςείναι ο s? Τι op µπορεί

να κάνει ο sστο o?

Τι έκανε (ήπροσπάθησενα κάνει ο s?

Μοντέλα Εξουσιοδότησης. Στη συνέχεια αυτής της ενότητας θα αναφερθούµε στα µοντέλα εξουσιοδότησης MAC, DAC, RBAC. Μηχανισµός Εξουσιοδότησης (Reference Monitor). Αποτελεί τµήµα του κώδικα προγράµµατος του Λ.Σ. ενός Η/Υ (συγκεκριµένα του πυρήνα – kernel), το οποίο ελέγχει την πρόσβαση στα δεδοµένα, προγράµµατα, τη µνήµη και το υλικό του Η/Υ. Κάθε φορά που ένα υποκείµενο υποβάλλει αίτηµα πρόσβασης σε ένα αντικείµενο, ο µηχανισµός εξουσιοδότησης ελέγχει τα δικαιώµατα πρόσβασης που έχουν προ-εκχωρηθεί στο υποκείµενο για το εν λόγω αντικείµενο, και εξουσιοδοτεί ή όχι την πρόσβαση. Μοντέλο «Κατά ∆ιάκριση» (DAC – Discretionary Access Control): Το µοντέλο βασίζεται στην έννοια της κατοχής-ιδιοκτησίας. Η µεταβίβαση-ανάκληση των δικαιωµάτων πρόσβασης είναι στην ευχέρεια των µεµονωµένων χρηστών-υποκειµένων του συστήµατος, οι οποίοι «κατέχουν» ένα ή περισσότερα αντικείµενα (πληροφοριακοί πόροι) του συστήµατος. Μοντέλο «Κατ’ απαίτηση» (MAC – Mandatory Access Control): Το µοντέλο βασίζεται σε ένα σχήµα διαβάθµισης, το οποίο αντανακλά τη συνέπεια που θα είχε για την επιχείρηση/οργανισµό, η µη εξουσιοδοτηµένη αποκάλυψη, τροποποίηση, µη διαθεσιµότητα ή καταστροφή κάποιου πληροφοριακού πόρου. Το µοντέλο προβλέπει την απόδοση Ετικετών (labels) ασφαλείας στα αντικείµενα και τα υποκείµενα του συστήµατος. Οι ετικέτες αυτές απεικονίζουν αντίστοιχα την σηµαντικότητα των

68

αντικειµένων καθώς και την εξουσιοδότηση (clearance) των υποκειµένων. Ιστορικά, το µοντέλο MAC έχει εφαρµοστεί (και εφαρµόζεται) κυρίως σε στρατιωτικά περιβάλλοντα, στα οποία είναι συνήθης πρακτική η διαβάθµιση των χρηστών και των πληροφοριών σε επίπεδα ασφαλείας (π.χ. αδιαβάθµητο, εµπιστευτικό, απόρρητο, άκρως απόρρητο). Εξουσιοδότηση «Βασισµένη σε Ρόλους» (RBAC – Role based Access Control): Ως ρόλο (role) ορίζουµε ένα σύνολο από ενέργειες-ευθύνες οι οποίες σχετίζονται µε κάποια συγκεκριµένη λειτουργία της επιχείρησης/οργανισµού. Ο έλεγχος πρόσβασης δε βασίζεται στην ταυτότητα των υποκειµένων (DAC) ή στη διαβάθµιση των υποκειµένων-αντικειµένων (MAC), αλλά στο ρόλο που έχει ένα υποκείµενο µια δεδοµένη χρονική στιγµή.

Έλεγχος Λογικής πρόσβασης

Πολιτική ΕξουσιοδότησηςΈνα σύνολο κανόνων που καθορίζει τι επιτρέπεται και τι όχι

Μοντέλο ΕξουσιοδότησηςΈνας πρότυπος τρόπος καθορισµού των εξουσιοδοτηµένωνπροσβάσεων σύµφωνα µε την πολιτική εξουσιοδότησης

∆ιαφορετικά µοντέλα υλοποιούν διαφορετικές πολιτικέςεξουσιοδότησης

DAC, MAC, RBAC,…

Μηχανισµός εξουσιοδότησης (reference monitor)Επιβλέπει την υλοποίηση του µοντέλου ελέγχου πρόσβασης

Στα Λ.Σ, αποτελεί κοµµάτι του πυρήνα (kernel) του Λ.Σ

3.2 «Κατά ∆ιάκριση» Μοντέλο DAC Tη στιγµή που δηµιουργείται ο λογαριασµός ενός χρήστη στο σύστηµα, ο χρήστης είναι ιδιοκτήτης - κάτοχος (owner) συγκεκριµένης ποσότητας πληροφοριακών πόρων. Το πλήθος και το είδος των πόρων που κατέχει ο χρήστης καθορίζεται από µια πολιτική εξουσιοδότησης (τµήµα της Πολιτικής Ασφάλειας). Στη διάρκεια της «ζωής» του στο σύστηµα, ο χρήστης µπορεί να δηµιουργήσει καινούριους πόρους (π.χ. αρχεία, φάκελοι, προγράµµατα). Οι πληροφοριακοί πόροι που δηµιουργούνται από ένα χρήστη θεωρούνται επίσης ότι βρίσκονται στην κατοχή του χρήστη. Tο µοντέλο DAC αφήνει στη διακριτική ευχέρεια του χρήστη τον καθορισµό (δηµιουργία, µεταβίβαση, ανάκληση) των δικαιωµάτων πρόσβασης στους πληροφοριακούς πόρους που έχει υπό τον έλεγχο του.

69

Εξουσιοδότηση «Κατά ∆ιάκριση»Discretionary Access Control (DAC)

Κάθε αντικείµενο (πόρος) έχει έναν ιδιοκτήτη (υποκείµενο)Οι ιδιοκτήτες διαχειρίζονται τα δικαιώµατα πρόσβασης για όσααντικείµεναa) .. τους ανήκουνb) .. δηµιουργούν κατά τη διάρκεια της «ζωής» τους στο σύστηµα

Ο ιδιοκτήτης καθορίζει τον τύπο πρόσβασης σε αντικείµενα πουκατέχει, από άλλα υποκείµενα

(π.χ. ανάγνωση, εγγραφή, εκτέλεση)

Ο ιδιοκτήτης µπορεί ναa) .. µεταβιβάσει δικαιώµατα πρόσβασης που ο ίδιος έχει σε άλλα

υποκείµεναb) .. ανακαλέσει δικαιώµατα πρόσβασης σε αντικείµενα που κατέχει από

άλλα υποκείµενα Πίνακες Ελέγχου Πρόσβασης. Οι πίνακες ελέγχου πρόσβασης (δυσδιάστατοι ή τρισδιάστατοι) µπορούν να χρησιµοποιηθούν για να υλοποιήσουν ή να µοντελοποιήσουν την πολιτική εξουσιοδότησης της επιχείρησης/οργανισµού. Ωστόσο, δεν είναι ιδιαίτερα ευέλικτοι.

Εξουσιοδότηση DAC –Πίνακες Ελέγχου Πρόσβασης

Βήµα 1ο: Ταυτοποίηση χρήστη (passwords ή biometrics)

Βήµα 2ο: Τι είδους πρόσβαση θα έχει ο χρήστης (ή µια οµάδαχρηστών) στους πληροφοριακούς πόρους;

Το µοντέλο µπορεί να υλοποιηθεί ως ένας πίνακας ελέγχου πρόσβασης

Η θέση [i,j] καθορίζει τι είδους πρόσβαση έχει ο χρήστης i στοαντικείµενο j

--xrxUser2

rrrrxUser 3

wrrrxProgram1

rrrwxorwxUser1

file3program1file2file1

r – read, x – execute, w, write, o- own

Ένας πίνακας ελέγχου πρόσβασης (Access Control Matrix) Μελέτη περίπτωσης – Ένας πίνακας ελέγχου πρόσβασης σε µια τράπεζα µε 50.000 προσωπικό και 300 εφαρµογές θα είχε µέγεθος 50.000 X 300 = 15.000.000 κελιά. Η διαχείριση ενός τέτοιου πίνακα θα ήταν ιδιαίτερα δύσκολη. Προς αυτήν την κατεύθυνση έχουν περιγραφεί περισσότερο «συµπαγείς» µηχανισµοί υλοποίησης της πολιτικής εξουσιοδότησης: Πιθανές λύσεις θα ήταν α) η χρήση οµάδων (user groups)

70

ή ρόλων χρηστών (RBAC) για τη διαχείριση των δικαιωµάτων πρόσβασης οµάδων χρηστών µε παρόµοιες αρµοδιότητες, ή β) η διάσπαση του πίνακα ελέγχου πρόσβασης σε στήλες (Λίστες Ελέγχου Πρόσβασης - ACLs) ή σε γραµµές (Λίστες δυνατοτήτων - Capability Lists).

… Ένας πίνακας ελέγχου πρόσβασης δεν προσαρµόζεται εύκολα σεαύξηση του µεγέθους των χρηστών ή/και των πόρων…

Μη προσαρµοστικότητα (Scalability)

∆υσκολία διαχείρισης

Στην πράξη το µοντέλο υλοποιείται µε:Λίστες Ελέγχου Πρόσβασης (ACL)

Ένας πίνακας ελέγχου πρόσβασης ανά αντικείµενο

Λίστες ∆υνατοτήτων (Capabilities)

Ένας πίνακας ελέγχου πρόσβασης ανά υποκείµενο

Εξουσιοδότηση DAC –Λίστες Ελέγχου Πρόσβασης (ACLs)

Σηµείωση: Οι λίστες ελέγχου πρόσβασης απαντούν στο ερώτηµα «Ποια είναι τα δικαιώµατα πρόσβασης στο αντικείµενο;» ενώ οι Λίστες ∆υνατοτήτων απαντούν στο ερώτηµα «Τι είδους δικαιώµατα πρόσβασης έχει το υποκείµενο;»

Εξουσιοδότηση DAC – Οµάδες χρηστών (Groups)

Η έννοια της οµάδας (group) µπορεί να οδηγήσει στηναπλοποίηση της εξουσιοδότησης

Χρήστες µε «παρεµφερή» δικαιώµατα πρόσβασης, µπορούν νακαταχωρηθούν σε µια οµάδα (user group)

Στη συνέχεια, εφαρµόζεται η πολιτική εξουσιοδότησης στηνοµάδα που δηµιουργήθηκε

G1 G2 G3

S1 S2 S3 S4 S5

O1 O2 O3 O4 O5 O6

Υποκείµενα

Οµάδες

Αντικείµενα

71

DAC και οµάδες. Ο καθορισµός των δικαιωµάτων πρόσβασης σε αντικείµενα βασίζεται είτε στην ταυτότητα (identity) των υποκειµένων είτε στην οµάδα (user group) στην οποία ανήκουν: Χρήστες µε παρεµφερείς αρµοδιότητες-δικαιώµατα µπορούν να κατηγοριοποιηθούν σε µια οµάδα (π.χ οµάδα Guest, οµάδα Administrators, κ.λ.π) και στη συνέχεια να εφαρµοστεί η πολιτική εξουσιοδότησης στην οµάδα, χωρίς να χρειάζεται να καθοριστούν τα δικαιώµατα πρόσβασης για κάθε χρήστη της οµάδας ξεχωριστά. Κάθε χρήστης «κληρονοµεί» τα δικαιώµατα της οµάδας στην οποία ανήκει. Λίστες Ελέγχου Πρόσβασης (Access Control Lists) Οι Λ.Ε.Π. είναι προσανατολισµένες στα αντικείµενα του συστήµατος. Τα περισσότερα Λ.Σ. υλοποιούν το µοντέλο DAC µε Λ.Ε.Π για την υλοποίηση της πολιτικής εξουσιοδότησης. Οι Λ.Ε.Π. είναι ιδανικές για την προστασία συστηµάτων µικρής κλίµακας (πολλά αντικείµενα, λίγοι χρήστες ή καλά καθορισµένες οµάδες χρηστών), όπου οι χρήστες καθoρίζουν τα δικαιώµατα πρόσβασης για τους πόρους των οποίων είναι ιδιοκτήτες. Σε µεγάλα και πολύπλοκα συστήµατα ωστόσο, όπου ο πληθυσµός (ή οι αρµοδιότητες των χρηστών) του συστήµατος µπορεί να µεταβάλλεται συχνά, οι Λ.Ε.Π. παρουσιάζουν προβλήµατα. Μελέτη περίπτωσης: Σε µια µεγάλη επιχείρηση που υλοποιεί το µοντέλο DAC µε Λ.Ε.Π, ένας υπάλληλος Α απολύεται. Ο διαχειριστής του συστήµατος θα πρέπει να αλλάξει τα δικαιώµατα πρόσβασης σε κάθε αντικείµενο του συστήµατος ώστε να αποµακρυνθεί η ταυτότητα του Α από τις Λ.Ε.Π. Λίστες ∆υνατοτήτων: Οι λίστες δυνατοτήτων απαντούν στο ερώτηµα «Ποια δικαιώµατα πρόσβασης έχει το υποκείµενο;» Είναι προσανατολισµένες στα υποκείµενα του συστήµατος. Ως υποκείµενο µπορεί να θεωρηθεί ένας χρήστης ή µια Οµάδα Χρηστών (User Group). Οι λίστες δυνατοτήτων θεωρούνται κατάλληλες για δυναµικά περιβάλλοντα όπου τα υποκείµενα αλλάζουν συνεχώς. Ουσιαστικά υλοποιούν τον Πίνακα Ελέγχου Πρόσβασης (Access Control Matrix) ανά γραµµές.

Εξουσιοδότηση DAC – Λίστες ∆υνατοτήτων

Λίστες δυνατοτήτων:Βασίζονται στα υποκείµεναΚατάλληλες για δυναµικά περιβάλλοντα (όπου τα υποκείµενα αλλάζουνσυνεχώς)Παραδείγµατα

Win2k: Πολιτικές Οµάδων (Group policy), Τοµέα (domain policy), …Πιστοποιητικά ∆ηµόσιου Κλειδιού (Public Key certificates)

Plotter – PrintPrinter1 – PrintPrinter2 – No AccessAccounting.xls – Full ControlAccounting.doc – Read, WritePayroll.xls – No AccessClipart – Full Control

Capability TableUser (Subject)http://www.cs.uwf.edu/~rdavid/CEN4540/sec3.ppt

72

Για παράδειγµα, µια λίστα δυνατοτήτων αναφέρει όλα τα αντικείµενα που µπορεί να προσπελάσει ένα συγκεκριµένο υποκείµενο, καθώς και τα δικαιώµατα πρόσβασης για κάθε ένα από τα αντικείµενα αυτά. Παράδειγµα Λίστας δυνατοτήτων αποτελούν οι πολιτικές οµάδων (group policies) στα Windows 2000 και Windows 2003. Επίσης, ένα Πιστοποιητικό ∆ηµόσιου Κλειδιού, ψηφιακά υπογεγραµµένο από µια έµπιστη οντότητα, στο οποίο αναγράφονται τα δικαιώµατα του κατόχου του, µπορεί να θεωρηθεί ως µια λίστα δυνατοτήτων.

3.2.1 ∆ικαιώµατα Πρόσβασης σε Συστήµατα Windows (NTFS) ∆ικαιώµατα Πρόσβασης (Windows) – Στα λειτουργικά συστήµατα τύπου Windows µε σύστηµα αρχείων NTFS, κάθε αρχείο ή φάκελος αποθηκεύεται στο δίσκο ή στην κατάτµηση (partition) του συστήµατος, µαζί µε µια Λ.Ε.Π (ACL). Η λίστα αυτή απαριθµεί τους χρήστες ή τις οµάδες χρηστών (user groups) του συστήµατος (ή/και του τοπικού δικτύου) που έχουν πρόσβαση στο αρχείο/φάκελο, καθώς και το είδος των δικαιωµάτων πρόσβασης. Συχνά αναφέρονται και ως δικαιώµατα NTFS διότι προκειµένου να εφαρµοστεί η πολιτική εξουσιοδότησης στους πόρους ενός δίσκου ή κατάτµησης (partition), θα πρέπει ο δίσκος αυτός (ή η κατάτµηση) να έχει διαµορφωθεί (format) µε βάση το σύστηµα αρχείων NTFS. Στη συνέχεια αναφέρονται ενδεικτικά τα βασικότερα δικαιώµατα πρόσβασης σε αρχεία ενός συστήµατος NTFS: • Ανάγνωση (Read): Ανάγνωση των περιεχοµένων, του ιδιοκτήτη και των

δικαιωµάτων του αρχείου • Εγγραφή (Write): Εγγραφή ή προσθήκη στα περιεχόµενα του αρχείου • Ανάγνωση & Εκτέλεση (Read and Execute): Ανάγνωση των περιεχοµένων, του

ιδιοκτήτη και των δικαιωµάτων του αρχείου, και εκτέλεση του αρχείου (αν το αρχείο είναι πρόγραµµα).

• Τροποποίηση (Modify): Ανάγνωση, Εγγραφή, Εκτέλεση, ∆ιαγραφή • Πλήρης Έλεγχος (Full Control) – Τροποποίηση, Αλλαγή δικαιωµάτων, Αλλαγή

Ιδιοκτήτη (owner) Αντίστοιχα δικαιώµατα (µε ορισµένες διαφοροποιήσεις) ισχύουν και για τους φακέλους (folders) του συστήµατος. Για ακόµη µεγαλύτερο έλεγχο και ακρίβεια, σε συστήµατα NTFS υπάρχει η δυνατότητα καθορισµού πρόσθετων ή ειδικών δικαιωµάτων, όπου µπορούν να επιλεχθούν συνδυασµοί δύο ή περισσοτέρων χαρακτηριστικών από τα βασικά δικαιώµατα (Επιλογή «Για Προχωρηµένους» - βλέπε Σχήµα).

73

Εξουσιοδότηση DAC – Λίστες Ελέγχου Πρόσβασης(ACL) στα Windows XP Professional (NTFS)

Λίστες Ελέγχου ΠρόσβασηςΒασίζονται στα αντικείµενα

Συνήθως χρησιµοποιούνταιγια την προστασία τωνπληροφοριακών πόρων σεπολύ-χρηστικά (multi-user) λειτουργικά συστήµατα.

Σηµείωση: Τα δικαιώµατα λειτουργούν «αθροιστικά» (cumulative). Αυτό σηµαίνει ότι τα τελικά δικαιώµατα ενός χρήστη προκύπτουν ως το άθροισµα των δικαιωµάτων που έχουν εκχωρηθεί στο χρήστη και των δικαιωµάτων που έχουν εκχωρηθεί στις οµάδες (user groups) που ανήκει ο χρήστης. Για παράδειγµα, αν ο Bob έχει δικαιώµατα Ανάγνωσης (Read) και η οµάδα ∆ΙΑΧΕΙΡΙΣΤΕΣ_ΑΣΦΑΛΕΙΑΣ (στην οποία ανήκει ή γίνεται µέλος ο Bob) έχει δικαιώµατα Τροποποίησης (Modify) στον φάκελο «Ασφάλεια», τότε ο Bob έχει δικαιώµατα Ανάγνωσης και Τροποποίησης στον φάκελο «Ασφάλεια». Άρνηση ∆ικαιώµατος. Ο ιδιοκτήτης ενός πόρου µπορεί να αρνηθεί (Deny) ένα ή περισσότερα δικαιώµατα πρόσβασης σε χρήστες ή/και οµάδες χρηστών. Σε αυτήν την περίπτωση, η εξουσιοδότηση δε λειτουργεί αθροιστικά. Για παράδειγµα ο χρήστης στον οποίο αρνείται η Ανάγνωση (Read) ενός αρχείου, δε θα έχει το δικαίωµα να διαβάσει τα περιεχόµενα του αρχείου, ακόµα και αν η Οµάδα στην οποία ανήκει έχει δικαιώµατα Ανάγνωσης. Σηµείωση - Περίπτωση: Στα Windows NT/2000/XP ένας χρήστης του Η/Υ µε αυξηµένα δικαιώµατα (π.χ. ο ∆ιαχειριστής) επιθυµεί να αποκτήσει πρόσβαση στο web µε περιορισµένα δικαιώµατα (ώστε να περιοριστούν οι συνέπειες από µια επίθεση κακόβουλου λογισµικού). Η λύση είναι να αποσυνδεθεί ο χρήστης και να συνδεθεί ως ένας χρήστης µε λιγότερα δικαιώµατα. Στη συνέχεια της Ενότητας, θα δούµε πώς η εξουσιοδότηση Βασισµένη σε Ρόλους (RBAC) επιλύει τέτοιου είδους προβλήµατα.

74

Εξουσιοδότηση DACΆρνηση ∆ικαιωµάτων (Deny) σε συστήµατα NTFS

http://securitytf.cs.kuleuven.ac.be/teaching/ClassicAccessControlTechniques.ppt

3.2.2 ∆ικαιώµατα Πρόσβασης σε Συστήµατα τύπου Unix ∆ικαιώµατα Πρόσβασης (τύπου Unix). Κάθε αρχείο η φάκελος σε ένα σύστηµα αρχείων UNIX ανήκει σε κάποιον χρήστη. Σε συστήµατα αρχείων Unix, τα αρχεία και οι φάκελοι προστατεύονται επίσης από Λ.Ε.Π (ACLs). Σε κάθε αρχείο ή φάκελο, τη στιγµή της δηµιουργίας του ορίζονται τα δικαιώµατα πρόσβασης (permissions) που θα έχει ένας χρήστης (ιδιοκτήτης), η οµάδα στην οποία ο χρήστης ανήκει (group), και οι υπόλοιποι χρήστες του συστήµατος (world). Για κάθε υποκείµενο του συστήµατος, η λίστα των δικαιωµάτων εµφανίζεται ως µια συµβολοσειρά µήκους 10 χαρακτήρων. Ο πρώτος χαρακτήρας περιγράφει τον τύπο του αντικειµένου (αν είναι «-» τότε είναι ένα απλό αρχείο, ενώ αν είναι «d» τότε είναι φάκελος). Επίσης, η λίστα των δικαιωµάτων συµπληρώνεται µε 3 οµάδες των 3 χαρακτήρων για την απεικόνιση των δικαιωµάτων του Ιδιοκτήτη, της Οµάδας του Ιδιοκτήτη, και των Υπολοίπων (όπως φαίνεται και στο Σχήµα). Κάθε χαρακτήρας συµβολίζει την ύπαρξη ή απουσία (-) ενός εκ των βασικών δικαιωµάτων της ανάγνωσης (r), της εγγραφής (w) και της εκτέλεσης (x). • Ανάγνωση – Read (αρχείο): δικαίωµα ανάγνωσης των περιεχοµένων του αρχείου • Εγγραφή – Write (αρχείο): δικαίωµα αλλαγής (τροποποίηση & διαγραφή) στο

αρχείο • Εκτέλεση – eXecute (αρχείο): δικαίωµα εκτέλεσης του αρχείου (εφόσον περιέχει

εκτελέσιµο κώδικα). Τα δικαιώµατα πρόσβασης έχουν ελαφρώς διαφορετικό νόηµα στους φακέλους (directories).

75

• Ανάγνωση – Read (φάκελος): ∆ικαίωµα ανάγνωσης των περιεχοµένων του φακέλου (π.χ. λήψη της λίστας των περιεχοµένων µε την εντολή ls)

• Εγγραφή – Write (φάκελος): ∆ικαίωµα αλλαγής των περιεχοµένων του

φακέλου( π.χ. δηµιουργία, µετακίνηση ή διαγραφή αρχείων στον φάκελο).

Εξουσιοδότηση DAC -Λίστες Ελέγχου Πρόσβασης (ACL) σε συστήµατα τύπου Unix

1 : Τύπος αρχείου.2 – 4 : Τα δικαιώµατα του ιδιοκτήτη (owner).5 – 7 : Τα δικαιώµατα της οµάδας (group).8 – 10 : Ta δικαιώµατα των υπολοίπων (world).

Φάκελος. Μόνον ο ιδιοκτήτης δικαιούται Ανάγνωση, Εγγραφήκαι Εκτέλεση

d rwx --- ---

Αρχείο. Όλοι δικαιούνται Ανάγνωση και Εκτέλεση αλλά µόνο οιδιοκτήτης δικαιούται εγγραφή.

- rwx r-x r-x

Αρχείο. Όλοι δικαιούνται Ανάγνωση, Εγγραφή και Εκτέλεση- rwx rwx rwx

Σηµασία∆ικαιώµατα

Σηµείωση: ένας χρήστης µπορεί να σβήσει το αρχείο ενός φακέλου στον οποίο έχει δικαίωµα Εγγραφής, ακόµα και αν δεν έχει δικαίωµα Εγγραφής στο αρχείο αυτό. Ωστόσο, για να τροποποιήσει το περιεχόµενο του αρχείου, θα πρέπει να έχει δικαίωµα εγγραφής στο αρχείο. • Εκτέλεση - eXecute (φάκελος): ∆ικαίωµα πρόσβασης στα περιεχόµενα του

φακέλου Σηµείωση (παράδειγµα): • Εάν ο χρήστης έχει δικαίωµα Ανάγνωσης αλλά όχι Εκτέλεσης για έναν φάκελο,

τότε το µόνο δικαίωµα που έχει στον φάκελο είναι η ανάγνωση της λίστας µε τα περιεχόµενα του φακέλου. ∆ηλαδή, µπορεί να δει τη λίστα µε τα περιεχόµενα του Α χρησιµοποιώντας π.χ. την εντολή ls, αλλά όχι να µεταβεί στον φάκελο Α (µε την εντολή cd) ή να κάνει οποιαδήποτε άλλη ενέργεια στα περιεχόµενα του φακέλου.

• Αν ο χρήστης έχει δικαίωµα Εκτέλεσης αλλά όχι Ανάγνωσης για τον φάκελο Α,

αυτό σηµαίνει ότι µπορεί να µεταβεί στον φάκελο Α (µε την εντολή cd) και να διαχειριστεί τα περιεχόµενα του (π.χ. να σβήσει ένα αρχείο του φακέλου για το οποίο έχει δικαίωµα εγγραφής), αλλά δεν µπορεί να δει τη λίστα µε τα περιεχόµενα του (άρα, για να σβήσει το αρχείο, θα πρέπει να γνωρίζει από πριν το όνοµα του). Επειδή η διαφορά γίνεται δύσκολα αντιληπτή, συχνά σε έναν φάκελο

76

είτε εκχωρούνται δικαιώµατα Ανάγνωσης & Εκτέλεσης (r-x) , είτε δεν εκχωρούνται καθόλου δικαιώµατα).

3.2.3 Πλεονεκτήµατα και Μειονεκτήµατα του µοντέλου DAC Το µοντέλο εξουσιοδότησης DAC είναι σχετικά εύκολο στην υλοποίηση, χρησιµοποιείται ευρέως σε Web-based εφαρµογές και προσφέρει υψηλό βαθµό ευελιξίας, καθώς οι χρήστες του συστήµατος µπορούν να ελέγξουν οι ίδιοι την πρόσβαση στους πληροφοριακούς πόρους των οποίων έχουν την ευθύνη. Στον αντίποδα, τα µοντέλα DAC δεν προσφέρουν επαρκείς τρόπους διασφάλισης της ροής των πληροφοριών, αφού στην πραγµατικότητα καθιστούν τους χρήστες υπεύθυνους για την επιβολή της πολιτικής ασφάλειας (βλέπε Μελέτη Περίπτωσης, στη συνέχεια). Ως εκ τούτου η διαχείριση των µηχανισµών υλοποίησης της πολιτικής εξουσιοδότησης, αλλά και η επίβλεψη των αποτελεσµάτων τους καθίσταται δύσκολη. Σε µεγάλα και πολύπλοκα συστήµατα, όπου συνήθως απαιτείται η κεντρική διαχείριση της ασφάλειας των συστηµάτων, ή υπάρχει η ανάγκη για πολλαπλά επίπεδα ασφαλείας, το µοντέλο DAC τίθεται υπό αµφισβήτηση. Οι µηχανισµοί DAC περιορίζουν την πρόσβαση στα αντικείµενα του συστήµατος, βάσει της ταυτότητας των υποκειµένων που προσπαθούν να τα προσπελάσουν. Στα περισσότερα συστήµατα, κάθε πρόγραµµα «κληρονοµεί» τα δικαιώµατα πρόσβασης του εκάστοτε χρήστη που το εκτελεί. Η ακόλουθη µελέτη περίπτωσης περιγράφει τον τρόπο µε τον οποίο ένας ∆ούρειος Ίππος (Trojan Horse) µπορεί να οδηγήσει στη µη εξουσιοδοτηµένη ροή της πληροφορίας από ένα υψηλό σε ένα χαµηλότερο επίπεδο ασφαλείας.

RobertRobert’’s Classifieds Classified

RobertRobert’’s Classifieds Classified

Robert: read, writeRobert: read, write

Ivan, Robert: read, writeIvan, Robert: read, write

RobertRobert

IvanIvan

Address Address Book Book

ManagerManager

Inserts Trojan HorseInserts Trojan HorseInto shared programInto shared program

Uses shared programUses shared program

THTHReads Reads

ClassifiedClassified

THTHCopiesCopies

ClassifiedClassifiedTo IvanTo Ivan’’ssDirectoryDirectory

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt

Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση ∆ούρειου Ίππου (Trojan horse attack)

Μελέτη Περίπτωσης (NCSC, 1987): Έστω ένα πολυχρηστικό σύστηµα που υλοποιεί τη πολιτική εξουσιοδότησης µε Λίστες Ελέγχου Πρόσβασης (ACLs – Λ.Ε.Π). Ο «τίµιος» χρήστης Robert διαθέτει ένα αρχείο που περιέχει εµπιστευτικά (classified)

77

δεδοµένα. Ο Robert δηµιουργεί µια Λ.Ε.Π η οποία επιτρέπει δικαιώµατα ανάγνωσης µόνο στο υποκείµενο Robert. Στον αντίποδα, ο «κακός» χρήστης Ivan επιθυµεί να αποκτήσει δικαιώµατα ανάγνωσης στο αρχείο του Robert. Ο Ivan, o οποίος είναι δεινός προγραµµατιστής, κατασκευάζει ένα πρόγραµµα διαχείρισης τηλεφωνικού καταλόγου και το συστήνει στον Robert, πείθοντας τον περί της χρησιµότητας του. Το πρόγραµµα, περιέχει έναν ∆ούρειο Ίππο (που, έχει συνενωθεί – wrapping- µε το πρόγραµµα τηλεφωνικού καταλόγου): Όταν ο Robert το εγκαταστήσει και στη συνέχεια το εκτελέσει, το trojan (εκτελούµενο πλέον µε τα δικαιώµατα του Robert) αντιγράφει τα περιεχόµενα του αρχείου του Robert στον φάκελο του Ivan. Ο Robert δεν θα αντιληφθεί ποτέ τι συνέβη, και η επίθεση ολοκληρώνεται επιτυχώς.

3.3 «Κατ’ Απαίτηση» Μοντέλο MAC Εξουσιοδότηση «Κατ’ Απαίτηση» (MAC). Το µοντέλο βασίζεται σε ένα σχήµα διαβάθµισης και συνήθως βρίσκει εφαρµογή σε πολύπλοκα συστήµατα που περιέχουν πληροφορίες ποικίλων διαβαθµίσεων, δηλαδή πληροφορίες που ανήκουν ή κατατάσσονται σε διαφορετικά (πολλαπλά) επίπεδα ασφαλείας (Multi Level Security - MLS). Ως εκ τούτου, τα υποκείµενα του συστήµατος πρέπει επίσης να διαβαθµιστούν σε διαφορετικά (πολλαπλά) επίπεδα εξουσιοδότησης. Πιο συγκεκριµένα, το µοντέλο εξουσιοδότησης MAC καθορίζει εκ των προτέρων τα εξής: 1. ∆ιαβάθµιση πληροφοριών. Στα αντικείµενα του συστήµατος εκχωρούνται

ετικέτες ασφαλείας (classification ή security labels). Οι ετικέτες αυτές αποδίδουν την ευαισθησία (sensitivity) των αντικειµένων και αντικατοπτρίζουν την πιθανή ζηµιά – συνέπεια που θα µπορούσε να υποστεί το σύστηµα από τη µη εξουσιοδοτηµένη διαρροή των πληροφοριών.

2. Βαθµός εξουσιοδότησης. Σε κάθε υποκείµενο του συστήµατος εκχωρείται

επίσης µια ετικέτα ασφαλείας (classification ή security label). Η ετικέτα αυτή αντικατοπτρίζει το βαθµό στον οποίο το υποκείµενο κρίνεται αξιόπιστο ώστε να µη διοχετεύσει εµπιστευτικές πληροφορίες σε µη έµπιστα υποκείµενα.

Σε κάθε υποκείµενο και αντικείµενο λοιπόν, αποδίδονται ετικέτες (labels) που χαρακτηρίζουν το επίπεδο ασφαλείας στο οποίο έχουν κατηγοριοποιηθεί. Ο στόχος του µοντέλου MAC είναι η ασφαλέστερη διαχείριση της ροής πληροφορίας από και προς διαφορετικά επίπεδα. Τα µοντέλο µπορεί να εγγυηθεί µια συγκεκριµένη κατεύθυνση στη ροή των πληροφοριών και είναι υποχρεωτικό, υπό την έννοια ότι η εφαρµογή της πολιτικής εξουσιοδότησης δε βρίσκεται πλέον στη διακριτική ευχέρεια των χρηστών του συστήµατος (π.χ. σε αντίθεση µε το DAC, ένα υποκείµενο δεν µπορεί να µεταβιβάσει δικαιώµατα σε άλλα υποκείµενα). Οι επιλογή των ετικετών ασφαλείας γίνεται από µια διατεταγµένη λίστα ετικετών π.χ.

άκρως απόρρητο (top secret) > απόρρητο (secret) >

εµπιστευτικό (confidential) > αδιαβάθµητο (unclassified))

78

3.3.1 Το Μοντέλο Bell-LaPadula Τα µοντέλα MAC εγγυώνται µια συγκεκριµένη κατεύθυνση στη ροή των πληροφοριών. H πλέον γνωστή υλοποίηση του «κατ’ απαίτηση» µοντέλου οφείλεται στους Bell και LaPadula. Το µοντέλο δίνει έµφαση στην εµπιστευτικότητα, καθώς αποτρέπει τη ροή πληροφοριών υψηλής εµπιστευτικότητας προς αντικείµενα-υποκείµενα χαµηλότερης εµπιστευτικότητας. Το µοντέλο έχει δυο βασικούς κανόνες (βλέπε σχήµα). Ο πρώτος αφορά την ανάγνωση δεδοµένων και ο δεύτερος την εγγραφή σε δεδοµένα. Παραδείγµατα:

• Εάν ένας χρήστης έχει διαβαθµιστεί ως ΑΠΟΡΡΗΤΟΣ, µπορεί να διαβάσει δεδοµένα που έχουν τη διαβάθµιση Α∆ΙΑΒΑΘΜΗΤΟ, ΕΜΠΙΣΤΕΥΤΙΚΟ, ΑΠΟΡΡΗΤΟ, αλλά δεν µπορεί να διαβάσει δεδοµένα µε τη διαβάθµιση ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ.

• Εάν ένας χρήστης έχει διαβαθµιστεί ως ΑΠΟΡΡΗΤΟΣ, µπορεί να

δηµιουργήσει δεδοµένα µε τη διαβάθµιση ΑΠΟΡΡΗΤΟ, ή/και ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ, αλλά δε µπορεί να δηµιουργήσει δεδοµένα µε τη διαβάθµιση ΕΜΠΙΣΤΕΥΤΙΚΟ, Α∆ΙΑΒΑΘΜΗΤΟ.

Το µοντέλο Bell-LaPadulaΈµφαση στην εµπιστευτικότητα (confidentiality)

1. Κανένα υποκείµενο δε µπορεί να διαβάσει δεδοµένα ενόςυψηλότερου επιπέδου

2. Κανένα υποκείµενο δε µπορεί να γράψει δεδοµένα σε έναχαµηλότερο επίπεδο (η *-ιδιότητα)

Το µοντέλο BibaΈµφαση στην ακεραιότητα (integrity)

1. Κανένα υποκείµενο δε µπορεί να γράψει δεδοµένα σε έναυψηλότερο επίπεδο,

2. Κανένα υποκείµενο δε µπορεί να διαβάσει δεδοµένα σε έναχαµηλότερο επίπεδο

Εξουσιοδότηση «Κατ’ Απαίτηση»Mandatory Access Control (MAC)

Σηµείωση: Ο δεύτερος κανόνας (o οποίος συνιστά και την καινοτοµία που εισήγαγε το µοντέλο των Bell-LaPadula) αντιµετωπίζει επιθέσεις παρόµοιες µε την επίθεση ∆ουρείου Ίππου που περιγράψαµε νωρίτερα. Σε µια παραλλαγή αυτής της επίθεσης ένας χρήστης ΑΠΟΡΡΗΤΟΣ (ή ένας δούρειος ίππος - trojan) έχει ως σκοπό την αποστολή, µέσω ηλεκτρονικής αλληλογραφίας, ενός εγγράφου µε τη διαβάθµιση ΑΠΟΡΡΗΤΟ σε έναν κακόβουλο χρήστη. Ο δούρειος ίππος θα µπορούσε να δηµιουργήσει ένα έγγραφο Α∆ΙΑΒΑΘΜΗΤΟ, και στη συνέχεια να αντιγράψει τα δεδοµένα του απορρήτου εγγράφου στο αδιαβάθµητο έγγραφο, προτού το αποστείλει µέσω ηλεκτρονικής αλληλογραφίας στον κακόβουλο παραλήπτη. Το σύστηµα που

79

εκτελεί το µοντέλο Bell-Lapadula δεν θα επιτρέψει τέτοιες επιθέσεις, αφού η πολιτική ασφαλείας δεν επιτρέπει εγγραφή σε δεδοµένα χαµηλότερης διαβάθµισης.

3.3.2 Το Μοντέλο Biba To µοντέλο Biba. Το µοντέλο δίνει έµφαση στην διασφάλιση της ακεραιότητας των δεδοµένων του συστήµατος. Οι χρήστες δε µπορούν να δηµιουργούν πληροφορία µε ετικέτα διαβάθµισης υψηλότερη από τη δική τους. Επίσης, το µοντέλο αποτρέπει τη ροή πληροφοριών χαµηλής εµπιστευτικότητας προς αντικείµενα-υποκείµενα υψηλής εµπιστευτικότητας. Το µοντέλο έχει δυο βασικούς κανόνες. Ο πρώτος αφορά την εγγραφή σε δεδοµένα και ο δεύτερος την ανάγνωση δεδοµένων. Παραδείγµατα:

1. Εάν ένας χρήστης έχει διαβαθµιστεί ως ΑΠΟΡΡΗΤΟΣ, µπορεί να δηµιουργήσει δεδοµένα που έχουν τη διαβάθµιση Α∆ΙΑΒΑΘΜΗΤΟ, ΕΜΠΙΣΤΕΥΤΙΚΟ, ΑΠΟΡΡΗΤΟ, αλλά δεν µπορεί να δηµιουργήσει δεδοµένα µε τη διαβάθµιση ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ.

2. Εάν ένας χρήστης έχει διαβαθµιστεί ως ΑΠΟΡΡΗΤΟΣ, µπορεί να διαβάσει

δεδοµένα µε τη διαβάθµιση ΑΠΟΡΡΗΤΟ, ή/και ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ, αλλά δε µπορεί να διαβάσει δεδοµένα µε τη διαβάθµιση ΕΜΠΙΣΤΕΥΤΙΚΟ, Α∆ΙΑΒΑΘΜΗΤΟ.

Σηµείωση: Το µοντέλο Biba θα µπορούσε να χρησιµοποιηθεί για να αποτραπεί µια επίθεση κακόβουλου λογισµικού. Έστω ένας χρήστης του συστήµατος µε τη διαβάθµιση ΑΠΟΡΡΗΤΟΣ «κατεβάζει» (download) από το Internet ένα πρόγραµµα που φέρει έναν ιό (virus). Κατά τη λήψη του, το πρόγραµµα αυτόµατα διαβαθµίζεται εξ’ ορισµού ως Α∆ΙΑΒΑΘΜΗΤΟ. Όταν εκτελεστεί, o ιός προσπαθεί να πραγµατοποιήσει αλλαγές (να δηµιουργήσει δηλαδή µια εγγραφή) στο Μητρώο του συστήµατος (το Μητρώο έχει διαβάθµιση: ΑΠΟΡΡΗΤΟ) ώστε να εκτελείται κατά την εκκίνηση του Λ.Σ. Το µοντέλο Biba (1ος κανόνας) αντιµετωπίζει τέτοιου είδους επιθέσεις. Σε ένα άλλο παράδειγµα, καµιά διεργασία υψηλού επιπέδου δεν θα έπρεπε να λαµβάνει δεδοµένα από διεργασίες χαµηλότερου επιπέδου (2ος κανόνας). Σηµείωση: Ο 2ος κανόνας θα µπορούσε να βρει εφαρµογή σε ιατρικά περιβάλλοντα. Για παράδειγµα, ένας ιατρός µε διαβάθµιση ΑΠΟΡΡΗΤΟΣ διαχειρίζεται τον φάκελο µε τα προσωπικά δεδοµένα ενός ασθενούς. Ο φάκελος αυτός δε θα πρέπει να είναι αναγνώσιµος από ένα υποκείµενο µε υψηλότερη διαβάθµιση, αφού κάτι τέτοιο θα παραβίαζε τα προσωπικά δεδοµένα του ασθενούς.

80

ΠλεονεκτήµαταΤο σύστηµα ελέγχει την επιβολή της πολιτικής εξουσιοδότησηςκαι όχι οι χρήστεςΚαλύτερος έλεγχος στη ροή της πληροφορίας από ασφαλή προςµη ασφαλή επίπεδα και αντίστροφαΑντιµετωπίζει µε επιτυχία προβλήµατα τύπου «επίθεση∆ουρείου Ίππου –trojan»Μπορεί να υλοποιηθεί µε µια εκ των δύο κατευθύνσεων

Έµφαση στην εµπιστευτικότητα (Bell-LaPadula)Έµφαση στην ακεραιότητα (Biba)

ΜειονεκτήµαταΈλλειψη ευελιξίας (κυρίως για εφαρµογές Internet)

Εξουσιοδότηση «Κατ’ Απαίτηση»Mandatory Access Control (MAC)

3.4 Εξουσιοδότηση Βασισµένη σε Ρόλους (RBAC) Εξουσιοδότηση «Βασισµένη σε ρόλους». Όπως δηλώνει το όνοµα του, το µοντέλο βασίζεται στην έννοια των ρόλων (roles): ρόλος είναι ένα σύνολο από ενέργειες και αρµοδιότητες που σχετίζονται µε τη λειτουργία του συστήµατος. Ο ρόλος ως έννοια είναι διαφορετικός από το υποκείµενο:

Role-based Access Control (RBAC)

palace

weapons

uniform

AthosAthos

PorthosPorthos

AramisAramis

D'ArtagnanD'Artagnan

Musketeer

palace

weapons

uniform

AthosAthosPorthosPorthosAramisAramis

D'ArtagnanD'Artagnan

DAC

RBAC

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt • Ένα υποκείµενο µπορεί να λειτουργήσει µε περισσότερους από έναν ρόλους. Για

παράδειγµα, µπορεί να έχει το ρόλο του διαχειριστή συστήµατος, του απλού

81

χρήστη, του υπεύθυνου καθηγητή ενός µαθήµατος. Τα δικαιώµατα που έχει το υποκείµενο, απορρέουν από τα δικαιώµατα του ρόλου του υποκειµένου, και ισχύουν για όσο διάστηµα το υποκείµενο λειτουργεί µε τον ρόλο αυτό.

• Ένας ρόλος µπορεί να ανήκει σε περισσότερους από έναν χρήστες (όχι

απαραίτητα την ίδια χρονική στιγµή). Τα δικαιώµατα πρόσβασης σε ένα αντικείµενο-δεδοµένο του συστήµατος εκχωρούνται σε συγκεκριµένα ονόµατα ρόλων. Μόνων όσοι χρήστες είναι εξουσιοδοτηµένοι να αναλαµβάνουν τους συγκεκριµένους ρόλους µπορούν να έχουν πρόσβαση στο αντικείµενο.

Παράδειγµα: Ο χρήστης Α, όταν αναλαµβάνει το ρόλο του ΚΑΘΗΓΗΤΗ µπορεί να διεκπεραιώνει, σύµφωνα µε την αρχή του ελάχιστου προνοµίου (least privilege), λειτουργίες όπως: Παραγγελία Βιβλίων και Επεξεργασία ∆ικτυακού Τόπου Μαθήµατος. Όταν ο Α θελήσει να επισκεφθεί µια σελίδα στο Web, τότε θα αναλάβει αυτόµατα π.χ. το ρόλο ΧΡΗΣΤΗΣ WEB, µε σαφώς περιορισµένα δικαιώµατα. Αν η σελίδα που επισκέπτεται περιέχει κακόβουλο κινητό κώδικα, π.χ. ActiveX, τότε το κακόβουλο λογισµικό θα εκτελεστεί «κληρονοµώντας» τα (περιορισµένα) δικαιώµατα του ρόλου ΧΡΗΣΤΗΣ WEB.

Εξουσιοδότηση «Βασισµένη σε Ρόλους»Role-based Access Control (RBAC)

Ο Γιώργος, έχει το ρόλο «υπεύθυνος µισθολογίας»Ο Γιώργος, κάποια στιγµή, παραιτείταιΗ Μαρία, προσλαµβάνεται στην επιχείρησηΗ Μαρία, αποκτά το ρόλο «υπεύθυνος µισθολογίας»

Η πρόσβαση στο αρχείο µισθολογίας, επιτρέπεται στο ρόλο«υπεύθυνος µισθολογίας» (όχι στο Γιώργο ή στη Μαρία)Η Μαρία «κληρονοµεί» τα ελάχιστα δικαιώµατα που έχουν προ-εκχωρηθεί στο συγκεκριµένο ρόλο

Σε ένα ιεραρχικό σύστηµα, η Μαρία µπορεί να κληρονοµήσεικαι τα δικαιώµατα των ρόλων των ανώτερων επιπέδων

Σε αντίθεση µε το DAC, η Μαρία δε µπορεί να µεταβιβάσειδικαιώµατα

Ο διαχωρισµός των ρόλων από τους χρήστες του συστήµατος, προσφέρει ευελιξία σε περιβάλλονται όπου τα υποκείµενα (αλλά και οι αρµοδιότητες ενός υποκειµένου) υπόκεινται σε αλλαγές. Κατ’ αυτόν τον τρόπο, η πολιτική εξουσιοδότησης απλοποιείται καθώς µπορεί να αποσυνδεθεί από τα πρόσωπα που λαµβάνουν µέρος στο σύστηµα και να επικεντρωθεί στους ρόλους που έχει κάποιο υποκείµενο µια δεδοµένη χρονική στιγµή στο σύστηµα. Σηµείωση: Η διαφορά του ρόλου από την οµάδα. Στο κατά διάκριση µοντέλο DAC, µια Oµάδα (user group) είναι ένα σύνολο από υποκείµενα µε τα ίδια δικαιώµατα πρόσβασης. Στο µοντέλο RBAC, ρόλος είναι µία αρµοδιότητα ή ένα σύνολο από

82

αρµοδιότητες µε τα ίδια δικαιώµατα πρόσβασης, τις οποίες διεκπεραιώνουν ένα ή περισσότερα υποκείµενα. Το µοντέλο RBAC συνδυάζει µερικά από τα καλύτερα χαρακτηριστικά των δυο άλλων διαδεδοµένων µοντέλων εξουσιοδότησης: • Τον έλεγχο της ροής πληροφορίας του µοντέλου MAC: η πολιτική

εξουσιοδότησης ασκείται κεντρικά, αποδίδοντας δικαιώµατα πρόσβασης στους ρόλους και όχι στους χρήστες του συστήµατος. Σε αντίθεση µε το µοντέλο DAC, ο τελικός χρήστης στον οποίο επιτρέπεται η πρόσβαση σε ένα αντικείµενο δεν είναι ιδιοκτήτης-κάτοχος του αντικειµένου. O χρήστης είναι εξουσιοδοτηµένος να αναλάβει έναν ρόλο, και ο ρόλος έχει τα συγκεκριµένα δικαιώµατα πρόσβασης στο αντικείµενο. Τα δικαιώµατα πρόσβασης ενός ρόλου στο µοντέλο RBAC είναι τα ελάχιστα δικαιώµατα που χρειάζεται ο ρόλος για να λειτουργήσει, κάτι που αναφέρεται και ως η Αρχή των ελάχιστων προνοµίων (least privilege).

• Την ευελιξία του µοντέλου DAC. Σε κάθε χρήστη ανατίθενται ένας ή

περισσότεροι ρόλοι, και σε κάθε ρόλο εκχωρούνται συγκεκριµένα δικαιώµατα προσπέλασης. Τα δικαιώµατα αυτά αποκτώνται από κάθε χρήστη που αναλαµβάνει το συγκεκριµένο ρόλο. Οποιαδήποτε µεταβολή στις αρµοδιότητες ενός χρήστη δεν αποτελεί πρόβληµα, αφού είναι εύκολο να γίνει ανάκληση ενός ρόλου από έναν χρήστη και να του ανατεθεί κάποιος νέος ρόλος (ή νέοι ρόλοι). Επίσης, η αποµάκρυνση ενός χρήστη από το σύστηµα δεν αποτελεί πρόβληµα, αφού είναι εύκολο να ανακληθούν όλοι οι ρόλοι από έναν χρήστη. Νέες αρµοδιότητες-ευθύνες σε ένα σύστηµα µπορούν να οδηγήσουν στη δηµιουργία νέων ρόλων (και αντίστοιχα, στην ανάθεση των ρόλων αυτών σε χρήστες που έχουν την ικανότητα να τους αναλάβουν). Τέλος, σε αντίθεση µε το µοντέλο DAC, τα δικαιώµατα των διαφορετικών ρόλων που µπορεί να έχει ένας χρήστης δε λειτουργούν αθροιστικά: ο χρήστης έχει τα δικαιώµατα που απορρέουν από το ρόλο που αναλαµβάνει, για όσο χρονικό διάστηµα τον αναλαµβάνει.

Εξουσιοδότηση RBAC – Σύγκριση µε MAC, DAC

Ο χρήστης έχει πρόσβαση σε ένα αντικείµενο µόνον εάν ο ρόλος τουτη συγκεκριµένη στιγµή έχει τα δικαιώµατα

Οι χρήστες αλλάζουν συχνά, οι ρόλοι όµως όχι

Role 1

Role 2

Role 3

Server 1

Server 3

Server 2

http://cs.uccs.edu/~frsn/docs/RoleBasedAccesscontrol.ppt

83

Ιεραρχίες Ρόλων. Στο µοντέλο RBAC, η έννοια του ρόλου αναβαθµίζεται µέσα από τις ιεραρχίες των ρόλων. Στους περισσότερους οργανισµούς-επιχειρήσεις, ορισµένες εργασίες-αρµοδιότητες είναι κοινές για ένα σύνολο χρηστών. Σε ένα σύστηµα όπου θα οριζόταν εκ νέου οι κοινές αυτές εργασίες σε κάθε ρόλο, ο διαχειριστικός φόρτος θα ήταν µεγάλος. Για αυτόν το λόγο δηµιουργήθηκε η ανάγκη δηµιουργίας µιας ιεραρχίας ρόλων, όπου ο ρόλος ενός επιπέδου θα κληρονοµεί τα δικαιώµατα πρόσβασης των ρόλων που βρίσκονται στο επίπεδο πάνω από αυτόν.

Σηµείωση: ∆εν υπάρχουν “καλά” και “κακά” µοντέλα ελέγχου πρόσβασης / εξουσιοδότησης. Όλα τα συστήµατα δεν έχουν τις ίδιες απαιτήσεις ασφάλειας. Έτσι, µοντέλα εξουσιοδότησης που είναι κατάλληλα για ένα σύστηµα µπορεί να είναι ακατάλληλα για ένα άλλο σύστηµα. Η επιλογή του µοντέλου εξουσιοδότησης εξαρτάται από τα επιµέρους χαρακτηριστικά του συστήµατος που πρόκειται να προστατευθεί, ως αποτέλεσµα της διαδικασίας Ανάλυσης Επικινδυνότητας.