Λιβανός Γιώργος Εξάμηνο 2017Β’ · Ασφάλια ων πηρσιών πο...

Λιβανός Γιώργος

Εξάμηνο 2017Β’

Ασφάλεια των υπηρεσιών που παρέχει

Απομόνωση απειλών ώστε να μην επηρεαστούν οι υπόλοιπες υπηρεσίες και εφαρμογές

2 Λειτουργικά Συστήματα Ι - Ασφάλεια Συστημάτων Εκπαιδευτής: Λιβανός Γιώργος

Δεδομένα που βρίσκονται είτε στην πρωτεύουσα μνήμη (RAM) είτε σε δευτερεύουσα (σκληροί δίσκοι και αποσπώμενοι δίσκοι)

Εκτελέσιμα προγράμματα και διεργασίες εφαρμογών

Συσκευές εισόδου-εξόδου και δικτύου

Διεργασίες και δεδομένα του ίδιου του ΛΣ

Ευχρηστία (usability)

Αποδοτικότητα (efficiency)

Ακεραιότητα (integrity)

Εμπιστευτικότητα (confidentiality)

Αυθεντικότητα (authenticity)

Διαθεσιμότητα (availability)

Ευκινησία (capacity)

Ανιχνευσιμότητα (detectability)


Αποκάλυψη συνθηματικών

Αναβάθμιση δικαιωμάτων

Μη εξουσιοδοτημένη εκτέλεση λογισμικού

Άρνηση παροχής υπηρεσίας

Κακόβουλο λογισμικό

Συμπτωματικές ασυνέπειες και λάθη

Εκμετάλλευση καταπακτών (trapdoors)

Ο ανθρώπινος παράγοντας: Κακόβουλες ενέργειες Αμέλεια - Άγνοια Παραπλάνηση Εκβιασμός – Δωροδοκία


Έλεγχος ταυτότητας χρηστών Συνθηματικά (passwords)

Βιομετρικές μέθοδοι (αναγνώριση αποτυπώματος, ίριδας, κ.α.)

Αγνωστικά πρωτόκολλα

Κρυπτογραφία δημόσιου κλειδιού


Διασφάλιση διαθεσιμότητας συστήματος Διαχωρισμός των συστατικών του ΛΣ (π.χ. χρήστες,

δεδομένα, σύστημα, διεργασίες) ώστε ενδεχόμενη κατάρρευση ενός συστατικού να μην επηρεάσει τα υπόλοιπα

Πυρήνας ασφάλειας ΛΣ (security kernel): Απομόνωση των διεργασιών του ίδιου του ΛΣ

Κατανομή διαφορετικών λειτουργιών σε διαφορετικά αυτόνομα συστήματα


Για την προστασία Εισόδου/Εξόδου

Για τη διασφάλιση της ακεραιότητας λογισμικού και δεδομένων

Για την αποτελεσματική κι αξιόπιστη χρήση της μνήμης

Για την ακεραιότητα συστήματος αρχείων

Για την ανοχή σφαλμάτων σε αποθηκευτικά συστήματα

Για την καταγραφή και παρακολούθηση συμβάντων

Για τη διασφάλιση της εμπιστευτικότητας ευαίσθητων δεδομένων

Πρόσθετοι προληπτικοί μηχανισμοί

Ασφαλής απομακρυσμένη πρόσβαση

Εικονικό Ιδιωτικό Δίκτυο (Virtual Private Network - VPN)

ασφαλής δίοδος (tunneling, π.χ. PPTP)

ασφαλές κέλυφος (secure shell – SSH) – παρέχει μηχανισμούς ισχυρής αυθεντικοποίησης.

Πρόσθετοι κατασταλτικοί μηχανισμοί

Ανάχωμα ασφαλείας (firewalls)

Προστασία από κακόβουλο λογισμικό (malicious software)

Σύστημα ανίχνευσης εισβολών (Intrusion Detection System - IDS)


Βασικές Αρχές σχεδίασης Αρχή της ελάχιστης από κοινού χρήσης

Αρχή των ελάχιστων προνομίων

Αρχή του ανοικτού σχεδιασμού

Διαχωρισμός προνομίων

Αρχή της εξ ορισμού άρνησης προσπέλασης


Πρόβλημα: Απειλή επιθέσεων από χάκερ για να κλέψουν πληροφορίες ή «περιουσιακά στοιχεία».

Λύσεις: Εφαρμογή ενός προηγμένου συστήματος ασφάλειας για εντοπισμό απειλών και μείωση των αποπειρών των χάκερ.

Τι είναι οι ιοί;

› Λογισμικό που χωρίς την συγκατάθεσή μας εισέρχεται στον Η/Υ και μπορεί να προκαλέσει απώλεια δεδομένων ή άλλες ανεπιθύμητες λειτουργίες.

Προσπαθεί να αναπαράγει τον εαυτό του

Απολύμανση αρχείων: Έλεγχος-Καθαρισμός όλων των αρχείων του υπολογιστή από ειδικό λογισμικό

Κατηγορίες ιών

› Trojan horses (Δούρειοι Ίπποι)

› Viruses (Ιοί)

› Worms (Σκουλήκια)

› Spyware



Τι μπορούν να προκαλέσουν:

› Απώλεια δεδομένων που περιέχει ένας Η/Υ

› Άρση απορρήτου των δεδομένων

› Επιβράδυνση της ταχύτητας του Η/Υ

(Ειδικά κατά τη σύνδεση στο διαδίκτυο)

› Καταστροφή Η/Υ

Πώς μεταδίδονται; › Ανταλλαγή αρχείων

› Ηλεκτρονικό ταχυδρομείο

› Παγκόσμιος Ιστός

› Δίκτυα υπολογιστών


Μέτρα προστασίας: › Antivirus Προγράμματα (Kaspersky, nod32, AVG,

Norton antivirous, Mcafee κτλ)

› Συχνή ενημέρωση antivirus

› Δεν εκτελούμε αρχεία τα οποία δεν γνωρίζουμε τι ακριβώς κάνουν (ειδικά αρχεία που περιέχονται ως συνημμένα σε e-mail)

› Προσοχή σε μηνύματα από αγνώστους

› Συχνή δημιουργία αντιγράφων ασφαλείας

› Αποφυγή επικίνδυνων τόπων στο διαδίκτυο

› Χρήση τείχους προστασίας=>λογισµικό που ελέγχει ή και απαγορεύει την αποµακρυσµένη πρόσβαση σε ένα υπολογιστή, ασκώντας παράλληλο έλεγχο στα εισερχόµενα / εξερχόµενα δεδοµένα από και προς αυτόν

Ψηφιακά πιστοποιητικά: χρησιμοποιούνται ευρέως για

διάφορες κρυπτογραφημένες ηλεκτρονικές συναλλαγές

μέσω του διαδικτύου. Παραδείγματα τέτοιων συναλλαγών

είναι: › Σύνοδοι με βάση το πρωτόκολλο SSL

(Client/Server SSL Certificates)

› Kρυπτογραφημένο και υπογεγραμμένο ηλεκτρονικό ταχυδρομείο

(S/MIME Certificates) › Yπογραφή αντικειμένων (Object-signing Certificates)

Ψηφιακή υπογραφή: µπορούµε να βεβαιωθούµε

› για την ταυτότητα του αποστολέα ενός εγγράφου (ή

οποιασδήποτε πληροφορίας µπορεί να αποθηκευτεί σε έναν Η/Υ),

› την ακεραιότητα του εγγράφου (ότι δηλαδή δεν έγινε καµία αλλαγή

σε αυτό), καθώς και

› να εξασφαλίσουµε ότι κάποιος συγκεκριµένος παραλήπτης και

µόνο αυτός θα µπορεί να διαβάσει το έγγραφο.


http://el.wikipedia.org/wiki/SSL


Προβλήματα υλικού

• Βλάβες, σφάλματα διευθέτησης, ζημιές από

ακατάλληλη ή εγκληματική χρήση

Προβλήματα λογισμικού

• Σφάλματα προγραμματισμού ή εγκατάστασης, μη

εξουσιοδοτημένες μετατροπές

Ζημιές

• Διακοπές ρεύματος, πλημμύρες, πυρκαγιές, κ.λπ.

Χρήση δικτύων υπολογιστών εκτός του ελέγχου της

επιχείρησης

• π.χ. με εγχώριους ή εξωχώριους προμηθευτές

Γιατί τα συστημάτα Η/Υ είναι ευάλωτα:


Τρωτά σημεία στο Διαδίκτυο:

Δίκτυο ανοιχτό στον καθένα

Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της

κακής χρήσης μπορεί να είναι τεράστιος

Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση

σε αυτό διευκολύνουν τον εντοπισμό τους από τους

χάκερ

Συνημμένα στο ηλεκτρονικό ταχυδρομείο

Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού

ταχυδρομείου

Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να

υποκλαπούν εύκολα


Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα

Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)

Προσδιορίζουν τα σημεία πρόσβασης

Μεταδίδονται πολλές φορές

Περιπολία εντοπισμού (War driving)

Οι ωτακουστές περνούν δίπλα από κτίρια και

προσπαθούν να παρέμβουν στην κυκλοφορία

ασύρματων δικτύων

Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID,

μπορεί να προσπελάσει πόρους του δικτύου


Ιός (virus):Παρασιτικό λογισμικό που προσκολλάται σε άλλα

προγράμματα ή αρχεία δεδομένων για να εκτελεστεί

Σκουλήκια (worm):Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον εαυτό τους από έναν υπολογιστή σε άλλους μέσω

δικτύου

Δούρειος ίππος (trojan horse):Πρόγραμμα λογισμικού που

εμφανίζεται ακίνδυνο αλλά κάνει κάτι διαφορετικό από το αναμενόμενο

Κατασκοπευτικό λογισμικό (spyware):Μικρά προγράμματα που

εγκαθίστανται λαθραία σε υπολογιστές και παρακολουθούν τη

δραστηριότητα περιήγησης του χρήστη στον Ιστό και παρουσιάζουν διαφημίσεις

Καταγραφείς πληκτρολογήσεων (Key loggers):Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να κλέψουν σειριακούς αριθμούς,

κωδικούς πρόσβασης ή να εξαπολύσουν επιθέσεις στο Διαδίκτυο

Είδη κακόβουλου λογισμικού:


Χάκερ και κράκερ

• Εισβολή σε συστήματα

• Ζημιές σε συστήματα

• Κυβερνοβανδαλισμός

Σκόπιμη διατάραξη, αλλοίωση ή καταστροφή

τοποθεσίας Ιστού ή εταιρικού πληροφοριακού

συστήματος

Παραπλάνηση (Spoofing)

• Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση

πλαστών διευθύνσεων ηλεκτρονικού ταχυδρομείου ή

παριστάνοντας κάποιον άλλο

• Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση

διαφορετική από την επιδιωκόμενη, όπου η τοποθεσία

μοιάζει με την επιδιωκόμενη


Εντοπιστής (Sniffer)

• Πρόγραμμα που παρακολουθεί τις πληροφορίες που

διακινούνται σε ένα δίκτυο

• Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές

πληροφορίες, όπως ηλεκτρονικά μηνύματα, εταιρικά

αρχεία, κ.λπ.

Επιθέσεις άρνησης εξυπηρέτησης (DoS)

• Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή

αιτήματα ώστε να καταρρεύσει το δίκτυο

Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS)

• Χρήση πολλών υπολογιστών για να κατακλύσουν ένα

δίκτυο

• Δίκτυα ρομπότ (Botnets)

Δίκτυα «ζόμπι» υπολογιστών τρίτων μολυσμένων

με κακόβουλο λογισμικό


Κλοπή ταυτότητας: Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης, αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο

Ηλεκτρονικό ψάρεμα (Phishing): Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα

Πονηροί δίδυμοι (Evil twins): Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο

Παραπλάνηση (Pharming): Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα, ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή

διεύθυνση στον φυλλομετρητή του

Απάτη των κλικ: Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα

υπολογιστή επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή να

αγοράσει κάτι


Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας

• Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)

Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα, γιατί η πλήρης δοκιμή τους είναι αδύνατη

• Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς

Διορθωτικές εκδόσεις (Patches)

• Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία

• Ωστόσο, η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων


Γενικοί έλεγχοι

Αφορούν το σχεδιασμό, την ασφάλεια, και τη χρήση

προγραμμάτων υπολογιστών, καθώς και τη γενική ασφάλεια

αρχείων δεδομένων σε ολόκληρο τον οργανισμό

Έλεγχοι λογισμικού, υλικού, λειτουργίας υπολογιστών,

ασφάλειας δεδομένων, υλοποίησης, διαχειριστικοί έλεγχοι

Έλεγχοι εφαρμογής

Αφορούν κάθε μηχανογραφημένη εφαρμογή

Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως και με

ακρίβεια μόνον εγκεκριμένα δεδομένα

Έλεγχοι εισόδου, επεξεργασίας, εξόδου

Εκτίμηση επικινδυνότητας

Προσδιορίζει το επίπεδο κινδύνου για το αν μια ορισμένη

δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς


Σχεδιασμός ανάκαμψης από καταστροφή: πλάνο για την

αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν

Σχεδιασμός συνέχειας: Εστιάζεται στην αποκατάσταση των λειτουργιών μετά από καταστροφή

Συστήματα ανίχνευσης εισβολής:

• Παρακολουθούν τα σημεία πρόσβασης των δικτύων

για να ανιχνεύουν και να αποτρέπουν εισβολείς

• Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να

ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη

Λογισμικό κατά των ιών και αντικατασκοπευτικό:

• Ελέγχει υπολογιστές για την παρουσία κακόβουλου

λογισμικού, το οποίο μπορεί συνήθως να εξαλείφει

• Προϋποθέτει συνεχή ενημέρωση


Κρυπτογράφηση: Μετασχηματισμός κειμένου ή δεδομένων σε

κρυπτογραφημένο κείμενο που δεν μπορεί να διαβαστεί από μη

προβλεπόμενους παραλήπτες

Δύο μέθοδοι: • Κρυπτογράφηση με συμμετρικό κλειδί

Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί

• Κρυπτογράφηση με δημόσιο κλειδί Χρησιμοποιεί δύο, μαθηματικά σχετικά, κλειδιά: ένα δημόσιο και

ένα ιδιωτικό

Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί του

παραλήπτη

Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί


Ηλεκτρονική επεξεργασία συναλλαγών =>

διαθεσιμότητα 100% και καθόλου νεκρό χρόνο

Συστήματα υπολογιστών ανεκτικά σε βλάβες

• Για συνεχή και αδιάλειπτη υπηρεσία, π.χ.

χρηματιστήρια

• Περιέχουν εφεδρικό υλικό και λογισμικό και

παροχή ηλεκτρικού ρεύματος που δημιουργούν

περιβάλλον συνεχούς και αδιάλειπτης λειτουργίας

Υπολογιστική υψηλής διαθεσιμότητας

• Βοηθάει στη γρήγορη ανάκαμψη από

κατάρρευση

• Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο

Λιβανός Γιώργος Εξάμηνο 2017Β’ · Ασφάλια ων πηρσιών πο...

Documents

Transcript of Λιβανός Γιώργος Εξάμηνο 2017Β’ · Ασφάλια ων πηρσιών πο...