telematics.upatras.grtelematics.upatras.gr/.../bouras_site/ergasies_foithtwn/15… · Web...

[Enter Document Title]

Α κ α δ η μ α ϊ κ ό έ τ ο ς 2 0 0 7 - 0 8

Φωτιαδάκη Παναγιώτα. . 3511Α Μ

Παρασκευοπούλου Δήμητρα. . 3593Α Μ

Εργασία στα πλαίσια του μαθήματος « Δίκτυα Δημόσιας Χρήσης και Διασύνδεση

»Δικτύων / Τμήμα Μηχανικών Η Υ και Πληροφορικής

Πολυτεχνική ΣχόληΠανεπιστήμιο Πάτρας

ΑΣΦΑΛΕΙΑΔΙΚΤΥΩΝ

Ε Ρ Γ Α Σ Ί Α Σ Τ Α Π Λ Α Ι Σ Ι Α Τ Ο Υ Μ Α Θ Η Μ Α Τ Ο Σ « Δ Ί Κ Τ Υ Α Δ Η Μ Ό Σ Ι Α Σ Χ Ρ Ή Σ Η Σ Κ Α Ι Δ Ι Α Σ Ύ Ν Δ Ε Σ Η Δ Ι Κ Τ Ύ Ω Ν »

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ

Φωτιαδάκη ΠαναγιώταΑΜ 3511

Παρασκευοπούλου ΔήμητραΑΜ 3593

1Εισαγωγή.............................................................................................................21.1Γιατί δεν είναι ασφαλές το Internet ...............................................................31.2Τρωτά σημεία διαδικτύου ..............................................................................5

ΚΕΦΑΛΑΙΟ............................................................................................................6

2Είδη Επιθέσεων...................................................................................................62.1Ιοί ................................................................................................................72.2Λογικές ηλεκτρονικές βόμβες (e-bomb).........................................................82.3Ανιχνευτές......................................................................................................92.4Άρνηση παροχής υπηρεσιών........................................................................102.5Δούρειεοι Ίπποι (trojan horses)...................................................................112.6Παραπλανητική σύνδεση..............................................................................172.7Επίθεση στο ηλεκτρονικό ταχυδρομείο........................................................182.8Επίθεση μέσω IP διεύθυνσης.......................................................................192.9Τεχνολογικές Επιθέσεις................................................................................222.10Ηλεκτρονικό ψάρεμα (phising)..................................................................24

ΚΕΦΑΛΑΙΟ..........................................................................................................26

3Ιστορικές Επιθέσεις...........................................................................................263.1Morris worm................................................................................................263.2Melissa........................................................................................................273.3Love letter....................................................................................................293.4Code Red.....................................................................................................293.5Nimda..........................................................................................................303.6SirCam.........................................................................................................313.7BadTrans.....................................................................................................333.8MSBlast worm.............................................................................................343.9SoBig...........................................................................................................35

ΚΕΦΑΛΑΙΟ..........................................................................................................37

4Αντιμετώπιση....................................................................................................374.1Firewalls......................................................................................................384.2Κρυπτογράφηση...........................................................................................424.3Πιστοποίηση................................................................................................484.4Εμπιστευτικότητα.........................................................................................514.5Ακεραιότητα.................................................................................................524.6Συστήματα ανίχνευσης επιθέσεων................................................................53

ΚΕΦΑΛΑΙΟ..........................................................................................................63

5Προτάσεις για το μέλλον...................................................................................63 INTERNETWORKING PROTOCOLS............................................................64ΑΝΙΧΝΕΥΣΗ ΕΙΣΒΟΛΗΣ...............................................................................65

ΒΙΒΛΙΟΓΡΑΦΙΑ..................................................................................................66

6Βιβλιογραφία.....................................................................................................66

1 Εισαγωγή

ΚΕΦΑΛΑΙΟ

1

Ο σκοπός της δημιουργίας των δικτύων ήταν η ανάγκηεπικοινωνίας και μεταβίβασης της πληροφορίας από ένα σημείο του χώρου σε ένα άλλο,δηλαδή η μετάδοση της πληροφορίας από έναν πομπό σε ένα δέκτη με τη βοήθεια της ηλεκτρικής ενέργειας και του ηλεκτρικού ρεύματος. Το δίκτυο δίνει τη δυνατότητα σε ένα συνδρομητή του να επικοινωνήσει με οποιονδήποτε άλλον συνδρομητή που διαθέτει την κατάλληλη διάταξη πρόσβασης σε κάποιο οριακό σύστημα του δικτύου που ονομάζεται κόμβος ή κέντρο. Το θέμα που μας ενδιαφέρει είναι η ασφάλεια των δικτύων. Ξεκινάμε λέγοντας λίγα λόγια για τα δίκτυα και γιατί δεν είναι ασφαλές το διαδίκτυο τη πιο γνωστή μορφή δικτύου που υπάρχει και ενώνει ετερογενή δίκτυα. Έπειτα ακολουθεί μια παρουσίαση των επίφοβων σημείων των δικτύων και πως μπορεί η ασφάλεια τους να παραβιαστεί και πάλι αναφερόμαστε κυρίως στο διαδίκτυο.

Συνεχίζοντας αναφέρουμε διάφορες μορφές και είδη επιθέσεων αναλυτικά καθώς επίσης γίνεται και μια εκτενής παρουσίαση του ιστορικού των επιθέσεων από την πρώτη εμφάνισή τους μέχρι σήμερα. Στη συνέχεια προτείνουμε κάποιους τρόπους αντιμετώπισης και χαρακτηριστικά παραδείγματα και κλείνουμε δίνοντας τις προτάσεις μας και καταθέτοντας τις σκέψεις μας για το μέλλον.

1.1 Γιατί δεν είναι ασφαλές το Internet

Το δίκτυο(κόμβος ή κέντρο) είναι ένα απλό μοντέλο που δημιουργήθηκε για να καλύψει τις ανάγκες επικοινωνίας πολλών συνδρομητών.Έτσι άρχισαν να εμφανίζονται πολλές μορφές δικτύων όπως το

2

ARPANET(Advanced Research Project Agency Network) το οποίο μετονομάστηκε από το αμερικάνικο υπουργείο Άμυνας το 1972 σε DARPANET(Defense Advanced Research Project Agency Network) και χρησιμοποιήσε το πρωτόκολλο TCP(Transmision Control Protocol), το οποίο είναι αυτί που κατέστησε δυνατή την δημιουργία του ΙΝΤΕΡΝΕΤ αφού ήταν η βάση για ένα σύνολο από πρωτόκολλα γνωστά ως TCP/IP. Ο όρος IP ενσωματώθηκε αργότερα επειδή το TCP έδινε την δυνατότητα να συνδεθούν πολλά ανεξάρτητα δίκτυα μεταξύ τους ,έτσι η επιστημονική κοινότητα του προσέδωσε και το όνομα πρωτόκολλo διαδικτύωσης(INTERNATIONAL NETWORK) ή εν συντομία IP.

Άλλα δίκτυα αναφορικά είναι το CYBERNET,το DCS(Distributed Computing System), το CYCLADES,έτσι φτάσαμε στο ζενίθ της εξάπλωσης του δικτύου με το INTERNET, το οποίο συνεχώς εξαπλωνόταν και απορροφούσε άλλα μικρότερα δίκτυα όπως το BITNET(δίκτυο της IBM που είχε κατασκευάσει για ένα σύνολο πανεπιστημίων).Αρχικά γινόταν χρήση του INTERNET μόνο για ανάγνωση του ηλεκτρονικού ταχυδρομείου (e-mail) και για κοινή χρήση κάποιων εκτυπωτών.Έτσι δεν έδιναν τότε και ιδιαίτερη σημασία για την ασφάλεια του δικτύου. Στη σημερινή εποχή, που τεράστιο ποσοστό ανθρώπων χρησιμοποιούν τα δίκτυα για τραπεζικές συναλλαγές, αγορές και υποβολή φορολογικών δηλώσεων, η ασφάλεια των δικτύων προβάλλει στον ορίζοντα ως ένα πάρα πολύ μεγάλο πρόβλημα, που συνιστά την προσοχή όλων μας . Έχει γίνει επιτακτική ανάγκη και πρωτεύων στόχος η προστασία των δικτύων. Τα τελευταία χρόνια έχουν γίνει πολλές επιθέσεις σε δίκτυα κυρίως από άτομα που έχουν σκοπό να βλάψουν (λεγόμενοι crackers). Eίναι εξαιρετικά

3

εύκολο να κάποιος να προσπελάσει ένα δίκτυο το οποίο δεν έχει εξοπλιστεί με τα είδη προστασίας και να μην γίνει αντιληπτός. Έτσι έχοντας περάσει αυτό το στάδιο μπορεί σχετικά εύκολα να υποκλέψει στοιχεία , προσωπικά δεδομένα, λογαριασμούς καρτών και οτιδήποτε άλλο ,στο οποίο μπορεί εύκολα να έχει πρόσβαση.

1.2 Τρωτά σημεία διαδικτύου

Το διαδίκτυο όπως γνωρίζουμε είναι ένα δυναμικό περιβάλλον τόσο από πλευράς τεχνολογίας όσο και από άποψη τοπολογική. Ακόμη ένας άλλος λόγος είναι ότι τα πρωτόκολλα με βάση τα οποία έχει σχεδιαστεί το κάθε δίκτυο δεν είχαν σχεδιαστεί με πρώτη προτεραιότητα την ασφάλειά του. Θα πρέπει το θέμα τις ασφάλειας των δικτύων να είχε αντιμετωπιστεί με τρόπο σοβαρότερο και πιο αποτελεσματικό. Στην συγκεκριμένη περίπτωση για το πρωτόκολλο του διαδικτύου(IP) που έχει σχεδιαστεί ώστε να συνδέει ετερογενή δίκτυα μεταξύ τους,έχουμε να πούμε ότι εξαιτίας του κληρονομούμενου ανοικτού περιβάλλοντος ευνοούνται οι επιθέσεις και μπορούν να γίνουν πιο εύκολα και πιο γρήγορα.

4

2 Είδη Επιθέσεων

Όπως και το νόμισμα διαθέτει δύο όψεις έτσι και το διαδίκτυο παρ όλες τις διευκολύνσεις που μας προσφέρει δεν παύει να διαθέτει και την άσχημη πλευρά του και αυτή δεν είναι άλλη από το κακό που μπορεί να προκαλέσει η προσβολή ενός πληροφοριακού συστήματος – δικτύου από κάποιον κακόβουλο χρήστη του. Η προσβολή ενός δικτύου είναι εφικτή με χρήση του λεγόμενου κακόβουλου κώδικα(malicious code) Ο Malicious code είναι οποιοσδήποτε κώδικας που προστίθεται, αλλάζεται, ή αφαιρείται από ένα σύστημα λογισμικού προκειμένου να προκληθεί σκόπιμα ζημιά ή να υπονομεύθει η προοριζόμενη λειτουργία του συστήματος. Αν και το πρόβλημα του malicious code έχει μια μακροχρόνια ιστορία, διάφορες πρόσφατες, ευρέως κοινοποιημένες επιθέσεις και ορισμένες οικονομικές τάσεις προτείνουν ότι ο malicious code γίνεται γρήγορα ένα κρίσιμο πρόβλημα για τη βιομηχανία, την κυβέρνηση και τα άτομα.

Τα παραδοσιακά παραδείγματα του malicious code περιλαμβάνουν ιούς (viruses), worms, Trojan Horses και attacks scripts, ενώ τα πιό σύγχρονα παραδείγματα περιλαμβάνουν Java attack applets και επικίνδυνα ActiveX controls. Συνοπτικά λοιπόν θα αναφέρουμε μερικά παραδείγματα malicious code.

5

ΚΕΦΑΛΑΙΟ

2

2.1 Ιοί

Η ιστορία των ιών ξεκινάει από το 1981 με την άφιξη του πρώτου προσωπικού ηλεκτρονικού υπολογιστή ευρείας αγοράς με την μορφή της APPLE II ,οι πρώτοι computer viruses άρχισαν να εμφανίζονται. Οι ιοί είναι κομμάτια του malicious code που συνδέονται με τα προγράμματα οικοδεσποτών και διαδίδουν ένα μολυσμένο πρόγραμμα όταν εκτελείται. Έχουν παρατηρηθεί διάφορες χαρακτηριστικές επιθέσεις ιών σε διάφορα συστήμα. Ο Elk Cloner του Rich Skrenta είναι ο πρώτος επίσημα αναγνωρισμένος ιός υπολογιστή. Το 1986 δύο προγραμματιστές ο Αmjad και ο Basit Farook Alvi χρησιμοποιούν το το boot sector μιας floopy disk για να μολύνουν κάθε υπολογιστή με τον οποίο η δισκέτα έρχεται σε επαφή.Κάνοντας αυτό,δημιουργούν τον πρώτο ιό που μόλυνε τον IBM PC. Το 1988 ο Jerusalem virus εξαπολύεται ,μολύνοντας .exe και .com αρχεία , ο ιός αυτός είναι σχεδιασμένος να ενεργοποιείται κάθε παρασκευή και 13 και να διαγράψει κάθε πρόγραμμα που έχει εκτελεστεί εκείνη την ημέρα.Το 1991 ο πρώτος πολυμορφικός ιός εμφανίζεται.Αυτό το είδος είναι πολύ δσκολο να ανιχνευθεί ,επειδή αλλάζει η εμφάνιση τους με κάθε νέα μόλυνση.Το 1992 εμφανίζεται η DAME (Dark Avenger Mutation Engine), σκοπός της είναι να μετατρέπει ένα απλό ιό σε πολυμορφικό. Το 1995 ο ιός Word concept γίνεται ένας από τους κυρίαρχους ιούς στη δεκαετία του 90,γιατί διαδίδεται μέσω των μακροεντολών σε έγγραφα Word.Αυτά είναι μερικά παραδείγματα εν συντομία μερικών πολύ γνωστών ιών που έχουν χαρακτεί ανεξίτηλα στην ιστορία. Πιο κάτω παρουσιάζεται εκτενέστερη περιγραφή κάποιων χαρακτηριστικών επιιθέσεων.

6

2.2 Λογικές ηλεκτρονικές βόμβες (e-bomb)

Οι λογικές βόμβες είναι μικρά προγράμματα που προστίθενται σε κάποιο υπάρχον πρόγραμμα ή ακόμα τροποποιούν κάποιον υπάρχοντα κώδικα. Καλούνται έτσι διότι είναι προγραμματισμένες να εκραγούν ηλεκτρονικά κάτω από κάποιες προϋποθέσεις. Για να κατανοήσουμε τον όρο της ηλεκτρονικής λογικής βόμβας μπορούμε να την παρομοιάσουμε με τις τρομοκρατικές επιθέσεις σε αεροπλάνα με πυροδοτούμενες βόμβες υπό πίεση ,όπου εξαιτίας της ατμοσφαιρικής πίεσης η βόμβα εκρήγνυται όταν πέσει η πίεση στο απαιτούμενο επίπεδο.Έτσι λοιπόν και η λογική βόμβα προστίθεται στο πρόγραμμα από κάποιον που έχει το ελεύθερο σε αυτό ,δηλαδή εύκολη πρόσβαση στο σύστημα και εννοείται και την απαιτούμενη γνώση για να την εγκαταστήσει. Η πρόσβαση πάλι μπορεί να αποκτηθεί και με κάποιον τρόπο υποκλοπής.Η ηλεκτρονική λογική βόμβα όσο τρέχει το πρόγραμμα που τη συγκρατεί να μην εκραγεί μένει ανεργή όταν σταματήσει και για κάποιο λόγο το πρόγραμμα δεν τρέξει τότε η βόμβα πυροδοτείται και γίνεται ηλεκτρονική έκρηξη.Για παράδειγμα ένας προγραμματιστήσ που δουλευει σε μια εταιρία για όσο ο προγραμματιστής τροφοδοτεί με τα στοιχεία του το σύστημα και κάνει boot ένα πρόγραμμα τότε δεν υπάρχει φόβος , όταν όμως για κάποιο λόγο δε γίνει αυτό τότε η βόμβα μετρώντας αντίστροφα κάποιο χρονικό διάστημα που δεν έχει δεχθεί το αναγνωριστικό τότε εκρήγνυται με αποτέλεσμα να γίνει εκκαθάριση δίσκων , διαγραφή αρχείων ή κρυπτογράφηση τους.Αυτή είναι η βασική ιδέα με την οποία λειτουργεί η ηλεκτρονική

7

λογική βόμβα με σκοπό να σβήσει τα ηλεκτρονικά ίχνη κάποιου.

2.3 Ανιχνευτές

Ονομάζονται ανιχνευτές δικτυακής κίνησης και είναι προγράμματα που χρησιμοποιούνται για τον έλεγχο της ασφάλειας των συστημάτων και λέγονται ανιχνευτές γιατί έχουν την γνώση και τον εξοπλισμό να γνωρίζουν όλα τα εξωτερικα σημεία από τα οποία θα μπορούσε κάποιος hacker να διαπεράσει την ασφάλεια του συστήματος και να έχει πρόσβαση σε αυτό ,αρχικά δημιουργήθηκαν από τους διαχειριστές ασφαλείας του συστήματος,αλλά όπως γίνεται συνήθως που δημιουργείται κάτι για κάποιο σκοπό και στο τέλος χρησιμοποιείται για άλλο, έτσι και εδώ τελικά χρησιμοποιήθηκαν από hackers για να βρίσκουν και να προσδιορίζουν τους πιθανούς επόμενους στόχους επίθεσής τους.Τέτοια προγράμματα είναι το ISS, το TCPdump, το NMAP, το SATAN και πολλά άλλα.

2.4 Άρνηση παροχής υπηρεσιών

Επιθέσεις αυτού του τύπου αποτελούν τις πιο δύσκολαανιχνεύσιμες, καθώς είναι σχετικά εύκολο να υλοποιηθούν και δύσκολο (μερικές φορές αδύνατο) να εντοπιστούν, μιας και δεν μπορεί το εκάστοτε σύστημα να αρνηθεί την υπηρεσία στον επιτιθέμενο, δίχως να συμβεί το ίδιο και στις γνήσιες αιτήσεις για την υπηρεσία από κανονικούς χρήστες.

8

Η μεθοδολογία της Άρνησης Παροχής Υπηρεσιών (Denial of Service - DoS) είναι απλή:

Αν σταλούν σε ένα εξυπηρετητή περισσότερες αιτήσεις από όσες μπορεί να εξυπηρετήσει, τότε οι λειτουργίες που επιβάλλουν οι αιτήσεις αυτές δεσμεύουν πόρους του συστήματος, με αποτέλεσμα το σύστημα να μην είναι σε θέση να εξυπηρετήσει τους χρήστες μετά από σύντομο χρονικό διάστημα και να μην έχει τη δυνατότητα να παρέχει αρκετούς πόρους για την εκτέλεση διεργασιών. Χαρακτηριστικό παράδειγμα αποτελεί το mail spam, η επαναλαμβανόμενη δηλαδή αποστολή μηνυμάτων προκειμένου να φτάσει το σύστημα στα όρια της χωρητικότητάς του.

Η αντιμετώπιση της συγκεκριμένης κατηγορίας επιθέσεων συνίσταται στα εξής πεδία:

Αρχική Ανιμετώπιση Χρήση packet filtering για την αποτροπή IP spoofed πακέτων να εισέλθουν στο σύστημα. Το σύστημα δεν πρέπει να τρέχει στα όρια των δυνατοτήτων του και να έχει εγκατεστημένα τα τελευταία security patches.

Ριζική Αντιμετώπιση Επίλυση του προβλήματος του IP traceback, δηλαδή τη γρήγορη ανίχνευση της πηγής επιθέσεων μέσα από την ανάλυση των πακέτων των αιτήσεων. Το συγκεκριμένο ζήτημα αποτελεί αντικείμενο επιστημονικής έρευνας.

2.5 Δούρειεοι Ίπποι (trojan horses)

9

Όπως είναι γνωστό οι δούρειοι ίπποι ονομάστηκαν έτσι από την ελληνική μυθολογία και τον πολυμήχανο τέχνασμα των Ελλήνων να κρυφτούν μέσα σε ένα ξύλινο θεόρατο άλογο που αρχικά είχαν προσφέρει

ως δώρο στους Τρώες και με τον τρόπο αυτό εισέβαλαν τη νύχτα στην Τροία. Έτσι λοιπόν και ο ηλεκτρονικός δούρειος ίππος έχει την ίδια λογική δρά

παραπλανητικά καθώς εισβάλλουν με «αθώο» τρόπο στο εκάστοτε σύστημα και μόλις ενεργοποιηθούν τα αποτελέσματα μπορούν να καταστούν και καταστροφικά. Συνήθεις «κρυψώνες» ενός Δούρειου Ίππου είναι κάποιο νέο, δωρεάν παιχνίδι στο Διαδίκτυο, κάποιο τραγούδι σε μορφή MP3 ή MP4 τώρα, κάποιο εξειδικευμένο πρόγραμμα αρκετά δελεαστικό ώστε να το κατεβάσουν οι χρήστες.Όταν εκτελεστεί το εν λόγω «ύποπτο» πρόγραμμα, καλείται η διαδικασία του Δούρειου Ίππου, η οποία επιτελεί ανεπιθύμητες λειτουργίες, όπως η τροποποίηση, η διαγραφή, η κρυπτογράφηση, η αντιγραφή αρχείων χρηστών σε σημείο όπου ο διαρρήκτης μπορεί να τις ανακτήσει αργότερα ή να τις αποστείλει στον εαυτό του ή σε κάποια ασφαλή κρυψώνα μέσω ηλεκτρονικού ταχυδρομείου ή FTP.

Ένας δούρειος ίππος αποτελείται από δύο μέρη, το Server και το Client. Για να μπορέσει να μολυνθεί ένας υπολογιστής από ένα πρόγραμμα δούρειου ίππου, θα πρέπει με κάποιον τρόπο να εγκατασταθεί και να

10

εκτελεσθεί σ’ αυτόν το μέρος Server. Μετά, αφού εκτελεσθεί το μέρος Client στον υπολογιστή του εισβολέα και δοθεί η IP διεύθυνση του υπολογιστή που έχει προσβληθεί, ο έλεγχός του θα είναι πλέον πολύ εύκολος. Τα προγράμματα μέσω των οποίων μεταφέρονται οι δούρειοι ίπποι στον υπολογιστή μας αποκαλούνται droppers.

Οι δούρειοι ίπποι επικοινωνούν με τον Client μέσω των διαφόρων θυρών (ports) του υπολογιστή, τις οποίες μπορούμε να απενεργοποιήσουμε με τη χρήση κάποιου firewall (τείχους προστασίας).

Ένας συχνός τρόπος λειτουργίας των Δούρειων Ίππων είναι η απενεργοποίηση του ήχου του μόντεμ και η εν συνεχεία κλήση κάποιου διεθνούς αριθμού με ιδιαίτερα υψηλό κόστος. Συνήθως επιλέγονται μακρινές χώρες της πρώην Σοβιετικής Ένωσης (π.χ. Μολδαβία κ.λπ.) ή χώρες του Ειρηνικού, όπου επιλέγεται κάποιος πολύ ακριβός παροχέας Διαδικτύου, ώστε ο χρήστης να μην αντιληφθεί τίποτα ύποπτο και να συνεχίζει να δουλεύει ώρες. Τέτοιες περιπτώσεις Δούρειων Ίππων είναι γνωστές με το όνομα dialers . Αξίζει να αναφερθεί μία ανάλογη περίπτωση, στην οποία τα «θύματα» ξόδεψαν περίπου 800.000 λεπτά χρόνου σύνδεσης πριν η Ομοσπονδιακή Επιτροπή Εμπορικών Αδικημάτων των ΗΠΑ κατορθώσει να ανακαλύψει τους τρεις υπευθύνους στο Long Island και να τους μηνύσει. Η ποινή που επιβλήθηκε στους δράστες ήταν η επιστροφή 2,74 εκατομμυρίων δολαρίων σε 38.000 θύματα.

Σύμφωνα με τις πρώτες εκτιμήσεις του Τμήματος Δίωξης Ηλεκτρονικού Εγκλήματος της Ασφάλειας Αττικής και του ΟΤΕ, τα θύματα της απάτης των dialer ξεπερνούν τις 10.000, ενώ μόνο στην Ελλάδα εντοπίσθηκαν

11

περισσότερες από 1.000 ύποπτες ιστοσελίδες που είναι πολύ πιθανόν να σχετίζονται με την απάτη αυτή. Η απάτη λειτουργεί ως εξής : Μια ιστοσελίδα δελεάζει τον επισκέπτη, συνήθως με ανακοινώσεις για γυμνές φωτογραφίες επώνυμων γυναικών ή για καυτά videos on-line ή και με κάτι άλλο, οι οποίες υπηρεσίες μάλιστα διαφημίζονται έντονα και τονίζεται ότι παρέχονται δωρεάν.

Μόλις ο χρήστης κάνει κλικ σ’ ένα συγκεκριμένο σημείο, εγκαθίσταται αυτόματα στον υπολογιστή του και χωρίς αυτός να το γνωρίζει, ένα ειδικό πρόγραμμα («πρόγραμμα-τσούχτρα») με αποτέλεσμα αντί για αστική κλήση στον τοπικό provider (ο γνωστός ΕΠΑΚ, 8962…) να γίνεται εκτροπή και διεθνής κλήση σύνδεσης και μάλιστα υπερπόντια, με πολλαπλάσιο φυσικά κόστος. Για παράδειγμα, ο χρήστης αντί για 0,17 – 0,35 € την ώρα, χρεώνεται με 2,50 € ανά λεπτό. Οι δημιουργοί παρόμοιων ιστοσελίδων έχουν κάνει συμβάσεις με τους τηλεπικοινωνιακούς οργανισμούς των χωρών αυτών και μοιράζονται τα κέρδη από τις υπέρογκες χρεώσεις των ανυποψίαστων χρηστών.

Οι τηλεφωνικές εταιρείες ισχυρίζονται ότι δεν φέρουν καμία ευθύνη για τις υποθέσεις αυτές και ότι η μόνη παραχώρηση που μπορούν να κάνουν προς τους παθόντες είναι να αποπληρώσουν οι τελευταίοι τα χρέη τους σε δόσεις. Η μόνη αντιμετώπιση και πρόληψη της μάστιγας αυτής που χρεώνει υπέρογκα τους λογαριασμούς των ανυποψίαστων χρηστών είναι η προσοχή και η εγρήγορση των ίδιων των χρηστών.Η καλύτερη προστασία από την απάτη αυτή είναι η εγκατάσταση φραγής των διεθνών τηλεφωνικών κλήσεων ή η προμήθεια και εγκατάσταση ειδικής συσκευής AntiDialer, η οποία παρεμβάλλεται ανάμεσα στην τηλεφωνική γραμμή και την συσκευή modem του υπολογιστή του χρήστη και επιτρέπει να γίνονται κλήσεις μόνο προς συγκεκριμένο

12

αριθμό ΕΠΑΚ. Για τις υπερβολικές αυτές χρεώσεις, ο ΟΤΕ δεν φέρει καμία ευθύνη και συμβουλεύει τους dial up χρήστες για τα εξής :

Να μην κατεβάζουν (download) προγράμματα στους υπολογιστές τους από άγνωστης και αμφίβολης προέλευσης ιστοσελίδες.

Να αποσυνδέονται από το Internet όταν δεν το χρησιμοποιούν.

Να χρησιμοποιούν την υπηρεσία φραγής των εξερχόμενων διεθνών τηλεφωνικών κλήσεων.

Να μην επιτρέπουν τη χρήση του υπολογιστή για σύνδεση στο Internet από τρίτους, στο σπίτι ή τον χώρο εργασίας τους.

Σε συστήματα που χρησιμοποιούν Unix-Linux ένας Δούρειος Ίππος θα μπορούσε να τοποθετηθεί σε κάποιο συχνά χρησιμοποιούμενο φάκελο, όπως το /bin ή το /usr/bin και να του δοθεί κάποιο όνομα παραπλήσιο με κάποιο υπάρχον αρχείο. Για παράδειγμα στον κατάλογο /usr/bin/X11 υπάρχει ένα αρχείο ls και ο εισβολέας αποθηκεύει ένα αρχείο με το όνομα la. Αν κάποιος χρήστης πληκτρολογήσει κατά λάθος τη la, τότε ο Δούρειος Ίππος θα εκτελεστεί και στη συνέχεια θα εμφανιστεί μήνυμα λάθους, ώστε ο χρήστης να μην υποψιαστεί το σφάλμα του. Είναι πιθανό, ακόμη και αν ο Δούρειος Ίππος τοποθετηθεί σε πολύπλοκους καταλόγους, που δε χρησιμοποιούνται συχνά, να υπάρξουν λάθη πληκτρολόγησης που θα οδηγήσουν στην εκτέλεση καταστροφικού κώδικα. Μπορεί, επίσης, ο επικίνδυνος κώδικας να έχει τοποθετηθεί σε φάκελο υπερχρήστη, όπως για παράδειγμα ο /bin και κάποιο λάθος να οδηγήσει πάλι σε ολέθρια αποτελέσματα.

13

Μία ακόμη πιθανή εισβολή μπορεί να τελεστεί από κάποιον πονηρό χρήστη, ο οποίος θα τοποθετήσει μία παραλλαγμένη έκδοση της κλήσης συστήματος ls στον προσωπικό του κατάλογο και στη συνέχεια θα αναπτύξει αυξημένη υπολογιστική δραστηριότητα στο σύστημα, όπως να ξεκινήσει 100 υπολογιστικές διαδικασίες, ώστε να τραβήξει την προσοχή του υπερχρήστη. Είναι πιθανό ότι ο υπερχρήστης θα προσπαθήσει να δει τι γίνεται πληκτρολογώντας

cd /usr/όνομα_χρήστηls –i

για να δει τι περιέχεται στον κατάλογο του χρήστη. Καθώς μερικά shells δοκιμάζουν τον τοπικό κατάλογο πριν από τον κατάλογο εργασίας που βρίσκεται στη μεταβλητή περιβάλλοντος $PATH (χρησιμοποιείται για έλεγχο καταλόγων στους οποίους γίνεται αναζήτηση), ο υπερχρήστης μπορεί να εκτελέσει το Δούρειο Ίππο με προνόμια υπερχρήστη. Ο Δούρειος Ίππος μπορεί να μετατρέψει το SETUID του /usr/όνομα_χρηστη/bin/sh σε root. Το μόνο που χρειάζεται είναι να εκτελεστούν δύο κλήσεις συστήματος:

1. chown: Για να αλλάξει τον ιδιοκτήτη του /usr/όνομα_χρηστη/bin/sh σε root.

2. chmod:Για να ορίσει το bit SETUID αυτού του shell.

Από αυτή τη στιγμή και μετά ο χρήστης έχει δικαιώματα υπερχρήστη εκτελώντας απλά αυτό το shell.

2.6 Παραπλανητική σύνδεση

14

Αυτό το είδος επίθεσης μοιάζει σε αρκετά σημεία με τους Δούρειους Ίππους. Ο χρήστης που επιχειρεί εξαπάτηση μέσω Παραπλανητικής Σύνδεσης (login spoofing), εκμεταλλεύεται την οθόνη σύνδεσης σε τοπικό δίκτυο ή σε κάποιο τερματικό Unix. Πιο συγκεκριμένα κατασκευάζει ένα πρόγραμμα που εμφανίζει ακριβώς την ίδια οθόνη σύνδεσης με αυτή που εμφανίζεται υπό κανονικές συνθήκες στο τερματικό, δίνοντας στο χρήστη τη δυνατότητα να συμπληρώσει login και password. Αφού ο χρήστης, λοιπόν, συμπληρώσει τα στοιχεία σύνδεσης, το πρόγραμμα Παραπλανητικής Σύνδεσης γράφει τα εν λόγω στοιχεία σε κάποιο αρχείο, στέλνει ένα σήμα να «σκοτώσει» το shell του και στο χρήστη εμφανίζεται πλέον η πραγματική οθόνη σύνδεσης. Εκείνος έχοντας την εντύπωση πως έκανε κάποιο λάθος στην πληκτρολόγηση, συνδέεται εκ νέου στο σύστημα. Με αυτό τον τρόπο, καταφέρνουν διάφοροι επιτήδειοι να έχουν στην κατοχή τους λίστες με κωδικούς πρόσβασης σε αρκετά συστήματα.

Το login spoofing χρησιμοποιείται κατά κόρον για την υποκλοπή στοιχείων ηλεκτρονικού ταχυδρομείου. Δεν είναι λίγες οι περιπτώσεις χρηστών ηλεκτρονικού ταχυδρομείου, που έχουν γίνει θύματα απειλών, φαρσών ή ακόμη και υποκλοπής χρήσιμων προσωπικών μηνυμάτων από ανθρώπους που απέκτησαν πρόσβαση στο λογαριασμό τους χρησιμοποιώντας προγράμματα παραπλανητικής σύνδεσης.

2.7 Επίθεση στο ηλεκτρονικό ταχυδρομείο

Ο πιο πρόσφατος στον κόσμο των ιών των υπολογιστών είναι ο ιός που μεταδίδεται με

15

την ηλεκτρονική αλληλογραφία (e-mail virus) και ο ιός Melissa που εμφανίσθηκε τον Μάρτιο του 1999 ήταν εντυπωσιακός.Η υπηρεσία του Ηλεκτρονικού Ταχυδρομείου χρησιμοποιεί το πρωτόκολλο SMTP (Simple Mail Transfer Protocol), το οποίο αποτελεί TCP/IP πρωτόκολλο επικοινωνίας των MTA (Mail Transfer Agents). Το κυριότερο πρόγραμμα που χρησιμοποιείται και αποτελεί πηγή του προβλήματος (10.4%) είναι το sendmail (σε Berkeley UNIX συστήματα). Παραδείγματα προβλημάτων είναι το mail spoofing (απόκρυψη αποστολέα ή αλλαγή της διεύθυνσής του), mail bombs (μεγάλος όγκος μηνυμάτων σε συγκεκριμένο παραλήπτη), binmail, mailrace, mail abuse. Μια άλλη πιο πρόσφατη τρωτότητα που μπορεί να κατηγοριοποιηθεί κάτω από τον ευρύτερο όρο mail είναι και το spamming, η παράνομη χρήση mail relays για την αποστολή μηνυμάτων ακατάλληλου ή αδιάφορου περιεχομένου σε ένα μεγάλο αροθμό χρηστών.

2.8 Επίθεση μέσω IP διεύθυνσης

Το συγκεκριμένο είδος επίθεσης μπορεί να χωριστεί σε δύο ευρύτερες κατηγορίες ανάλογα με τον τρόπο «παραβίασης» της IP διεύθυνσης ενός διαδικτυακού κόμβου.

1. Πλαστογράφηση της IP H γενική ιδέα σε αυτή την περίπτωση είναι ένας κόμβος να μπορεί να ισχυρίζεται πως έχει τη διεύθυνση ενός άλλου. Η τεχνική αυτή εφαρμόζεται συχνά από hackers, αφού υπάρχουν συστήματα (π.χ. οι access lists σε δρομολογητές) που ορίζουν ποια πακέτα επιτρέπονται να εισέλθουν και ποια όχι σε ένα δίκτυο ανάλογα με την IP

16

διεύθυνση του αποστολέα και έτσι καθίσταται δυνατό να διασφαλίσει κάποιος εισβολέας προσπέλαση σε υπηρεσίες που επιτρέπονται σε κόμβους με συγκεκριμένες διευθύνσεις. Ακόμη, μπορεί να σταλεί από κάποιο εξωτερικό δίκτυο ένα πακέτο δεδομένων, που να φαίνεται ότι έχει σταλεί από κάποιον εσωτερικό κόμβο ενός ασφαλούς δικτύου, δίνοντας έτσι τη δυνατότητα να εκτελεστούν εντολές, που επιτρέπονται να εκτελεστούν μόνο από εσωτερικούς κόμβους.Προκειμένου οι hackers να αποκτήσουν

πρόσβαση, δημιουργούν πακέτα με ψεύτικες IP διευθύνσεις, εκμεταλλευόμενοι με αυτό τον τρόπο εφαρμογές που χρησιμοποιούν ταυτοποίηση βασιζόμενη στην IP διεύθυνση του αποστολέα και οδηγούνται ακόμη και σε απόκτηση δικαιωμάτων διαχειριστή (π.χ. στις περιπτώσεις χρήσης του (/etc/hosts.equiv ή .rhosts). Μια καλή λύση για αυτές τις επιθέσεις είναι τα firewalls που ελέγχουν τις διευθύνσεις πριν μπουν στο τοπικό, έμπιστο δίκτυο. Στο παρακάτω σχήμα φαίνεται η λειτουργία της Πλαστογράφησης της ΙΡ.

17

2. Επ3.

Οι επιθέσεις IP spoofing (πλαστογράφηση IP) είναι γενικά δύσκολο να ανιχνευθούν, αφού η πρώτη εντύπωση είναι ότι η επίθεση έχει προέλθει από πλαστή διεύθυνση. Η επαλήθευση συνήθως αργεί, επιτρέποντας στον εισβολέα να δρα ανενόχλητος για κάποιο διάστημα. Η πιο επαρκής λύση είναι η χρήση δρομολογητών κατάλληλα διαμορφωμένων, έτσι ώστε να αποτρέπουν την είσοδο εξωτερικών πακέτων με εσωτερικές διευθύνσεις δικτύου.

2. Παραποίηση της IP Το συγκεκριμένο είδος επίθεσης βασίζεται στην Πλαστογράφηση της IP και εκμεταλλεύεται αδυναμίες της υλοποίησης των IP και ICMP (Internet Control Message

18

Protocol) πρωτοκόλλων σε δικτυακές συσκευές.

Το smurf είναι ένα πρόγραμμα, το οποίο προσποιείται ότι στέλνει πακέτα από άσχετο αποστολέα (χρησιμοποιώντας IP spoofing). Τα πακέτα αυτά, όμως, αφορούν το ICMP, το οποίο χρησιμοποιείται από βασικές λειτουργίες του δικτύου (π.χ. υπηρεσίες ping, traceroute). Στέλνοντας ένα ping πακέτο στη διεύθυνση εκπομπής, ο αποστολέας δέχεται απάντηση από κάθε έναν από τους κόμβους που δέχθηκαν το ICMP ping πακέτο (δηλαδή όλους τους κόμβους του δικτύου). Αν και το ping πακέτο δεν είναι μεγάλο σε μέγεθος, εντούτοις παράγοντας την ενίσχυση είναι ίσος με τον αριθμό των μηχανημάτων. Σε ένα μεγάλο B-class δίκτυο όπου π.χ. χρησιμοποιείται το ¼ του πεδίου διευθύνσεων, η απάντηση είναι ίση με περίπου 16.000 πακέτα. Είναι προφανές ότι με μερικές εκατοντάδες πακέτα ping μπορούν να κάνουν άχρηστο το δίκτυο, δημιουργώντας μία κατάσταση DoS (Άρνηση Παροχής Υπηρεσίας).

2.9 Τεχνολογικές Επιθέσεις

2.9.1 Attack scripts

Οι attacks scripts είναι προγράμματα γραμμένα από τους έμπειρους προγραμματιστές που εκμεταλλεύονται τις αδυναμίες ασφάλειας, συνήθως μέσα σε ένα δίκτυο, για να πραγματοποιήσουν μια επίθεση. Οι attacks scripts που εκμεταλλεύονται τις υπερχειλίσεις των καταχωρητών με “smashing the stack” είναι αυτές που αντιμετωπίζονται πιο συχνά.

19

2.9.2 Java attack applet

Τα Java attack applets είναι προγράμματα που ενσωματώνονται σε ιστοσελίδες και βρίσκουν στήριξη μέσω ενός ξεφυλλιστή Διαδικτύου(browser). Τα επικίνδυνα ActiveX controls είναι τμήματα προγράμματος που επιτρέπουν σε ένα malicious code για να ελέγξουν τις εφαρμογές.

2.9.3 ActiveX

Οι επικίνδυνοι ActiveX έλεγχοι είναι τμήματα προγράμματος που επιτρέπουν σε ένα κακόβουλο τεμάχιο κώδικα για να ελέγξουν τις εφαρμογές.

Ένας τρόπος να απαλαγούμε από τέτοιου είδους μολύνσεις είναι ο ακόλουθως:

1)Start\ Settings\ Control Panel\ Add/Remove Programs και κάνω Install/Uninstall2)Αν το ActiveX που πρέπει να διαγραφεί εμφανίζεται στη λίστα προγραμμάτων επιλέγω Add/Remove, αλλιώς3)Στα Windows Explorer ή Windows NT Explorer, ανοίγω τον φάκελο Windows\ Downloaded Program Files ή Winnt\ Downloaded Program Files και διαγράφω το ActiveX.

ΣΗΜΑΝΤΙΚΟ: Τα ακόλουθα ActiveX control δεν πρέπει να αφαιρεθούν εάν χρησιμοποιείται ο Internet Explorer 4.0: DirectAnimation Java Classes, Internet Explorer Classes for Java, Microsoft XML Parser for Java, Win32 Classes.

20

2.10 Ηλεκτρονικό ψάρεμα (phising)

Το ηλεκτρονικό ψάρεμα(phising) είναι μια τεχνική όπου ο επιτιθέμενος κατασκευάζει πανομοιότυπα αντίγραφα γνωστών web sites και προτρέπει το χρήστη να τα επισκεφτεί,συνήθως μέσω e-mails. O ανυποψίαστος χρήστης πολλές φορές αδυνατείνα αντιληφθεί οτι η σελίδα που επισκέφτεται είναι μια προσεκτικά κατασκευασμένη ρεπλίκα του αυθεντικού και οδηγείται στην εισαγωγή των προσωπικών του στοιχείων,πολλές φορές οι κωδικοί αυτοί είναι κωδικοί που χρησιμοποιούνται σε άλλα web sites ,ακόμα και σε τραπεζικούς λογαριασμούς.Μετά την υποκλοπή των στοιχείων ο server της σελίδας παρουσιάζει ένα σφάλμα σύνδεσης ή την πληροφορία ότι ο server βρίσκεται σε κατάσταση συντήρησης και οτι ο χρήστης πρέπει να προσπαθήσει ξανά μετά από κάποιες ώρες.Έχει αποδειχθεί ότι το 5% των χρηστών έχει πειστεί και έχει δώσει τα στοιχεία του σε ψεύτικα web sites.Η απάντηση για την προστασία από το phising είναι η ανάπτυξη κατάλληλων τεχνικών anti-phising, αφού η εκπαίδευση όλων των χρηστών είναι ασύμφορη ,αν και ο συνδυασμός των δύο είναι το βέλτιστο.Έτσι οι ερευνητές του πανεπιστημίου του Berkley. H ιδέα είναι αρκετά απλή παρόλα αυτά όμως πολύ αποτελεσματική βασίζεται στο customization που μπορεί να παρέχει ένα web site και το οποίο είναι ξεχωριστό για κάθε χρήστη. Χαρακτηριστικά κατά την εγγραφή σε ένα e-comerce web site εκτός από τα προσςπικά στοιχεία, ο χρήστης διαλέγει μια εικόνα από μοα βάση δεδομένων(συνήθως μια φωτογραφία που δεν είναι δύσκολο να διατηρηθεί στη μνήμη του),η οποία όταν επισκέπτεται το site βρίσκεται πίσω από την προτροπή εισόδου του στο σύστημα συναλλαγών,έτσι ο phiser δυσκολεύεται να

21

παρουσιάζει διαφορετικό γραφικό περιβάλλον για το κάθε χρήστη διαφορετικά, μιλάμε για δυναμικό περιβάλλον.

3 Ιστορικές Επιθέσεις

3.1 Morris worm

Ο Morris worm ή Internet worm ήταν ένας τους πρώτους ιούς σκουλίκια υπολογιστή που διανέμονται μέσω του Διαδικτύου, θεωρείται το πρώτο σκουλήκι και σίγουρα ήταν η πρώτη σημαντική επίθεση που κέρδισε την προσοχή των μέσων ενημέρωσης. Ήταν γραμμένο από έναν φοιτητή στο Πανεπιστήμιο Cornell, τον Robert Morris Tappan, και ξεκίνησε στις 2 Νοεμβρίου, 1988 απο το MIT. Ο ιός τύπου worm κυκλοφορησε απο το ΜΙΤ για να

22

ΚΕΦΑΛΑΙΟ

3

αποκρύψουν το γεγονός οτι το worm αρχικά προήλθε από το Cornell.

Αρχιτεκτονική του worm

Σύμφωνα με τον δημιουργό του, ο Morris worm δεν γράφτηκε για να προκαλέσει ζημιές, αλλά για τον υπολογισμό του μεγέθους του Διαδικτύου. Μια ακούσια συνέπεια του κώδικα, ωστόσο, τον μετέτρεψε σε περισσότερο επιζήμιο: ένας υπολογιστής μπορούσε να μολυνθεί πολλαπλές φορές και αυτό είχε σαν συνέπεια κάθε συμπληρωματική διεργασία να επιβραδύνει το μηχάνημα σε σημείο που να το καθιστά άχρηστο. Το κύριο σώμα του worm θα μπορούσε να μολύνει μόνο DEC VAX μηχανήματα που τρέχουν BSD 4, και 3 Sun συστημάτων.

Συνέπειες του worm

Αναφέρθηκε ότι περίπου 6000 μεγάλες Unix μηχανές μολύνθηκαν από τον ιό τύπου worm Morris.

Οι ΗΠΑ GAO τοποθετει το κοστος των ζημιων απο $ 10M-100M.

Ο Morris worm μερικές φορές αναφέρεται ως "Great Worm", λόγω του ότι είχε καταστροφικές επιπτώσεις για το Internet, την εποχή εκείνη, τόσο στο συνολικό σύστημα λειτουργίας όσο και σε ψυχολογικό αντίκτυπο στην αντίληψη της ασφάλειας και της αξιοπιστίας του Internet.

3.2 Melissa

23

Ο ιός Melissa εμφανίσθηκε τον Μάρτιο του 1999 και ήταν εντυπωσιακός. Ο Melissa εξαπλώθηκε με έγγραφα του Microsoft Word που στάλθηκαν μέσω e-mail και δούλευε ως εξής : Κάποιος δημιούργησε τον ιό ως ένα έγγραφο του Word που φορτώθηκε (uploaded) σε μια ομάδα ειδήσεων (newsgroup) του Internet. Όποιος κατέβαζε το έγγραφο και το άνοιγε θα ενεργοποιούσε τον ιό, ο οποίος θα έστελνε το έγγραφο (και συνεπώς και τον εαυτό του) μ’ ένα μήνυμα e-mail στους πρώτους 50 χρήστες που υπήρχαν στο βιβλίο διευθύνσεων (address book) του μολυσμένου υπολογιστή.

Το μήνυμα αυτό του e-mail περιείχε ένα φιλικό σημείωμα που εμφάνιζε το όνομα του ατόμου από το οποίο έφευγε και έτσι ο αποδέκτης θα άνοιγε το μήνυμα νομίζοντας ότι είναι αβλαβές. Ο ιός θα δημιουργούσε μετά 50 καινούργια μηνύματα από το μηχάνημα του παραλήπτη. Ως αποτέλεσμα, ο ιός Melissa ήταν ο πιο γρήγορα διαδεδομένος ιός που εμφανίσθηκε ποτέ και ανάγκασε μάλιστα πολλές μεγάλες εταιρείες να διακόψουν την ηλεκτρονική τους αλληλογραφία.

Ο ιός Melissa εκμεταλλεύτηκε τη γλώσσα προγραμματισμού που είναι ενσωματωμένη στο Microsoft Word και αποκαλείται VBA (Visual Basic for Applications). Είναι μια ολοκληρωμένη γλώσσα προγραμματισμού και μπορεί να προγραμματιστεί για να κάνει εργασίες όπως τροποποίηση αρχείων και αποστολή μηνυμάτων e-mail. Ένας προγραμματιστής μπορεί να εισάγει ένα πρόγραμμα μέσα σ’ ένα έγγραφο, το οποίο θα εκτελεσθεί αμέσως μόλις ανοιχθεί το έγγραφο. Με τον τρόπο αυτό δημιουργήθηκε (προγραμματίσθηκε) ο ιός Melissa. Όποιος άνοιγε ένα έγγραφο που ήταν μολυσμένο με τον ιό Melissa θα ενεργοποιούσε αυτόματα τον ιό, θα έστελνε τα 50 e-mails και μετά θα

24

μόλυνε ένα κεντρικό αρχείο με όνομα NORMAL.DOT έτσι ώστε όποιο αρχείο δημιουργείτο από δω και πέρα θα περιείχε επίσης τον ιό.

3.3 Love letter

Ο ιός I Love You, ο οποίος έκανε την εμφάνισή του στις 4 Μαΐου 2000, ήταν πιο απλός καθώς περιείχε ένα κομμάτι κώδικα ως συνημμένο (attachment).

Το μήνυμα ηλεκτρονικού ταχυδρομείου έχει θέμα I Love You. Στο σώμα του μηνύματος γράφει "Kindly check the attached LOVELETTER coming from me". To μήνυμα συνοδεύεται από ένα αρχείο με το όνομα LOVE-LETTER-FOR-YOU.txt.vbs. Εκεί ουσιαστικά βρίσκεται και ο ιός.

Πρόκειται για ένα πρόγραμμα γραμμένο σε Visual Basic Script, το οποίο -και αυτό είναι ιδιαίτερα σημαντικό- δεν εκτελείται μόνο του. Για να εκτελεστεί θα πρέπει ο παραλήπτης να "ανοίξει" το μήνυμα και να ενεργοποιήσει το συνοδευτικό αρχείο (με διπλό κλικ).

Εάν εκτελεστεί, ο ιός μπορεί να γραφτεί επάνω σε αρχεία με κατάληξη .jpg, .mp3 κ.ά. και να επιχειρήσει να στείλει ένα αντίγραφό του σε οποιονδήποτε βρίσκεται στο αρχείο διευθύνσεων του προγράμματος ηλεκτρονικού ταχυδρομείου.

3.4 Code Red

Τα σκουλήκια εκμεταλλεύονται τον χρόνο των υπολογιστών και το εύρος ζώνης των

25

δικτύων όταν αναπαράγονται και έχουν συχνά κακές προθέσεις. Ένα σκουλήκι με όνομα Code Red προκάλεσε μεγάλη δημοσιότητα το 2001 και οι ειδήμονες ανησύχησαν μήπως προκαλέσει σταμάτημα του Internet. Το σκουλήκι αυτό επιβράδυνε όντως την κυκλοφορία στο Διαδίκτυο (Internet traffic) όταν άρχισε να αναπαράγει τον εαυτό του, αλλά όχι τόσο άσχημα όσο αναμενόταν. Το κάθε αντίγραφο του σκουληκιού έψαχνε στο Internet για να βρει servers με Windows NT ή Windows 2000 που να μην έχουν εγκατεστημένο το security patch της Microsoft.

Κάθε φορά που έβρισκε έναν μη ασφαλή server, το σκουλήκι αναπαρήγαγε στον εαυτό του σ’ εκείνον τον server και το καινούργιο αντίγραφο έψαχνε μετά να βρει άλλους servers για να μολύνει. Το σκουλήκι Code Red ήταν σχεδιασμένο για να κάνει τα εξής τρία πράγματα :Να αναπαράγει τον εαυτό του κατά τις 20 πρώτες ημέρες του μήνα.Να αντικαθιστά τις αρχικές ιστοσελίδες στους μολυσμένους servers με μια σελίδα που εμφάνιζε το μήνυμα "Hacked by Chinese".Να ξεκινά μια συντονισμένη επίθεση στον Web server του Λευκού Οίκου σε μια προσπάθεια να τον κάνει να καταρρεύσει.

3.5 Nimda

Μεγάλη καταστροφή στον παγκόσμιο ιστό προκάλεσε ένας ιός με την ονομασία "Nimda". Ο Nimda εμφανίζεται καμουφλαρισμένος στο ηλεκτρονικό ταχυδρομείο ως συνημμένο αρχείο με το όνομα "readme.exe" και κατορθώνει εντός ολίγου να μεταλλαχθεί,

26

αλλάζοντας όνομα και υπερπολλαπλασιάζοντας την παρουσία του σε δεκάδες αρχεία. Τόσο στον προσωπικό υπολογιστή σας, όσο και σε κοινό Δίκτυο και διακομιστές που στηρίζονται στο software IIS της Microsoft. Εμφανίσθηκε για πρώτη φορά στις ΗΠΑ και σε λίγες ώρες ακολούθησαν η Ιαπωνία και οι υπόλοιπες ασιατικές χώρες, ενώ τώρα έχει πλήξει όλον τον κόσμο συμπεριλαμβανομένης και της Ελλάδας.

3.6 SirCam

Φτάνει στον υπολογιστή μέσα σε μήνυμα e-mail και φυσικά έχει ένα attached αρχείο. Ο τίτλος του μηνύματος είναι διαφορετικός κάθε φορά, ίδιος με το όνομα του τυχαίου μολυσμένου αρχείου που συνοδεύει το μήνυμα. Στην πρώτη γραμμή μπορούμε να δούμε τη φράση Hi! How are you? ή Hola como estas ? ανάλογα με τη γλώσσα. Μετά θα βρούμε κάποια πρόταση από τις παρακάτω : I send you this file in order to have your advice / I hope you can help me with this file that I send / I hope you like the file that I sendo you / This is the file with the information that you ask for, ή Te mando este archivo para que me des tu punto de vista / Espero me puedas ayudar con el archivo que te mando / Espero te guste este archivo que te mando / Este es el archivo con la informaciοn que me pediste. Στην τελευταία γραμμή θα λέει : See you later. Thanks ή Nos vemos pronto, gracias.

Αφού μολύνει τον «ξενιστή» υπολογιστή, ψάχνει συγκεκριμένους φακέλους του σκληρού δίσκου του για οποιαδήποτε e-mail διεύθυνση περιέχεται στα αρχεία sho*., get*., hot*. και *.htm, τις οποίες και καταγράφει

27

στα δικά του αρχεία με όνομα scy1.dll, sch1.dll, sci1.dll και sct1.dll. Ακόμη και με κλείστό το πρόγραμμα αποστολής μηνυμάτων, εκείνο έχει δικό του SMTP server, δηλαδή δεν είναι απόλυτα εξαρτημένο από το PC, και θα καταφέρει να στείλει τον εαυτό του 8000 φορές σε όσες διευθύνσεις μαζέψει.

Έχει κάνει καταχωρήσεις στο Registry των Windows και έχει σκορπίσει διάφορα αρχεία του στο Recycled, το Temp, το System και άλλους φακέλους. Επίσης μέσω δικτύου (αν έχετε κάτι τέτοιο) διαδίδεται σε όσους περισσότερους σκληρούς δίσκους μπορεί, στους οποίους κάνει ακριβώς την ίδια ζημιά. Φυσικά δε μολύνει μόνο τον δίσκο C:\ αλλά οποιοδήποτε εκτελέσιμο «τρέξει» σε οποιονδήποτε σκληρό δίσκο του υπολογιστή.

Αφού μολύνει όσα .exe αρχεία εκτελείτε (.exe = executable) και διαλέξει στην τύχη ένα (το οποίο πρέπει να είναι τουλάχιστον 134 kilobyte) και το στείλει 8000 φορές σε όσους ξέρετε και δεν ξέρετε (αντί για .exe τα στέλνει με κατάληξη .bat, .com, .lnk ή .pif για να μην τραβήξουν αμέσως την προσοχή), τότε «υποκρίνεται» πως σταματάει να λειτουργεί.

3.7 BadTrans

Ο Badtrans εμφανίστηκε στις 24 Νοεμβρίου του 2001, έρχεται ως μήνυμα ηλεκτρονικού ταχυδρομείου με διάφορα ονόματα επισυναπτόμενου αρχείου και συνδυασμό δύο καταλήξεων. Οι επιχειρήσεις που διαθέτουν δίκτυο δεν πρέπει να ανησυχούν ιδιαίτερα διότι οι εταιρείες ανάπτυξης αντι-ιικών προγραμμάτων αναφέρουν ότι ο ιός αποτυγχάνει στις περισσότερες περιπτώσεις

28

που επιχειρεί να εισβάλει σε υπολογιστές επιχειρήσεων, καθώς συνήθως χρησιμοποιούνται προγράμματα που φιλτράρουν ύποπτα μηνύματα με κατάληξη .scr ή .pif. Το μεγαλύτερο πρόβλημα εντοπίζεται στους Home Users που αν δεν έχουν ενημερώσει το Antivirus που χρησιμοποιούνε με τη τελευταία version είναι πολύ πιθανό ο ιός να μεταδοθεί στο pc τους.

Αυτό που μέχρι στιγμής είναι γνωστό ο Badtrans δημιουργεί μεγάλο πρόβλημα ασφάλειας διότι εκτός του ότι διαδίδει τον εαυτό του αυτόματα, εγκαθιστά ένα Trojan το οποίο μεταδίδει στον κατασκευαστή του ίου το IP address του infected Η/Υ καθώς και passwords που πληκτρολόγησε ο χρήστης ή αριθμούς πιστωτικών καρτών που χρησιμοποίησε ο υπολογιστής κατά τη διάρκεια που είναι infected.

Το θέμα (Subject) του μηνύματος είτε είναι κενό, είτε περιλαμβάνει το ''Re:'' είτε το ''Re:'' ακολουθούμενο από το πραγματικό θέμα ενός από τα μηνύματα που το worm θα βρει στο Inbox. Το κυρίως μήνυμα είναι πάντα κενό ενώ υπάρχει πάντα και ένα συνημμένο αρχείο το οποίο απαρτίζεται από τρία μέρη: το όνομα του αρχείου και δύο επιθέματα (FILENAME + EXT1 + EXT2). O ιός λοιπόν είναι ενσωματωμένος στο κυρίως σώμα του e-mail και εκτελείται αυτόματα εν αγνοία του χρήστη, όταν αυτός κάνει κλικ πάνω στο συγκεκριμένο μήνυμα. Όταν το worm ενεργοποιηθεί εγκαθιστά το αρχείο KERNEL32.EXE στο directory system (π.χ. \windows\system) και τροποποιεί την Registry τοποθετώντας το κλειδί ''KERNEL=KERNEL32.EXE'' στο πεδίο ''HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce''.

Ο W32.Badtrans.B@mm, για να μην αποστείλει τον εαυτό του σε κάποιον

29

παραλήπτη πάνω από μία φορά, ώστε αυτός να υποψιαστεί, αποθηκεύει όλες τις διευθύνσεις, στις οποίες έχει μεταδοθεί στο αρχείο, PROTOCOL.DLL, στο directory των Windows και κάθε φορά κάνει ένα σχετικό έλεγχο.

Το πιο σημαντικό όμως κομμάτι είναι πως ο ιός αυτός εγκαθιστά ένα πρόγραμμα με την ονομασία ''KDLL.DLL'', μέσω του οποίου καταγράφεται κάθε πλήκτρο που θα πατηθεί. Οι πληροφορίες αυτές αποθηκεύονται στο αρχείο CP_25389.NLS στο directory των Windows και αποστέλλονται, σε ανύποπτο χρόνο, σε μία από τις διευθύνσεις [email protected] ή [email protected], μαζί με τη ΙP address του infected Η/Υ.

3.8 MSBlast worm

O ιός W32.Blaster.Worm εμφανίστηκε στις 11/08/2003 και μεταδίδεται μέσω του Web. Αυτό τον καθιστά εξαιρετικά μεταδοτικό, αφού δεν χρειάζεται κανείς να ανοίξει το e-mail του για να μολυνθεί. Όταν είστε σε σύνδεση με το Internet, το λειτουργικό σας σύστημα διατηρεί κάποιες θύρες επικοινωνίας του (ports) ανοιχτές. Ο W32.Blaster.Worm χρησιμοποιεί την port 135 του υπολογιστή σας και τελικά εκμεταλλεύεται την ευπάθεια του DCOM(Distributed Component Object Model) RPC(Remote Procedure Call). Προσπαθεί να κατεβάσει το αρχείο msblast.exe στον κατάλογο %WinDir%\system32 και να το εκτελέσει.Όσοι προσβληθούν από τον ιό ενδέχεται να παρατηρήσουν το σύμπτωμα ο υπολογιστής τους να εκτελεί ανεξήγητα shutdowns ή restarts κάθε λίγες ώρες, ενώ από το Control

30

Panel, στα Administrative Tools->Event Viewer-> System, στην αντίστοιχη ώρα που έγινε το αυτόματο restart του υπολογιστή θα δουν αυτό το συμβάν: "The Remote Procedure Call (RPC) service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 60000 milliseconds: Reboot the machine." Οι χρήστες των υπολογιστών που έχουν μολυνθεί από τον ιό ενδέχεται επίσης να παρατηρήσουν ότι δεν θα λειτουργεί η λειτουργία copy/paste.

3.9 SoBig

Ο ιός με την κωδική ονομασία "Sobig" προκάλεσε πολύ μεγάλα προβλήματα στους χρήστες υπολογιστών ανά τον κόσμο. Ο ιός χτυπά τους υπολογιστές και διαδίδεται μέσω του ηλεκτρονικού ταχυδρομείου.

Ενεργοποιείται με το άνοιγμα ενός αρχείου που έρχεται συνημμένο σε ένα e-mail, το οποίο αναφέρει ότι πρόκειται για ένα αρχείο προστασίας οθόνης ή ρυθμίσεων.

Η εταιρεία ασφαλείας υπολογιστών MessageLabs ανακοίνωσε ότι μέσα σε μία μόνο ημέρα εντόπισε ένα εκατομμύριο αντίγραφα του Sobig που μεταδίδεται μέσω του ηλεκτρονικού ταχυδρομείου (e-mail) και έχει ήδη "μολύνει" χιλιάδες υπολογιστές σε 150 περίπου χώρες.

Ο ιός αλλάζει τακτικά την περιγραφή στο θέμα του ηλεκτρονικού μηνύματος και το όνομα του συνημμένου αρχείου και όσοι μολύνονται από τον ιό, λαμβάνουν αρκετά αντίγραφά του, με μηνύματα που μοιάζουν μεταξύ τους.

31

4 Αντιμετώπιση

4.1 FirewallsΣτην επιστήμη των υπολογιστών ο όρος

firewall ή τείχος προστασίας χρησιμοποιείται για να δηλώσει κάποια συσκευή ή πρόγραμμα που είναι έτσι ρυθμισμένο ούτως ώστε να επιτρέπει ή να απορρίπτει πακέτα δεδομένων που περνούν από ένα δίκτυο υπολογιστών σε ένα άλλο.

4.1.1 Τρόπος λειτουργίας

Η κύρια λειτουργία ενός firewall είναι η ρύθμιση της κυκλοφορίας δεδομένων ανάμεσα σε δύο δίκτυα υπολογιστών. Συνήθως τα δύο αυτά δίκτυα είναι το Διαδίκτυο και το τοπικό/εταιρικό δίκτυο. Ένα firewall παρεμβάλλεται ανάμεσα σε δύο δίκτυα που έχουν διαφορετικό επίπεδο εμπιστοσύνης. Το διαδίκτυο έχει μικρό βαθμό εμπιστοσύνης (low level of trust), ενώ το εταιρικό δίκτυο ή το δίκτυο ενός σπιτιού διαθέτει τον μέγιστο βαθμό εμπιστοσύνης. Ένα περιμετρικό δίκτυο (perimeter network) ή μία Demilitarized Zone (DMZ) διαθέτουν μεσαίο επίπεδο εμπιστοσύνης.

Ο σκοπός της τοποθέτησης ενός firewall είναι η πρόληψη επιθέσεων στο τοπικό δίκτυο και η αντιμετώπισή τους. Παρόλα αυτά όμως, ένα firewall μπορεί να αποδειχθεί άχρηστο εάν δεν ρυθμιστεί σωστά. Η σωστή πρακτική

33

ΚΕΦΑΛΑΙΟ

4

είναι το firewall να ρυθμίζεται ούτως ώστε να απορρίπτει όλες τις συνδέσεις εκτός αυτών που επιτρέπει ο διαχειριστής του δικτύου (default-deny). Για να ρυθμιστεί σωστά ένα firewall θα πρέπει ο διαχειριστής του δικτύου να έχει μία ολοκληρωμένη εικόνα για τις ανάγκες του δικτύου και επίσης να διαθέτει πολύ καλές γνώσεις πάνω στα δίκτυα υπολογιστών. Πολλοί διαχειριστές δεν έχουν αυτά τα προσόντα και ρυθμίσουν το firewall ούτως ώστε να δέχεται όλες τις συνδέσεις εκτός από εκείνες που ο διαχειριστής απαγορεύει (default-allow). Η ρύθμιση αυτή καθιστά το δίκτυο ευάλωτο σε επιθέσεις από εξωτερικούς χρήστες.

4.1.2 Τεχνολογίες

Ο όρος firewall είναι αρκετά παλιός. Πρωτοεμφανίστηκε στις αρχές του 20 αιώνα, όταν οι άνθρωποι χρησιμοποιούσαν στα σπίτια τους τούβλα για τους εσωτερικούς τοίχους ούτως ώστε να τα κάνουν πιο ανθεκτικά στην διάδοση της φωτιάς. Σήμερα ο όρος αυτός έφτασε να σημαίνει το λογισμικό ή υλικό που παρεμβάλλεται μεταξύ δύο δικτύων υπολογιστών ούτως ώστε να αποτρέψει την διάδοση ιών, δούρειων ίππων και τις επιθέσεις από κακόβουλους χρήστες.

Η τεχνολογία του firewall εμφανίστηκε στα τέλη της δεκαετίας του 1980, όταν ακόμη το διαδίκτυο ήταν σε πρώιμα στάδια. Εκείνη την εποχή είχαν παρατηρηθεί αρκετές τρύπες ασφαλείας στο διαδίκτυο οπότε έπρεπε να βρεθεί μία λύση. Η λύση αυτή ήταν η εφεύρεση της τεχνολογίας firewall.

1η γενιά - Φίλτρα πακέτων

34

Το πρώτο ερευνητικό δημοσίευμα πάνω στην τεχνολογία firewall προέκυψε το 1988 όταν οι μηχανικοί της DEC (Digital Equipment Corporation) ανέπτυξαν φίλτρα πακέτων δεδομένων. Τα φίλτρα αυτά θεωρούνται η πρώτη γενιά firewall.

Τα φίλτρα πακέτων δρουν ως εξής: Διαβάζουν τα πακέτα δεδομένων που διακινούνται από το ένα δίκτυο στο άλλο και εάν κάποιο πακέτο ταιριάζει με κάποιο συγκεκριμένο κανόνα, τότε το απορρίπτουν. Ο διαχειριστής του δικτύου είναι σε θέση να ορίσει τους κανόνες βάσει των οποίων θα απορρίπτονται τα πακέτα. Αυτός ο τύπος firewall δεν ενδιαφέρεται για το εάν κάποιο πακέτο ανήκει σε μία σύνδεση, δηλαδή δεν αποθηκεύει πληροφορίες σχετικά με την κατάσταση των διαφόρων συνδέσεων από το ένα δίκτυο στο άλλο (stateless packet filtering). Αντιθέτως, φιλτράρει κάθε πακέτο με βάση την πληροφορία που περιέχεται στο ίδιο το πακέτο (πχ διεύθυνση IP προέλευσης, διεύθυνση IP προορισμού, πρωτόκολλο, αριθμός πόρτας κοκ). Επειδή τα πρωτόκολλα TCP και UDP χρησιμοποιούν τις ευρέως διαδεδομένες πόρτες (Well known ports), ένα firewall πρώτης γενιάς μπορεί να ξεχωρίσει τα πακέτα που αφορούν διάφορες λειτουργίες, όπως για παράδειγμα το email, την μεταφορά αρχείων, την περιήγηση στο διαδίκτυο κοκ.

2η γενιά - Φίλτρα κατάστασης

Η δεύτερη γενιά firewall αναπτύχθηκε από τρεις ερευνητές στα εργαστήρια της AT&T Bell: Dave Presetto, Howard Trickey και Kshitij Nigam.

Τα firewall της δεύτερης γενιάς δρουν όπως τα firewall πρώτης γενιάς με κάποιες επιπρόσθετες λειτουργίες. Μία από αυτές

35

είναι το γεγονός ότι πλέον εξετάζουν και την κατάσταση (state) του κάθε πακέτου, δηλαδή την σύνδεση από την οποία προήλθε. Για τον λόγο αυτό και αναφέρονται ως φίλτρα κατάστασης (stateful firewalls). Τα φίλτρα αυτά κρατούν ανά πάσα στιγμή πληροφορίες για τον αριθμό και το είδος των συνδέσεων μεταξύ των δύο δικτύων και επιπλέον μπορούν να ξεχωρίσουν εάν ένα πακέτο αποτελεί την αρχή ή το τέλος μία νέας σύνδεσης ή μέρος μίας ήδη υπάρχουσας.

Οι διαχειριστές τέτοιων firewalls μπορούν να ορίσουν τους κανόνες βάσει των οποίων θα επιτρέπεται η δημιουργία συνδέσεων από το εξωτερικό δίκτυο (διαδίκτυο) προς το τοπικό/εταιρικό δίκτυο. Με τον τρόπο αυτό γίνεται πιο εύκολη η πρόληψη διαφόρων ειδών επιθέσεων όπως για παράδειγμα ή επίθεση SYN flood.

3η γενιά - Επίπεδο εφαρμογών

Η τρίτη γενιά firewall βασίζεται πλέον στο επίπεδο εφαρμογών σύμφωνα με το μοντέλο αναφοράς OSI (Open Systems Interconnection). Το κύριο χαρακτηριστικό αυτής της γενιάς firewall είναι ότι μπορεί να αντιλαμβάνεται ποια προγράμματα και πρωτόκολλα προσπαθούν να δημιουργήσουν μία νέα σύνδεση (πχ FTP - File Transfer Protocon, DNS - Domain Name System, περιήγηση στο διαδίκτυο κοκ). Με τον τρόπο αυτό μπορούν να εντοπιστούν εφαρμογές που προσπαθούν να δημιουργήσουν ανεπιθύμητες συνδέσεις ή καταχρήσεις ενός πρωτοκόλλου ή μίας υπηρεσίας.

4.1.3 Σήμερα

36

Σήμερα σιγά σιγά εδραιώνονται τα firewalls 4ης γενιάς, τα οποία διαθέτουν γραφικό περιβάλλον μέσω του οποίου μπορεί ο χρήστης να κάνει τις επιλογές του όσον αφορά την ασφάλεια του δικτύου του και να θέσει τους κανόνες βάσει τον οποίων θα απορρίπτονται κάποια πακέτα ή συνδέσεις. Τα firewalls 4ης γενιάς μπορούν πλέον να ενσωματωθούν στο λειτουργικό σύστημα και συνεργάζονται στενά με άλλα συστήματα ασφαλείας, όπως για παράδειγμα το IPS - Intrusion Prevension System.

4.2 Κρυπτογράφηση

Η ανάγκη για εμπιστευτικότητα στην ηλεκτρονική συναλλαγή ικανοποιείται με την κρυπτογραφία. Ο αποστολέας χρησιμοποιώντας κάποια μαθηματική συνάρτηση μετατρέπει το αρχικό κείμενο σε μορφή μη κατανοητή για οποιονδήποτε τρίτο (κρυπτογραφημένο κείμενο). Ο παραλήπτης έχοντας γνώση του τρόπου κρυπτογράφησης, αποκρυπτογραφεί το κείμενο στην αρχική του μορφή. Το μήνυμα παραμένει εμπιστευτικό, μέχρι να αποκρυπτογραφηθεί.

Τα σύγχρονα κρυπτοσυστήματα χρησιμοποιούν αλγόριθμους και κλειδιά (σειρά από bits συγκεκριμένου μήκους) για να διατηρήσουν την πληροφορία ασφαλή.

Μία ‘παραδοσιακή’ μέθοδος κρυπτογράφησης είναι η συμμετρική κρυπτογραφία η οποία χρησιμοποιεί το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση. Ο αποστολέας κρυπτογραφεί και ο παραλήπτης

37

αποκρυπτογραφεί με το ίδιο κλειδί. Το κλειδί θα πρέπει να παραμένει μυστικό και να είναι γνωστό μόνο στους συναλλασσόμενους. Η μέθοδος αυτή παρουσιάζει μειονεκτήματα όσον αφορά την εφαρμογή της σε ανοιχτά δίκτυα με πολλούς χρήστες και τις αυξημένες απαιτήσεις της για την ασφάλεια (π.χ. αποθήκευση των κλειδιών κ.λπ).

Η ασύμμετρη κρυπτογραφία (ή κρυπτογραφία δημοσίου κλειδιού- public key cryptography) χρησιμοποιεί δύο διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση. Κάθε χρήστης έχει στη διάθεσή του δύο κλειδιά. Το δημόσιο κλειδί είναι αυτό που ο χρήστης μπορεί να το γνωστοποιήσει σε τρίτους ενώ το ιδιωτικό είναι εκείνο που το φυλάσσει με ασφάλεια και μόνο αυτός θα πρέπει να το γνωρίζει και κατέχει. Για να επιτευχθεί η εμπιστευτικότητα, ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί του παραλήπτη. Έτσι, το μήνυμα μπορεί να αποκρυπτογραφηθεί μονάχα από τον παραλήπτη (που είναι ο κάτοχος του αντίστοιχου ιδιωτικού κλειδιού εκτός και αν η μυστικότητα του ιδιωτικού κλειδιού έχει παραβιαστεί).

4.2.1 Ψηφιακές υπογραφές δημοσίου κλειδιού

Οι ψηφιακές υπογραφές χρησιμοποιούν την κρυπτογραφία δημοσίου κλειδιού. Ο χρήστης διαθέτει δύο κλειδιά (το δημόσιο και το ιδιωτικό) τα οποία έχουν κάποιο μαθηματικό συσχετισμό. Η σχέση των κλειδιών είναι τέτοια όπου αν κάποιος γνωρίζει το ένα κλειδί να είναι πρακτικά αδύνατον να υπολογίσει το άλλο. Το ένα κλειδί χρησιμοποιείται για τη δημιουργία της

38

υπογραφής και το άλλο για την επαλήθευσή της. Η διαφοροποίηση από την κρυπτογράφηση, έγκειται στο ότι για τη δημιουργία της ηλεκτρονικής υπογραφής ο αποστολέας χρησιμοποιεί το ιδιωτικό του κλειδί και για την επαλήθευσή της ο παραλήπτης χρησιμοποιεί το δημόσιο κλειδί του αποστολέα.

Στη διαδικασία της δημιουργίας και επαλήθευσης της υπογραφής εμπλέκεται και η έννοια της συνάρτησης κατακερματισμού (ή κατατεμαχισμού -one way hash). Με την εφαρμογή της συνάρτησης κατακερματισμού, από ένα μήνυμα ανεξαρτήτου του μεγέθους του, παράγεται η «σύνοψή του», η οποία είναι μία σειρά από bits συγκεκριμένου μεγέθους (π.χ. 128 ή 160 bits). Η σύνοψη του μηνύματος (fingerprint ή message digest) είναι μία ψηφιακή αναπαράσταση του μηνύματος, είναι μοναδική για το μήνυμα και το αντιπροσωπεύει.

Η συνάρτηση κατακερματισμού είναι μονόδρομη διότι από την σύνοψη που δημιουργεί, είναι υπολογιστικά αδύνατον κάποιος να εξάγει το αρχικό μήνυμα. Η πιθανότητα δύο μηνύματα να έχουν την ίδια σύνοψη είναι εξαιρετικά μικρή. Αυτό σημαίνει ότι αν το μήνυμα του αποστολέα έχει κάποια συγκεκριμένη σύνοψη και το μήνυμα που λάβει ο παραλήπτης (χρησιμοποιώντας την ίδια συνάρτηση κατακερματισμού) παράγει διαφορετική σύνοψη, τότε το μήνυμα κατά την μετάδοσή του έχει αλλοιωθεί (μη ακεραιότητα). Οποιαδήποτε αλλαγή σε ένα μήνυμα συνεπάγεται και τη δημιουργία διαφορετικής σύνοψης.

Η ηλεκτρονική υπογραφή, στην ουσία είναι η κρυπτογραφημένη με το ιδιωτικό κλειδί του

39

αποστολέα σύνοψη. Δηλαδή, η ψηφιακή υπογραφή (σε αντίθεση με την ιδιόχειρη υπογραφή) είναι διαφορετική για κάθε μήνυμα!!

Θεωρώντας ότι ο αποστολέας έχει ένα συγκεκριμένο ζευγάρι κλειδιών και το ιδιωτικό του κλειδί είναι στην πλήρη κατοχή του, τότε το γεγονός ότι ο αποστολέας χρησιμοποιεί το ιδιωτικό του κλειδί για να κρυπτογραφήσει το μήνυμα, πιστοποιεί στον παραλήπτη που το αποκρυπτογραφεί με το αντίστοιχο δημόσιο κλειδί (του αποστολέα) την ταυτότητα του αποστολέα (αυθεντικότητα). Η ψηφιακή υπογραφή είναι ένας τρόπος αυθεντικοποίησης του αποστολέα του μηνύματος.

Μία ψηφιακή υπογραφή μπορεί να ‘πλαστογραφηθεί’ εάν ο δικαιούχος του ιδιωτικού κλειδιού δεν το έχει υπό τον πλήρη έλεγχό του (π.χ. χάσει το μέσο στο οποίο έχει αποθηκευτεί το ιδιωτικό κλειδί).

Η χρήση της ηλεκτρονικής υπογραφής περιλαμβάνει δύο διαδικασίες: τη δημιουργία της υπογραφής και την επαλήθευσή της. Παρακάτω, αναφέρουμε βήμα προς βήμα τις ενέργειες του αποστολέα και του παραλήπτη ώστε να γίνει κατανοητός ο μηχανισμός της δημιουργίας και επαλήθευσης της ψηφιακής υπογραφής.

40

Αποστολέας

1. Ο αποστολέας χρησιμοποιώντας κάποιον αλγόριθμο κατακερματισμού (one way hash) δημιουργεί τη σύνοψη του μηνύματος (message digest) που θέλει να στείλει. Ανεξάρτητα από το μέγεθος του μηνύματος, αυτό που θα παραχθεί θα είναι μία συγκεκριμένου μήκους σειρά ψηφίων.

2. Με το ιδιωτικό του κλειδί, ο αποστολέας κρυπτογραφεί τη σύνοψη. Αυτό που παράγεται είναι η ψηφιακή υπογραφή. Η υπογραφή είναι ουσιαστικά μία σειρά ψηφίων συγκεκριμένου πλήθους.

3. Η κρυπτογραφημένη σύνοψη (ψηφιακή υπογραφή) προσαρτάται στο κείμενο και το μήνυμα με τη ψηφιακή υπογραφή μεταδίδονται μέσω του δικτύου (σημειώνεται ότι ο αποστολέας αν επιθυμεί μπορεί να κρυπτογραφήσει το μήνυμά του με το δημόσιο κλειδί του παραλήπτη).

Παραλήπτης

1. Ο παραλήπτης αποσπά από το μήνυμα την ψηφιακή υπογραφή (κρυπτογραφημένη, με το ιδιωτικό κλειδί του αποστολέα, σύνοψη).

2. Εφαρμόζοντας στο μήνυμα που έλαβε τον ίδιο αλγόριθμο κατακερματισμού, ο

41

παραλήπτης δημιουργεί τη σύνοψη του μηνύματος.

3. Στη συνέχεια, αποκρυπτογραφεί με το δημόσιο κλειδί του αποστολέα, την κρυπτογραφημένη σύνοψη του μηνύματος ( ψηφιακή υπογραφή).

4. Συγκρίνονται οι δύο συνόψεις και αν βρεθούν ίδιες, αυτό σημαίνει ότι το μήνυμα που έλαβε ο παραλήπτης είναι ακέραιο. Αν το μήνυμα έχει μεταβληθεί, η σύνοψη που θα παράγει ο παραλήπτης θα είναι διαφορετική από την σύνοψη που έχει κρυπτογραφηθεί.

4.3 Πιστοποίηση

Με την λήψη ενός μηνύματος με ηλεκτρονική υπογραφή, ο παραλήπτης επαληθεύοντας την ηλεκτρονική υπογραφή βεβαιώνεται ότι το μήνυμα είναι ακέραιο. Ο παραλήπτης για την επαλήθευση της ηλεκτρονικής υπογραφής, χρησιμοποιεί το δημόσιο κλειδί του αποστολέα. Αυτό όμως που δεν μπορεί να γνωρίζει ο παραλήπτης με βεβαιότητα, είναι αν ο αποστολέας του μηνύματος είναι όντως αυτός που ισχυρίζεται ότι είναι. Θεωρώντας ότι ο κάτοχος του ιδιωτικού κλειδιού είναι πράγματι αυτός που ισχυρίζεται ότι είναι (και η μυστικότητα του ιδιωτικού κλειδιού δεν έχει παραβιαστεί) ο αποστολέας του μηνύματος που υπέγραψε, δεν μπορεί να αρνηθεί το περιεχόμενο του μηνύματος που έστειλε (μη αποποίηση).

Κατά συνέπεια, απαιτείται να διασφαλιστεί ότι ο δικαιούχος του ιδιωτικού κλειδιού, και μόνον αυτός, δημιούργησε την ηλεκτρονική υπογραφή και ότι το δημόσιο κλειδί του αποστολέα που χρησιμοποιεί ο παραλήπτης για την επαλήθευση της

42

υπογραφής είναι όντως του αποστολέα. Απαιτείται δηλαδή, η ύπαρξη ενός μηχανισμού τέτοιου, ώστε ο παραλήπτης να μπορεί να είναι σίγουρος για την ταυτότητα του προσώπου με το δημόσιο κλειδί. Ο μηχανισμός αυτός θα πρέπει να υλοποιείται από μία οντότητα που εμπνέει εμπιστοσύνη και που εγγυάται ότι σε ένα συγκεκριμένο πρόσωπο αντιστοιχεί το συγκεκριμένο δημόσιο κλειδί.

Ο Πάροχος Υπηρεσιών Πιστοποίησης είναι η οντότητα που παρέχει την υπηρεσία εκείνη με την οποία πιστοποιείται η σχέση ενός προσώπου με το δημόσιο κλειδί του. Ο τρόπος με τον οποίο γίνεται αυτό, είναι με την έκδοση ενός πιστοποιητικού (ένα ηλεκτρονικό αρχείο) στο οποίο ο Πάροχος Υπηρεσιών Πιστοποίησης πιστοποιεί την ταυτότητα του προσώπου και το δημόσιο κλειδί του.

Από τους σημαντικότερους τύπους ψηφιακών πιστοποιητικών είναι το πιστοποιητικό δημοσίου κλειδιού ( public– key certificate). Ο στόχος του πιστοποιητικού δημοσίου κλειδιού είναι η δημιουργία μιας σχέσης ταυτοποίησης μεταξύ του δημοσίου κλειδιού και του δικαιούχου του. Το πιστοποιητικό αναφέρει το δημόσιο κλειδί (το οποίο και είναι το αντικείμενο του πιστοποιητικού) και επιβεβαιώνει ότι το συγκεκριμένο πρόσωπο που αναφέρεται στο πιστοποιητικό είναι ο δικαιούχος του αντίστοιχου ιδιωτικού κλειδιού. Έτσι ο παραλήπτης που λαμβάνει ένα μήνυμα με ψηφιακή υπογραφή, μπορεί να είναι σίγουρος ότι το μήνυμα έχει σταλεί από το πρόσωπο που το υπογράφει.

Το ψηφιακό πιστοποιητικό, είναι στον ηλεκτρονικό κόσμο ότι είναι το διαβατήριο στο φυσικό κόσμο. Η συσχέτιση ενός δημοσίου κλειδιού με τον δικαιούχο του γίνεται με χρήση της ψηφιακής υπογραφής

43

του Παρόχου Υπηρεσιών Πιστοποίησης, όπου ο Πάροχος με την ψηφιακή του υπογραφή, υπογράφει το πιστοποιητικό του δικαιούχου. Αν ένας χρήστης εμπιστεύεται έναν Πάροχο Υπηρεσιών Πιστοποίησης, εμπιστεύεται και το πιστοποιητικό που ο Πάροχος εκδίδει.

Ένας Πάροχος Υπηρεσιών Πιστοποίησης μπορεί να έχει πιστοποιήσει ή να έχει πιστοποιηθεί από έναν άλλον, στα πλαίσια μίας σχέσης εμπιστοσύνης. Αν ο χρήστης δεν γνωρίζει έναν Πάροχο και δεν ξέρει αν πρέπει να εμπιστευθεί ένα πιστοποιητικό που αυτός έχει εκδώσει, και ο Πάροχος αυτός έχει δημιουργήσει μία σχέση εμπιστοσύνης με έναν άλλο Πάροχο που ο χρήστης εμπιστεύεται, τότε ο χρήστης μπορεί να εμπιστευθεί τον πρώτο Πάροχο. Ο χρήστης, μπορεί να επαληθεύσει τη ψηφιακή υπογραφή του Παρόχου Υπηρεσιών Πιστοποίησης που έχει εκδώσει ένα ψηφιακό πιστοποιητικό, χρησιμοποιώντας το δημόσιο κλειδί του Παρόχου, για το οποίο (δημόσιο κλειδί) ένας άλλος Πάροχος Υπηρεσιών Πιστοποίησης μπορεί να έχει εκδώσει πιστοποιητικό κ.λπ.

Παράδειγμα SSL πιστοποιητικού

44

4.4 Εμπιστευτικότητα

Σε κάποιο site τις περισσότερες φορές υπάρχουν πληροφορίες οι οποίες δε θα πρέπει να προσπελαστούν από μη εξουσιοδοτημένους χρήστες . Τα λειτουργικά συστήματα διαθέτουν συνήθως ενσωματωμένους μηχανισμούς για την προστασία των αρχείων . Οι μηχανισμοί αυτοί δίνουν τη δυνατότητα σε ένα διαχειριστή να ελέγχει ποιος θα έχει πρόσβαση στα περιεχόμενα των αρχείων αυτών.

Η εμπιστευτικότητα μπορεί να επιτευχθεί και με την κρυπτογράφηση.Η κρυπτογράφηση επιτυγχάνεται με την παρεμβολή χαρακτήρων στα δεδομένα, έτσι ώστε να είναι δύσκολη και χρονοβόρα η εύρεση της αρχικής πληροφορίας για οποιονδήποτε άλλο εκτός από τους εξουσιοδοτημένος παραλήπτες. Οι εξουσιοδοτημένοι παραλήπτες και οι ιδιοκτήτες της πληροφορίας κατέχουν κλειδιά για την αποκρυπτογράφηση της πληροφορίας.

4.5 Ακεραιότητα

45

Ένας χρήστης πρέπει να εξασφαλίσει την ακεραιότητα της πληροφορίας που υπάρχει στο σύστημα του. Ένας τρόπος για να επιτευχθεί ο έλεγχος της ακεραιότητας των δεδομένων είναι να παράγουμε το checksum του αναλλοίωτου αρχείου και να το αποθηκεύουμε off-line , και περιοδικά να συγκρίνουμε το checksum που αποθηκεύτηκε off-line με αυτό το αρχείο που χρησιμοποιείται on-line.

Υπάρχουν λειτουργικά συστήματα τα οπία έχουν ενσωματωμένα checksumming προγράμματα όπως το unix sum . Παρόλα αυτά είναι καλύτερο να χρησιμοποιούνται ισχυρές μέθοδοι και προγράμματα κρυπτογράφησης όπως το message digest-MD5 . Υπάρχουν επίσης προγράμματα τα οποία χρησιμοποιούνται για να ελέγχουν την ακεραιότητα των δεδομένων που ανταλλάσονται μεταξύ διαφόρων εφαρμογών όπως το e-mail , όπου θέλουμε ένα μύνημα να φτάσει αναλλοίωτο από τον αποστολέα στον παραλήπτη.

4.6 Συστήματα ανίχνευσης επιθέσεων

Τα τελευταία χρόνια με την εκθετική αύξηση του Internet, όσο αναφορά τα συστήματα που συνδέονται σε αυτό και τις συνεχώς αναπτυσσόμενες εφαρμογές και δικτυακές υπηρεσίες, έχει αυξηθεί και το πλήθος των κακόβουλων χρηστών, οι οποίοι υλοποιούν ολοένα και πιο έξυπνες, πολύπλοκες και επιζήμιες δικτυακές επιθέσεις.

Με δεδομένη την εξέλιξη αυτή, τα κλασσικά μέτρα ασφάλειας δεν φαίνεται να επαρκούν για την προστασία των

46

συστημάτων και των πληροφοριών που περιέχουν αυτά και συνεχώς γίνεται προσπάθεια για ανάπτυξη νέων μηχανισμών ασφάλειας, που θα παρέχουν την επιθυμητή προστασία από δικτυακές επιθέσεις.

Μία σχετικά νέα και συνεχώς αναπτυσσόμενη μέθοδος προστασίας, είναι η αυτοματοποιημένη Ανίχνευση Επιθέσεων (Intrusion Detection).

Ο όρος Intrusion Detection σημαίνει Ανίχνευση Επιθέσεων και έχει να κάνει με την παρακολούθηση των γεγονότων που συμβαίνουν σε ένα σύστημα ή ένα δίκτυο και την ανάλυσή τους για σημάδια επιθέσεων. Επίθεση χαρακτηρίζεται ως οποιαδήποτε προσπάθεια για παραβίαση της εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας ή των μηχανισμών ασφάλειας ενός συστήματος ή ενός δικτύου. Οι επιθέσεις πραγματοποιούνται από άτομα που έχουν πρόσβαση στους στόχους τους μέσω του Internet, από εξουσιοδοτημένους χρήστες που προσπαθούν να αποκτήσουν περισσότεραδικαιώματα από αυτά που τους έχουν δοθεί και από εξουσιοδοτημένους χρήστες οι οποίοι εκμεταλλεύονται τα δικαιώματα που τους έχουν δοθεί με κακό σκοπό.Ο όρος Intrusion Detection Systems (IDSs) σημαίνει Συστήματα Ανίχνευσης Επιθέσεων και έχει να κάνει με software ή hardware προϊόντα, που αυτοματοποιούν την παραπάνω διαδικασία παρακολούθησης και ανάλυσης. Η εξέλιξη των IDSs, είναι ραγδαία τα τελευταία χρόνια και συνεχώς γίνονται προσπάθειες για βελτίωσή τους, κυρίως στον τομέα των συμπτωμάτων από False Positives και False Negatives που παρουσιάζουν.

Με την τρέχουσα μορφή τους τα IDSs παρέχουν σημαντική υποστήριξη στα ήδη υπάρχοντα μέτρα προστασίας ενός δικτύου και σε συνδυασμό με άλλους μηχανισμούς

47

ασφάλειας, αποτελούν ένα σημαντικό εργαλείο για την παρακολούθηση και την αποτροπή δικτυακώνεπιθέσεων.

Χρησιμότητα των IDSs

Καθώς οι δικτυακές επιθέσεις έχουν αυξηθεί κατά πολύ τα τελευταία χρόνια τόσο σε πλήθος όσο και σε βαθμό επικινδυνότητας, τα IDSs αποτελούν μία απαραίτητη προσθήκη στην πολιτική ασφάλειας κάθε οργανισμού.

Η Ανίχνευση Επιθέσεων επιτρέπει στους οργανισμούς να προστατέψουν τα συστήματά τους και τις πληροφορίες που βρίσκονται σε αυτά, από κινδύνους που προκύπτουν από την αυξημένη δικτυακή διασύνδεση μεταξύ των συστημάτων τους.

Υπάρχουν διάφοροι λόγοι για τους οποίους είναι απαραίτητη η χρήση των IDSs:

1. Για ανίχνευση επιθέσεων και άλλων παραβιάσεων ασφάλειας που δε ανιχνεύονται από άλλα μέτρα προστασίας. Ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση σε ένα ή περισσότερα συστήματα, όταν διάφορες, δημόσια γνωστές αδυναμίες ασφάλειας των συστημάτων αυτών δεν έχουν διορθωθεί.

Παρόλο που κάθε διαχειριστής πρέπει και μπορεί σχετικά εύκολα να διορθώνει τις αδυναμίες αυτές, υπάρχουν διάφοροι λόγοι για τους οποίους αυτό δεν συμβαίνει.

Σε περιβάλλοντα με πολλά συστήματα, ο διαχειριστής τους συνήθως

δεν έχει την δυνατότητα αλλά ούτε και τον χρόνο να ενημερώσει τα συστήματα που πρέπει, με νέες διορθώσεις των αδυναμιών ασφάλειάς τους. Οι χρήστες των συστημάτων κάνουν

χρήση διάφορων λογισμικών που θεωρούνται επικίνδυνα, με την έννοια ότι μπορούν να προκαλέσουν τρύπες ασφάλειας σε ένα σύστημα.

48

Τόσο οι διαχειριστές όσο και οι χρήστες κάνουν λάθη στην ρύθμιση και

την χρήση των συστημάτων και των υπηρεσιών που προσφέρουν. Οι χρήστες χρησιμοποιούν μειωμένης

ασφάλειας μηχανισμούς πρόσβασης στα συστήματα, όπως ατυχώς επιλεγμένα passwords.Σε έναν ιδανικό κόσμο οι δημιουργοί

λογισμικού θα μείωναν στο ελάχιστο τις αδυναμίες ασφάλειάς στα προϊόντα που διανέμουν και οι διαχειριστές θα ενημέρωναν και θα διόρθωναν τα συστήματά τους γρήγορα και αξιόπιστα. Στον πραγματικό όμως κόσμο αυτό σπάνια συμβαίνει, ενώ νέες αδυναμίες και ελαττώματα στην ασφάλεια συστημάτων, εμφανίζονται σε καθημερινή βάση.

Με την χρήση ενός IDS η προσπάθεια ή και η επιτυχία ενός επιτιθέμενου να παραβιάσει κάποιο σύστημα μέσω της εκμετάλλευσης μιας γνωστής αδυναμίας σε αυτό, θα γινόταν αντιληπτή. Επίσης με την βοήθεια του IDS, γνωστοποιείται η αδυναμία που οδήγησε στην παραβίαση του συστήματος και παράγονται χρήσιμα συμπεράσματα που βοηθούν στην αποκατάσταση του συστήματος και την διόρθωση της αδυναμίας, που οδήγησε στηνπαραβίασή του.

2. Για την ανίχνευση αναγνωριστικών ενεργειών που προηγούνται μίας επίθεσης. Για την πραγματοποίηση μίας επίθεσης συνήθως υπάρχουν κάποια στάδια που προηγούνται αυτής. Ο επιτιθέμενος πρώτα εξετάζει τον υποψήφιο στόχο του, ώστε να συγκεντρώσει πληροφορίες για αυτόν και να εντοπίσει ένα σημείο εσόδου, το οποίο θα του επιτρέψει να πραγματοποιήσει την επίθεση με επιτυχία. Αυτό επιτυγχάνεται μέσω του Scanning.

49

Δίχως την ύπαρξη ενός IDS, ο επιτιθέμενος είναι πολύ πιθανό να πραγματοποιήσει τις αναγνωριστικές του κινήσεις ανενόχλητος και χωρίς να γίνει αντιληπτός. Ένα IDS θα είχε την δυνατότητα να εντοπίσει τις κινήσεις αυτές του επιτιθέμενου και να πάρει κάποια μέτρα, όπως να καταγράψει το γεγονός, να ειδοποιήσει τους υπεύθυνους ασφάλειας για αυτό ή και να εμποδίσει τον επιτιθέμενο να τις ολοκληρώσει.

3. Για την συγκέντρωση πληροφοριών που αφορούν επιθέσεις που πραγματοποιήθηκαν, οι οποίες θα βοηθήσουν στην αποκατάσταση των συστημάτων που παραβιάστηκαν και στην διόρθωση αδυναμιών και παραλήψεων στα ήδη υπάρχοντα μέτρα ασφάλειας.

Ακόμα και στην περίπτωση που ένα IDS δεν μπορεί να εμποδίσει μία επίθεση, μπορεί να συλλέξει διάφορες πληροφορίες και στοιχεία για αυτήν που θα χρησιμοποιηθούν τόσο για την αποκατάσταση του συστήματος και την διόρθωση των αδυναμιών ασφάλειάς του, όσο και για τον εντοπισμό του επιτιθέμενου και την ποινική δίωξή του.

4. Για να αποτραπούν επίδοξοι επιτιθέμενοι, καθώς υπάρχει μεγαλύτερο ρίσκο να εντοπιστούν και να τιμωρηθούν. Όταν ο υποψήφιος επιτιθέμενος συνειδητοποιήσει ότι ένα δίκτυο ή ένα σύστημα προστατεύεται από ένα IDS, διστάζει να συνεχίσει την προσπάθειά του καθώς υπάρχουν περισσότερες πιθανότητες να γίνει αντιληπτός και να συλληφθεί.

5. Για αποτελεσματικότερη σχεδίαση και εφαρμογή πολιτικής ασφάλειας.Με την χρήση των IDSs συλλέγονται πληροφορίες και παρατηρούνται patterns από ενέργειες που πραγματοποιούνται καθημερινά εναντίον ενός δικτύου και των συστημάτων

50

του, τα οποία μπορούν να βοηθήσουν στη σχεδίαση πιο αξιόπιστων μέτρων ασφάλειας, προσαρμοσμένων ώστε να αντιμετωπίζουν τα γεγονότα και τους κινδύνους που απειλούν το συγκεκριμένο δίκτυο, και να οδηγήσουν στην αποτελεσματικότερη προστασία του.

Είδη IDSs

Σήμερα υπάρχουν διάφοροι τύποι IDSs, τα οποία χαρακτηρίζονται από διαφορετικές προσεγγίσεις στον τρόπο που το καθένα υλοποιεί την διαδικασία της παρακολούθησης και της ανάλυσης των γεγονότων, για την ανίχνευση επιθέσεων.

Η κατηγοριοποίηση των IDSs μπορεί να επιτευχθεί εξετάζοντας διαφορετικούς παράγοντες κάθε φορά. Οι παράγοντες που εξετάζονται προκύπτουν από ένα γενικό μοντέλο, το οποίο περιγράφει τις λειτουργίες των IDSs. Τα περισσότερα IDSs επιτελούν τρεις θεμελιώδεις λειτουργίες και ο διαχωρισμός των IDSs προκύπτει από τον τρόπο που κάθε ένα υλοποιεί τις λειτουργίες αυτές :

Α. Πηγές Πληροφορίας (Information Sources)Είναι οι πηγές που χρησιμοποιεί το IDS ώστε να συλλέξει την κατάλληλη πληροφορία, την οποία θα αναλύσει για να καθορίσει αν έχει πραγματοποιηθεί μία επίθεση. Οι πιο συνήθεις πηγές πληροφορίας μπορεί να είναι σε επίπεδο παρακολούθησης συστήματος (Host) και δικτύου (Network).

Β. Ανάλυση (Analysis)Ο τρόπος με τον οποίο το IDS οργανώνει και επεξεργάζεται τα γεγονότα που προκύπτουν από τις Πηγές Πληροφορίας και αποφασίζει ποια από αυτά μπορεί να αποτελούν μία επίθεση.

51

Οι πιο γνωστές μέθοδοι Ανάλυσης είναι η Misuse Detection , η Anomaly Detection και ηProtocol Anomaly Detection.

C. Απόκριση (Response)Είναι το σύνολο των ενεργειών που θα εκτελέσει το IDS, όταν ανιχνεύσει μία επίθεση.Υπάρχουν δύο είδη τέτοιων ενεργειών, οι Παθητικές (Passive) και οι Ενεργητικές (Active).Τα Passive Responses συνήθως καταγράφουν το γεγονός της επίθεσης και ενημερώνουν μεκάποιο τρόπο τους υπεύθυνους, ώστε αυτοί να πάρουν τα κατάλληλα μέτρα.Τα Active Responses έχουν να κάνουν με αυτοματοποιημένη αντιμετώπιση της επίθεσης από το ίδιο το IDS.

Ισχυρά και Αδύναμα Σημεία των IDSs

Παρόλο που τα IDSs θεωρούνται μία πολύτιμη προσθήκη στην πολιτική ασφάλειας ενός δικτύου, υπάρχουν κάποιες λειτουργίες τις οποίες εκτελούν ικανοποιητικά και άλλες για τις οποίες δεν θεωρούνται επαρκή. Σε καμία περίπτωση δεν πρέπει να ανατίθεται σε ένα IDS να εκτελέσει λειτουργίες, τις οποίες εκτελούν άλλοι τύποι μηχανισμών ασφάλειας, πιο ολοκληρωμένα και πιο αποδοτικά.Μερικές από τις λειτουργίες που επιτελούνται με επιτυχία από τα IDSs είναι :

Η παρακολούθηση και η ανάλυση των δραστηριοτήτων σε ένα σύστημα και της συμπεριφοράς των χρηστών.

Μοντελοποίηση της φυσιολογικής, συνήθους δραστηριότητας ενός συστήματος ή ενός δικτύου και στην συνέχεια παρακολούθηση για

52

διακυμάνσεις και αλλαγές που μπορεί να προκύψουν στη δραστηριότητα αυτή.

Αναγνώριση των συμβάντων που αντιστοιχούν σε μία γνωστή επίθεση.

Ειδοποίηση των αρμόδιων υπευθύνων, με το κατάλληλο τρόπο, όταν εντοπιστεί μία επίθεση.

Επιτρέπουν σε άτομα που δεν θεωρούνται ειδικοί σε θέματα ασφάλειας δικτύων, να εκτελούν σημαντικές λειτουργίες παρακολούθησης του δικτύου για πιθανές επιθέσεις.

Μερικές από τις λειτουργίες που τα IDSs δεν μπορούν να εκτελέσουν ικανοποιητικά είναι :

Να αναπληρώσουν άλλους, ανύπαρκτους ή κακώς ρυθμισμένους μηχανισμούς

ασφάλειας. Τέτοιοι μπορεί να είναι firewalls, μηχανισμοί αυθεντικοποίησης καιταυτοποίησης, μηχανισμοί ελέγχου πρόσβασης, ανίχνευση και αντιμετώπιση ιών, κρυπτογραφημένη διασύνδεση μεταξύ συστημάτων.

Άμεσα να ανιχνεύσουν, να ειδοποιήσουν και να αντιδράσουν σε μία επίθεση, σε μεγάλα δίκτυα με πολύ αυξημένο traffic ή σε συστήματα με λίγους ελεύθερους πόρους.

Να ανιχνεύσουν νέα είδη επιθέσεων ή παραλλαγές παλαιοτέρων.

Να δράσουν αποτελεσματικά σε επιθέσεις που υλοποιούνται από εξειδικευμένους και έμπειρους επιτιθέμενους και ειδικά στην περίπτωση που αυτοί έχουν αντιληφθεί την ύπαρξή τους και γνωρίζουν τρόπους να τα παρακάμψουν.

Αυτοματοποιημένα να ερευνήσουν και να αναλύσουν μία επίθεση, χωρίς την ανθρώπινη συμμετοχή.

Παρουσιάζουν πρόβλημα σε δίκτυα που διασυνδέονται με switches, καθώς αυτά

53

δεν τους επιτρέπουν να έχουν παθητικά πρόσβαση σε όλο το traffic του δικτύου.

Παρουσιάζουν συμπτώματα από False Positives και False Negatives, ιδιαίτερα στην περίπτωση που δεν έχουν ρυθμιστεί σωστά, και αυτό είναι κάτι που μειώνει την αξιοπιστία τους.

Πρακτική Χρήσης των IDSsΟ τρόπος με τον οποίο ένας οργανισμός θα

σχεδιάσει την στρατηγική χρήσης και υλοποίησης IDSs, ώστε να προστατέψει αποτελεσματικά το δίκτυό του και κατ’ επέκταση τα συστήματα που συνδέονται σε αυτό και τις πληροφορίες που περιέχουν, έχει άμεση σχέση με την τοπολογία του δικτύου και το είδος της πληροφορίας που πρέπει να διαφυλαχτεί.

Σε κάθε περίπτωση η εφαρμογή IDSs, για να καλύψει με επιτυχία τις ανάγκες για προστασία ενός δικτύου, απαιτεί μελέτη και σχεδιασμό, καθώς και εξειδικευμένο προσωπικό, ώστε να διαχειρίζεται και να επιβλέπει συνεχώς την λειτουργία τους και να δρα αποτελεσματικά και υπεύθυνα στην περίπτωση εμφάνισης μίας επίθεσης.

Στις περισσότερες περιπτώσεις η πιο αποδοτική και προτεινόμενη πρακτική για την πληρέστερη προστασία ενός μεγάλου δικτύου, είναι η χρήση NIDSs και HIDSs σε συνδυασμό μεταξύ τους,.

Σήμερα διατίθενται αρκετά και διάφορα IDSs, υλοποιημένα τόσο σε Hardware ή Software, όσο και με την μορφή εμπορικών ή Οpen Source εφαρμογών, ενώ η σωστή επιλογή ενός τέτοιου εργαλείου, εξαρτάται από τους στόχους και τις ανάγκες προστασίας κάθε δικτύου.

54

5 Προτάσεις για το μέλλον

INTERNETWORKING PROTOCOLS Τα περισσότερα από τα πρωτόκολλα που

χρησιμοποιούνται σήμερα δεν έχουν αλλάξει από τότε που ορίστηκαν, την εποχή ARPA του ερευνητικού και εκπαιδευτικού δικτύου που η εμπιστοσύνη ήταν κανόνας. Για να έχουμε μια ασφαλή βάση για τις κρίσιμες μελλοντικές εφαρμογές του διαδικτύου, πρέπει να αντιμετωπιστούν τα σοβαρά ελαττώματα που υπάρχουν σήμερα. Κύρια η έλλειψη της απόκρυψης για την ασφάλεια μετάδοσης δεδομένων και τη διασφάλιση της αυθεντικότητας της πληροφορίας, η έλλειψη της κρυπτογραφικής πιστοποίησης για τη διασφάλιση της αυθεντικότητας της πηγής που προέρχεται η πληροφορία και η έλλειψη της δυνατότητας cryptographic checksum για διασφάλιση της ακεραιότητας των αποθηκευμένων δεδομένων, αλλά και της ίδιας της πληροφορίας δρομολόγησης. Τα νέα πρωτόκολλα που προτείνονται από την IETF όπως το Ipng ή αλλιώς IPv6 μπορούν να οδηγήσουν σε δημιουργία ασφαλέστερου περιβάλλοντος. Στο μέλλον, τα πρωτόκολλα πιστοποίησης θα υποστηρίζονται σταδιακά από τεχνολογίες που σήμερα πιστοποιούν άτομα, με τη χρήση έξυπνων καρτών, αναγνώστες δακτυλικών αποτυπωμάτων, αναγνώριση προσώπου, ίριδας κλπ.

Ο σχεδιασμός, η ανάλυση και η υλοποίηση πρωτοκόλλων θα είναι το αντικείμενο

56

ΚΕΦΑΛΑΙΟ

5

συνεχούς έρυενας. Ο στόχος που είναι ένα 100% ασφαλές πρωτόκολλο δεν είναι μακριά.

ΑΝΙΧΝΕΥΣΗ ΕΙΣΒΟΛΗΣ Η έρευνα σε αυτόν τον τομέα διεξάγεται

για τη βελτίωση της δυνατότητας των δικτυακών συστημάτων να διακρίνουν πως δέχτηκαν επίθεση. Η ανίχνευση των παραβιάσεων αναγνωρίζεται σαν μια δύσκολη ερευνητική περιοχή που βρίσκεται ακόμα στην αρχή της. Υπάρχουν 2 περιοχές στον τομέα αυτό, η ανίχνευση ανωμαλιών και η αναγνώριση προτύπων.

Η έρευνα στην ανίχνευση ανωμαλιών βασίζεται στον ορισμό προτύπων κανονικής συμπεριφοράς σε δίκτυα, εξυπηρετητές, χρήστες και στην ανίχνευση συμπεριφορών που είναι κατά πολύ διαφορετικές (ανωμαλία). Τα πρότυπα της κανονικής συμπεριφοράς συνήθως προσδιορίζονται συγκεντρώνοντας στοιχεία για ένα χρονικό διάστημα κατάλληλο για την εξασφάλιση ενός τυπικού δείγματος συμπεριφοράς των εξουσιοδοτημένων χρηστών και των διαδικασιών των συστημάτων. Η βασική δυσκολία που πρέπει να αντιμετωπιστεί, είναι πως η κανονική συμπεριφορά είναι ευμετάβλητη εξαιτίας πληθώρας αβλαβών ενεργειών που μπορούν να επιτρέψουν παραβιάσεις. Πολλές από τις ενέργειες ενός εισβολέα δεν διαφοροποιούνται από τις ενέργειες εξουσιοδοτημένων χρηστών.

Η δεύτερη μεγάλη περιοχή είναι η αναγνώριση προτύπων. Ο στόχος εδώ είναι να αναγνωριστούν ακολουθίες γεγονότων στη συμπεριφορά του δικτύου, των εξυπηρετητών και των χρηστών που προέρχονται από γνωστά σενάρια επιθέσεων. Ένα πρόβλημα σε αυτήν την προσέγγιση είναι η πληθώρα των διαφορετικών σεναρίων που προκύπτουν από τη διαφοροποίηση της

57

στρατηγικής που εφαρμόζει ο κάθε εισβολέας κάνοντας χρήση της ίδιας μεθόδου. Ένα δεύτερο πρόβλημα είναι πως νέα είδη επιθέσεων που δεν είναι γνωστά τα μοτίβα επίθεσης δεν μπορούν να αντιμετωπιστούν με αυτήν την προσέγγιση.

Τέλος, πρέπει να αναφερθεί πως υπάρχει ανάγκη να βρεθούν εργαλεία και τεχνικές για την αναγνώριση επιθέσεων που προέρχονται από διαφορετικά μέρη του Internet αλλά συντονίζονται από ένα σημείο (DDoS), καθώς και πρωτόκολλα που να επιτρέπουν την ιχνηλασία της αρχής των επιθέσεων.

6 Βιβλιογραφία

1)Δίκτυα δημόσιας χρήσης και διασύνδεση δικτύων Χρήστος.Ι .Μπούρας2)Δίκτυα υπολογιστών Andrew S. Tanenbaum3)Ιστοσελίδες : a)http://dide.flo.sch.gr/Plinet/Tutorials b)www . google . com c)www . wikipedia . org

d)http://support.microsoft.com/kb/224506/el e) http://www.gsmforum.gr/forum/showthread.php?t=1769f) http://www.cynet.ac.cy/stayalert/g) http://www.bbc.co.uk/greek/news/030821_sobig.shtml

58

ΒΙΒΛΙΟΓΡΑΦΙΑ

6

http://www.bbc.co.uk/greek/news/030821_sobig.shtml

http://www.bbc.co.uk/greek/news/030821_sobig.shtml

http://www.cynet.ac.cy/stayalert/

http://www.gsmforum.gr/forum/showthread.php?t=1769

http://www.gsmforum.gr/forum/showthread.php?t=1769

http://support.microsoft.com/kb/224506/el

http://support.microsoft.com/kb/224506/el

http://www.wikipedia.org/

http://www.google.com/

http://dide.flo.sch.gr/Plinet/Tutorials

και άλλες.4)Τεχνολογικά περιοδικά pc-magazine : www.e-pcmag.gr5) Άρθρα από εφημερίδες

59

http://www.e-pcmag.gr/

telematics.upatras.grtelematics.upatras.gr/.../bouras_site/ergasies_foithtwn/15… · Web...

Documents

Transcript of telematics.upatras.grtelematics.upatras.gr/.../bouras_site/ergasies_foithtwn/15… · Web...