1.2k likes | 1.41k Views
Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 10 -20 11 Εξάμηνο: Η’. Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες. http://di.ionio.gr/~emagos/security/lectures.html. Εμμανουήλ Μάγκος. Syllabus. Λίγα λόγια για το μάθημα Η έννοια της Ασφάλειας
E N D
Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2010-2011Εξάμηνο: Η’ Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες http://di.ionio.gr/~emagos/security/lectures.html Εμμανουήλ Μάγκος
Syllabus • Λίγα λόγια για το μάθημα • Η έννοια της Ασφάλειας • Γιατί η Ασφάλεια είναι τόσο σημαντική σήμερα • Απειλές-Ευπάθειες-Κίνδυνοι-Μηχανισμοί προστασίας • Το γνωστικό αντικείμενο
Α. Προκαταρκτικά Μαθήματος • Σελίδα μαθήματος: http://e-class.ionio.gr/courses/DCS169/ … Ο χώρος επικοινωνίας μας
Β. Ασφάλεια – Ορισμοί Security: (Oxford Dictionary) Freedom from danger or anxiety Ασφάλεια: (Μπαμπινιώτης) Η κατάσταση στην οποία … αισθάνεται κανείς ότι δεν απειλείται. Η αποτροπή κινδύνου ή απειλής…
Ασφάλεια – Ορισμοί Ασφάλεια (Security) & Ασφάλεια (Safety) Security: Προστασία έναντι εχθρού Safety: Προστασία έναντι σφαλμάτων, λαθών, ατυχημάτων, παραλείψεων Η “ασφάλεια” στα ελληνικά: Ένα σημαίνον για δύο σημαινόμενα
Ένας Ορισμός… Το γνωστικό αντικείμενο που ασχολείται με: Την πρόληψη, ανίχνευση και αντιμετώπιση μη εξουσιοδοτημένων πράξεων, οι οποίες γίνονται από χρήστες υπολογιστικών συστημάτων Forester and Morrison (1994) defined a computer crime as: a criminal act in which a computer is used as the principal tool.
C. Μα, γιατί μιλάμε για την ασφάλεια; • Κακόβουλο λογισμικό (botnets, trojans),…. • Παράνομη εισβολή σε συστήματα, (Hacking,…), • Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία (read, write) • Επιθέσεις Άρνησης Εξυπηρέτησης (DOS). • Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading), Κλοπή Ταυτότητας (Identity Theft) • Υποκλοπές Επικοινωνιών, Πρόσβαση σε προσωπικά δεδομένα • Μη ζητηθείσα επικοινωνία (spam), «Ηλ. Ψάρεμα» (Phishing) • Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας • …
Phishing -Kοινωνική μηχανική (social engineering)
Μα, γιατί μιλάμε για την ασφάλεια; Cisco 2010 Annual Sec. Report
Facebook clickjacking Quarterly Report, Panda Labs, April-June 2010
D. Τι σημαίνει «Ασφαλές Σύστημα»; http://www.ptatechnologies.com/PTA3.htm
Τι σημαίνει «Ασφαλές Σύστημα»; Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας», Πανεπιστήμιο Πειραιώς, 2009
Αγαθό (Asset) Κάθε αντικείμενο ή πόρος το οποίο αξίζει να προστατευθεί. Φυσικά Αγαθά (Physical Assets): Κτίρια, Υπολογιστές, Δικτυακή Υποδομή, Έπιπλα, κτλ Αγαθά Δεδομένων (Data Assets): Αρχεία (ηλεκτρονικά, έντυπα) ΑγαθάΛογισμικού (Software Assets): Λογισμικό Εφαρμογών, Λειτουργικά Συστήματα, κτλ Βασικοί όροι στην Ασφάλεια
Φόρμα Εκτίμησης Άμεσης Αξίας Φυσικών και Λογισμικών Αγαθών
Συνέπεια (Impact) Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού Άμεσες Συνέπειες – π.χ. Kόστος επαναγοράς και διαμόρφωσης Έμμεσες Συνέπειες – π.χ. Πρόκληση δυσφήμησης Νομικές συνέπειες Απώλειες από διακοπή ή παρεμπόδιση λειτουργιών Βασικοί όροι στην Ασφάλεια
Απειλή (Threat) Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό Φυσικές Απειλές: Φωτιά, Σεισμός, Πλημμύρα,… Ανθρώπινες Εσκεμμένες: Κλοπή, Βανδαλισμός, Αλλοίωση, Αποκάλυψη Πληροφορίας Ανθρώπινες Τυχαίες: Κακή χρήση πόρου, πρόκληση ζημιάς, τυχαία αποκάλυψη πληροφορίας κτλ Βασικοί όροι στην Ασφάλεια
Απειλές στην Ασφάλεια – 1η Θεώρηση • Παθητικές επιθέσεις: τις κάνει η Eve (eavesdrop) • Packet sniffing • Traffic analysis • Αλλά και: Password cracking / breaking a crypto key • … • Ενεργητικές επιθέσεις: τις κάνει ο Mallory • Πλαστοπροσωπία: Masquerading, Spoofing, MIM • Επιθέσεις επανάληψης (replay) • Επιθέσεις άρνησης εξυπηρέτησης (Denial Of Service – DOS) • Επιθέσεις Τροποποίησης (modification) • …
Υποκλοπή (Interception) Διακοπή (Interruption) Αλλοίωση (Modification) Εισαγωγή (Fabrication) Απειλές στην Ασφάλεια–2η Θεώρηση
Υποκλοπή (Interception) Μία μη εξουσιοδοτημένη οντότητα αποκτά πρόσβαση σε αγαθό Παραδείγματα Packet sniffing Traffic analysis Shoulder surfing … Απειλές στην Ασφάλεια – 2η Θεώρηση
Διακοπή (Interruption) Ένα αγαθό/υπηρεσία καταστρέφεται, γίνεται μη διαθέσιμο, ή άχρηστο Παραδείγματα Διαγραφή δεδομένων/προγραμμάτων Καταστροφή υλικού Διακοπή επικοινωνίας … Απειλές στην Ασφάλεια – 2η Θεώρηση
Αλλοίωση (Modification) Μία μη εξουσιοδοτημένη οντότητααλλοιώνει-τροποποιεί ένα αγαθό Παραδείγματα: Τροποποίηση δεδομένων σε αρχείο, Τροποποίηση εγγραφών σε μια ΒΔ Τροποποίηση μηνυμάτων που μεταδίδονται Αλλοίωση του κώδικα προγράμματος Αλλαγή δεδομένων συναλλαγής Απειλές στην Ασφάλεια – 2η Θεώρηση
Εισαγωγή (Fabrication) Ένα (μη αυθεντικό) αντικείμενο εισέρχεται στο σύστημα Παραδείγματα Εισαγωγή πλαστών μηνυμάτων σε επικοινωνία/συναλλαγή Εισαγωγή πλαστών εγγραφών σε ΒΔ Αλλά και: Phishing, Spoofing, Man-in-the-Middleattacks Απειλές στην Ασφάλεια – 2η Θεώρηση
Απειλές στην Ασφάλεια – 3η Θεώρηση • Ένας άλλος τρόπος να θεωρήσουμε τις απειλές είναι ως προς την παραβίαση μιας εκ των «πασίγνωστων» στόχων ασφάλειας: • Απειλές κατά της Εμπιστευτικότητα • π.χ. Interception attacks • Απειλές κατά της Ακεραιότητας • π.χ. Modification & Fabrication attacks • Απειλές κατά της Διαθεσιμότητας • π.χ. Interruption attacks
Απειλές στην Ασφάλεια – 4η Θεώρηση Εξωτερικές Απειλές: Χρήστες εκτός Επιχείρησης / Οργανισμού Outsiders: Hackers / Crackers / Vandals / Hacktivists Outsiders: Κοινωνικοί Μηχανικοί (Social Engineers) Εσωτερικές Απειλές: - Χρήστες εντός Επιχείρησης/Οργανισμού Insiders: Παράκαμψη ελέγχου πρόσβασης «εκ των έσω» π.χ. Δυσαρεστημένοι υπάλληλοι, λάθη & απροσεξίες
Απειλές στην Ασφάλεια – 5η Θεώρηση ΤυχαίεςήΕσκεμμένες Φυσικές π.χ. φωτιά Διακοπή ρεύματος; Ανθρώπινες e.g. Λάθη χρήστη, hackers, Ιοί. Εξοπλισμός π.χ. CPU, Δίκτυο, Σκληρός δίσκος, - Σφάλμα εφαρμογής, - Buffer overflow attacks
Ενδεικτικός Πίνακας Απειλών Παράδειγμα
Ευπάθειες (Vulnerabilities) Ευπάθεια ή Αδυναμία (Vulnerability) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό σε κάποια απειλή, δηλαδή αυξάνουν την πιθανότητα εκδήλωσης της απειλής Π.χ: εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται, το αρχείο έχει μεγάλη αδυναμία στην απειλή της κλοπής Οτιδήποτε μεγιστοποιεί τις συνέπειες από την εκδήλωση μίας απειλής Π.χ: εάν δεν υπάρχει σύστημα αυτόματης πυρόσβεσης σε ένα χώρο, η συνέπειες από μία πιθανή πυρκαγιά θα είναι πολύ μεγάλες
Φόρμα αντιστοίχησης Απειλών και Αδυναμιών σε Αγαθά Παράδειγμα
http://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/images/figure5.jpghttp://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/images/figure5.jpg
Χαρακτηρισμός Επιπέδων Απειλής και Αδυναμίας Παράδειγμα
Φόρμα Εκτίμησης Επιπέδων Απειλών και Αδυναμιών σε Αγαθά Παράδειγμα
Ανάλυση Κινδύνου (Risk Analysis) Risk = Threat x Vulnerability x Impact (Asset value)
Ανάλυση & Διαχείριση Πληροφοριακού Κινδύνου Ανάλυση Κινδύνου (Risk Analysis) Διαδικασία εντοπισμού των ευάλωτων σημείωνενός Π.Σ. και προσδιορισμού των επιμέρους κινδύνων οι οποίοι σε περίπτωση εκδήλωσης θα είχαν αρνητικές συνέπειες για τον υπό μελέτη οργανισμό. Διαχείριση Κινδύνου (Risk Management) Η διαδικασία αντιμετώπισης των κινδύνων που έχουν εντοπιστεί στην προηγούμενη φάση με την κατάλληλη μέθοδο, με βάση τις αποφάσεις της Διοίκησης ενός οργανισμού. 44
Ανάλυση Κινδύνου • Παράδειγμα πίνακα εκτίμησης κινδύνου
Πίνακας Υπολογισμού Επιπέδου Κινδύνου
Πίνακας Επεξήγησης Κωδικών Παράδειγμα
Μια θεώρηση από τη σκοπιά των Οικονομικών της Ασφάλειας (Security Economics) Στόχος της ασφάλειας (Infosec goal) Ο σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού: επιθυμητή ισορροπία μεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά Κόστος Μηχανισμών Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόμενο Όφελος
Πίνακας Σύνοψης Επιπέδου Κινδύνων Παράδειγμα