Κεφάλαιο 2. “Κίνδυνοι στα Δίκτυα Υπολογιστών”



2.1: Γιατί οι Υπολογιστές δεν είναι Ασφαλείς
2.2: Τι είναι Εισβολή
2.3: Τύποι Εισβολέων
2.4: Κακόβουλα Προγράμματα
2.5: Τρόποι Εργασίας των Εισβολέων
2.6: Τεχνικές Εισβολής
2.7: Κίνδυνοι Ασφαλείας στο Διαδίκτυο



2.1: Γιατί οι υπολογιστές δεν είναι ασφαλείς

Ένα εύλογο ερώτημα που απασχολεί τον σύγχρονο άνθρωπο ο οποίος βλέπει την τεχνολογία των ηλεκτρονικών υπολογιστών να καλπάζει και να αναπτύσσεται με τρομακτικούς ρυθμούς, είναι το γιατί οι υπολογιστές είναι τόσο ανασφαλείς. Από όσα βρέθηκαν σε Ελληνική αλλά και ξένη βιβλιογραφία η μεγάλη πλειοψηφία των περιπτώσεων εισβολών σχετίζεται με ένα από τα παρακάτω προβλήματα.

2.1.1: Η Ασφάλεια έχει το Κόστος της

Οι διαχειριστές συχνά δεν υλοποιούν χαρακτηριστικά ασφαλείας μέσα σε λειτουργικά συστήματα, επειδή αν το κάνουν αυτό δημιουργούν προβλήματα στους χρήστες. Από την άλλη πλευρά οι χρήστες συχνά παρακάμπτουν την ασφάλεια αφού επιλέγουν εύχρηστους κωδικούς πρόσβασης χωρίς να τους αλλάζουν στη συνέχεια και χωρίς να διστάζουν να τους αποκαλύπτουν σε συνεργάτες και άλλους χρήστες. Οι προμηθευτές παραδίδουν το λογισμικό τους, έτσι ώστε να μπορεί να εγκατασταθεί με τα περισσότερα χαρακτηριστικά του και με ανενεργά τα χαρακτηριστικά ασφαλείας του. Με αυτόν τον τρόπο οι άπειροι χρήστες δεν χρειάζεται να κατανοούν και να διαμορφώνουν το λογισμικό σωστά πριν να το χρησιμοποιήσουν με αποτέλεσμα τις περισσότερες φορές οι εγκαταστάσεις των υπολογιστών να μην είναι σωστά ασφαλισμένες.

2.1.2: Τα χαρακτηριστικά παραδίδονται βιαστικά στην αγορά

Οι προμηθευτές συστημάτων ηλεκτρονικών υπολογιστών επικεντρώνουν την προσοχή τους στην προσθήκη χαρακτηριστικών που κάνουν το λογισμικό τους περισσότερο χρήσιμο και αδιαφορούν για την παράμετρο της ασφάλειας. Χαρακτηριστικό είναι το παράδειγμα της Microsoft όπου παρά τις πολυάριθμες προειδοποιήσεις από ειδικούς της ασφάλειας υπολογιστών ενσωμάτωσε μια γλώσσα συγγραφής σκριπτ μέσα στο λογισμικό της για e-mail, παρέχοντας έτσι το κατάλληλο περιβάλλον για την διάδοση ενός “ιού e-mail”.

Συμπεραίνει δηλαδή κανείς από αυτό πως η μόλυνση από ιούς που υπάρχει σήμερα είχε προβλεφθεί, είχαν δοθεί προειδοποιήσεις και είχαν τελείως αγνοηθεί από τον συγκεκριμένο προμηθευτή προκειμένου να υλοποιηθεί ένα χαρακτηριστικό που θα το χρησιμοποιούσαν λιγότερο από το 1% των χρηστών. Η Microsoft απλώς δεν έκανε καμία προκαταρκτική έρευνα για τις επιπτώσεις που θα είχε αυτό το χαρακτηριστικό στην ασφάλεια. Δεν θα μπορούσε να κάνει καλύτερη δουλειά, ακόμη και αν δούλευε για λογαριασμό των εισβολέων.

2.1.3: Επισκίαση της ασφάλειας από τον ανταγωνισμό

Αυτό που κατευθύνει τις εταιρείες που ασχολούνται με τους υπολογιστές να μην δίνουν ιδιαίτερη προσοχή στην ασφάλεια των συστημάτων που παράγουν, είναι οι ίδιοι οι πελάτες που δεν δίνουν αξία στην ασφάλεια. Αν το έκαναν θα χρησιμοποιούσαν παλιότερο, δοκιμασμένο, ασφαλές λογισμικό που θα είχε όλα τα χαρακτηριστικά των καινούριων εκδόσεων. Εταιρίες σαν την Microsoft που προσάρμοσαν τα προϊόντα τους ώστε να εργάζονται στο διαδίκτυο, αποδεκάτισαν τον ανταγωνισμό. Αν περίμεναν να τα κάνουν όλα αυτά με ασφάλεια, θα είχαν νικηθεί από κάποιον που δεν υλοποιούσε ασφάλεια. Ποιο ήταν το τελικό αποτέλεσμα; Τα λιγότερο ασφαλή προϊόντα φθάνουν πρώτα στην αγορά και γίνονται πρότυπα της αγοράς.


2.1.4: Η ταχύτητα εξέλιξης των υπολογιστών και του λογισμικού.

Οι υπολογιστές και η τεχνολογία δικτύωσης εξελίσσονται πολύ γρήγορα και οι εταιρείες δεν είναι σε θέση να προβλέψουν τι θα πάει στραβά. Ο νόμος του Moore αναφέρει ότι το υλικό των υπολογιστών θα διπλασιάζεται σε ισχύ κάθε δύο χρόνια. Η πρόβλεψή του έχει αποδειχθεί ακριβής για πάνω από τρεις δεκαετίες τώρα. Πρωτόκολλα που δεν αναπτύχθηκαν ώστε να είναι ασφαλή υιοθετήθηκαν για άλλες χρήσεις, εκτός αυτών για τις οποίες αναπτύχθηκαν και έγιναν πολύ δημοφιλή σε μεγαλύτερο κοινό από αυτό που είχαν φανταστεί οι δημιουργοί τους.

Η ταχύτητα αυτή της εξέλιξης ευθύνεται ακόμη και για το ότι οι προγραμματιστές δεν μπορούν να προβλέψουν τα προβλήματα με ακρίβεια. Σπάνια σκέφτονται ότι η κατάσταση των συναρτήσεων τους μπορεί να αλλάξει εξωτερικά από κάποια τιμή, ενώ εκτελείται ο κώδικάς τους, οπότε ελέγχουν μόνο για τιμές που στέλνουν αυτοί στις συναρτήσεις. Όταν ο κώδικας περάσει τους ελέγχους αποσφαλμάτωσης, διανέμεται, χωρίς να ελεγχθεί με διάφορα τυχαία δεδομένα. Ακόμη και να προσπαθούσαν να προβλέψουν σφάλματα, οι δέκα προγραμματιστές που δημιουργούν ένα έργο δεν θα μπορούσαν ποτέ να φανταστούν όλες τις πιθανές επιθέσεις που τα εκατομμύρια εισβολέων θα προσπαθούσαν να κάνουν.


2.1.5: Έλλειψη ποικιλομορφίας στην αγορά λογισμικού

Το μονοπώλιο των λειτουργικών συστημάτων Windows και Unix έχει μειώσει τους στόχους των εισβολέων στις μικρές παραλλαγές αυτών των δύο λειτουργικών συστημάτων. Στις περισσότερες εφαρμογές, το ένα από τα δύο αυτά προϊόντα κατέχει τη μερίδα του λέοντος, οπότε οι εισβολείς αρκεί να σπάσουν μόνο το ένα προϊόν για να έχουν πρόσβαση σε πολλούς ανθρώπους.

Για να αποφύγουν προβλήματα με τους πελάτες τους, οι προμηθευτές προσπαθούν να κρύψουν τα προβλήματα των λειτουργικών συστημάτων τους και έτσι αποθαρρύνουν την συζήτηση για αυτά. Αντίθετα οι εισβολείς κοινοποιούν τα προβλήματα που ανακαλύπτουν αμέσως σε όλο τον κόσμο μέσω του διαδικτύου. Αυτή η διαφορά σημαίνει ότι τα προβλήματα διαχέονται πολύ περισσότερο από τις λύσεις τους.


2.1.6: Άτακτες διορθώσεις

Όταν βρίσκονται προβλήματα ασφαλείας σε κάποιο λογισμικό, ο προμηθευτής θα διορθώσει το πρόβλημα, θα δημοσιεύσει μια διόρθωση στο διαδίκτυο και θα στείλει μια ειδοποίηση μέσω e-mail σε εγγεγραμμένους πελάτες. Δυστυχώς, δεν παίρνουν όλοι την ειδοποίηση και δεν εγκαθιστούν τη διόρθωση. Στην πραγματικότητα, οι περισσότεροι χρήστες δεν εγκαθιστούν ποτέ διορθώσεις ασφάλειας για λογισμικό, εκτός και αν υποστούν κάποια εισβολή.

Ακόμη χειρότερα, οι προμηθευτές στέλνουν βιαστικά διορθώσεις σε πελάτες για σφάλματα που δεν έχουν βρεθεί ακόμη, οι οποίες μπορούν να προκαλέσουν ακόμη μεγαλύτερα προβλήματα στα μηχανήματα των πελατών τους και ακόμη και στις καλύτερες περιπτώσεις, να απαιτούν πρόσθετη επεξεργασία για να βρεθούν τα προβλήματα, με αποτελέσματα την επιβράδυνση του συστήματος. Σε ορισμένες περιπτώσεις, η θεραπεία είναι χειρότερη από την ασθένεια.

2.2: Τι είναι Εισβολή

Εισβολή είναι η προσπάθεια προσπέλασης ενός συστήματος υπολογιστή, χωρίς εξουσιοδότηση. Αρχικά ο όρος εισβολέας αναφερόταν απλώς σε ένα πεπειραμένο χρήστη υπολογιστών και οι γκουρού συνεχίζουν να αναφέρονται έτσι στους εαυτούς τους με αυτήν την έννοια. Αλλά όταν η εισβολή σε συστήματα υπολογιστών έγινε δημοφιλής, τα μέσα χρησιμοποιούσαν τον όρο εισβολέας για να αναφέρονται μόνο σε εγκληματίες των υπολογιστών και έτσι ο όρος έλαβε αρνητική έννοια.

Αρχικά θα πρέπει να τονίσουμε ιδιαίτερα ότι η εισβολή είναι παράνομη. Στις Η.Π.Α. θεωρείται ήδη νομικά παράνομη κάτι που ακόμα δεν ισχύει και στην Ελλάδα όπως θα δούμε και σε επόμενο κεφάλαιο που αναφέρεται στην νομική υπόσταση του θέματος της ασφάλειας δικτύων. Από τεχνικής σκοπιάς, ο νόμος απαιτεί ο δράστης να κάνει κάτι, και όχι απλώς να προσπελάσει και να διαβάσει τα δεδομένα, αλλά όμως, αν απλώς προσπελάσει ένα σύστημα ο ιδιοκτήτης του συστήματος δεν είναι σε θέση να γνωρίζει την ενέργεια αυτή. Ο νόμος δηλώνει σαφώς ότι ο δράστης πρέπει να κάνει σκόπιμα το αδίκημα και έτσι απαιτεί να έχει δημοσιευθεί κάποιο είδος ειδοποίησης ότι μη εξουσιοδοτημένη προσπέλαση είναι παράνομη ή να καθοριστεί κάποιο εμπόδιο προσπέλασης, ώστε να θεωρηθεί αυτή η ενέργεια αδίκημα.

Σύμφωνα με το FBI, για να θεωρηθεί ένα αδίκημα που έχει σχέση με τους υπολογιστές πραγματικό αδίκημα, ο επιτιθέμενος πρέπει να αποδειχθεί ότι έχει προκαλέσει ζημιά τουλάχιστον 5000 δολαρίων. Γι’ αυτόν τον λόγο οι αποστολείς ενοχλητικής αλληλογραφίας, που προσπελαύνουν ανοικτά συστήματα διακομιστών ταχυδρομείου δεν μηνύονται, επειδή δεν επιφέρουν αρκετή οικονομική ζημιά σε κανένα από τα θύματά τους και οι διακομιστές SMTP δεν κάνουν επαλήθευση, οπότε δεν υπάρχει μεγάλη ελπίδα ασφάλειας. Αλλά επειδή η ενοχλητική αλληλογραφία έχει λάβει πρόσφατα τη μορφή επιδημίας, ένας άλλος νόμος θεωρεί αδίκημα τη μετάδοση ενοχλητικών εμπορικών μηνυμάτων, αν δεν υπάρχει κάποια εμπορική σχέση ανάμεσα στον αποστολέα και στον παραλήπτη.

2.3: Τύποι Εισβολέων

Απαιτείται πολύς χρόνος για κάποιον που δεν γνωρίζει τόσο για να μάθει όσο και για να καταφέρει να πραγματοποιήσει μια εισβολή σε ένα ξένο σύστημα υπολογιστή. Εξαιτίας αυτού του γεγονότος υπάρχουν δύο τύποι σοβαρών εισβολέων, οι υποαπασχολούμενοι και αυτοί που πληρώνονται προκειμένου να πραγματοποιούν εισβολές. Η λέξη εισβολέας μας φέρνει στο μυαλό εφήβους που κάθονται όλη την ημέρα μπροστά σε ένα υπολογιστή. Πράγματι, αυτή η ομάδα είναι το μεγαλύτερο κομμάτι των σημερινών εισβολέων, αλλά δεν αποτελούν το μεγαλύτερο κίνδυνο. Οι εισβολείς ανήκουν στις παρακάτω κατηγορίες, με σειρά αυξανόμενης απειλής:

* Ειδικοί Ασφαλείας
* Έφηβοι Εισβολείς
* Υποαπασχολούμενοι Ενήλικες
* Εισβολείς από Ιδεολογία
* Εγκληματίες Εισβολείς
* Εταιρικοί Κατάσκοποι
* Δυσαρεστημένοι Υπάλληλοι

Ειδικοί Ασφαλείας:

Οι περισσότεροι ειδικοί ασφαλείας είναι σε θέση να κάνουν εισβολές αλλά δεν το κάνουν για ηθικούς ή για οικονομικούς λόγους. Γνωρίζουν ότι μπορούν να κερδίσουν περισσότερα χρήματα αν αποτρέπουν τις εισβολές παρά να τις προκαλούν, οπότε ξοδεύουν το χρόνο τους παρακολουθώντας τις κοινότητες των εισβολέων και τις τρέχουσες τεχνικές προκειμένου να γίνουν περισσότερο αποτελεσματικοί στη μάχη κατά των εισβολέων. Είναι πολλές οι εταιρίες που δραστηριοποιούνται στον κυβερνοχώρο που προσλαμβάνουν ηθικούς εισβολείς για να ελέγχουν τα συστήματα ασφαλείας τους και των μεγάλων πελατών τους. Αυτοί οι ειδικοί συχνά είναι οι πρώτοι που βρίσκουν νέες μεθόδους εισβολής και συχνά γράφουν λογισμικό για να ελέγχουν ή για να προκαλούν μια κατάσταση.

Έφηβοι Εισβολείς:

Οι έφηβοι εισβολείς είναι συνήθως σπουδαστές που κάνουν εισβολές, ενώ βρίσκονται σε κάποια βαθμίδα της εκπαίδευσης –γυμνάσιο, λύκειο ή πανεπιστήμιο. Αυτοί οι εισβολείς μπορούν να χρησιμοποιούν το δικό τους υπολογιστή ή μπορούν να χρησιμοποιούν τους ισχυρούς πόρους της σχολής τους για να κάνουν τις εισβολές τους.

Οι έφηβοι εισβολείς κάνουν βόλτες στον κυβερνοχώρο ψάχνοντας για στόχους και ενδιαφέρονται κυρίως για να εντυπωσιάσουν τους φίλους τους και να μην συλληφθούν. Συνήθως δεν βλάπτουν τους στόχους τους ενώ τις περισσότερες φορές η δράση τους δεν γίνεται καν αντιληπτή, εκτός και αν το σύστημα στο οποίο εισβάλουν ανιχνεύσει ασυνήθιστη δραστηριότητα και ειδοποιήσει τον ιδιοκτήτη ή αν ένα firewall καταγράψει την επίθεση ή εκτός και αν κάνουν κάποιο λάθος.

Αν θεωρήσουμε την κοινότητα των εισβολέων ως μια οικονομική δραστηριότητα, τότε οι έφηβοι εισβολείς είναι οι καταναλωτές. Χρησιμοποιούν τα εργαλεία που παράγονται από άλλους, χαίρονται με τις δραστηριότητές τους και γενικά παράγουν μια βάση διασκέδασης, επάνω στην οποία κάθονται οι σοβαρότεροι έφηβοι εισβολείς και υποαπασχολούμενοι ενήλικες. Καμία σοβαρή προσπάθεια ασφάλειας δεν θα τους βγάλει από το παιχνίδι.

Υποαπασχολούμενοι Ενήλικες:

Οι υποαπασχολούμενοι ενήλικες είναι είτε πρώην έφηβοι εισβολείς, οι οποίοι είτε εκδιώχθηκαν από τη σχολή τους, είτε δεν κατάφεραν να βρουν μια εργασία πλήρους απασχόλησης. Συνήθως εργασίες που πληρώνουν μόνο για τις βασικές τους ανάγκες ενώ η πρώτη τους αγάπη είναι η εισβολή. Πολλά από τα εργαλεία που χρησιμοποιούν οι έφηβοι εισβολείς κατασκευάζονται από τους ενήλικες εισβολείς.

Οι ενήλικες εισβολείς δεν είναι εγκληματίες από πρόθεση αφού δεν έχουν σκοπό να κάνουν κακό σε κανέναν. Ωστόσο συχνά δημιουργούν τα σπασίματα που εφαρμόζονται από άλλους εισβολείς για να ξεκλειδώσουν εμπορικό λογισμικό. Επίσης αυτή η ομάδα των εισβολέων γράφει τους περισσότερους ιούς λογισμικού και αποτελεί την περιβόητη συμμορία των εισβολέων. Κάνουν τις εισβολές τους για αποκτήσουν φήμη στην κοινότητα των εισβολέων, θέλουν να εντυπωσιάσουν τους όμοιούς τους, να πάρουν πληροφορίες και να κάνουν γνωστή την αντίδρασή τους στην κυβέρνηση και τις επιχειρήσεις. Η ομάδα αυτή αποτελεί το ένα δέκατο της κοινότητας των εισβολέων, αλλά είναι η πηγή του λογισμικού που γράφεται ειδικά για εισβολείς.

Οι υποαπασχολούμενοι ενήλικες αποτελούν κίνδυνο για το δίκτυο μιας εταιρίας αν αυτή κατέχει κάποιο είδος πνευματική ιδιοκτησίας που θέλει να προστατέψει, μιας και η πνευματική ιδιοκτησία δεν προστατεύεται αρκετά από το νόμο και η εισβολή δεν αποτελεί αδίκημα σε πολλές χώρες του κόσμου.

Εισβολείς από Ιδεολογία:

Οι εισβολείς από ιδεολογία είναι αυτοί που κάνουν εισβολές για να προωθήσουν κάποιο πολιτικό σκοπό. Από το 2000, η εισβολή από ιδεολογία έχει ξεφύγει από την εμφάνιση μερικών μόνο επεισοδίων και έχει φτάσει σε επίπεδο πλήρους πολέμου πληροφοριών. Η εισβολή από ιδεολογία είναι περισσότερο συνηθισμένη σε πολιτικές διαμάχες που αφορούν συνήθως σε θέματα περιβάλλοντος και εθνικισμού.

Σε μια προσπάθεια να διαδηλώσουν τις ιδέες τους, αυτοί οι εισβολείς συνήθως καταστρέφουν ιστοσελίδες ή κάνουν επιθέσεις άρνησης παροχής υπηρεσίας εναντίον των ιδεολογικών τους αντιπάλων. Συνήθως προσπαθούν να επιτύχουν ευρεία κάλυψη των κατορθωμάτων τους από τα μέσα και επειδή προέρχονται κυρίως από άλλες χώρες και έχουν την έμμεση υποστήριξη των κυβερνήσεών τους, δεν μπορούν να απαγγελθούν κατηγορίες εναντίον τους.

Αυτό το είδος εισβολής εμφανίζεται κατά κύματα, όταν συμβαίνουν μεγάλα γεγονότα στον πολιτικό στίβο, και πολλές φορές εξαιτίας του ότι αυτού του είδους οι επιθέσεις καταναλώνουν πολύ μεγάλο εύρος ζώνης, προκαλούν χαοτικές καταιγίδες.

Εγκληματίες Εισβολείς:

Οι εγκληματίες εισβολείς κάνουν εισβολές είτε για εκδίκηση, είτε για να διαπράξουν κλοπές, είτε απλώς για να ικανοποιηθούν και να προκαλέσουν καταστροφές. Αυτή η κατηγορία εισβολέων δεν αποτελούν ένα ειδικό επίπεδο ηθικού προβλήματος. Οι εγκληματίες εισβολείς είναι αυτοί που ακούγονται στις εφημερίδες να έχουν εισβάλει σε διακομιστές Internet για να κλέψουν αριθμούς πιστωτικών καρτών, για να κάνουν μεταφορές χρημάτων από τράπεζες ή να έχουν εισβάλει στο μηχανισμό τραπεζικών συναλλαγών του Internet για να κλέψουν χρήματα.

Αυτοί οι εισβολείς είναι παρόμοιοι με κάθε άλλο εγκληματία αφού προσπαθούν να κάνουν ζημιά αδιαφορώντας για το ποιος είναι το θύμα. Οι εγκληματίες εισβολείς είναι πολλοί σπάνιοι επειδή η ευφυΐα που απαιτείται για να κάνουν εισβολές συνήθως τους δίνει την ευκαιρία να βρουν κάποιο περισσότερο αποδεκτό κοινωνικά τρόπο ζωής. Παρόλα αυτά, γίνεται όλο και περισσότερο συνηθισμένο το οργανωμένο έγκλημα να απειλεί ότι θα κάνει επιθέσεις άρνησης παροχής υπηρεσιών για να ζητήσει χρήματα προστασίας από εταιρίες τα έσοδα των οποίων προέρχονται από μια δημόσια ιστοθέση. Επειδή οι επιθέσεις άρνηση παροχής υπηρεσιών δεν μπορούν να αποτραπούν, αφού μπορεί για παράδειγμα να εμφανιστούν με την μορφή μιας μεγάλης ποσότητας νόμιμων αιτήσεων, τα θύματα συχνά αισθάνονται ότι δεν έχουν καμία άλλη επιλογή παρά να πληρώσουν.

Εταιρικοί Κατάσκοποι:

Οι πραγματικοί εταιρικοί κατάσκοποι είναι πολύ σπάνιοι επειδή είναι πολύ ακριβό και πολύ επικίνδυνο να χρησιμοποιηθούν παράνομες τεχνικές εισβολής εναντίον ανταγωνιστικών εταιριών. Αυτές οι τεχνικές χρησιμοποιούνται τις περισσότερες φορές εναντίον εταιριών υψηλής τεχνολογίας από ξένες κυβερνήσεις. Πολλές εταιρίες υψηλής τεχνολογίας είναι νέες και άπειρες στο θέμα ασφάλειας και έτσι μπορούν εύκολα να επιλεγούν από τους πεπειραμένους πράκτορες ξένων κυβερνήσεων. Αυτές οι υπηρεσίες έχουν ήδη τα χρήματα για να κάνουν κατασκοπία και επιτίθενται σε μερικές επιχειρήσεις μεσαίου μεγέθους για να υποκλέψουν τεχνολογία, η οποία θα δώσει στις εθνικές τους εταιρίες ένα ανταγωνιστικό πλεονέκτημα.

Δυσαρεστημένοι Υπάλληλοι:

Οι δυσαρεστημένοι υπάλληλοι είναι οι πιο επικίνδυνοι και οι πιθανότεροι να δημιουργήσουν προβλήματα από όλους τους εισβολείς. Ένας υπάλληλος που θεωρεί ότι δεν του έχει φερθεί καλά η εταιρία στην οποία εργάζεται, έχει και τον τρόπο αλλά και τα κίνητρα να προκαλέσει σοβαρές καταστροφές στο δίκτυο της εταιρίας. Επιθέσεις από δυσαρεστημένους υπαλλήλους δύσκολα ανιχνεύονται πριν να συμβούν, αλλά συνήθως κάποιο είδος συμπεριφοράς δίνει κάποιες γενικές ενδείξεις. Οι επιθέσεις μπορεί να είναι είτε περίπλοκες όπου ένας διαχειριστής δικτύου για παράδειγμα διαβάζει όλα τα e-mail των υπαλλήλων, είτε απλές όπου ένας υπάλληλος κάνει καταστροφές στον διακομιστή της εταιρικής βάσης δεδομένων.

Εξαιτίας των παραπάνω είναι πολύ αποδοτικό να γίνεται γνωστό σε όλους τους υπαλλήλους της εταιρίας ότι το τμήμα Πληροφορικής καταγράφει όλες τις δραστηριότητες των χρηστών για λόγους ασφαλείας. Αυτό αποτρέπει μέρος των προβλημάτων αφού οι υπάλληλοι γνωρίζουν ότι θα είναι γνωστές όλες οι ενέργειες που κάνουν στα συστήματα του δικτύου υπολογιστών της εταιρίας.

2.4: Κακόβουλα Προγράμματα

Ως κακόβουλα προγράμματα (malicious codes) χαρακτηρίζονται τα προγράμματα εκείνα που εκτελούν καταστροφικές ενέργειες σε υπολογιστικά συστήματα. Πρόκειται για προγράμματα που μπορούν να προκαλέσουν ανεπιθύμητα αποτελέσματα, όπως εμφάνιση μηνυμάτων, διαγραφή αρχείων, ακόμη και φορμάρισμα δίσκων.

Τα κακόβουλα προγράμματα μπορεί να παραμένουν σε αδράνεια στη μνήμη του υπολογιστή για μεγάλο χρονικό διάστημα. Τα αποτελέσματά τους γίνονται αντιληπτά όταν ενεργοποιούνται μετά από κάποιο συμβάν ή σε μια συγκεκριμένη ημερομηνία. Αυτό όμως που κάνει τα κακόβουλα προγράμματα ιδιαίτερα επικίνδυνα είναι η δυνατότητά τους να αντιγράφονται και να εξαπλώνονται από υπολογιστή σε υπολογιστή.

Οι βασικοί τύποι κακόβουλων προγραμμάτων περιγράφονται στη συνέχεια και είναι:
* Ιοί Υπολογιστών (Computer Viruses)
* Δούρειοι Ίπποι (Trojan Horses)
* Σκουλήκια (Worms)
Άλλοι τύποι κακόβουλων προγραμμάτων που βρέθηκαν στην βιβλιογραφία είναι:

* Λογικές Βόμβες (Logic Bombs): κακόβουλα προγράμματα που «εκρήγνυνται» όταν ικανοποιηθεί μια λογική συνθήκη.

* Χρονικές Βόμβες (Time Bombs): κακόβουλα προγράμματα που ενεργοποιούνται όταν έρθει η κατάλληλη χρονική στιγμή ή μέρα.

* Πίσω πόρτες (Trapdoors/Backdoors): κρυμμένες λειτουργίες προγραμμάτων με τις οποίες παρέχεται η προσπέλαση σε ευαίσθητα δεδομένα.

* Κουνέλια (Rabbits): προγράμματα που αυτο-αντιγράφονται απεριόριστα με σκοπό την υπερβολική κατανάλωση υπολογιστικών πόρων.


2.4.1: Ιοί

Ιοί Υπολογιστών (Computer Viruses) ονομάζονται τα μέρη κώδικα που είναι προσαρτημένα σε ένα κανονικό (ωφέλιμο) πρόγραμμα και αντιγράφονται από μόνα τους (self-replicating). Μπορεί να μην κάνουν τίποτε, να μην προκαλούν ζημιές (π.χ. να παίζουν κάποιο τόνο μουσικής) ή να είναι καταστροφικά (π.χ. να μεταβάλλουν και να σβήνουν αρχεία). Υπάρχουν διάφοροι τύποι ιών:

* Ιοί Εκκίνησης (Bootstrap Viruses): κώδικας που εισάγεται στην διαδικασία εκκίνησης ενός υπολογιστή.

* Παρασιτικοί Ιοί (Parasitic Viruses): μέρη κώδικα που προσαρτώνται σε εκτελέσιμα προγράμματα (αρχεία .COM ή .ΕΧΕ).

* Συνοδευτικοί Ιοί (Companion Viruses): εναλλακτικά εκτελέσιμα προγράμματα που εισάγονται στην διαδρομή αναζήτησης κανονικών προγραμμάτων.

* Ιοί Μακροεντολών (Macro Viruses): τμήματα κώδικα που εισάγονται σε αρχεία δεδομένων τα οποία επεξεργάζεται μια εφαρμογή που υποστηρίζει μακροεντολές.

Όσον αφορά τον τρόπο ενεργοποίησής τους, οι ιοί αντιγράφονται από μόνοι τους με δυο βασικούς τρόπους. Όταν εκτελείται ένα μολυσμένο πρόγραμμα:

* είτε μολύνει άμεσα άλλα μέρη του υπολογιστή (transient), π.χ. άλλες τοποθεσίες στο δίσκο ή άλλα προγράμματα

* είτε εγκαθίσταται μόνιμα στη μνήμη (memory resident) από μόνο του και κατόπιν μολύνει άλλα προγράμματα που εκτελούνται ή μέσα αποθήκευσης που εισάγονται για χρήση (π.χ. δισκέτες).


2.4.1.1: Ιοί Εκκίνησης

Για να καταλάβουμε τους ιούς εκκίνησης (bootstrap viruses) πρέπει πρώτα να καταλάβουμε τη διαδικασία εκκίνησης (boot) των υπολογιστών. Εξετάζουμε αρχικά τον κώδικα που εκτελείται από έναν υπολογιστή όταν ξεκινάει τη λειτουργία του. Ένα μέρος του κώδικα βρίσκεται στην μνήμη ROM και ένα άλλο στον δίσκο, για την περίπτωση ενός υπολογιστή με λειτουργικό σύστημα DOS. Η σειρά των βημάτων εκκίνησης είναι η ακόλουθη:

Η μνήμη ROM περιέχει μια ρουτίνα αρχικοποίησης που εντοπίζει τον Κύριο Τομέα Εκκίνησης (Master Boot Sector) πάνω σε έναν από τους δίσκους του συστήματος σύμφωνα με την καθορισμένη σειρά αναζήτησής τους. Ο Κύριος Τομέας Εκκίνησης βρίσκεται σε μια σταθερή θέση στο δίσκο. Περιέχει τον εκτελέσιμο κώδικα και τον πίνακα τμηματοποίησης (partition table), που καθορίζει τα τμήματα του δίσκου και δηλώνει ποια τμήματα είναι εκκινήσιμα (bootable). O Κύριος Τομέας Εκκίνησης δηλώνει επίσης το μέρος όπου βρίσκεται ο Τομέας Εκκίνησης του DOS (DOS Boot Sector). O Τομέας Εκκίνησης του DOS περιέχει εκτελέσιμο κώδικα και τον Πίνακα Εντοπισμού Αρχείων (File Allocation Table-Fat), όπου σημειώνονται τα σημεία αποθήκευσης των αρχείων στον δίσκο.
Φορτώνεται το πρόγραμμα IO.SYS, το οποίο περιέχει τα προγράμματα BIOS (Basic Input /Output System) και SYSINIT.
Το πρόγραμμα SYSINIT φορτώνει το MSDOS.SYS
Ο έλεγχος περνάει στο λειτουργικό σύστημα DOS (Disk Operating System), το οποίο εκτελεί τον ερμηνευτή εντολών (COMMAND.COM) με βάση το αρχείο AUTOEXEC.BAT.

Στην διαδικασία εκκίνησης υπάρχουν πολλά πιθανά σημεία για επιθέσεις. Οι ιοί εκκίνησης (bootstrap viruses) παραμένουν στους τομείς εκκίνησης, ώστε η εκτέλεσή τους να προηγείται της εκτέλεσης του DOS. Με αυτόν τον τρόπο μπορούν να χρησιμοποιήσουν τις λειτουργίες του BIOS. Μπορούν έτσι να μολύνουν άμεσα τους τομείς εκκίνησης των άλλων δίσκων της μηχανής και αφού εγκατασταθούν μόνιμα στη μνήμη (memory resident) να μολύνουν τους τομείς εκκίνησης των δίσκων όποτε τους δίνεται η δυνατότητα να το κάνουν.

Οι ιοί εκκίνησης εισχωρούν σε συστήματα μέσω μολυσμένων μέσων αποθήκευσης, όπως οι δισκέτες. Η μόλυνση θα συμβεί όταν ο ιδιοκτήτης του συστήματος ξεκινήσει την λειτουργία του συστήματος από μια μολυσμένη δισκέτα. Συχνά συμβαίνει αυτό ενώ ο ιδιοκτήτης του υπολογιστή δεν προτίθεται να ξεκινήσει τη λειτουργία του από μια δισκέτα, για παράδειγμα όταν η δισκέτα βρίσκεται κατά λάθος μέσα στον οδηγό καθώς το σύστημα σταματάει τη λειτουργία του. Αυτό συμβαίνει ιδίως μετά από μια διακοπή ρεύματος οπότε ακολουθεί μια αυτόματη επανεκκίνηση του συστήματος.

Συνήθως οι επανεκκινήσεις με συνδυασμό πλήκτρων (soft reboot) δεν βοηθούν στο να απαλλαγούμε από έναν ιό, καθώς αυτός είναι εγκατεστημένος μόνιμα στη μνήμη η οποία δεν αρχικοποιείται ξανά με αυτό τον τρόπο.


2.4.1.2: Παρασιτικοί Ιοί

Άλλα σημεία επιθέσεων είναι τα προγράμματα των χρηστών. Οι παρασιτικοί ιοί (parasitic viruses) προσκολλώνται μόνοι τους σε ένα εκτελέσιμο πρόγραμμα (.EXE ή .COM) και στη συνέχεια μολύνουν τα υπόλοιπα προγράμματα. Σε μια τυπική περίπτωση, προσαρτάται ο ιοικός κώδικας σε ένα κανονικό πρόγραμμα και κατόπιν εισάγεται στην αρχή του προγράμματος μια εντολή μεταφοράς του ελέγχου στο σημείο του ιοικού κώδικα. Στο τέλος του ιοικού κώδικα ο έλεγχος μεταφέρεται και πάλι στο κανονικό πρόγραμμα.

Οι παρασιτικοί ιοί αντιγράφονται κατά τη διάρκεια της εκτέλεσης των μολυσμένων προγραμμάτων. Υπάρχουν όμως και πολύπλοκοι ιοί οι οποίοι αυτοδιασπώνται σε μικρότερα κομμάτια που παραμένουν κρυμμένα στην ενδιάμεση περιοχή των μολυσμένων προγραμμάτων.

Μιλώντας γενικά, όταν εκτελείται ένα μολυσμένο πρόγραμμα, εκτελείται ο ιός και μετά το κανονικό πρόγραμμα οπότε τα αποτελέσματα της εκτέλεσης του ιού δεν γίνονται άμεσα αντιληπτά. Στα λειτουργικά συστήματα χωρίς μέτρα διασφάλισης της ακεραιότητας, οι ιοί μπορούν να κάνουν οτιδήποτε. Σε λειτουργικά συστήματα που παρέχουν τέτοια μέτρα, οι μολύνσεις μπορούν να περιορισθούν σε αρχεία που ανήκουν στον χρήστη που εκτελεί το μολυσμένο πρόγραμμα.

2.4.1.3: Συμπληρωματικοί Ιοί

Σε λειτουργικά συστήματα όπου παρέχεται η δυνατότητα εισαγωγής εντολών γραμμής, όπως για παράδειγμα το DOS, συχνά οι χρήστες εκτελούν τα προγράμματα δίνοντας μόνο το όνομα των σχετικών αρχείων χωρίς να προσδιορίζουν τις επεκτάσεις τους, οπότε το σύστημα ψάχνει να βρει αρχεία με το ίδιο όνομα και επέκταση.COM ή .EXE ή .BAT. Ακόμη, το σύστημα πρώτα ψάχνει στον τρέχοντα κατάλογο και μετά στους καταλόγους που αναφέρονται στη μεταβλητή συστήματος path.

Οι Συμπληρωματικοί Ιοί (companion viruses) εκμεταλλεύονται αυτήν ακριβώς την συμπεριφορά του χρήστη και του λειτουργικού συστήματος. Έτσι, για ένα υπάρχον πρόγραμμα με επέκταση .EXE δημιουργούν ένα αρχείο .COM με το ίδιο όνομα το οποίο περιέχει τον ιοικό κώδικα. Τελικά, το αρχείο .COM είναι αυτό που εκτελείται κάθε φορά που ο χρήστης δίνει μόνο το όνομα του αρχείου με σκοπό να εκτελεστεί το κανονικό πρόγραμμα.

Ο ίδιος τύπος επίθεσης μπορεί να συμβεί και σε άλλα λειτουργικά συστήματα, όπως για παράδειγμα το Unix,εγκαθιστώντας ένα μολυσμένο αρχείο το οποίο έχει το ίδιο όνομα με ένα κανονικό σε έναν κατάλογο που ψάχνεται πριν από αυτόν που περιέχει το κανονικό πρόγραμμα.


2.4.1.4: Ιοί Μακροεντολών

Ο τελευταίος τύπος ιών που εξετάζουμε είναι οι Ιοί των Μακροεντολών (Macro viruses). Ενώ οι προηγούμενοι ιοί είναι γραμμένοι σε γλώσσα μηχανής, οι ιοί των μακροεντολών είναι γραμμένοι σε μια υψηλού επιπέδου γλώσσα, όπως για παράδειγμα η γλώσσα μακροεντολών μιας εφαρμογής ο επεξεργαστής κειμένου Word της Microsoft. Οι ιοί αυτού του είδους παραμένουν μέσα σε αρχεία δεδομένων που δημιουργούνται από τη σχετική εφαρμογή. Επομένως, μπορεί κανείς να τους βρει συχνά σε αρχεία επεξεργασίας κειμένου και σε αυτή τη περίπτωση είναι γραμμένοι στην γλώσσα μακροεντολών του συγκεκριμένου επεξεργαστή κειμένου.

Οι ιοί μακροεντολών είναι πολύ επικίνδυνοι καθώς ξεπερνούν τα μέτρα ελέγχου διανομής και χρήσης των εκτελέσιμων προγραμμάτων που έχουν σχεδιασθεί ώστε να αντιπαλέψουν τους παρασιτικούς ιούς. Επιπλέον, μπορεί να μην εξαρτώνται από επιμέρους πλατφόρμες. Αλλά το πιο ανησυχητικό είναι ότι τα αρχεία κειμένου ανταλλάσσονται ευρέως μεταξύ των χρηστών για νόμιμους σκοπούς, κάτι που δεν ισχύει για ανταλλαγές εκτελέσιμων αρχείων. Για αυτό οι ιοί μακροεντολών αποτελούν έναν πολύ σοβαρότερο κίνδυνο από τους άλλους τύπους ιών.

Η δυνατότητα δημιουργίας ιών μακροεντολών ήταν γνωστή από τη δεκαετία του 1980. Εντούτοις, πραγματικές περιπτώσεις τέτοιων ιών δεν έγιναν αντιληπτές μέχρι τη δεκαετία του 1990. Το πρώτο γνωστό παράδειγμα ιού μακροεντολών είναι γνωστό ως Concept virus, ο οποίος ήταν για το Microsoft Word, αλλά μετά ακολούθησαν ιοί και για άλλες εφαρμογές, όπως για παράδειγμα το Excel. Ο ιός Concept μολύνει το αρχείο NORMAL.DOT file,που είναι το πρότυπο (template) που χρησιμοποιείται όταν το Microsoft Word δημιουργεί ένα νέο έγγραφο. Αφού φορτωθεί στη μνήμη του υπολογιστή, ο ιός μολύνει όλα τα έγγραφα που δημιουργούνται στη συνέχεια με την μακροεντολή Concept. Aν κατά τη διάρκεια μιας συνόδου του Word γίνει η έκδοση (edit) ενός μολυσμένου αρχείου, το αποτέλεσμα είναι ότι ο ιός φορτώνεται για τη συγκεκριμένη σύνοδο (session) του Word και όταν αυτή τερματίζεται μολύνεται το αρχείο NORMAL.DOT. Ενώ είναι δυνατόν να απομακρυνθεί ο ιός από το αρχείο NORMAL.DOT (απλά σβήνοντας το αρχείο αυτό),είναι πολύ δύσκολο να καθαριστούν τα μολυσμένα αρχεία, καθώς η μόλυνση μπορεί να επαναληφθεί πολύ εύκολα.

Από την έκδοση (version) Word 97 και μετά, παρέχεται η δυνατότητα απενεργοποίησης των μακροεντολών με την οποία εμποδίζονται οι μολύνσεις με την εμφάνιση ενός προειδοποιητικού μηνύματος όποτε φορτώνεται ένα έγγραφο που περιέχει μακροεντολές.


2.4.1.5: Υπογραφές των Ιών

Το ευτύχημα είναι ότι οι ιοί που εισχωρούν σε ένα σύστημα δεν μπορούν να παραμείνουν ολότελα αόρατοι αφού ο ιοικός κώδικας πρέπει να αποθηκευτεί κάπου. Αυτό σημαίνει ότι ο ιοί μπορούν να ανιχνεύονται με αναζήτηση των χαρακτηριστικών ακολουθιών πληροφοριών που ονομάζονται υπογραφές (signatures).

Παρόλα αυτά οι ιοί μπορούν να κρύβονται (κατά ένα μέρος) είτε τεμαχίζοντας τον κώδικά τους είτε αποθηκευόμενοι σε κρυπτογραφημένη μορφή, όπως οι πολυμορφικοί ιοί (polymorphic viruses), χρησιμοποιώντας ένα μεταβλητό κρυπτογραφικό κλειδί το οποίο επίσης αποθηκεύεται μαζί με τον κρυπτογραφημένο ιοικό κώδικα. Το μέρος όμως του ιοικού κώδικα που είναι υπεύθυνο για την διαδικασία αποκρυπτογράφησης πρέπει να παραμένει χωρίς κρυπτογράφηση, αφήνοντας έτσι μια, έστω μικρή, υπογραφή που είναι ικανή για τον εντοπισμό των πολυμορφικών ιών.


2.4.2: Σκουλήκια

Τα σκουλήκια (worms) είναι προγράμματα που εξαπλώνονται μέσω των δικτυωμένων υπολογιστών, αντιγράφοντας τα ίδια ανεξέλεγκτα, αλλά συνήθως δεν προκαλούν άλλου τύπου επιπλοκές. Τα σκουλήκια μοιάζουν πολύ με τους ιούς στο ότι αντιγράφονται από μόνα τους και επιτίθενται σε συστήματα με σκοπό να επιφέρουν βλάβες. Πρόκειται για αυτόνομα προγράμματα τα οποία μολύνουν υπολογιστικά συστήματα μόνο μέσω δικτυακών συνδέσεων. Για τη δημιουργία τους απαιτούνται ιδιαίτερες γνώσεις πρωτοκόλλων επικοινωνιών, ευπαθειών δικτυακών συστημάτων και ειδικών θεμάτων πάνω σε λειτουργικά συστήματα.

Μόλις ένα σκουλήκι μολύνει ένα σύστημα, αναζητεί δραστήρια για πιθανές συνδέσεις με άλλους υπολογιστές, οπότε αν βρει, αμέσως αντιγράφεται σε αυτούς. Όμως, πέρα από την συμπεριφορά αναπαραγωγής τους από σύστημα σε σύστημα, τα σκουλήκια συχνά εκτελούν και κακόβουλες πράξεις, που δεν περιορίζονται μόνο στην καταστροφή αρχείων. Έτσι, μέσω των δικτυακών συνδέσεων μπορούν να υποκλέψουν και να μεταφέρουν προς τους συγγραφείς τους πληροφορίες που αφορούν συνθηματικά χρηστών και άλλες ευαίσθητες αλλά και πολύτιμες πληροφορίες. Επιπλέον, μπορούν να επιφέρουν πλήρη αποδιοργάνωση των λειτουργιών ενός συστήματος ώστε να προκαλείται επίθεση άρνησης εξυπηρέτησης (denial of service). Aυτό συνήθως προκαλείται από παράλληλες και ανοργάνωτες επιθέσεις περισσότερων του ενός σκουληκιών στο ίδιο σύστημα.

Ακριβώς επειδή η μόλυνση από σκουλήκια επιτυγχάνεται μέσω δικτυακών συνδέσεων, είναι δύσκολος ο εντοπισμός των σημείων προσβολής. Για την αποφυγή της μόλυνσης από σκουλήκια επιβάλλεται ο εντοπισμός και η αντιμετώπιση όλων των ευπαθών σημείων του υπολογιστικού συστήματος από τους διαχειριστές του. Αυτό σημαίνει ότι ιδιαίτερα πρέπει να προσεχθούν τα αδύνατα σημεία όπως εύκολα συνθηματικά ή ανεξέλεγκτες δικτυακές υπηρεσίες που μπορούν να εκμεταλλευθούν τα σκουλήκια για να εισβάλλουν στο σύστημα από το δίκτυο και να το μολύνουν.

Ένας καλός τρόπος προφύλαξης από τα σκουλήκια είναι η γνώση των μεθόδων που χρησιμοποιούν για τον εντοπισμό και την αξιοποίηση των ευπαθών σημείων του συστήματος. Όπως γίνεται γενικότερα για την πρόληψη εισβολών (intrusion prevention), η χρήση διατάξεων firewalls και ελέγχου προσπέλασης μπορούν να μειώσουν σημαντικά τους κινδύνους επίτευξης των στόχων των σκουληκιών.


2.4.3: Δούρειοι Ίπποι

Οι Δούρειοι Ίπποι (Trojan Horses) είναι προγράμματα με κρυφές λειτουργίες που δεν περιλαμβάνονται στην τεκμηρίωση που τα συνοδεύει. Τα προγράμματα αυτά ονομάσθηκαν έτσι γιατί λειτουργούν όπως το μυθικό άλογο του Τρωικού Πολέμου. Δηλαδή, ενώ επικαλούνται ότι επιτελούν κάποια εργασία, στην πραγματικότητα εκτελούν και/ή μια διαφορετική λειτουργία. Αυτή η λανθάνουσα δραστηριότητα είναι που συνήθως εκτελεί καλυμμένες ενέργειες, όπως η κλοπή των συνθηματικών των χρηστών.

Υπάρχουν Δούρειοι Ίπποι που η εργασία που υποτίθεται ότι προσφέρουν δεν υπάρχει καν. Έτσι, όταν εκτελούνται απλά προχωρούν στην απροκάλυπτη καταστροφή αρχείων και πόρων του συστήματος. Από την άλλη, υπάρχουν Δούρειοι Ίπποι που λειτουργούν με συγκαλυμμένο τρόπο, έτσι ώστε να επιτελούν την εργασία που επικαλούνται χωρίς να προκαλούν υποψίες. Ως Δούρειοι Ίπποι μπορούν να θεωρηθούν και όσα από τα γνωστά προγράμματα του εμπορίου διαθέτουν λειτουργίες οι οποίες δεν αναφέρονται πουθενά στα εγχειρίδια χρήσης τους, αλλά συνήθως αποκαλύπτονται τυχαία.

Είναι προφανές ότι οι Δούρειοι Ίπποι αποτελούν την πλέον επικίνδυνη κατηγορία κακόβουλων προγραμμάτων, καθώς φανερά επικαλούνται μια δεδομένη λειτουργικότητα ενώ στην πραγματικότητα λειτουργούν λίγο ή πολύ διαφορετικά και μάλιστα χωρίς αυτό να φαίνεται. Έτσι, δεν χρειάζεται να αντιγράφουν τους εαυτούς τους ούτε να αναπαράγονται όπως οι ιοί και τα σκουλήκια. Είναι οι ίδιοι οι χρήστες που βοηθούν τους Δούρειους Ίππους να μολύνουν τα διάφορα υπολογιστικά συστήματα.

Κύριες πηγές Δούρειων Ίππων είναι οι διάφοροι εξυπηρετητές πληροφόρησης (bulletin board servers) και διανομής αρχείων (FTP servers). Σε αυτούς τους τόπους κανείς μπορεί να βρει πληθώρα ελεύθερων (freeware,shareware,demos) και πολλές φορές πειρατικών αντιγράφων προγραμμάτων τα οποία διατίθενται για ‘κατέβασμα’(download) με μικρή ή καθόλου εγγύηση. Φυσικά με κίνητρο την δωρεάν απόκτηση «χρήσιμου» λογισμικού, οι χρήστες αναλαμβάνουν το ρίσκο να γίνουν οι ίδιοι βοηθοί των συγγραφέων των Δούρειων Ίππων, εγκαθιστώντας τους στους υπολογιστές τους.

Οι πιο χρήσιμοι Δούρειοι ίπποι ονομάζονται πίσω πόρτες. Αυτά τα προγράμματα παρέχουν ένα μηχανισμό με βάση τον οποίο ο εισβολέας μπορεί να ελέγξει απευθείας τον υπολογιστή. Παραδείγματα περιλαμβάνουν κακόβουλα σχεδιασμένα προγράμματα όπως τα NetBus, Back Orifιce και ΒΟ2Κ, καθώς και καλοκάγαθα προγράμματα, τα οποία μπορεί να εκμεταλλευθεί κάποιος για να πάρει τον έλεγχο ενός συστήματος, όπως τα netcat, VNC και pcAnywhere. Τα ιδανικά προγράμματα πίσω πόρτας είναι μικρά και γρήγορα εγκαθιστάμενα προγράμματα, τα οποία εκτελούνται διαρκώς. Οι Δούρειοι ίπποι συνήθως μεταφέρονται μέσω ιών που παράγονται από e-mail ή στέλνονται ως συνημμένα σε e-mail.

Η καλύτερη μέθοδος πρόληψης κατά των Δούρειων Ίππων είναι η ενημέρωση των χρηστών. Σε κάθε περίπτωση όμως είναι δύσκολη αλλά όχι αδύνατη η ανίχνευση των Δούρειων Ίππων πριν να εισχωρήσουν σε ένα υπολογιστικό σύστημα. Για αυτό επιβάλλεται η καθιέρωση και η συνεπής εφαρμογή από τους διάφορους οργανισμούς συγκεκριμένων πολιτικών εγκατάστασης επίσημα αγορασμένου λογισμικού, καθώς και εκπαίδευσης των χρηστών, έτσι ώστε να αποκτήσουν τα απαραίτητα για να συμμερίζονται τους κινδύνους που αναλαμβάνουν όταν δοκιμάζουν προγράμματα άγνωστης προέλευσης.

2.5: Τρόποι Εργασίας των Εισβολέων

Τέσσερις είναι οι τρόποι με τους οποίους ένας εισβολέας μπορεί να προσπελάσει το δίκτυο υπολογιστών μιας επιχείρησης :

* Συνδεόμενος μέσω του Internet,

* Χρησιμοποιώντας έναν υπολογιστή του ίδιου του δικτύου,

* Καλώντας μέσω ενός διακομιστή απομακρυσμένης προσπέλασης (Remote Access Service, RAS) και

* Συνδεόμενος μέσω ενός ανασφαλούς ασύρματου δικτύου.

Αυτός ο αριθμός τρόπων εισόδου ορίζει και τα όρια του προβλήματος της εισβολής.


2.5.1: Απευθείας Εισβολή

Oι εισβολείς σε πολλές περιπτώσεις εργάζονται στις επιχειρήσεις, διαχειρίζονται κάποιο τοπικό τερματικό ή βρίσκονται μπροστά σε ένα πελάτη δικτύου και με αυτό τον τρόπο διαμορφώνουν την κατάσταση για περαιτέρω απομακρυσμένη διείσδυση μέσα σε συστήματα.

Σε μεγάλες εταιρείες δεν υπάρχει τρόπος να γνωρίζει η διοίκηση όλους τους ανθρώπους, οπότε ένας άγνωστος εργαζόμενος στο τμήμα πληροφορικής δεν είναι κάτι το ασυνήθιστο ή κάτι το ύποπτο. Σε εταιρείες όπου οι υπάλληλοι δεν έχουν καρτελάκια ή κάρτες εισόδου, δεν είναι δουλειά των υπαλλήλων να ψάξουν τα στοιχεία άλλων υπαλλήλων, οπότε η διείσδυση είναι σχετικά εύκολη.

Η επίλυση του προβλήματος της απευθείας εισβολής είναι εύκολη αφού αρκεί να εφαρμοστεί πολιτική ισχυρής φυσικής ασφάλειας στις εγκαταστάσεις της επιχείρησης και να θεωρηθεί κάθε σύνδεση ή καλώδιο που βγαίνει από το κτήριο της επιχείρησης σαν ένα πρόβλημα ασφαλείας. Αυτό σημαίνει ότι πρέπει να τοποθετηθούν fίrewalls, που παρακολουθούν κάθε σύνδεση που βγαίνει από το κτήριο, ανάμεσα στις συνδέσεις WAN και στο εσωτερικό δίκτυο της επιχείρησης ή πίσω από ασύρματες συνδέσεις.


2.5.2: Μέσω Τηλεφωνικής Κλήσης

Η εισβολή μέσω τηλεφωνικής κλήσης, μέσω μόντεμ, ήταν παλιότερα ο μόνος τρόπος εισβολής, αλλά γρήγορα πήρε τη δεύτερη θέση, μετά από την εισβολή μέσω του Internet. (Η εισβολή μέσω του Internet είναι απλώς ευκολότερη και πιο ενδιαφέρουσα για τους εισβολείς).

Αν και το πρόβλημα της εισβολής μέσω τηλεφωνικής κλήσης σημαίνει συνήθως εκμετάλλευση ενός μόντεμ που είναι συνδεδεμένο σε ένα διακομιστή υπηρεσίας απομακρυσμένης προσπέλασης (RAS), περιλαμβάνει επίσης το πρόβλημα κλήσης προς διακριτούς υπολογιστές. Κάθε μόντεμ που έχει διαμορφωθεί, ώστε να απαντά για να επιτρέπει απομακρυσμένη προσπέλαση ή απομακρυσμένο έλεγχο από τον υπάλληλο που χρησιμοποιεί τον υπολογιστή, αποτελεί ένα πρόβλημα ασφάλειας. Πολλές εταιρείες επιτρέπουν στους υπαλλήλους τους να προσπελαύνουν απομακρυσμένα τους υπολογιστές τους από το σπίτι, χρησιμοποιώντας αυτήν την μέθοδο.

Μία λύση του προβλήματος της εισβολής μέσω τηλεφωνικής κλήσης είναι η τοποθέτηση των διακομιστών RAS έξω από τα fιrewalls μέσα στη δημόσια ζώνη ασφάλειας και η υποχρεωτική πιστοποίηση των νόμιμων χρηστών στο fιrewall προκειμένου να εισέλθουν στους πόρους του δικτύου της επιχείρησης.


2.5.3: Internet

Η εισβολή μέσω του Internet είναι η περισσότερο διαθέσιμη, ευκολότερα εκμεταλλεύσιμη και πλέον προβληματική περιοχή εισβολής σε ένα εταιρικό δίκτυο.

Ξέρετε ήδη ότι το πρόβλημα της εισβολής μέσω του Internet επιλύεται αν χρησιμοποιείτε firewalls, οπότε δεν υπάρχει λόγος να συζητήσουμε περαιτέ­ρω αυτό το θέμα εδώ. Στο υπόλοιπο αυτού του βιβλίου λύνει το πρόβλημα της εισβολής μέσω του Internet.


2.5.4: Ασύρματα

Η ασύρματη επικοινωνία, ειδικά το ιδιαίτερα δημοφιλές πρωτόκολλο 802.11 b που λειτουργεί στα 11 Mbps είναι πλέον φθηνή και έχει αρχίσει να χρησιμοποιείται ευρέως στον επιχειρηματικό κόσμο. Το 802.11 b, που βασίζεται στο λιγότερο δημοφιλές πρωτόκολλο 802.11 επιτρέπει σε διαχειριστές να συνδέουν σημεία ασύρματης προσπέλασης (WAP) στα δίκτυά τους και να επιτρέπουν σε χρήστες (συνήθως με φορητούς υπολογιστές) να προσπελαύνουν τα δίκτυά τους και να κυκλοφορούν μέσα στις εγκαταστάσεις χωρίς περιορισμούς. Σε ένα άλλο τρόπο λειτουργίας, δύο WAP μπορούν να συνδέονται μεταξύ τους για να δημιουργήσουν μια ασύρματη γέφυρα ανάμεσα σε κτήρια, κάτι που μπορεί να εξοικονομήσει δεκάδες χιλιάδες ευρώ από μια εταιρεία, σε κόστος κατασκευής ή κόστος κυκλωμάτων.

Το 802.11b δινόταν με ένα πολυδιαφημισμένο σχήμα κρυπτογράφησης, που ονομαζόταν Διασφάλιση Απορρήτου Ισοδύναμη της Ενσύρματης Επικοινωνίας (WEP), το οποίο υποσχόταν ότι θα επιτρέπει τη δικτύωση με την ίδια ασφάλεια που παρέχουν τα ενσύρματα δίκτυα. Η ιδέα ήταν σπουδαία, οι ειδικοί της ασφάλειας χρειάστηκαν όμως λιγότερο από 11 ώρες για να παραβιάσουν το σύστημα. Αρχικά κανένας δεν έδωσε σημασία, οπότε αυτοί οι ειδικοί εξέδωσαν ένα λογισμικό που επέτρεπε την αυτόματη εισβολή. Το WEP έχει παραβιαστεί τόσο πολύ πλέον, που πρέπει να θεωρείται σαν ανασφαλής σύνδεση μέσω του Internet. Όλες οι ασύρματες συσκευές πρέπει να τοποθετούνται στη δημόσια πλευρά του Internet, και οι χρήστες πρέπει να πιστοποιούνται με το fιrewall της εταιρίας. Η νεότερη υπηρεσία 128-bit WEP είναι περισσότερο ασφαλής, αλλά δεν πρέπει επίσης να θεωρείται ισοδύναμη της ενσύρματης ασφάλειας.

Αυτό αφήνει ένα μόνο πρόβλημα που είναι η κλοπή υπηρεσίας. Μπορεί κανείς να πάρει ένα φορητό υπολογιστή μέσα σε μια σύγχρονη μεγαλούπολη και να πιστοποιηθεί σε οποιοδήποτε από τα πολυάριθμα δίκτυα 802.11b που υπάρχουν εκεί.

Σήμερα υπάρχουν τα ταχύτερα ασύρματα πρωτόκολλα, 54ΜΒ 802.11g και 150ΜΒ 802.11n τα οποια υποστηρίζουν τα πρωτόκολλά ασφαλειας wpa / wpa2 τα οποία είναι θεωριτικά ποιό ασφαλή αλλά όχι απρόσβλητα!

2.6: Τεχνικές Εισβολής

Οι επιθέσεις εισβολής προχωρούν σε μια σειρά φάσεων, χρησιμοποιώντας διάφορα εργαλεία και τεχνικές. Μια σύνοδος εισβολής αποτελείται από τις παρακάτω φάσεις:

* Επιλογή στόχου

* Συλλογή πληροφοριών

* Επίθεση

Ο εισβολέας προσπαθεί να μάθει στοιχεία για το δίκτυο – στόχο, μέσω κάθε διαδοχικής επίθεσης, οπότε αυτές οι φάσεις παρέχουν στοιχεία στον εισβολέα, ώστε αυτός να μπορεί να συλλέξει πληροφορίες από επιθέσεις που απέτυχαν.


2.6.1: Επιλογή Στόχου

Η επιλογή στόχου είναι η φάση στην οποία ο εισβολέας προσδιορίζει ένα συγκεκριμένο υπολογιστή για να του επιτεθεί. Για να περάσει από αυτήν την φάση, πρέπει να είναι διαθέσιμος κάποιος τρόπος επίθεσης, οπότε το μηχάνημα πρέπει είτε να έχει διαφημίσει την παρουσία του ή να έχει βρεθεί μέσω αναζήτησης. [4],[5]

2.6.1.1: Αναζήτηση DNS

Οι εισβολείς που ψάχνουν για ένα συγκεκριμένο στόχο χρησιμοποιούν την ίδια μέθοδο που χρησιμοποιούν τα προγράμματα περιήγησης στο Web για να βρουν ένα ξενιστή (host), ψάχνουν δηλαδή το όνομα τομέα χρησιμοποιώντας ένα σύστημα Ονομάτων Τομέων (DNS). Η μη καταχώρηση δημοσίων ονομάτων τομέων για τους ξενιστές μιας επιχείρησης, εκτός των διακομιστών ταχυδρομείου και Web, μπορεί να αποτελέσει μια λύση του προβλήματος. Για το εσωτερικό της δίκτυο η επιχείρηση θα πρέπει να χρησιμοποιεί εσωτερικούς διακομιστές DNS, που δεν είναι διαθέσιμοι στο Internet.


2.6.1.2: Σάρωση Διευθύνσεων Δικτύου

Οι εισβολείς που ψάχνουν για ευκαιριακούς στόχους χρησιμοποιούν μια μέθοδο που καλείται σάρωση διευθύνσεων δικτύου για να τους βρουν. Ο εισβολέας θα καθορίσει διευθύνσεις αρχής και τέλους για σάρωση, και μετά το πρόγραμμά του θα στείλει ένα μήνυμα ηχούς ICMP σε καθεμία από αυτές τις διευθύνσεις δικτύου. Αν ένας υπολογιστής από μια από αυτές τις διευθύνσεις απαντήσει, τότε ο εισβολέας έχει βρει έναν ακόμη στόχο. Σαρώσεις διευθύνσεων γίνονται συνεχώς στο Internet. Ένας υπολογιστής συνδεδεμένος στο δημόσιο Internet υπολογίζεται πως η διεύθυνσή του σαρώνεται τουλάχιστον μια φορά κάθε ώρα.


2.6.1.3: Σάρωση θύρας

Αφού ο εισβολέας επιλέξει έναν υπολογιστή στόχου, θα προσπαθήσει να καθορίσει ποιο λειτουργικό σύστημα εκτελεί και ποιες υπηρεσίες παρέχει στους πελάτες του δικτύου. Σε ένα δίκτυο TCP/IP (όπως το Internet), οι υπηρεσίες παρέχονται σε αριθμημένες συνδέσεις, που καλούνται θύρες. Οι θύρες στις οποίες αποκρίνεται ένας υπολογιστής καθορίζουν συνήθως το λειτουργικό σύστημα και τις παρεχόμενες υπηρεσίες του υπολογιστή στόχου.

Υπάρχουν αρκετά εργαλεία στο Internet, τα οποία μπορεί να χρησιμοποιήσει ένας εισβολέας για να καθορίσει ποιες θύρες αποκρίνονται σε αιτήσεις συνδέσεων δικτύου. Αυτά τα εργαλεία δοκιμάζουν κάθε θύρα με τη σειρά και αναφέρουν στον εισβολέα ποιες θύρες αρνούνται τις συνδέσεις και ποιες όχι. Ο εισβολέας μπορεί κατόπιν να επικεντρώσει την προσοχή του στις θύρες που αποκρίνονται σε υπηρεσίες, οι οποίες συχνά μένουν ανασφάλιστες ή έχουν προβλήματα ασφάλειας.

Η σάρωση θυρών μπορεί να αποκαλύψει ποιο λειτουργικό σύστημα χρησιμοποιεί ο υπολογιστής, επειδή κάθε λειτουργικό σύστημα έχει ένα διαφορετικό σύνολο προεπιλεγμένων υπηρεσιών. Αυτές οι πληροφορίες είναι που “λένε” στον εισβολέα ποια εργαλεία να χρησιμοποιήσει για να εισβάλει σε ένα δίκτυο.


2.6.1.4: Σάρωση Υπηρεσίας

Η σάρωση υπηρεσίας αποτελεί μία ακόμα μορφή επίθεσης εισβολής. Υπεύθυνα για αυτήν είναι τα γνωστά ως σκουλήκια του Internet. Πρόκειται για αυτοματοποιημένες επιθέσεις εισβολής, που λειτουργούν υλοποιώντας μια επίθεση και μετά ψάχνοντας για υπολογιστές που είναι ευπρόσβλητoι σε αυτή. Αυτή η αναζήτηση γίνεται με τη μορφή μιας σάρωσης θύρας προς τη συγκεκριμένη θύρα που εξετάζει η επίθεση. Επειδή το σκουλήκι κάνει σάρωση σε μια θύρα, δεν θα εμφανιστεί ούτε ως σάρωση διεύθυνσης (επειδή δεν είναι μια ICMP), ούτε ως σάρωση θύρας (επειδή χτυπά μόνο μια θύρα). Στην πραγματικότητα, δεν υπάρχει τρόπος να καταλάβει κανείς αν μια σάρωση υπηρεσίας είναι μια νόμιμη προσπάθεια σύνδεσης ή μια κακόβουλη σάρωση υπηρεσίας.

Τις περισσότερες φορές μια σάρωση υπηρεσίας ακολουθείται είτε από μια ανίχνευση αρχιτεκτονικής, αν το σκουλήκι είναι ευφυές ή απλώς από μια προσπάθεια επίθεσης στην συγκεκριμένη υπηρεσία, όπως είναι μια υπερχείλιση καταχωρητή.


2.6.2: Συλλογή Πληροφοριών

Η συλλογή πληροφοριών είναι η φάση κατά την οποία ο εισβολέας καθορίζει τα χαρακτηριστικά του στόχου, πριν να του επιτεθεί. Αυτή μπορεί να γίνει είτε μέσω δημόσια διαθέσιμων πληροφοριών, που εκδίδονται για το στόχο ή ερευνώντας το στόχο, χρησιμοποιώντας μη επιθετικές μεθόδους, για να πάρει πληροφορίες από αυτόν. [4], [5]


2.6.2.1: Συλλογή Δεδομένων SNMP

Το πρωτόκολλο Simple Network Management Protocol (SNMP) είναι ένα βασικό εργαλείο για διαχείριση μεγάλων δικτύων TCP/IP. Το SNMP επιτρέπει στο διαχειριστή να υποβάλει ερωτήματα απομακρυσμένα για την κατάσταση συσκευών δικτύου και να ελέγξει τις λειτουργίες τους. Δυστυχώς, οι εισβολείς μπορούν επίσης να χρησιμοποιήσουν το SNMP για να συλλέξουν δεδομένα για ένα δίκτυο ή να επέμβουν στη λειτουργία του.

Το πρωτόκολλο SNMP έχει σχεδιαστεί έτσι, ώστε να παρέχει αυτόματα τις λεπτομέρειες διαμόρφωσης συσκευών δικτύου. Έτσι, “τρύπιες” συσκευές στην δημόσια πλευρά ενός εταιρικού δικτύου μπορούν να δώσουν πάρα πολλές πληροφορίες για το εσωτερικό του.

Σχεδόν κάθε τύπος συσκευής δικτύου, από μεταγωγείς μέχρι δρομολογητές προς διακομιστές, μπορεί να διαμορφωθεί ώστε να παρέχει πληροφορίες διαμόρφωσης και διαχείρισης SNMP. Διασυνδέσεις όπως τα καλωδιακά μόντεμ και πολλά fιrewalls συχνά διαμορφώνονται μέσω SNMP. Λόγω της απανταχού παρουσίας του SNMP συχνά αγνοείται σε συσκευές που βρίσκονται έξω από το δημόσιο fιrewall, και αποτελεί μια πηγή πληροφοριών για το δίκτυο.

2.6.2.2: Ανίχνευση Αρχιτεκτονικής

Οι ανιχνεύσεις αρχιτεκτονικής εργάζονται μελετώντας τα μηνύματα σφάλματος με τα οποία αποκρίνονται οι υπολογιστές, όταν προκύπτουν προβλήματα. Αντί να προσπαθήσουν να κάνουν μια επίθεση, οι ανιχνεύσεις προσπαθούν απλώς να πάρουν μια απόκριση από ένα σύστημα για να εξετάσουν αυτήν την απόκριση. Οι εισβολείς είναι σε θέση να προσδιορίσουν το λειτουργικό σύστημα που εκτελείται στον υπολογιστή στόχου, με βάση την ακριβή φύση του μηνύματος σφάλματος, επειδή κάθε τύπος λειτουργικού συστήματος αποκρίνεται κάπως διαφορετικά.

Οι εισβολείς εξετάζουν τις αποκρίσεις σε λανθασμένες μεταδόσεις πακέτων από έναν ξενιστή στόχου, χρησιμοποιώντας ένα αυτοματοποιημένο εργαλείο, το οποίο περιέχει μια βάση δεδομένων με γνωστούς τύπους αποκρίσεων. Επειδή δεν υπάρχει πρότυπος ορισμός αποκρίσεων, κάθε λειτουργικό σύστημα απαντά με ένα μοναδικό τρόπο. Συγκρίνοντας τις μοναδικές αποκρίσεις με μια βάση δεδομένων γνωστών αποκρίσεων, οι εισβολείς μπορούν να καθορίσουν ποιο λειτουργικό σύστημα εκτελεί ο ξενιστής στόχου.


2.6.2.3: Αναζητήσεις Υπηρεσιών Καταλόγου

Το πρωτόκολλο Lightweight Directory Access Protocol (LDAP) είναι μια ακόμη υπηρεσία από την οποία μπορούν να εξαχθούν πληροφορίες. Παρέχοντας πληροφορίες LDΑΡ στο κοινό, οι εισβολείς αποκτούν πάρα πολλές πληροφορίες, που μπορούν να περιλαμβάνουν πολύτιμες ενδείξεις για τη φύση του δικτύου και για τους χρήστες του. Οι εισβολείς χρησιμοποιούν το LDΑΡ, καθώς και παλιότερες υπηρεσίες καταλόγου, όπως τις Finger και Whois, προκειμένου να συλλέξουν πληροφορίες για τα συστήματα μέσα στο δίκτυό σας και για τους χρήστες τους.


2.6.2.4: Μύρισμα

Το μύρισμα ή συλλογή όλων των πακέτων που ρέουν επάνω σε ένα δίκτυο και η εξέταση των περιεχομένων τους, μπορεί να χρησιμοποιηθεί για να καθορίσει σχεδόν όλα τα στοιχεία για ένα δίκτυο. Το μύρισμα μπορεί να θεωρηθεί υποκλοπή σε έναν υπολογιστή. Αν και κρυπτογραφημένα πακέτα μπορούν να συλλεχτούν μέσω μυρίσματος, είναι άχρηστα, εκτός και αν ο συλλέκτης έχει κάποιο τρόπο να τα αποκρυπτογραφήσει.

Το μύρισμα είναι από τεχνικής σκοπιάς μια επίθεση συλλογής πληροφοριών, αλλά δεν μπορεί να γίνει χωρίς να έχει κάποιος φυσική πρόσβαση στο δίκτυο ή να έχει ήδη παραβιάσει έναν υπολογιστή μέσα σε ένα δίκτυο. Δεν είναι δυνατό να υποκλέψει κανείς απομακρυσμένα μια σύνδεση, εκτός και αν κάνει μια επίθεση ενδιαμέσου εναντίον του υπολογιστή. Γι’ αυτόν το λόγο, τέτοιες επιθέσεις είναι πολύ σπάνιες.


2.6.3: Επιθέσεις

Οι εισβολείς χρησιμοποιούν διάφορα είδη επιθέσεων εναντίον διαφόρων συστημάτων. Οι περισσότερες από τις επιθέσεις είναι εξειδικευμένες ώστε να εκμεταλλεύονται μια συγκεκριμένη υπηρεσία δικτύου. Παρακάτω αναφέρονται ορισμένα βασικά στοιχεία για τους συνηθέστερους και περισσότερο εφαρμόσιμους τύπους επιθέσεων, με αύξουσα σειρά δυσκολίας διάπραξής τους. [4], [5], [6]


2.6.3.1: Άρνηση Παροχής Υπηρεσίας

Οι δικτυωμένoι υπολογιστές υλοποιούν ένα συγκεκριμένο πρωτόκολλο για μετάδοση δεδομένων και αναμένουν αυτό το πρωτόκολλο να μεταδώσει πληροφορίες που έχουν κάποια σημασία. Όταν το πρωτόκολλο υλοποιείται λανθασμένα και δεν γίνεται αρκετός έλεγχος σφαλμάτων για ανίχνευση του σφάλματος, είναι πιθανό να συμβεί μια επίθεση άρνησης παροχής υπηρεσίας. Σε ορισμένες περιπτώσεις, ο υπολογιστής που υφίσταται την επίθεση θα καταρρεύσει ή θα κρεμάσει. Σε άλλες περιπτώσεις, η υπηρεσία που υφίσταται την επίθεση θα αποτύχει χωρίς να προκαλέσει κατάρρευση του υπολογιστή.

Η πιο δυσοίωνη ίσως επίθεση επιπέδου δικτύου είναι αυτή που ονομάστηκε σφύριγμα του θανάτου (Ping of Death). Ένα ειδικά κατασκευασμένο πακέτο ICMP, που παραβιάζει τους κανόνες κατασκευής πακέτων ICMP μπορεί να κάνει τον παραλήπτη υπολογιστή να καταρρεύσει, αν το λογισμικό του υπολογιστή δεν ελέγξει για την ύπαρξη μη έγκυρων πακέτων ICMP. Τα περισσότερα λειτουργικά συστήματα κάνουν αυτό τον έλεγχο, οπότε αυτή η συγκεκριμένη επίθεση δεν είναι πλέον δυνατό να χρησιμοποιηθεί. Υπάρχουν όμως πολλές άλλες επιθέσεις άρνησης παροχής υπηρεσίας και συνεχώς ανακαλύπτονται καινούργιες.

Όσο πιο περίπλοκη είναι μια υπηρεσία, τόσο πιθανότερο είναι να υποστεί μια επίθεση άρνησης παροχής υπηρεσίας. Οι επιθέσεις άρνησης παροχής υπηρεσίας είναι οι ευκολότερες και οι λιγότερο χρήσιμες μoρφές επιθέσεων, και ως τέτοιες, οι εισβολείς αποφεύγoυν τη χρήση τους.


2.6.3.2: Πλημμύρες

Οι πλημμύρες είναι απλές επιθέσεις άρνησης παροχής υπηρεσιών, που εργάζονται χρησιμοποιώντας σπάνιους πόρους, όπως είναι το εύρος ζώνης δικτύου ή την υπολογιστική ισχύ ενός υπολογιστή.

Για παράδειγμα, η πλημμύρα SYN εκμεταλλεύεται το μηχανισμό σύνδεσης του TCP. Όταν ανοίγει μια σύνοδος TCP/IP, ο αιτών πελάτης μεταδίδει ένα μήνυμα SYN στην αιτούσα υπηρεσία του ξενιστή και ο παραλήπτης διακομιστής αποκρίνεται με ένα μήνυμα SYN-ACK που δέχεται τη σύνδεση. Ο πελάτης κατόπιν αποκρίνεται με ένα μήνυμα ACK, μετά από το οποίο η κίνηση μπορεί να αρχίσει να ρέει επάνω στην αμφίδρομη σύνδεση TCP.

Όταν ένας διακομιστής δέχεται το αρχικό μήνυμα SYN, συνήθως δημιουργεί ένα νέο νήμα διεργασίας, για να χειριστεί τις αιτήσεις σύνδεσης πελάτη. Αυτή η δημιουργία νήματος διεργασίας απαιτεί χρόνο ΚΜΕ και δε­σμεύει μια ποσότητα μνήμης. Πλημμυρίζοντας ένα δημόσιο διακομιστή με πακέτα SYN, τα οποία δεν ακολουθούνται ποτέ από ένα ACK, οι εισβολείς μπορούν να κάνουν το δημόσιο διακομιστή να δεσμεύσει μνήμη και χρόνο επεξεργαστή για να τα χειριστεί, και έτσι να απαγορεύει σε νόμιμους χρήστες να χρησιμοποιούν τους ίδιους πόρους. Το πρακτικό αποτέλεσμα μιας πλημμύρας SYN είναι ότι ο διακομιστής που δέχεται την επίθεση γίνεται πολύ αργός και οι νόμιμοι χρήστες δεν μπορούν να συνδεθούν.

Το μέλλον των επιθέσεων πλημμύρας SYN φαίνεται φοβερό. Εφόσον ο υπολογιστής πηγή της πλημμύρας SYN δεν ψάχνει για απόκριση, δεν υπάρχει λόγος να μην χρησιμοποιεί το λογισμικό επίθεσης πλημμύρας SYN τυχαία παραγόμενες διευθύνσεις ΙΡ στο πεδίο πηγής. Αυτό το είδος πλημμύρας SYN δεν μπορεί να διακριθεί από τον απλό μεγάλο όγκο κίνησης και έτσι να μπορέσει να ξεπεράσει τα φίλτρα πλημμύρας SYN. Μερικοί μεγάλο ΙSΡ έχουν αρχίσει πρόσφατα να φιλτράρουν πακέτα που ισχυρίζονται ότι έρχονται από υπολογιστές εκτός της περιοχής του δικτύου του ISP, κάτι που δεν είναι δυνατό για νόμιμη κίνηση, κάτι που επιλύει αρκετά αυτό το είδος επίθεσης.

Ένας άλλος τύπος επίθεσης πλημμύρας, που καλείται επίθεση χιονοστιβάδας, υφαρπάζει τα χαρακτηριστικά διευθυνσιοδότησης των πρωτοκόλλων επιπέδου δικτύου, π.χ., του ΙΡ και του UDP. Αυτό έχει ως αποτέλεσμα μια χιονοστιβάδα αποκρίσεων σε ερωτήματα εκπομπής, τα οποία ανακατευθύνονται σε έναν άλλο ξενιστή και όχι στον εισβολέα. Μια επίθεση χιονοστιβάδας συνεχίζεται με μια πλημμύρα στον ξενιστή του θύματος με πακέτα αιτήσεων ηχούς ICMP (ρing), τα οποία έχουν ως διεύθυνση απάντησης τη διεύθυνση εκπομπής του δικτύου του θύματος. Αυτό έχει ως αποτέλεσμα όλοι οι ξενιστές στο δίκτυο να απαντούν στις αιτήσεις ICMP, και έτσι να παράγουν ακόμη περισσότερη κίνηση.

Μια πιο περίπλοκη επίθεση χιονοστιβάδας συνεχίζεται, όπως περιγράψαμε ήδη, αλλά με τη διεύθυνση προέλευσης ΙΡ της αίτησης ηχούς να έχει αλλαχθεί στη διεύθυνση ενός άλλου θύματος, το οποίο δέχεται όλες τις αποκρίσεις ηχούς που παράγονται από το υπoδίκτυο ξενιστών στόχου. Αυτή η επίθεση είναι χρήσιμη για τους εισβολείς, επειδή μπορούν να χρησιμοποιήσουν μια σχετικά αργή σύνδεση, π.χ., ένα μόντεμ, για να προκαλέσουν μια χιονοστιβάδα κίνησης ρing προς οποιαδήποτε θέση μέσα στο Internet. Με αυτόν τον τρόπο, ένας εισβολέας με μια πιο αργή σύνδεση προς το Internet, από την σύνδεση του τελικού θύματος μπορεί να πλημμυρίσει την σύνδεση του θύματος, ρίχνοντας μια χιονοστιβάδα σε ένα δίκτυο μεγαλύτερης ταχύτητας.


2.6.3.3: Πλαστογραφημένο E-mail

Οι εισβολείς μπορούν να δημιουργήσουν e-mail που φαίνεται να προέρχεται από οποιονδήποτε θέλουν. Σε μια παραλλαγή αυτής της επίθεσης, μπορούν να αλλάξουν και την απάντηση στον αποστολέα, κάνοντας την πλαστογράφηση μη ανιχνεύσιμη.

Χρησιμοποιώντας μια τεχνική τόσο απλή, όσο η διαμόρφωση ενός πελάτη e-mail με λανθασμένες πληροφορίες, οι εισβολείς μπορούν να πλαστογραφήσουν μια διεύθυνση e-mail, ως τη διεύθυνση ενός εσωτερικού πελάτη. Ισχυριζόμενοι ότι είναι κάποιος τον οποίο ο πελάτης γνωρίζει και εμπιστεύεται, αυτό το e-mail είναι μια μορφή ψυχολογικής επίθεσης, που παρακινεί τον αναγνώστη να επιστρέψει χρήσιμες πληροφορίες, που περιλαμβάνουν έναν εγκαταστάσιμο Δούρειο Ίππο ή μια σύνδεση προς μια κακόβουλη ιστοθέση. Αυτός είναι ο ευκολότερος τρόπος για να προσπελάσετε ένα συγκεκριμένο δίκτυο στόχου.

Το Internet e-mail δεν επαληθεύει την ταυτότητα του αποστολέα και πολλές εκδόσεις προγραμμάτων e-mail δεν καταγράφουν αρκετές πληροφορίες ώστε να παρακολουθούν σωστά την πηγή ενός μηνύματος e-mail. Υπογράφοντας απλώς ένα λογαριασμό e-mail με μια λανθασμένη ταυτότητα, ένας εισβολέας μπορεί να κρύψει την ταυτότητά του, ακόμη και αν το e-mail μπορεί να ανιχνευθεί μέχρι την πηγή του. Η μόνη εφικτή άμυνα από ένα πλαστογραφημένο e-mail μιας και δεν είναι εφικτό να χρησιμοποιεί όλος ο κόσμος κρυπτογράφηση δημόσιου κλειδιού για όλα τα e-mail του είναι η ενημέρωση του χρήστη.

Οι περισσότεροι δημοφιλείς πελάτες e-mail επιτρέπουν την εγκατάσταση προσωπικών κλειδιών κρυπτογράφησης για πιστοποίηση, με τα οποία οι χρήστες υπογράφουν τα e-mail τους προς εσωτερικούς χρήστες. Όλα τα μη υπογεγραμμένα e-mail πρέπει να θεωρούνται ύποπτα.


2.6.3.4: Αυτοματοποιημένη Εύρεση Κωδικών Πρόσβασης

Αφού ένας εισβολέας αναγνωρίσει έναν ξενιστή και βρει ένα λογαριασμό χρήστη που μπορεί να χρησιμοποιήσει ή υπηρεσίες όπως τις Telnet και Network Fίle System (NFS), μια εύρεση κωδικού πρόσβασης θα του δώσει τον έλεγχο ενός υπολογιστή. Οι περισσότερες υπηρεσίες προστατεύονται με ένα συνδυασμό ονόματος λογαριασμού και κωδικού πρόσβασης, σαν τελευταία γραμμή της άμυνάς τους. Όταν ένας εισβολέας ανακαλύψει μια υπηρεσία την οποία μπορεί να–παραβιάσει σε ένα υπολογιστή στόχου, πρέπει να δώσει ένα έγκυρο όνομα-χρήστη και κωδικό πρόσβασης για να συνδεθεί με αυτήν.

Η αυτοματοποιημένη εύρεση κωδικού πρόσβασης χρησιμοποιεί λίστες συνηθισμένων κωδικών πρόσβασης, ονόματα και λέξεις από το λεξικό για να προσπαθήσει να μαντέψει σημαντικά ονόματα λογαριασμών, όπως είναι ο κωδικός πρόσβασης του χρήστη root σε συστήματα Unix ή του χρήστη administrator σε συστήματα ΝΤ. Το λογισμικό συνήθως παίρνει μια λίστα ονομάτων λογαριασμών και μια λίστα πιθανών κωδικών πρόσβασης και απλώς δοκιμάζει κάθε όνομα λογαριασμού με κάθε κωδικό πρόσβασης.

Οι εισβολείς χρησιμοποιούν νέες λίστες “συνηθισμένων κωδικών πρόσβασης” για να κάνουν αυτές τις επιθέσεις ταχύτερες. Αυτές οι λίστες παράγονται από την στατιστική ανάλυση πληροφοριών λογαριασμών που έχουν κλαπεί από παραβιασμένους διακομιστές. Συνδυάζοντας λίστες κλεμμένων κωδικών πρόσβασης και αναλύοντας τα δεδομένα τους με βάση τη συχνότητα εμφάνισης των κωδικών πρόσβασης, οι εισβολείς έχουν δημιουργήσει λίστες κωδικών πρόσβασης, ταξινομημένες με βάση το πόσο συχνά χρησιμοποιούνται. Οι εισβολείς χρησιμοποιούν αυτές τις λίστες για να προσπελάσουν διακομιστές, σε επίπεδο διαχειριστή, σε λίγα μόλις δευτερόλεπτα.

2.6.3.5: Phising

Ο όρος phising αναφέρεται στη διαδικασία “ψαρέματος” για λογαριασμούς και κωδικούς πρόσβασης, διαμορφώνοντας μια ψεύτικη διασύνδεση χρήστη, όπως μια ιστοθέση που φαίνεται ότι είναι πραγματική και στέλνοντας ένα μήνυμα e-mail που προσκαλεί χρήστες να συνδεθούν σε αυτή.

Για παράδειγμα, μπορεί να δεχθεί ένας χρήστης ένα μήνυμα e-mail, που δηλώνει ότι ο λογαριασμός του στην eBay πρέπει να ενημερωθεί για κάποιο λόγο. Κάνει κλικ στην ενσωματωμένη σύνδεση μέσα στο μήνυμα, και αυτό που φαίνεται μοιάζει με τη σελίδα εισδοχής στην eBay. Εισάγει το όνομα λογαριασμού και τον κωδικό πρόσβασής του και παίρνει ένα μήνυμα σφάλματος, που λέει ότι έχει πληκτρολογήσει τον κωδικό πρόσβασης λανθασμένα Όταν κάνει πάλι κλικ στη σύνδεση, εισέρχεται κανονικά και ενημερώνει τις πληροφορίες, όπως του ζητείται. Αυτό που συμβαίνει στην πραγματικότητα είναι ότι ένας εισβολέας του έστειλε ένα e-mail που περιείχε μια σύνδεση προς μια ιστοσελίδα, την οποία είχε δημιουργήσει αυτός, έτσι ώστε να μοιάζει σε εμφάνιση με την ιστοθέση της eBay. Όταν πληκτρολογήθηκε ο λογαριασμός χρήστη και ο κωδικός πρόσβασης, αυτά τα στοιχεία καταγράφτηκαν και μετά ανακατευθύνθηκε ο χρήστης στην κανονική ιστοσελίδα, οπότε τη δεύτερη φορά που εισήγαγε τον κωδικό πρόσβασης, αυτός δούλεψε σωστά.

Μια καλή διαδικασία ψαρέματος μπορεί να ψαρέψει χιλιάδες έγκυρους συνδυασμούς λογαριασμών και κωδικών πρόσβασης για ηλεκτρονικές ιστοθέσεις τραπεζών, ιστοθέσεις χρηματιστηριακών συναλλαγών ή κάθε τύπου ιστοθέσεις όπου διεξάγονται οικονομικές συναλλαγές.

Ακόμη, επειδή οι χρήστες γενικά χρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε ιστοθέσεις με τις οποίες εργάζονται, οι εισβολείς μπορούν να μπουν εύκολα σε συστήματα εργασίας χρησιμοποιώντας κωδικούς πρόσβασης που έχουν ψαρέψει.


2.6.3.6: Δούρειοι Ίπποι

Οι Δούρειοι ίπποι, όπως αναφέραμε και στην Παράγραφο 2.4.3., είναι προγράμματα, τα οποία εγκαθίστανται κρυφά σε ένα σύστημα στόχου απευθείας από έναν εισβολέα, από έναν ιό ή σκουλήκι υπολογιστή ή από έναν ανυποψίαστο χρήστη. Αφού εγκατασταθεί, ο Δούρειος Ίππος επιστρέφει πληροφορίες στον εισβολέα ή παρέχει άμεση πρόσβαση στον υπολογιστή.


2.6.3.7: Υπερχειλίσεις Καταχωρητή

Οι υπερχειλίσεις καταχωρητή είναι μια κλάση επιθέσεων που εκμεταλλεύονται μια συγκεκριμένη αδυναμία που παρουσιάζεται σε λογισμικό. Οι υπερχειλίσεις καταχωρητή εκμεταλλεύονται το γεγονός ότι τα περισσότερα προγράμματα δεσμεύουν μπλοκ της μνήμης σε τμήματα σταθερού μεγέθους για να δημιουργήσουν μια πρόχειρη περιοχή, που καλείται καταχωρητής (buffer), μέσα στην οποία επεξεργάζονται εσωτερικές πληροφορίες δικτύου. Συχνά, αυτοί οι καταχωρητές προγραμματίζονται ώστε να έχουν σταθερό μέγιστο μέγεθος ή προγραμματίζονται ώστε να εμπιστεύονται το μήνυμα που δηλώνει το μέγεθός τους.

Οι υπερχειλίσεις καταχωρητή προκαλούνται όταν ένα μήνυμα “λέει” ψέματα για το μέγεθός του ή είναι ηθελημένα μεγαλύτερο από το επιτρεπόμενο μέγιστο μέγεθος. Για παράδειγμα, αν ένα μήνυμα “λέει” ότι έχει μήκος 240 bytes, αλλά στην πραγματικότητα έχει μήκος 256 bytes, η υπηρεσία που το λαμβάνει μπορεί να δεσμεύσει ένα καταχωρητή μήκους 240 bytes, αλλά κατόπιν να αντιγράψει 256 bytes πληροφοριών σε αυτόν τον καταχωρητή. Τα 16 bytes μνήμης πέρα από το τέλος του καταχωρητή θα αντικατασταθούν από οτιδήποτε περιέχουν τα τελευταία 16 bytes του μηνύματος. Οι εισβολείς εκμεταλλεύονται αυτά τα προβλήματα εισάγοντας κώδικα γλώσσας μηχανής στο τμήμα του μηνύματος που βρίσκεται πέρα από το τέλος του καταχωρητή. Ακόμη πιο προβληματικό είναι το γεγονός ότι το λογισμικό γράφεται συνήθως με τέτοιον τρόπο ώστε η εκτέλεση του κώδικα να αρχίζει μετά το τέλος της θέσης του καταχωρητή και έτσι να επιτρέπει στον εισβολέα να εκτελεί κώδικα μέσα στο περιβάλλον ασφαλείας της εκτελούμενης υπηρεσίας. Γράφοντας ένα μικρό πρόγραμμα για να ανοίξουν μια τρύπα ασφάλειας και τοποθετώντας αυτόν τον κώδικα στο ωφέλιμο τμήμα του καταχωρητή, οι εισβολείς μπορούν να πάρουν τον έλεγχο του συστήματος.

Συνεχώς ανακαλύπτονται νέες επιθέσεις υπερχείλισης καταχωρητή. Οι επιθέσεις υπερχείλισης καταχωρητή είναι οι πιο σοβαρές απειλές επιθέσεων σήμερα και μάλλον θα συνεχίσουν να είναι για πολύ καιρό ακόμη.


2.6.3.8: Δρομολόγηση Προέλευσης

Η οικογένεια πρωτοκόλλων TCP/IP περιλαμβάνει μια σπάνια χρησιμοποιούμενη επιλογή για καθορισμό του ακριβούς δρόμου που πρέπει να ακολουθήσει ένα πακέτο, καθώς διασχίζει ένα δίκτυο, σαν το Internet, που βασίζεται στο πρωτόκολλο TCP/IP. Αυτή η επιλογή ονομάζεται δρομολόγηση προέλευσης και επιτρέπει σε έναν εισβολέα να στείλει δεδομένα από έναν υπολογιστή και να κάνει να φαίνεται ότι προέρχονται από έναν άλλο.

Η δρομολόγηση προέλευσης είναι ένα χρήσιμο εργαλείο για διάγνωση αποτυχιών δικτύου και για επίλυση προβλημάτων δικτύου, αλλά μπορεί να χρησιμοποιηθεί και από εισβολείς. Ο εισβολέας μπορεί να χρησιμοποιήσει δρομολόγηση προέλευσης για να προσποιηθεί ότι είναι ένας ήδη συνδεδεμένος χρήστης και να εισάγει πρόσθετες πληροφορίες σε μια κατά τα άλλα αγαθή επικοινωνία ανάμεσα σε ένα διακομιστή και τον εξουσιοδοτημένο υπολογιστή πελάτη. Για παράδειγμα, ένας εισβολέας μπορεί να ανιχνεύσει ότι ένας διαχειριστής έχει συνδεθεί σε ένα διακομιστή από έναν υπολογιστή πελάτη. Αν αυτός ο διαχειριστής βρίσκεται στην γραμμή εντολών, ο εισβολέας μπορεί να εισάγει στο ρεύμα επικοινωνίας ένα πακέτο, το οποίο να φαίνεται ότι προέρχεται από το διαχειριστή και “λέει” στο διακομιστή να εκτελέσει την εντολή αλλαγής κωδικού πρόσβασης, αποκλείοντας το λογαριασμό διαχειριστή και επιτρέποντας την είσοδο στον εισβολέα.

Ο εισβολέας μπορεί επίσης να χρησιμοποιήσει δρομολόγηση προέλευσης για να προσποιηθεί ότι είναι ένας έμπιστος υπολογιστής και να γράψει ενημερώσεις DNS στο διακομιστή DNS. Αυτό επιτρέπει την ανακατεύθυνση των πελατών του δικτύου που βασίζονται στο διακομιστή DNS για μετάφραση ονομάτων Internet σε διευθύνσεις ΙΡ, έτσι ώστε οι υπολογιστές πελάτες να μεταβαίνουν σε ένα εχθρικό διακομιστή, που βρίσκεται υπό τον έλεγχο του εισβολέα. Ο εισβολέας μπορεί κατόπιν να χρησιμοποιήσει τον εχθρικό διακομιστή για να υποκλέψει κωδικούς πρόσβασης.


2.6.3.9: Κλοπή Συνόδου

Οι εισβολείς μπορούν μερικές φορές να κλέψουν μια ήδη καθορισμένη και πιστοποιημένη σύνδεση δικτύου.

Για να κλέψει μια υπάρχουσα σύνδεση TCP, ένας εισβολέας πρέπει να είναι σε θέση να προβλέψει αριθμούς ακολουθίας TCP/lP, τους οποίους χρησιμοποιούν οι δύο επικοινωνούντες υπολογιστές για να κρατούν σε σωστή σειρά πακέτα ΙΡ και για να σιγουρεύουν ότι όλα φτάνουν στον προορισμό τους. Αυτό δεν είναι απαραίτητα τόσο δύσκολο όσο ακούγεται, επειδή οι περισσότερες υλοποιήσεις TCP/IP χρησιμοποιούν γεννήτριες ψευδoτυxαίων αριθμών οι οποίες παράγουν προβλεπτούς αριθμούς ακολουθίας.

Ο εισβολέας πρέπει να είναι επίσης σε θέση να ανακατευθύνει τη σύνδεση TCP/IP στον υπολογιστή του και να εκκινήσει μια επίθεση άρνησης παροχής υπηρεσίας εναντίον του υπολογιστή πελάτη, έτσι ώστε ο υπολογιστής πελάτης να μην δηλώνει στον υπολογιστή διακομιστή ότι κάτι δεν πάει καλά. Για να κλέψει μια σύνοδο Serνer Message Block (SMB) ο εισβολέας πρέπει να είναι επίσης σε θέση να προβλέψει τη σωστή ταυτότητα πλαισίου NetBIOS, τη σωστή ταυτότητα Δένδρου και τη σωστή ταυτότητα χρήστη σε επίπεδο διακομιστή μιας υπάρχουσας σύνδεσης επικοινωνιών NetBIOS. Εντούτοις, ενώ μια τέτοια ενέργεια είναι θεωρητικά δυνατή, δεν υπάρχουν διαθέσιμα εργαλεία για κλοπή συνδέσεων 5MB από το μέσο εισβολέα.

Το TCP/IP δεν είναι το μόνο πρωτόκολλο που μπορεί να υποστεί κλοπή συνόδου – τα περισσότερα πρωτόκολλα, περιλαμβανομένου και του ασύρματου πρωτοκόλλου 802.11b και του πρωτοκόλλου ψηφιακών κινητών τηλεφώνων είναι επίσης πιθανώς ύποπτα για κλοπή συνόδου.


2.6.3.10: Επιθέσεις Ενδιαμέσου

Οι επιθέσεις ενδιαμέσου είναι σπάνιες και δύσκολο να διαπραχθούν, αλλά είναι ιδιαίτερα αποδοτικές όταν δουλέψουν. Σε μια επίθεση ενδιαμέσου, ο εισβολέας λειτουργεί ανάμεσα σε δύο υπολογιστές του δικτύου ή ανάμεσα σε έναν υπολογιστή πελάτη στο Internet ή σε ένα άλλο δίκτυο ΔΕΠ και στον υπολογιστή διακομιστή, μέσα σε ένα ασφαλές ΔΤΠ. Όταν ο υπολογιστής πελάτης ανοίξει μια σύνδεση προς τον υπολογιστή διακομιστή, ο υπολογιστής του εισβολέα παρεμβάλλεται με κάποιον τρόπο, ίσως μέσω μιας επίθεσης απομίμησης DNS ή DHCP, αναδρομολογώντας την κίνηση IΡ από τον πελάτη σε ένα υποκλοπέα υπολογιστή. Ο υπολογιστής εισβολέας ανοίγει μια σύνδεση προς τον υπολογιστή διακομιστή εκ μέρους του υπολογιστή πελάτη. Στην ιδανική περίπτωση, από την σκοπιά του εισβολέα, ο πελάτης θα νομίζει ότι επικοινωνεί με τον διακομιστή και ο διακομιστής θα νομίζει ότι επικοινωνεί με τον πελάτη και ο υπολογιστής εισβολέας στο μέσο, θα μπορεί να παρατηρεί όλες τις επικοινωνίες ανάμεσα στον πελάτη και στο διακομιστή και να κάνει αλλαγές στα δεδομένα που μεταφέρονται.

Ανάλογα με τη φύση της επικοινωνίας, ο υπολογιστής εισβολέας μπορεί να είναι σε θέση να χρησιμοποιεί μια επίθεση ενδιαμέσου για να έχει μεγαλύτερη πρόσβαση στο δίκτυο της επιχείρησης. Σε ένα ανασφαλές δίκτυο, όπως το Internet, είναι δύσκολο να προστατευθεί κανείς από μια επίθεση ενδιαμέσου. Ευτυχώς, είναι επίσης δύσκολο να δημιουργήσει κανείς μια επιτυχημένη επίθεση ενδιαμέσου.


2.7: Κίνδυνοι Ασφαλείας στο Διαδίκτυο

Το διαδίκτυο σχεδιάστηκε από επιστημονικές και ακαδημαϊκές κοινότητες προκειμένου να επιτευχθεί η ανταλλαγή πληροφοριών μεταξύ έμπιστων οντοτήτων. Το θέμα της ασφάλειας των ευαίσθητων πληροφοριών δεν απασχόλησε αρχικά τους σχεδιαστές του. Ο λόγος είναι ότι κανένας δεν μπορούσε να προβλέψει τότε ότι θα επεκταθεί και θα συνδέσει την πλειοψηφία των δημοσίων και ιδιωτικών δικτύων που υπάρχουν στον κόσμο σήμερα.

2.7.1: Κίνδυνοι Ασφάλειας στο Διαδίκτυο

Το διαδίκτυο ως μέσο ψηφιακής επικοινωνίας κρύβει έναν αριθμό από σοβαρούς κινδύνους, όπως:

* Έλλειψη εμπιστευτικότητας, αφού τα δεδομένα που διακινούνται είναι χωρισμένα σε πακέτα και μπορούν εύκολα να κλαπούν και να αποκαλυφθεί το περιεχόμενό τους.

* Έλλειψη μηχανισμών για την ταυτοποίηση των χρηστών των συστημάτων. Όλα τα συστήματα που είναι συνδεδεμένα στο διαδίκτυο αναγνωρίζονται από την ΙΡ διεύθυνση τους. Το πρωτόκολλο ΙΡ δεν παρέχει κάποιο μηχανισμό για την αυθεντικοποίηση των χρηστών του συστήματος.

* Έλλειψη αξιόπιστων μέσων για σύνδεση των ΙΡ διευθύνσεων με συγκεκριμένους υπολογιστές.

* Εκτεθειμένοι κωδικοί πρόσβασης. Τα περισσότερα συστήματα χρησιμοποιούν κωδικούς για την ταυτοποίηση των χρηστών, οι οποίοι τις περισσότερες φορές μεταφέρονται στο δίκτυο χωρίς να κρυπτογραφηθούν.

Η υπηρεσία του παγκόσμιου ιστού (WWW) εισάγει ακόμα περισσότερους κινδύνους. Ένας παρουσιαστής ιστοσελίδων (browser) αποτελεί το ιδανικό μέσο για την αυτόματη εκτέλεση προγραμμάτων χωρίς τη γνώση του χρήστη, γνωστών όπως αναφέραμε και παραπάνω ως Δούρειοι Ίπποι.

2.7.2: Εγγενή Προβλήματα Ασφάλειας

Το διαδίκτυο δεν πρέπει να αντιμετωπίζεται από άποψη ασφάλειας ως ένα κοινό δίκτυο. Ο κυριότερος λόγος είναι ότι οι μηχανισμοί στους οποίους στηρίζει τη λειτουργικότητα του σχεδιάστηκαν με γνώμονα τη βελτιστοποίησή του στις δυνατότητες διασύνδεσης ετερογενών δικτύων και κοινής εκμετάλλευσης των πληροφοριών/πόρων τους κι όχι στην παρεχόμενη ασφάλεια. Σαν αποτέλεσμα, η ασφάλεια σε κάποιο βαθμό μπορεί να επιτευχθεί μόνο ως ένα πρόσθετο χαρακτηριστικό στην υπάρχουσα υποδομή παρά σαν ένα μέρος του πρωταρχικού δικτυακού σχηματισμού.

Πιο αναλυτικά, στα εγγενή προβλήματα ασφάλειας του διαδικτύου περιλαμβάνονται και τα ακόλουθα:

* Η ετερογένεια των δικτύων που διασυνδέει, η οποία με δεδομένο και το τεράστιο μέγεθος του, έχει το προφανές αποτέλεσμα οι σωστές διαδικασίες διασφάλισης ενός συστήματος σε περιβάλλον διαδικτύου, να απαιτούν μια πληθώρα περίπλοκων ρυθμίσεων και διαμορφώσεων.

* Λόγω της εύκολης και χωρίς περιορισμούς πρόσβασης που προσφέρει σε εκατομμύρια χρήστες, είναι πιο ευάλωτο από κάθε άλλο δίκτυο και αποτελεί στόχο περισσότερων επιθέσεων για επίδοξους εισβολείς.

* Δεν υπάρχει συνολική πολιτική ελέγχου προσπέλασης. Επιπλέον, πολλοί κόμβοι δεν είναι σε θέση για διάφορους λόγους (άγνοια, κόστος, αδιαφορία, κλπ.) να αποκτήσουν τη κατάλληλη διαμόρφωση, έτσι ώστε να μην κινδυνεύουν από την ευρέως ανοικτή σύνδεσή τους στο διαδίκτυο.

* Η φύση του πρωτοκόλλου TCP/IP και των περισσότερων υπηρεσιών που υποστηρίζει, προσθέτουν νέες ευπάθειες και σημεία επιθέσεων. Το γεγονός ότι επιτρέπονται τα πακέτα των δεδομένων να περνούν από μια σειρά απρόβλεπτων ενδιάμεσων υπολογιστών και επιμέρους δικτύων μέχρι να φτάσουν στο τελικό προορισμό τους, δίνει τη δυνατότητα σε ένα τρίτο μέρος να παρέμβει με διάφορους τρόπους στην επικοινωνία δυο νόμιμων μερών.


2.7.3: Απειλές Ασφάλειας

Στις τυπικές απειλές ασφάλειας σε ένα περιβάλλον διαδικτύου, συμπεριλαμβάνονται :

* Βλάβες συστατικών μερών (component failure): Σχεδιαστικά λάθη ή ελαττωματικά μέρη υλικού/λογισμικού, είναι ικανά να προκαλέσουν δυσλειτουργία σε κάποιο συστατικό του συστήματος και να οδηγήσουν έτσι σε άρνηση εξυπηρέτησης ή άλλες καταστάσεις επικίνδυνες για την ασφάλεια.

* Παρουσίαση πληροφοριών (information browsing): Η αποκάλυψη ευαίσθητων πληροφοριών σε μη-εξουσιοδοτημένους χρήστες, είτε είναι εισβολείς είτε είναι νόμιμοι χρήστες που επιχειρούν παράνομους τρόπους προσπέλασης, οδηγεί στην απώλεια εμπιστευτικότητας και μπορεί να προκληθεί από την εκμετάλλευση διάφορων μηχανισμών.

* Μη-εξουσιοδοτημένη διαγραφή, μεταβολή ή εισαγωγή πληροφοριών: Η εκούσια ή και ακούσια πρόκληση ζημιών στα πληροφοριακά αγαθά (information assets) οδηγεί στην απώλεια της ακεραιότητας των λειτουργιών/δεδομένων των οργανισμών και των χρηστών.

* Κατάχρηση (misuse): Η χρήση των πληροφοριακών αγαθών αλλά και των υπόλοιπων πόρων για σκοπούς διαφορετικού από αυτούς που έχουν προκαθορισθεί, προκαλεί άρνηση εξυπηρέτησης, αύξηση κόστους λειτουργίας των συστημάτων και δυσφήμιση των οργανισμών που τα χρησιμοποιούν.

* Διείσδυση (penetration): Οι εισβολείς από μη-εξουσιοδοτημένα πρόσωπα ή συστήματα μπορούν να προκαλέσουν άρνηση εξυπηρέτησης ή να απαιτήσουν σοβαρότατα χρηματικά ποσά για την αντιμετώπιση των συνεπειών από τις παρενοχλήσεις του συστήματος.

* Διαστρέβλωση: Οι προσπάθειες ενός χρήστη που παρανομεί, να μεταμφιεστεί σαν ένας χρήστης με εξουσιοδοτήσεις τέτοιες ώστε να μπορεί να κλέψει πληροφορίες ή να εκμεταλλευτεί υπηρεσίες ή να εκκινήσει συναλλαγές που προκαλούν οικονομικές απώλειες ή δυσχέρειες σε ένα οργανισμό.

Οι πιθανότητες να εκδηλωθούν επιθέσεις και να πραγματοποιηθούν απειλές όπως οι προαναφερθείσες, αυξάνονται όταν προσφέρεται στο διαδίκτυο μια ευδιάκριτη εικόνα της οργάνωσης της δικτυακής υποδομής ενός συστήματος. Πάρα πολλές επιθέσεις στο Internet είναι ευκαιριακής φύσης (opportunistic), με την έννοια ότι δεν έχουν συγκεκριμένο στόχο παραβίασης. Απλά εκδηλώνονται σε ένα συγκεκριμένο σύστημα γιατί εκείνη τη στιγμή το σύστημα αυτό «φαντάζει» ως ιδανικός στόχος (τελικός ή ενδιάμεσος) για τους επίδοξους εισβολείς. Διαβάστε περισσότερα...

No comments: