Скачать презентацию Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012 -2013 Скачать презентацию Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012 -2013

38385d75dad147902b29544cf5392b6d.ppt

  • Количество слайдов: 61

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012 -2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012 -2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα 1: Εισαγωγικά Θέματα στην Ασφάλεια Εμμανουήλ Μάγκος

Syllabus A. Λίγα λόγια το μάθημα B. Κίνητρα για την Ασφάλεια C. Η έννοια Syllabus A. Λίγα λόγια το μάθημα B. Κίνητρα για την Ασφάλεια C. Η έννοια της Ασφάλειας Συστημάτων και Δικτύων D. Το γνωστικό αντικείμενο της Ασφάλειας

Ιστορία της Ασφάλειας (1/3) n 1940 s: Πρώτοι Η/Υ (Colossus, EDVAC, ENIAC) n 1960’s Ιστορία της Ασφάλειας (1/3) n 1940 s: Πρώτοι Η/Υ (Colossus, EDVAC, ENIAC) n 1960’s Πολυχρηστικά συστήματα (multi-user). Ανάγκη προστασίας: 1. 2. n Του συστήματος από τους χρήστες Των χρηστών (μεταξύ τους) (Graham, 1968) 1970’s: H εποχή των Mainframes: n RAND Report (Ware, 1970) , n Anderson Report (Anderson, 1972) n Μοντέλο Bell-Lapadula (Bell and La. Padula, 1973) n Multics project (Organick, 1972) n Data Encryption Standard (DES) (USDo. C, 1977) n Public Key Cryptography (Diffie-Hellmann, 1976)

Ιστορία της Ασφάλειας (2/3) n 1980’s: Η εποχή των PC’s n n Orange Book Ιστορία της Ασφάλειας (2/3) n 1980’s: Η εποχή των PC’s n n Orange Book (Do. D 1985) n MLS, Information Flow, … (Clark & Wilson 1987, Brewer & Nash, 1989) n n Single-user systems… (more or less security? ) Internet Worm (1988) (Shoch and Hupp 1980, Cohen, 1985) 1990’s: Η Εποχή του Internet n Internet security ≡ Communications Security (? ) n Buffer Overflow (Phrack, 1996) , Mail Worms, DOS attacks n Digital Rights Management (DRM) (Grover, 1992)

Β. Μα, γιατί μιλάμε για την ασφάλεια; n Κακόβουλο λογισμικό (botnets, trojans, rootkits), …. Β. Μα, γιατί μιλάμε για την ασφάλεια; n Κακόβουλο λογισμικό (botnets, trojans, rootkits), …. n Παράνομη εισβολή σε συστήματα, (Hacking, cracking…), n Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία (read, write) n Επιθέσεις Άρνησης Εξυπηρέτησης (DOS, DDOS). n Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading), Κλοπή Ταυτότητας (Identity Theft) n Υποκλοπές Επικοινωνιών, Πρόσβαση σε προσωπικά δεδομένα n Μη ζητηθείσα επικοινωνία (spam), «Ηλ. Ψάρεμα» (Phishing) n Ηλεκτρονικό έγκλημα (cyber-crime), παιδική πορνογραφία, … n Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας n …

Spoofing / Masquerading Spoofing / Masquerading

Μα, γιατί μιλάμε για την ασφάλεια; Cisco, Annual Security Report, 2011 Μα, γιατί μιλάμε για την ασφάλεια; Cisco, Annual Security Report, 2011

Phishing -Kοινωνική μηχανική (social engineering) Phishing -Kοινωνική μηχανική (social engineering)

Social engineering Social engineering

Facebook clickjacking Panda Labs, Quarterly Report, April-June 2010 Facebook clickjacking Panda Labs, Quarterly Report, April-June 2010

Tabnapping Tabnapping

Cisco 2011 Annual Sec. Report Cisco 2011 Annual Sec. Report

Quarterly Report, Panda Labs, July-September 2011 Quarterly Report, Panda Labs, July-September 2011

Cisco 2011 Annual Sec. Report Cisco 2011 Annual Sec. Report

Cisco 2011 Annual Sec. Report Cisco 2011 Annual Sec. Report

Cyber-Physical Security (CPS) Case: Stuxnet Worm Cyber-Physical Security (CPS) Case: Stuxnet Worm

C. Ασφάλεια – Ορισμοί n Security: (Oxford Dictionary) n n Freedom from danger or C. Ασφάλεια – Ορισμοί n Security: (Oxford Dictionary) n n Freedom from danger or anxiety Ασφάλεια: (Μπαμπινιώτης) n n n Η κατάσταση στην οποία … αισθάνεται κανείς ότι δεν απειλείται. Η αποτροπή κινδύνου ή απειλής… Ασφάλεια (Security) & Ασφάλεια (Safety) n Security: Προστασία έναντι εχθρού n Safety: Προστασία έναντι σφαλμάτων, λαθών, ατυχημάτων, παραλείψεων Η “ασφάλεια” στα ελληνικά: Ένα σημαίνον για δύο σημαινόμενα

Τι σημαίνει «Ασφαλές Σύστημα» ; Θεώρηση από τη σκοπιά της «Ανάλυσης και Διαχείρισης Κινδύνων» Τι σημαίνει «Ασφαλές Σύστημα» ; Θεώρηση από τη σκοπιά της «Ανάλυσης και Διαχείρισης Κινδύνων» http: //www. ptatechnologies. com/PTA 3. htm

Τι σημαίνει «Ασφαλές Σύστημα» ; Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας» , Πανεπιστήμιο Τι σημαίνει «Ασφαλές Σύστημα» ; Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας» , Πανεπιστήμιο Πειραιώς, 2009

Computer Security (NIST, 1995) - The CIA Triad The protection afforded to an automated Computer Security (NIST, 1995) - The CIA Triad The protection afforded to an automated information system in order to attain the applicable objectives of preserving the integrity, availability and confidentiality of information system resources includes hardware, software, firmware, information/data, and telecommunications The CIA Security Requirements Triad

CIA Security Triad (FIPS PUB 199) CIA Security Triad (FIPS PUB 199)

CIA Security Triad (NIST FIPS Standard, 2004) CIA Security Triad (NIST FIPS Standard, 2004)

Αγαθά, Αξία Αγαθών (Σχετ: Συνέπεια) & Κατηγοριοποίηση Αγαθών (FIPS PUB 199) n 3 Levels Αγαθά, Αξία Αγαθών (Σχετ: Συνέπεια) & Κατηγοριοποίηση Αγαθών (FIPS PUB 199) n 3 Levels of Impact (from a security breach) 1. 2. Moderate 3. A. Low High Security Categorization applied to Information Τypes

Αγαθά, Αξία Αγαθών (Σχετ: Συνέπεια) & Κατηγοριοποίηση Αγαθών (FIPS PUB 199) n 3 Levels Αγαθά, Αξία Αγαθών (Σχετ: Συνέπεια) & Κατηγοριοποίηση Αγαθών (FIPS PUB 199) n 3 Levels of Impact (from a security breach) 1. 2. Moderate 3. B. Low High Security Categorization applied to Information Systems

Απειλές στην Ασφάλεια (RFC 2828, 2000) – Internet Security Glossary Απειλές στην Ασφάλεια (RFC 2828, 2000) – Internet Security Glossary

Απειλές στην Ασφάλεια – 1η Θεώρηση 1. Παθητικές επιθέσεις: τις κάνει η Eve (eavesdrop) Απειλές στην Ασφάλεια – 1η Θεώρηση 1. Παθητικές επιθέσεις: τις κάνει η Eve (eavesdrop) n n Traffic analysis n Αλλά και: Password cracking / breaking a crypto key n 2. Packet sniffing … Ενεργητικές επιθέσεις: τις κάνει ο Mallory n Πλαστοπροσωπία: Masquerading, Spoofing, MIM n Επιθέσεις επανάληψης (replay) n Επιθέσεις άρνησης εξυπηρέτησης (Denial Of Service – DOS) n Επιθέσεις Τροποποίησης (modification) n …

Απειλές στην Ασφάλεια – 2η Θεώρηση (Pfleeger, 2003) Απειλές στην Ασφάλεια – 2η Θεώρηση (Pfleeger, 2003)

A Taxonomy of Attacks (Pfleeger, 2003) Active Passive Interception (confidentiality) Release of Message contents A Taxonomy of Attacks (Pfleeger, 2003) Active Passive Interception (confidentiality) Release of Message contents Traffic analysis Interruption (availability) Modification (integrity) Fabrication (integrity)

Απειλές στην Ασφάλεια – Άλλες Θεωρήσεις (1/2) 1. Εξωτερικές Απειλές: Χρήστες εκτός Επιχείρησης / Απειλές στην Ασφάλεια – Άλλες Θεωρήσεις (1/2) 1. Εξωτερικές Απειλές: Χρήστες εκτός Επιχείρησης / Οργανισμού n n 2. Outsiders: Hackers / Crackers / Vandals / Hacktivists Outsiders: Κοινωνικοί Μηχανικοί (Social Engineers) Εσωτερικές Απειλές: - Χρήστες εντός Επιχείρησης/Οργανισμού n Insiders: Παράκαμψη ελέγχου πρόσβασης «εκ των έσω» n π. χ. Δυσαρεστημένοι υπάλληλοι, λάθη & απροσεξίες

Απειλές στην Ασφάλεια – Άλλες Θεωρήσεις (2/2) Τυχαίες ή Εσκεμμένες Φυσικές Ανθρώπινες Εξοπλισμός π. Απειλές στην Ασφάλεια – Άλλες Θεωρήσεις (2/2) Τυχαίες ή Εσκεμμένες Φυσικές Ανθρώπινες Εξοπλισμός π. χ. φωτιά Διακοπή ρεύματος; e. g. Λάθη χρήστη, hackers, Ιοί. π. χ. CPU, Δίκτυο, Σκληρός δίσκος, - Σφάλμα εφαρμογής, - Buffer overflow attacks

Ενδεικτικός Πίνακας Απειλών Παράδειγμα Ενδεικτικός Πίνακας Απειλών Παράδειγμα

Threats (attacks) and assets Availability (Stallings & Brown, 2008) Confidentiality Integrity Hardware Equipment is Threats (attacks) and assets Availability (Stallings & Brown, 2008) Confidentiality Integrity Hardware Equipment is stolen or disabled, thus denying service. Software Programs are deleted, An unauthorized copy of denaying access to software is made. users. Data Files are deleted, denying access to users. An unauthorized read of data is performed. An analysis of statistical data reveals underlaying data. Communication Messages are read. Lines destroyed or deleted. Traffic patterns are observed. A working program is modified to cause it to fail or to cause it to do some unintended task. Existing files are modified or new files are fabricated. Messages are modified, destroyed, reordered, duplicated. False messages are injected.

Ευπάθειες (Vulnerabilities) n Ευπάθεια ή Αδυναμία (Vulnerability) a) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό Ευπάθειες (Vulnerabilities) n Ευπάθεια ή Αδυναμία (Vulnerability) a) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό σε κάποια απειλή, δηλαδή αυξάνουν την πιθανότητα εκδήλωσης της απειλής n Π. χ: εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται, το αρχείο έχει μεγάλη αδυναμία στην απειλή της κλοπής b) Οτιδήποτε μεγιστοποιεί τις συνέπειες από την εκδήλωση μίας απειλής n Π. χ: εάν δεν υπάρχει σύστημα αυτόματης πυρόσβεσης σε ένα χώρο, η συνέπειες από μία πιθανή πυρκαγιά θα είναι πολύ μεγάλες

http: //csrc. nist. gov/publications/nistpubs/800 -12 -html/images/figure 5. jpg http: //csrc. nist. gov/publications/nistpubs/800 -12 -html/images/figure 5. jpg

Ανάλυση Κινδύνου (Risk Analysis) Risk = Threat x Vulnerability x Impact (Asset value) Ανάλυση Κινδύνου (Risk Analysis) Risk = Threat x Vulnerability x Impact (Asset value)

Διαχείριση Κινδύνου Διαχείριση Κινδύνου

Μια θεώρηση από τη σκοπιά των Οικονομικών της Ασφάλειας (Security Economics) n Στόχος της Μια θεώρηση από τη σκοπιά των Οικονομικών της Ασφάλειας (Security Economics) n Στόχος της ασφάλειας (Infosec goal) n Ο σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού: επιθυμητή ισορροπία μεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά, π. χ. Κόστος Μηχανισμών Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόμενο Όφελος

Μηχανισμοί Ασφάλειας - 1η Θεώρηση Πρόληψη Φυσική ασφάλεια, access control, replication, Firewalls, Κρυπτογράφηση, Ψηφ. Μηχανισμοί Ασφάλειας - 1η Θεώρηση Πρόληψη Φυσική ασφάλεια, access control, replication, Firewalls, Κρυπτογράφηση, Ψηφ. Υπογραφή, Προγράμματα antivirus, Ασφαλής Προγραμματισμός, Πολιτική κωδικών ασφάλειας, … Ανίχνευση Συστήματα Ανίχνευσης Εισβολών (IDS), Αρχεία καταγραφής, penetration testing, … Απόκριση Back-up, Digital forensics, malware removal, hot sites, …

Μηχανισμοί Ασφάλειας - 2η Θεώρηση NIST 800 -100 I. S. Handbook: A Guide for Μηχανισμοί Ασφάλειας - 2η Θεώρηση NIST 800 -100 I. S. Handbook: A Guide for Managers *

Κατηγορία Ελέγχου` Πρόληψη Ανίχνευση Αντιμετώπιση Φυσικής πρόσβασης (παραδείγματα) Φράχτες X Προσωπικό Ασφαλείας X Έξυπνες Κατηγορία Ελέγχου` Πρόληψη Ανίχνευση Αντιμετώπιση Φυσικής πρόσβασης (παραδείγματα) Φράχτες X Προσωπικό Ασφαλείας X Έξυπνες Κάρτες (smartcards), Βιομετρία X X X Χ Χ Διαχειριστικός (παραδείγματα) Πολιτικές Ασφάλειας X X Έλεγχος και Εποπτεία X X Εκπαίδευση υπαλλήλων X X Χ X Λογικής Πρόσβασης (παραδείγματα) Λίστες Ελέγχου Πρόσβασης (ACLs), MAC, RBAC, … X Passwords, CAPTCHAs X Λογισμικό Antivirus, Anti-spam, Anti-Spyware, . . X X Κρυπτογράφηση Δεδομένων και Επικοινωνιών X X Firewalls (Packet Filters, Application Gateways) X X Συστήματα Ανίχνευσης & Αποτροπής Εισβολών (IDS/IPS) X X X http: //www. cs. uwf. edu/~rdavid/CEN 4540/sec 3. ppt

D. To Γνωστικό Αντικείμενο – 1η Θεώρηση ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ D. To Γνωστικό Αντικείμενο – 1η Θεώρηση ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΥΠΟΔΟΜΩΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΥΘΕΝΤΙΚΟΤΗΤΑ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΔΙΑΘΕΣΙΜΟΤΗΤΑ

Model A for Security (Stallings, 2010) Model A for Security (Stallings, 2010)

Model B for Security (Stallings, 2010) Model B for Security (Stallings, 2010)

To Γνωστικό Αντικείμενο – 3η Θεώρηση Πού γίνεται έρευνα; To Γνωστικό Αντικείμενο – 3η Θεώρηση Πού γίνεται έρευνα;

To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα; To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα;

To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα; To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα;

To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα; To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα;

To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα; To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα;

To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα; To Γνωστικό Αντικείμενο – 2η Θεώρηση Πού γίνεται έρευνα;

Το Γνωστικό Αντικείμενο – 3η θεώρηση Ενοποίηση Θεμάτων Ασφάλειας (Τμήμα Πληροφορικής) Το Γνωστικό Αντικείμενο – 3η θεώρηση Ενοποίηση Θεμάτων Ασφάλειας (Τμήμα Πληροφορικής)

1. Έλεγχος Πρόσβασης (Access Control) n Έλεγχος Λογικής Πρόσβασης: n Αυθεντικοποίηση Οντότητας n Passwords, 1. Έλεγχος Πρόσβασης (Access Control) n Έλεγχος Λογικής Πρόσβασης: n Αυθεντικοποίηση Οντότητας n Passwords, CAPTCHA’s, τεχνικές πρόκλησης – απάντησης, συστήματα ενιαίας πρόσβασης (single sign-on), … n Έλεγχος Φυσικής Πρόσβασης n Αυθεντικοποίηση Οντότητας n n Βιομετρία, smartcards, tokens… Έλεγχος Φυσικής Πρόσβασης σε υποδομές και αγαθά

2. Μοντέλα Εξουσιοδότησης και Ασφάλεια Συστήματος n ACLs, Ασφάλεια MLS and information flow n 2. Μοντέλα Εξουσιοδότησης και Ασφάλεια Συστήματος n ACLs, Ασφάλεια MLS and information flow n Sandboxing & Virtualization n Application Security n Memory security n File system Security n Digital Forensics n Database Security n OS Kernel Security n Trusted Computing n Hardware Security n Tempest and Side Channel Attacks n Assurance and Evaluation

3. Κακόβουλο Λογισμικό n Bots, Botnets n Worms & Trojans n Rootkits n Spam, 3. Κακόβουλο Λογισμικό n Bots, Botnets n Worms & Trojans n Rootkits n Spam, Phishing & Fraud n Intrusion Detection n Wireless & Cellular Malware n …

4. Ασφάλεια στο Web n Web browser security n Web app & web server 4. Ασφάλεια στο Web n Web browser security n Web app & web server security n Web privacy n Web-based malware n …

5. Η Κρυπτογραφία στην Υπηρεσία της Ασφάλειας n Κρυπτογραφικές τεχνικές στην Ασφάλεια Επικοινωνιών & 5. Η Κρυπτογραφία στην Υπηρεσία της Ασφάλειας n Κρυπτογραφικές τεχνικές στην Ασφάλεια Επικοινωνιών & Δικτύων n Προηγμένες τεχνικές αυθεντικοποίησης οντότητας και δεδομένων n Κρυπτογραφικές τεχνολογίες εμπιστευτικότητας και ακεραιότητας n Κρυπτογραφικές τεχνικές για την προστασία της ιδιωτικότητας n Ασφάλεια και Ιδιωτικότητα σε Κατανεμημένες Εφαρμογές n …

6. Ασφάλεια Δικτύων n TCP/IP Security (Application, Transport, IP, MAC layers, …) n Personal 6. Ασφάλεια Δικτύων n TCP/IP Security (Application, Transport, IP, MAC layers, …) n Personal and Network Firewalls n Penetration testing n Network Authentication n Network intrusion Detection n Security in Wireless networks n Network security policies n …

7. Ασφάλεια Κατανεμημένων Συστημάτων n Security Domains n E-commerce transactions n E-voting/ e-auctions n 7. Ασφάλεια Κατανεμημένων Συστημάτων n Security Domains n E-commerce transactions n E-voting/ e-auctions n Distributed Databases Security n Distributed applications Security n Distributed File Systems Security n Web Services (WS) Security n Security and Privacy in Pervasive Computing Environments n Security and Privacy in Location-based Services (LBS) n Security in banking/health sector

8. Κοινωνικά και Θεσμικά Ζητήματα της Ασφάλειας n n Freedom-of-Speech & Censorship n Security 8. Κοινωνικά και Θεσμικά Ζητήματα της Ασφάλειας n n Freedom-of-Speech & Censorship n Security and Usability n Security Psychology n n User anonymity & Privacy Security Economics … Αλλά και: n Νομικά και Θεσμικά Ζητήματα n Κυβερνο-έγκλημα (Cyber crime) n Πνευματικά Δικαιώματα n Δεοντολογία & Κυβερνο-ηθική (Cyber-ethics) n …

9. Διαχείριση Ασφάλειας Δικτύων και Πληροφοριακών Συστημάτων 9. Διαχείριση Ασφάλειας Δικτύων και Πληροφοριακών Συστημάτων

Βιβλιογραφία n n D. Gollmann. Computer Security. 3 rd Edition, Wiley, 2011 W. Stallings. Βιβλιογραφία n n D. Gollmann. Computer Security. 3 rd Edition, Wiley, 2011 W. Stallings. Cryptography and Network Security, Principles and Practice. 5 th Edition, Pearson, 2010 n R. J. Anderson. Security Engineering. 2 nd Edition, Wiley, 2008 n S. L. Pfleeger. Security in Computing. 3 rd Edition. Prentice Hall, 2003