SECURICON - Hackers and Network Security

421 views
367 views

Published on

http://www.netweek.gr/default.asp?pid=9&la=1&arId=22399

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
421
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
1
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

SECURICON - Hackers and Network Security

  1. 1. Hackers & Network Security“IT, infrastructure, network, cloud, hacker, virus, penetration testing, vulnerability assessment, wires,CAT5/6, fiber optics, router, switch, rack...” είναι μερικές από τις λέξεις που απαρτίζουν το λεξιλόγιομιας σύγχρονης υποδομής πληροφορικής. Πώς όμως διαχειρίζεται σήμερα ο εκάστοτε IT / Networkadministrator τις υποδομές αυτές και πόσο σίγουρος είναι ότι αυτές είναι και ασφαλείς?Δυστυχώς τα δεδομένα και οι στατιστικές των τελευταίων ετών σε συνδυασμό με τις συνεχείς επιθέσειςσε εγκαταστάσεις και ιστοσελίδες στην Ελλάδα μας λένε πως ή έννοια της ασφάλειας είναι ανύπαρκτη!Σε αυτό έχουν συμβάλει για μεγάλο χρονικό διάστημα η στείρα γνώση και η μη πρακτική εφαρμογήτων θεωριών σε πραγματικό χώρο που δέχεται επιθέσεις. Ο IT / Network administrator είναιαπαίδευτος και δεν έχει καλή και σε βάθος γνώση των τεχνολογικών υποδομών αλλά ούτε και φυσικάτων πρωτοκόλλων και εφαρμογών που “συνεργάζονται” για την επίτευξη του στόχου και την παροχήυπηρεσιών σε ένα εταιρικό δίκτυο.Ας πάρουμε όμως τα πράγμα με τη σειρά. Το πρόβλημα ξεκινά, ξεκάθαρα, από την παιδεία και τηνκακή έως ανύπαρκτη εμβάθυνση της γνώσης των ειδικευμένων που αναλαμβάνουν την διαχείρισηενός συστήματος πληροφορικής. Εάν ο υπεύθυνος δε λάβει σωστές γνώσεις τότε και οι πράξεις τουθα είναι μοιραία εσφαλμένες ή ελλιπείς. Το άρθρο αυτό έχει ως στόχο να ενημερώσει τον αναγνώστητου σχετικά με τις ευπάθειες των υφιστάμενων υποδομών και έπειτα να προσδώσει παραδείγματαλύσεων τα οποία είναι αποτελεσματικά και άμεσα, εξηγώντας παράλληλα σε βάθος τις υποδομές.Η εποχή μας έχει “βαφτιστεί” - και όχι άδικα - ως ο αιώνας της πληροφορίας. Ζούμε στην εποχή τηςπληροφορικής και συνεχώς “βομβαρδιζόμαστε” από καταιγιστικά δεδομένα τα οποία πρέπει ναεπεξεργαστούμε για να πάρουμε αποφάσεις και να πράξουμε ανάλογα. Η πληροφορία όμως είναιεύκολο να μεταβληθεί, να αλλάξει, να μετασχηματιστεί και να δημιουργήσει εσφαλμένες αντιλήψεις ήνα μας οδηγήσει εσκεμμένα σε λάθος δρόμο. Επίσης, υπάρχουν μέθοδοι με τις οποίες η πληροφορίαμπορεί να παρουσιάζεται σε κάποιους ως ασήμαντη ενώ την ίδια στιγμή λίγο παραπέρα κάποιοςάλλος την εκμεταλλεύεται και αντλεί σημαντικά και απόρρητα, πολλές φορές, δεδομένα!Φτάνοντας σε αυτό το σημείο, μπορούμε να παρουσιάσουμε τον άνθρωπο που ζει ανάμεσά μας καιπου έχει τις γνώσεις και τις μεθόδους να πράξει τα παραπάνω. Την πηγή του “κακού” και τον υπαίτιογια όλα τα προαναφερθέντα σύμφωνα με τα Μ.Μ.Ε που του έχουν προσδώσει έναν πολύ γενικό τίτλο.Τον ονομάζουν “Hacker”! Ένας τίτλος που όμως από μόνος του δεν λέει απολύτως τίποτα στουςγνώστες της πληροφορικής, στους μηχανικούς και στους αρχιτέκτονες πληροφοριακών συστημάτων.Ο hacker είναι μια πολύ αφηρημένη έννοια. Ο συγγραφέας αυτού του άρθρου είναι hacker. Τι είναιόμως ο hacker και γιατί από μόνη της η λέξη αυτή δεν προσδίδει κάτι το κακό η το καλό?Σύμφωνα με το Jargon dictionary ο hacker είναι τρόπος ζωής. Είναι ένα άτομο που έχει μια νοοτροπίαζωής με βάση την οποία δεν αποδέχεται απλά ότι του λένε. Είναι ένα άτομο με οξύ νου καιανεπτυγμένη την κριτική σκέψη που προσπαθεί πάντα να μάθει πως και γιατί τα πράγματα που βλέπειγύρω του λειτουργούν με αυτό τον τρόπο και πολλές φορές μπορεί να προτείνει πιο αποτελεσματικέςλύσεις σε προβλήματα ή να αξιοποιήσει ένα σύνολο γνώσεων και υποδομών για να ικανοποιήσει τις
  2. 2. δικές του ανάγκες. Όπως καταλαβαίνετε ο hacker δεν έχει να κάνει πάντα και μόνο με την τεχνολογίακαι φυσικά δεν είναι πάντα κακός ή κακόβουλος. Μερικά παραδείγματα hacker είναι ο πρωτοπόροςαρχιτέκτονας που σχεδιάζει κάτι με νέες προσθήκες πέραν της κλασικής αρχιτεκτονικής, ο μηχανικόςαυτοκινήτων που με καλή γνώση αλλά με λιγότερα ανταλλακτικά από όσα θα έπρεπε να είχεκαταφέρνει και επισκευάζει ή ακόμα και βελτιστοποιεί έναν κινητήρα, ο ιστορικός που ανακαλύπτειμετά από χρόνια ερευνών χαμένες έννοιες και τα συνδέει με γεγονότα....Βλέπουμε λοιπόν πως ο hacker είναι ο άνθρωπος της έρευνας, της αγάπης για την εργασία του, τηςκαινοτομίας και της “πατέντας” όπως λέμε στην Ελλάδα.Για να επικεντρωθούμε όμως στο χώρο μας και να προσδιορίσουμε τον hacker της πληροφορικής μεσαφήνεια πρέπει ορίσουμε κάποιες κατηγορίες που τα τελευταία 20 χρόνια δίνουν “χρώμα” καικυριολεκτικά στις ενέργειές τους.Η βασική κατάταξη των hackers είναι: 1. White Hat 2. Grey Hat 3. Black HatΟι white hat hackers είναι τα “καλά” παιδιά της πληροφορικής. Είναι ηθικοί και πάρα πολύ ικανοί. Είναιsecurity experts και έχουν άμεσες λύσεις στα πιο δύσκολα προβλήματα. Επίσης εγκαθιστούνλογισμικό και υλικό και το ρυθμίζουν με τέτοιο τρόπο ώστε να είναι ανθεκτικό σε επιθέσεις και ναπροκαταλαμβάνει τυχόν ευπάθειες. Είναι αυτοί που διαβάζουν ασταμάτητα, εκπαιδεύονται καιενημερώνονται για να μην βρεθούν ποτέ στη δεύτερη θέση. Είναι η κατηγορία των διαχειριστών πουλείπει από την Ελλάδα λόγω της κακής παιδείας μας.Οι grey hat hackers είναι εξίσου καλοί και μοιάζουν σε πολλά σημεία με τους white hats. Όμως, έναςgrey hat δεν είναι και πάντα τόσο ηθικός και μπορεί η πληροφορία που θα τον ικανοποιεί να τηνδιαστρεβλώσει ή να την υποκλέψει. Οι grey hats έχουν μεγάλο πάθος με την άντληση πληροφοριώνκαι είναι πολύ εκδικητικοί. Τέλος, είναι υπεύθυνοι για χιλιάδες επιθέσεις σε συστήματα και ιστοσελίδεςσε όλο τον κόσμο.Οι black hat hackers είναι άτομα με πολύ καλές γνώσεις αλλά συνήθως διακρίνονται από κακεντρέχειακαι μίσος για το σύνολο. Είναι περιθωριακοί τύποι και πολλές φορές πέρα από επιθέσεις κάνουν καισπασίματα κωδικών ή cracks. Γενικά διαβάζουν πολύ και έχουν εξαιρετικές δυνατότητες στηνκατανόηση και τον προγραμματισμό σε χαμηλό επίπεδο. Σε αυτή την κατηγορία ανήκουν και πολλοίδυνατοί crackers αν και σαν κατηγορία οι crackers είναι αυτόνομοι.Όποια κατηγορία όμως και να κοιτάξουμε διακρίνουμε ένα κοινό σημείο, το σκάλισμα του τι υπάρχειμέσα στο “κουτί”, η δίψα για γνώση, η τάση για εξερεύνηση. Από εκεί ξεκινάει ο μεγάλος αγώνας και ηαντιπαράθεση. Οι επιθέσεις είναι μια μορφή πρόκλησης που ανεβάζει την αδρεναλίνη τουεπιτιθέμενου. Η δίψα του να ανακαλύψει ή να προσβάλει ένα σύστημα το οποίο θεωρείται ασφαλέςείναι το υπέρτατο ναρκωτικό που ικανοποιεί τον εγωισμό του!Έχοντας κατανοήσει τους κοινωνικούς και ψυχολογικούς παράγοντες της συμπεριφοράς ενός hackerένας οργανισμός, μια εταιρία ή ένας ιστοχώρος δεν θα είναι στο έλεος του επιτιθέμενου. Αυτό φυσικάπροϋποθέτει ότι η εκάστοτε επιχείρηση για παράδειγμα έχει φροντίσει να εκπαιδεύσει το προσωπικότης, έχει προσλάβει εξειδικευμένα άτομα και ικανούς administrators και φυσικά έχει ενισχύσει τιςάμυνες του δικτύου της και της εγκατάστασής της γενικά. Δυστυχώς, στην Ελλάδα όταν μια εταιρίαακούει τις έννοιες “vulnerability assessment” και “penetration testing” είτε αδυνατεί να κατανοήσει τηνσημαντικότητα των λέξεων και απλά τα απορρίπτει είτε πιο συχνά τις φοβάται ως κάτι άγνωστο ήάχρηστο. Είναι τρομακτικό το γεγονός πως στην Ελληνική επικράτεια υπάρχει η νοοτροπία του ότιείμαστε ασφαλείς και οι καλύτερα διασφαλισμένοι σε εγκαταστάσεις και συστήματα πληροφορικής. Τοδε κωμικοτραγικό είναι πως υπάρχουν άτομα με χρόνια εμπειρίας που υποστηρίζουν και έχουν την
  3. 3. πεποίθηση ότι επειδή δεν έπεσαν ποτέ θέμα επιθέσεων δε θα πέσουν και στο μέλλον. Φαίνεται ότι οικύριοι αυτοί δε γνωρίζουν το κλασικό ρητό που λέει πως: “Το θέμα δεν είναι αν θα υπάρξει κάποιαηλεκτρονική επίθεση σε μια εταιρία αλλά το πότε θα γίνει!”. Κοινώς το “αν” δεν είναι καν θέμασυζήτησης αλλά το “πότε” είναι, και αυτό δεν πρέπει να το αφήσουμε στην τύχη.Εάν λοιπόν περιμένουμε την ημέρα που κάποιος hacker με τον ένα ή τον άλλο τρόπο θα εισβάλει στοσύστημά μας για να πάρουμε αντίμετρα, τότε πλέον είναι σίγουρο πως έχουμε πάθει μεγάλη ζημιά καιτο μέλλον της εταιρίας, οργανισμού κτλ. είναι στο έλεος του επιτιθέμενου. Αυτό είναι απαράδεκτο!Ας δούμε ποιες είναι οι πιο κλασικές μέθοδοι επιθέσεων καθώς και οι τεχνικές που ακολουθούνται απότους grey hat και black hat hackers: 1. Cross Site Scripting (XSS) 2. SQL Injection (SQLi)Cross Site Scripting (XSS) είναι μια τεχνική με την οποία ο επιτιθέμενος εισαγάγει τμήματα κώδικα σεμια ιστοσελίδα τα οποία με τη σειρά τους εκτελούνται όταν ένας χρήστης “βλέπει” την ιστοσελίδα απότον υπολογιστή του. Εάν αυτό συμβεί και ο επιτιθέμενος έχει προγραμματίσει με τέτοιο τρόπο τονκώδικα ώστε να αποστέλλει πληροφορίες όπως τα “session cookies” τότε μπορεί μέσα σε μερικάλεπτά να αποκτήσει πρόσβαση με στοιχεία άλλων χρηστών.SQL Injection (SQLi) είναι μια τεχνική με την οποία ο επιτιθέμενος παρεμβάλει τμήματα κώδικα μέσωτης address bar του browser και επηρεάζει ή αλλάζει την λογική των SQL εντολών που “τρέχουν” πίσωαπό την ιστοσελίδα και εξυπηρετούν τη φόρτωση περιεχομένων. Ο επιτιθέμενος είναι ικανός ναυποκλέψει στοιχεία από τη βάση δεδομένων, να αλλάξει ή ακόμα και να σβήσει όλα τα δεδομένα.Όπως καταλαβαίνετε τα παραπάνω μπορούν να συνδυαστούν και ο επιτιθέμενος να έχει πλήρηπρόσβαση στον απομακρυσμένο server που βρίσκεται η προς επίθεση ιστοσελίδα. Πέραν τωνπαραπάνω μεθόδων υπάρχουν κι άλλες κλασικές ή πιο νέες ή πιο εξειδικευμένες τεχνικές που όμωςδεν είναι συνήθεις λόγω της δυσκολίας υλοποίησής τους.Το ανησυχητικό όμως δεν είναι η πληθώρα τρόπων επιθέσεων αλλά τα άτομα και οι ηλικίες αυτών πουείναι ικανοί να πράξουν και να ολοκληρώσουν μια ηλεκτρονική επίθεση στην εποχή μας. Στατιστικά καιμιλώντας μόνο για την Ελλάδα έχει παρατηρηθεί ότι το εύρος των ηλικιών των επιτιθέμενων είναι από12 – 25 ετών. Είναι πραγματικά δύσκολο να αποδεχτούμε πως ένας έφηβος ηλικίας μόλις 15 ετώνμπορεί μέσα σε λίγα λεπτά να καταστήσει άχρηστα τα συστήματα ασφαλείας και τους ειδικευμένουςδιαχειριστές μιας τράπεζας!Όμως για τα πάντα υπάρχει μια εξήγηση. Σήμερα το Internet αποτελεί μια τεράστια βιβλιοθήκη γνώσηςαλλά και λογισμικού / υλικού. Είναι εύκολο για ένα παιδί να βρει μερικές πηγές και να κατεβάσει έτοιμαεργαλεία ή βοηθητικά λογισμικά που θα του δώσουν τα εφόδια ώστε να εκτελέσει μια επιτυχημένηεπίθεση. Δεν αποτελεί λοιπόν πανάκεια το ότι ο επιτιθέμενος μπορεί να είναι ένας γνώστης, έναςειδικευμένος ή ένας hacker. Μπορεί κάλλιστα να είναι το παιδί της διπλανής πόρτας. Αυτό όμως είναικαι το πιο ανησυχητικό και δυστυχώς δεν το κατανοούν οι εταιρίες και οι οργανισμοί. Ας αναλογιστούμεμόνο πως εάν ανάμεσα στα χιλιάδες παιδιά της χώρας μας ένα μικρό ποσοστό “παίζει” και περνάει τηνώρα του κάνοντας ηλεκτρονικές επιθέσεις, τότε κάθε μέρα οι εταιρίες, οι οργανισμοί, τα υπουργεία, οισταθμοί, τα νοσοκομεία και άλλα θα είναι σε συνεχή κίνδυνο. Τέλος, τι θα γινόταν εάν ένα μέρος μόνοναυτών των παιδιών στο κοντινό μέλλον γίνουν ικανοί hackers?Για να αποφευχθούν λοιπόν οι επιθέσεις και να είναι έτοιμες οι εταιρίες να αντεπεξέλθουν θα πρέπεινα υπάρχει ενημέρωση, οργάνωση, εκπαίδευση και συνεχής έλεγχος των εγκαταστάσεων. Τοπρότυπο ISO 27000 καθορίζει όλες τις μεθοδολογίες, καλές πρακτικές και κινήσεις μέσα σε μία εταιρίαώστε να προφυλαχτεί και να συνεχίζει να προφυλάσσει τις εταιρικές πληροφορίες. Επιπλέον, το ISO27000 καθορίζει πρότυπα για την καταγραφή και την οργάνωση του τμήματος της πληροφορικής μέσα
  4. 4. σε έναν οργανισμό ή εταιρία.Για την ολοκληρωμένη προστασία δεν φτάνει όμως μόνον αυτό. Οι εταιρίες πρέπει να επαγρυπνούνκαι να κάνουν συνεχείς ελέγχους σε τακτά χρονικά διαστήματα λίγων εβδομάδων για πιθανέςευπάθειες των υποδομών τους. Για τον λόγο αυτό υπάρχουν οι μεθοδολογίες και οι τεχνικές μαζί με τακατάλληλα λογισμικά και τους κανόνες που βοηθούν στην έγκαιρη καταγραφή και επίλυση τωνπιθανών ευπαθειών που ίσως ανακαλυφθούν. Για την επίτευξη του στόχου η διαδικασία περιλαμβάνειτρία βασικά βήματα: 1. Vulnerability Assessment: Η διαδικασία κατά την οποία ένα σύστημα ελέγχεται με εργαλεία και μεθοδολογίες για την τεκμηρίωση των πιθανών ευπαθειών του. 2. Penetration Testing: Η διαδικασία κατά την οποία ένα σύστημα τίθεται υπό επίθεση από εξουσιοδοτημένο και εξειδικευμένο τεχνικό προσωπικό για να ανακαλυφθούν ευπάθειες και τρωτά σημεία. Συνήθως συνδυάζεται με το Vulnerability Assessment και μάλιστα ακολουθεί αυτού. 3. Επίλυση προβλημάτων και ευπαθειών.Είδαμε λοιπόν γενικά τι είναι ένας hacker και πως παιδιά με ελάχιστες γνώσεις Η/Υ μπορούν ναβλάψουν μια εταιρία με τη βοήθεια έτοιμων λογισμικών, είδαμε πως γίνονται οι συνήθεις επιθέσεις,ποιοι είναι οι πιθανοί επιτιθέμενοι και πως μπορεί μια εταιρία να προστατευθεί. Κλείνοντας, θέλω ναεπισημάνω πως οι εταιρίες για να προστατευθούν πρέπει να δίνουν πάντα προσοχή ακόμα και σεθέματα που φαίνονται ασήμαντα τόσο για τις εγκαταστάσεις όσο και τα λογισμικά τους. Πρέπει ναθυμούνται πάντα, πώς ο επιτιθέμενος θα στηριχθεί στο γεγονός της αδιαφορίας ή της μη κατανόησηςτης σοβαρότητας του κινδύνου σε θεωρητικά “μικρά” προβληματάκια.Γιώργος Α. Δελαπόρτας---IT & Network administrator at SecuriconNetwork Security Expertise (White Hat)Computer & Informatics EngineerMSc in Data Communications & NetworkingPhD in Digital Forensics

×