Cyber security

Δημοκρίτειο Πανεπιστήμιο Θράκης
Τμήμα Δασολογίας και Διαχείρισης Περιβάλλοντος και Φυσικών Πόρων
Εργαστήριο Δασικής-Περιβαλλοντικής Πληροφορικής και Υπολογιστικής Νοημοσύνης
Κωνσταντίνος Δεμερτζής – Λάζαρος Ηλιάδης
«Ασφάλεια Πληροφορικής και Διαδικτύου»

22
«Τεχνολογίες Πληροφορικής και Επικοινωνιών στην Εκπαίδευση»
 Τεχνολογίες Πληροφορικής
- Ασφάλεια Πληροφορικής και Διαδικτύου
▪ Η ασφάλεια πληροφοριακών συστημάτων, είναι ένα γνωστικό
πεδίο της επιστήμης της πληροφορικής, που ασχολείται με την
προστασία των υπολογιστών, των δικτύων – διαδικτύου και των
δεδομένων σε αυτά τα συστήματα, αποτρέποντας τη μη
εξουσιοδοτημένη πρόσβαση ή χρήση τους.
▪ Συγγενικά πεδία είναι η ψηφιακή εγκληματολογία και η
εφαρμοσμένη κρυπτογραφία.
▪ Η ασφάλεια πληροφοριακών συστημάτων στηρίζεται σε τρεις
βασικές αρχές που προσδιορίζουν το επίπεδο και την ποιότητα
των παρεχόμενων υπηρεσιών (Confidentiality, Integrity &
Availability – CIA):
Τμήμα Δασολογίας και Διαχείρισης Περιβάλλοντος και Φυσικών Πόρων, ΔΠΘ

33
▪ Confidentiality, Integrity, Availability – CIA:
✓ Εμπιστευτικότητα (Confidentiality). Η εμπιστευτικότητα
προσδιορίζεται ως η ικανότητα προστασίας των ευαίσθητων
πληροφοριών, οι οποίες δεν θα έπρεπε να αποκαλύπτονται σε μη
εξουσιοδοτημένα άτομα.
✓ Ακεραιότητα (Integrity). Η ακεραιότητα αναφέρεται στη
διατήρηση των δεδομένων ενός πληροφοριακού συστήματος σε
μια γνωστή κατάσταση χωρίς ανεπιθύμητες τροποποιήσεις,
αφαιρέσεις ή προσθήκες από μη εξουσιοδοτημένα άτομα, καθώς
και την αποτροπή της πρόσβασης ή χρήσης των υπολογιστών και
δικτύων του συστήματος από άτομα χωρίς άδεια.
✓ Διαθεσιμότητα (Availability). Η διαθεσιμότητα των δεδομένων
και των υπολογιστικών πόρων είναι η εξασφάλιση ότι οι
υπολογιστές, τα δίκτυα και τα δεδομένα θα είναι στη διάθεση των
χρηστών όποτε απαιτείται η χρήση τους.

44
▪ Τύποι επιθέσεων:
▪ Passive Attack (traffic analysis, monitoring)
▪ Active Attack (bypass or viruses or Trojan horses)
▪ Exploit attack (zero-day vulnerabilities)
▪ DoS attack
▪ Password attack (dictionary attack, brute-force attack)
▪ Distributed Attack (botnets, DDoS)
▪ Close-in Attack (social engineering)
▪ Dumpster Diving (software applications)
▪ Insider Attack
▪ Phishing (emails with fake URLs)
▪ Pharming (fake websites)
▪ Hijack attack (session vulnerabilities)

55
▪ Τύποι επιθέσεων:
▪ Spoof attack (man in the middle)
▪ Salami attacks (deduct very small amounts from large number
of bakn accounts)
▪ Semantic attacks
▪ Electrical power attacks
▪ Server Room Environment attacks (Fire, Temperature,
water, humidity etc)
▪ Keylogger
▪ Buffer overflow
▪ Port Scanning
▪ Ping Sweeps
▪ SYN flood attacks
▪ ICMP flood attacks

66
▪ Σχεδιασμός Πολιτικών Ασφαλείας (ΠΑΣ)
▪ Ο σχεδιασμός ΠΑΣ στα πληροφοριακά συστήματα, συνδέεται
άμεσα τόσο με τεχνικές, διαδικασίες και διοικητικά μέτρα όσο
και με ηθικό-κοινωνικές αντιλήψεις, αρχές και παραδοχές,
προφυλάσσοντας από κάθε είδους απειλή τυχαία ή σκόπιμη.
▪ Οι διαδικασίες σχεδιασμού ΠΑΣ, δεν θα πρέπει να
παρεμβαίνουν στην απρόσκοπτη λειτουργία των
πληροφοριακών συστημάτων, ενώ οφείλουν να τηρούν την
αρχή της αποκέντρωσης, της ύπαρξης αντικατάστασης και την
αρχή της άμυνας σε βάθος.
▪ Ως βάση μπορεί να οριστεί ο εντοπισμός, η αξιολόγηση και στη
συνεχεία η διαμόρφωση ενός θεωρητικού πλαισίου για το
σχεδιασμό πολιτικών σχεδιασμού ασφάλειας.

77
▪ Σχεδιασμός πολιτικών ασφαλείας
▪ Το βασικό σημείο των ΠΑΣ είναι ο εντοπισμός και
χαρακτηρισμός ως εμπιστευτικών των πληροφοριών που
πρόκειται να χρησιμοποιηθούν και να προστατευθούν.
▪ Εκτός από τις αρχές της CIA οι ΠΑΣ θα πρέπει να εμπεριέχουν
και τους όρους Αυθεντικότητα, Εγκυρότητα, Μοναδικότητα
και μη Αποποίηση.
▪ Ωστόσο, οι ΠΑΣ προϋποθέτουν την ύπαρξη μίας δέσμης
βασικών αρχών, εκφρασμένων με σαφήνεια.
▪ Κάθε αντικείμενο του συστήματος θα πρέπει να μπορεί να
αναγνωρισθεί μονοσήμαντα και να συνοδεύεται από μία
ένδειξη του βαθμού εμπιστευτικότητας.
▪ Η ισχύς των ΠΑΣ δεν θα πρέπει να βασίζονται στην άγνοια των
χρηστών, σχετικά με τις τεχνικές που χρησιμοποιούνται.

88
▪ Στόχος ενός συστήματος ΠΑΣ είναι ο περιορισμός
επικινδυνότητας σε αποδεκτό επίπεδο.
▪ Το σύστημα περιλαμβάνει αξιολόγηση της επικινδυνότητας και
περιορισμό του αποδεκτού επιπέδου ασφαλείας, ανάπτυξη και
εφαρμογή μιας ΠΑΣ καθώς και δημιουργία κατάλληλου
οργανωτικού πλαισίου και εξασφάλιση των απαιτούμενων
πόρων για την εφαρμογή της ΠΑΣ.
▪ Η ΠΑΣ μαζί με το σύνολο των μέτρων προστασίας αποτελούν
το σχέδιο ασφαλείας (security plan) για τα πληροφοριακά
συστήματα ενός οργανισμού διότι χρειαζόμαστε ένα
ολοκληρωμένο πλαίσιο με την καθοδήγηση των μέτρων
ασφαλείας να λειτουργεί ως μέσο επικοινωνίας των
εμπλεκομένων στα ζητήματα ασφαλείας.

99
▪ Επιπλέον θεμελιώνεται η σημασία της ασφάλειας του
πληροφοριακού συστήματος για τα μέλη του οργανισμού,
δημιουργείται μια κουλτούρα ασφαλείας καθώς αποτελεί
νομική υποχρέωση και αποτελεί παράγοντα εμπιστοσύνης
μεταξύ οργανισμού και πελατών.
▪ Τα είδη των ΠΑΣ είναι:
▪ τα τεχνικά (computer oriented) συστήματα πληροφοριών,
ΛΣ και δίκτυα υπολογιστών
▪ τα οργανωτικά (human oriented) και
▪ τα ατομικά (individual security policies).
▪ Σε ένα ενιαίο έγγραφο αναφέρονται όλα τα υπολογιστικά
συστήματα, οι εφαρμογές και η διαδικασία του πληροφοριακού
συστήματος.

1010
▪ Τις απαιτήσεις για την ασφάλεια του πληροφοριακού
συστήματος πρέπει να την ικανοποιεί η πολιτική ασφάλεια που
προέρχονται από όλους τους εμπλεκόμενους στη χρήση και
στη λειτουργία του πληροφοριακού συστήματος ενός
οργανισμού που είναι οι χρήστες και οι διαχειριστές του
πληροφοριακού συστήματος, η διοίκηση του οργανισμού, οι
πελάτες του οργανισμού, οι νομικές και κανονιστικές διατάξεις
που διέπουν την λειτουργία τους.

1111
▪ Ο καθορισμός της ΠΑΣ του πληροφοριακού συστήματος θα
πρέπει να καλύπτει τις ακόλουθες κατηγορίες:
▪ Ζητήματα προσωπικού
▪ Φυσική ασφάλεια
▪ Έλεγχος πρόσβασης στο πληροφοριακό σύστημα
▪ Διαχείριση υλικών και λογισμικών
▪ Νομικές υποχρεώσεις
▪ Διαχείριση της πολιτικής ασφάλειας
▪ Οργανωτική δομή
▪ Σχέδιο συνέχισης λειτουργίας

1212
▪ Όταν εφαρμόζουμε μια πολιτική ασφαλείας επιδιώκουμε:
▪ οι οδηγίες και τα μέτρα προστασίας οφείλουν να
καλύπτουν το σύνολο των αγαθών και όλες τις λειτουργίες
(πληρότητα)
▪ να λάβουμε υπόψη τις τρέχουσες τεχνολογικές εξελίξεις
(επικαιρότητα)
▪ με κάποιες τροποποιήσεις ή προσθήκες να μπορεί η
πολιτική να καλύπτει μικρές αλλαγές ή επεκτάσεις στο
πληροφοριακό σύστημα (γενίκευση).
▪ να υπάρχει σαφήνεια και εύκολη κατανόηση, τεχνολογική
ανεξαρτησία και καταλληλότητα ανάλογα με τον οργανισμό
που απευθύνεται.

1313
▪ Για να είναι επιτυχές ένα σύστημα πολιτικής ασφάλειας οφείλει:
▪ να υποστηρίζει τους επιχειρηματικούς στόχους,
▪ να συμμετέχει η διοίκηση,
▪ να είναι κατάλληλη για το περιβάλλον που εφαρμόζεται,
▪ οι χρήστες να εκπαιδεύονται κατάλληλα,
▪ να υπάρχει αξιολόγηση,
▪ η πρόσβαση να είναι εύκολη και άμεση για όλους τους
χρήστες
▪ το περιεχόμενο και οι εφαρμογές να ανανεώνονται τακτικά.

1414
▪ Disaster Recovery
▪ Οι φυσικές καταστροφές, είτε είναι μικρές όπως μια διαρροή
νερού ή φωτιά στο δικό μας χώρο ή σε διπλανό κτίριο, είτε
είναι μεγάλες (σεισμοί, πλημμύρες, καταστροφές, βανδαλισμοί)
έχουν σοβαρή επίπτωση στην λειτουργία μιας επιχείρησης και
κατ΄ επέκταση στην υποδομή και τον εξοπλισμό
πληροφορικής, με σοβαρό κίνδυνο διακοπής της.
▪ Είναι αναγκαίο να υπάρχει ένα σχέδιο ανάκαμψης (Disaster
Recovery) από καταστροφή, που μπορεί να θέσει εκτός
λειτουργίας κρίσιμο μέρος της υποδομής ή και όλη την
υποδομή και να διακοπεί η λειτουργία της επιχείρησης.

1515
▪ Οι λύσεις, πρέπει να καλύπτουν όλο το εύρος κινδύνων με
επικρατέστερη τη διατήρηση αντιγράφων των δεδομένων του
Computer Center, σε ασφαλή και απομακρυσμένο χώρο, ώστε
η ανάκαμψη των κρίσιμων δεδομένων, βασικών για την
λειτουργία της επιχείρησης να πραγματοποιηθεί τάχιστα και να
επαναλειτουργήσει η επιχείρηση ή ο οργανισμός.

1616
▪ Σχέδιο Διασφάλισης Υποδομών και Πληροφοριών (Disaster
Recovery Plan)
▪ Hardware
▪ Software
▪ Data (BackUp – Recovery)
▪ Προσωπικό
▪ Δοκιμές
▪ Επικαιροποίηση

Ασφάλεια στο Δι@δίκτυο

Κυβερνοχώρος
Tο σύνολο των αποτυπωμένων σε ψηφιακή μορφή, ανθρώπινων
πράξεων που έχουν δημιουργηθεί από την πρώτη μας περιήγηση
στο διαδίκτυο.

Ανωνυμία στο Διαδίκτυο
✓ Ταυτοποίηση ΙΡ διεύθυνσης

Απειλές
✓ Ιοί - Ανεπιθύμητα Μηνύματα (Virus, Trojan, Malware, Spam)

Απειλές
✓ Υποκλοπή Προσωπικών στοιχείων (Phishing)

Απειλές
✓ Παραβίαση Ιδιωτικότητας

Απειλές
✓ Αποπλάνηση (Grooming)

✓ Το διαδικτυακό «grooming» συμβαίνει όταν ένας ενήλικας έρχεται σε επαφή
µέσω του διαδικτύου µε ένα παιδί ή έφηβο προκειμένου να το συναντήσει από
κοντά και να το εκμεταλλευτεί µε πολύ άσχημο τρόπο.
✓ Το διαδικτυακό grooming ή αλλιώς η «αποπλάνηση» µέσω διαδικτύου είναι ένα
έγκλημά που τιμωρείται αυστηρά σε όλες τις χώρες της Ευρώπης.
✓ Μπορεί να συμβεί σε όλους τους ιστοχώρους που είναι πολύ δημοφιλείς στους
εφήβους και στα παιδιά όπως στα διαδικτυακά παιχνίδια, στα κοινωνικά δίκτυα
(π.χ. facebook, stardoll), στα δωμάτια συνομιλίας (chat rooms) κ.λπ.
✓ Κάποιοι διαδικτυακοί groomers μπορεί να προσποιούνται ότι είναι συνοµίληκοι
µε τα παιδιά (π.χ. βάζοντας ψεύτικη φωτογραφία προφίλ και δηλώνοντας
ψευδή ηλικία).
✓ Οι διαδικτυακοί groomers συνήθως έχουν γνώσεις στο να χειρίζονται
ψυχολογικά και συναισθηματικά τους εφήβους (π.χ. γνωρίζουν την εφηβική
γλώσσα και τον εφηβικό τρόπο σκέψης) και γι αυτό μπορεί να χρησιμοποιούν
διάφορες τεχνικές προκειμένου να αποκτήσουν αρχικά την εμπιστοσύνη του
εφήβου.

✓ Η διαδικασία αυτή µπορεί από περίπτωση σε περίπτωση να διαφέρει άλλωστε,
µπορεί να κρατήσει για πάρα πολύ καιρό έως και χρόνια προκειµένου ο θύτης
να πείσει το παιδί και να το κάνει να τον εµπιστευτεί.
✓ Κάποιες από τις συνήθεις τεχνικές grooming είναι:
• «Ας µιλήσουµε πιο ιδιωτικά» (προκειµένου να γίνει η κουβέντα πιο ιδιωτική
όπως σε ενα προσωπικό chat ή στο κινητό τηλέφωνο).
• «Πού βρίσκεται ο υπολογιστής; Από πού µου µιλάς τώρα;» (προκειµένου
να δει εάν κάποιος ενήλικας ή γονέας είναι κοντά).
• «Ποιος είναι ο αγαπηµένος σου ηθοποιός; Συγκρότηµα; Τραγουδιστής;»
(προκειµένου να εξοικειωθεί συναισθηµατικά το παιδί ή και να του κάνει
δώρο κάποιο cd ή εισιτήριο για συναυλία)
• «Ξέρω κάποιον που µπορεί να σε βοηθήσει να κάνεις καριέρα µοντέλου /
χορεύτριας / ηθοποιού» (προκειµένου να φλερτάρει και να ενθαρρύνει
προσωπική συνάντηση)
• «Ξέρω έναν τρόπο που µπορείς να βγάλεις εύκολα και γρήγορα χρήµατα»
(προκειµένου να δείξει ότι ενδιαφέρεται για το παιδί και να το εκµεταλλευτεί)

• «Πες µου τι σε απασχολεί. Ακούγεσαι πολύ στεναχωρηµένος. Μπορώ να
σε βοηθήσω» (προκειµένου να κερδίσει την εµπιστοσύνη του παιδιού και να
χτίσει έναν ισχυρό συναισθηµατικό δεσµό)
• «Μην πεις σε κανέναν για την καινούργια µας γνωριµία. Ας την
κρατήσουµε µυστική από όλο τον κόσµο. Μόνο εγώ και εσύ θα ξέρουµε»
(προκειµένου να µην αποκαλύψει το παιδί σε κανέναν τι συµβαίνει)
• «Είσαι η αδερφή ψυχή µου. Ταιριάζουµε τόσο πολύ. Είσαι η αγάπη της
ζωής µου» (προκειµένου το παιδί να δεσµευτεί συναισθηµατικά και να νιώσει
παρόµοια συναισθήµατα)
• «Ποιος είναι ο αριθµός του κινητού σου/Η διεύθυνση του σπιτιού σου/σε
ποιο σχολείο ή φροντιστήριο πηγαίνεις κ.λ.π.» (το να ζητήσει προσωπικές
πληροφορίες συνήθως συµβαίνει σε µετέπειτα στάδιο όταν το παιδί ήδη
νιώθει µεγάλη οικειότητα και εµπιστοσύνη)

•«Έχεις κάνει ποτέ ερωτική σχέση;» (προκειµένου να αποφασίσει µε ποιο
τρόπο θα το προσεγγίσει)
• «Θα σου στείλω κάτι που θα σου αρέσει, αλλά πρέπει να υποσχεθείς ότι
δεν θα το δείξεις σε κανέναν άλλο. Θα είναι το κοινό µας µυστικό» (η
αποστολή µπορεί να περιλαµβάνει βίντεο ερωτικού περιεχοµένου
προκειµένου να εξοικειώσει το παιδί µε τέτοιες σκηνές)
•«Εάν δεν κάνεις… αυτό που σου ζητάω… τότε θα… στείλω τις φωτογραφίες
που µου έστειλες στο σχολείο σου και στους γονείς σου» (προκειµένου να
εκβιάσει το παιδί να κάνει αυτό που ζητάει, ούτως ώστε το παιδί να νιώσει
φόβο και ενοχή και να µην αποκαλύψει σε κανένα τι συµβαίνει)

✓ Πώς µπορείς να αντιδράσεις έξυπνα και να παραµείνεις ασφαλής
• Θυµόµαστε πάντα ότι είναι εύκολο στο Διαδίκτυο να πει κάποιος ψέµατα
για το ποιος πραγµατικά είναι.
• Ας είµαστε προσεκτικοί ποιους αποδεχόµαστε να γίνουν “φίλοι” και µε
ποιους µιλάµε στο Διαδίκτυο.
• Χρησιµοποιούµε τις ρυθµίσεις απορρήτου στους ιστοχώρους που
επισκεπτόµαστε. Προσαρµόζουµε τις ρυθµίσεις, έτσι ώστε να µη βλέπουν όλοι
το προφίλ µας ή τις φωτογραφίες µας!
• Δε βάζουµε προκλητικά ονόµατα (username) στο προφίλ µας.
• Δεν κανονίζουµε ΠΟΤΕ συναντήσεις µε ανθρώπους που στην ουσία δεν
γνωρίζουµε, ακόµα και αν έχουµε γίνει “φίλοι” στο Διαδίκτυο.
• Δεν ανταλλάσουµε ευαίσθητες προσωπικές πληροφορίες ή ακατάλληλα
βίντεο και φωτογραφίες. Μπορούν να µείνουν για πάντα στο Διαδίκτυο και να
διανεµηθούν στον οποιονδήποτε!
• Δε δελεαζόµαστε ποτέ από τα χρήµατα και τα δώρα. Ακόµα και αν κάποιος
σε πληρώσει για να κάνεις κάτι ακατάλληλο, παραµένει να είναι κακοποίηση.

✓ Πώς µπορείς να αντιδράσεις έξυπνα και να παραµείνεις ασφαλής
• Ζητάµε τη συµβουλή και την υποστήριξη κάποιου ενήλικα που ξέρουµε ότι
µας αγαπάει και που εµπιστευόµαστε (π.χ. γονέα, καθηγητή). Ακόµα και αν
νιώθουµε άσχηµα γι΄αυτό όπως ντροπή, φόβο (ότι θα µου στερήσουν την
πρόσβαση στο Διαδίκτυο ή ότι θα µου φερθούν άσχηµα), ή και ενοχές (ότι θα
στεναχωρήσω πολύ τους γονείς µου), θυµάµαι ότι η σωµατική µου και η
ψυχική µου ακεραιότητα είναι προτεραιότητα και οφείλουµε εγώ και οι γονείς
µου να την προστατεύουµε.
• Έχουµε στο νου µας ότι ακόµα και αν ο συνοµιλητής µας στο Διαδίκτυο είναι
πραγµατικά αυτός που φαίνεται (π.χ. τον έχουµε δει σε web camera), υπάρχει
πάντα η πιθανότητα να είναι µέλος ενός κυκλώµατος (δόλωµα) που
εκµεταλλεύεται παιδιά.
• Σε κάθε περίπτωση δεν ενδίδουµε σε κανένα εκβιασµό και θυµόµαστε ότι
µπορούµε να απευθυνθούµε και στους παρακάτω φορείς: Safeline.gr:
Ελληνική Ανοιχτή Γραµµή για το παράνοµο περιεχόµενο στο Διαδίκτυο
(www.safeline.gr) του Ελληνικού Κέντρου Ασφαλούς Διαδικτύου Στις κατά
τόπους εισαγγελικές υπηρεσίες Στη Δίωξη Ηλεκτρονικού Εγκλήµατος
Τηλ. 210 6007686 e-mail: info@help-line.gr

Απειλές
✓ Παιδική Πορνογραφία

Darknet

Darknet
✓ Το μεγαλύτερο μέρος του traffic σε ιστοσελίδες του
αποκαλούμενου darknet (του ανώνυμου δικτύου The Onion
Router-Tor που χρησιμοποιείται για ανώνυμη δραστηριότητα στο
Ίντερνετ) έχει να κάνει με σελίδες σχετικά με υλικό κακοποίησης
ανηλίκων και παιδικής πορνογραφίας.
✓ Στο εν λόγω δίκτυο είναι πολύ δύσκολο να διαπιστωθεί εάν
βρίσκονται άνθρωποι χρήστες και όχι προγράμματα πίσω από
όλες τις επισκέψεις.
✓ Το Tor είναι ένα σύστημα ανωνυμίας το οποίο επιτρέπει στους
χρήστες του να περιηγούνται στο διαδίκτυο χωρίς να φαίνεται
ποιοι είναι ή σε ποια χώρα βρίσκονται.

Darknet
✓ Αυτή η δυνατότητα το έχει καταστήσει δημοφιλές σε πολλούς
χρήστες, οι οποίοι έχουν στήσει σελίδες μέσω των οποίων
προσφέρουν παράνομο υλικό, αγαθά και υπηρεσίες.
✓ Οι κορυφαίες 40 κρυμμένες υπηρεσίες είχαν να κάνουν με τον
έλεγχο botnets, με πώληση παράνομων ουσιών, απάτες, αγορές
ηλεκτρονικών υπηρεσιών Hacking και υπηρεσίες που είχαν να
κάνουν με το εικονικό νόμισμα, Bitcoin.

ΑΡΧΕΣ ΑΝΩΝΥΜΙΑΣ
✓ Στοχευόμενη παρακολούθηση
• Ο πιο απλός τρόπος για να γνωριστεί όλη τη δραστηριότητα
σε έναν ΗΥ, ανεξάρτητα απ’ το αν χρησιμοποιεί ή όχι
προγράμματα ανωνυμίας, είναι να εγκατασταθεί ένα spyware
πχ keylogger.
• Εάν υπάρχει εγκατεστημένο κάποιο πρόγραμμα
αυτοπροστασίας που δεν επιτρέπει την παρουσία τέτοιου
είδους κακόβουλων προγραμμάτων, οι κακόβουλοι χρήστες
είναι περιορισμένοι στην υποκλοπή μόνο των δεδομένων
που εξέρχονται.
• Στην περίπτωση αυτή, έχει νόημα η χρησιμοποίηση
προγραμμάτων ισχυρής κρυπτογράφησης και ανωνυμίας
ώστε να μην μπορούν να διαβαστούν τα ευαίσθητα δεδομένα
που διακινούνται.

✓ Διαδικασία ταυτοποίησης και εντοπισμού
• H θέση και η ταυτότητα στο internet αποκαλύπτεται
αξιοποιώντας τα τεχνικά χαρακτηριστικά του δικτύου.
• Στον εντοπισμό συμβάλλουν χαρακτηριστικά όπως:
• προσωπικά δεδομένα χρήστη (π.χ. ονοματεπώνυμο που
αποστέλλει στο mail provider),
• αναγνωριστικό του προγράμματος περιήγησης (πχ
browser_id και cookies),
• αναγνωριστικά σε άλλες εφαρμογές (πχ skype, viber),
• ανοιχτές θύρες επικοινωνίας στο επίπεδο μεταφοράς
δεδομένων (ftp 21 port, ssh 22 port),
• Λειτουργικό σύστημα (windows xp, ubuntu 14.02, κτλ),
• διεύθυνση IP και mac address.
• Κάθε χαρακτηριστικό και κάθε διεύθυνση είναι εφικτό να
αλλάξει ή να μεταμφιεστεί με την εγκατάσταση κατάλληλου
λογισμικού και τις αντίστοιχες ρυθμίσεις.

✓ Proxy Server
• Διαμεσολαβεί αποκρύπτοντας την πραγματική ip ενός ΗΥ,
αντικαθιστόντας την με την ip του proxy server, γιατί η
επικοινωνία γίνεται αποκλειστικά και μόνο με τον proxy ο
οποίος επαναλαμβάνει τις αιτήσεις του ΗΥ αλλά το κάνει να
φαίνεται σαν να προήλθαν απ’ αυτόν (πχ hidemyass.com).
• Κάθε proxy γνωρίζει και καταγράφει (logs) κάθε ενέργεια που
έγινε μέσα απ’ αυτόν.

✓ Traffic Analysis
• Μπορεί να επεξεργαστεί το τι εισέρχεται και τί εξέρχεται απ’
έναν proxy και έτσι να γίνει η αντιστοίχηση.
• Γι αυτό το λόγο η επικοινωνία μεταξύ ΗΥ και proxy πρέπει να
είναι κρυπτογραφημένη σε ένα σοβαρό σύστημα ανωνυμίας.
• Στην περίπτωση αυτή μπορεί να μετρηθεί ο όγκος της
πληροφορίας που διακινείται σε συγκεκριμένες χρονικές
στιγμές και έτσι να γίνει η ταυτοποίηση.

✓ Traffic Analysis
• Τα αντίμετρα στην ταυτοποίηση κίνησης είναι:
• Η εισαγωγή χαοτικών δεδομένων στην
κρυπτογραφημένη ροή εισόδου του proxy που αυξάνουν
τυχαία τον όγκο της πληροφορίας ώστε να μην είναι
ταυτοποιήσιμη με τη ροή εξόδου και να μη γίνεται
αντιστοίχηση.
• Η εισαγωγή τυχαίων χρονικών καθυστερήσεων, έτσι
ώστε ο proxy να καθυστερεί για τυχαία χρονικά
διαστήματα να αναπαράξει τις εντολές εισόδου για να
εμποδίσει την ανάλυση κίνησης.
• Συνδυασμός των παραπάνω μεθόδων.

✓ Ασύμμετρη Κρυπτογραφία ή Κρυπτογράφηση Δημοσίου Κλειδιού
• Στα συστήματα αυτά ο κωδικός κρυπτογράφησης είναι
διαφορετικός από τον κωδικό αποκρυπτογράφησης.
• Με αυτήν την κρυπτογραφική τεχνική, για την αποστολή ενός
κρυπτογραφημένου μηνύματος μέσω του δικτύου,
δημοσιοποιείται ο κωδικός κρυπτογράφησης (δημόσιο κλειδί)
και αποκρυπτογραφείται το μήνυμα μέσω του κωδικού
αποκρυπτογράφησης που κατέχει μόνο ο αποστέλλων
χρήστης (πχ είναι σαν να υπάρχει ένα λουκέτο με ένα
μοναδικό κλειδί που το ανοίγει. Για την κρυπτογράφιση
γίνεται αποστολή του λουκέτου προς τον ενδιαφερόμενο,
αυτός στη συνέχεια βάζει το μήνυμα σε ένα κουτί, το
σφραγίζει με το λουκέτο (το λουκέτο αντιστοιχεί στο δημόσιο
κλειδί) και το στέλνει πίσω. Έτσι το μήνυμα μπορεί να
διαβαστεί μόνο από το κλειδί που ανοίγει το λουκέτο).

• Η τεχνική αυτή βασίζεται στις ιδιαίτερες μαθηματικές ιδιότητες
των πρώτων αριθμών (αριθμοί που διαιρούνται μόνο με το 1
και τον εαυτό τους).
• Συγκεκριμένα, ενώ δεν απαιτούνται ιδιαίτεροι υπολογισμοί
για τον πολλαπλασιασμό δύο πολύ μεγάλων πρώτων
αριθμών, είναι σχεδόν αδύνατον, από το πολλαπλάσιο τους,
να βρεθούν δύο διαιρέτες πρώτοι αριθμοί καθώς χρειάζεται
υπολογιστική ισχύ που δεν υπάρχει στις μέρες μας
(ασυμμετρία).
• Οι δύο διαιρέτες συμπεριλαμβάνονται στην παραγωγή του
ιδιωτικού κλειδιού και το πολλαπλάσιο στην παραγωγή του
δημόσιου κλειδιού.

• Οι αδυναμίες της ασύμμετρης κρυπτογραφίας σε
υπολογιστικό περιβάλλον σχετίζονται συνήθως με τους
κωδικούς που παράγονται από τα προγράμματα δημόσιου
κλειδιού με τη βοήθεια του ΛΣ καθώς οι κωδικοί αυτοί
παράγονται από ψευδοτυχαίους αριθμούς, που στην
πραγματικότητα φτιάχνονται από μία σειρά
προκαθορισμένων υπολογισμών.
• Βάσει αυτού θα μπορούσε κάποιος να συναγάγει όλη τη ροή
ψευδοτυχαίων αριθμών άρα και τους κωδικούς αν η
γεννήτρια δεν είναι τόσο αξιόπιστη.

✓ Το σύστημα ανωνυμίας TOR
• Το tor (the onion routing), είναι ένα σύστημα ανωνυμίας
χαμηλής καθυστέρησης που προσφέρει ισχυρή ανωνυμία.
• Αυτό το καταφέρνει καθοδηγώντας την ανταλλαγή
δεδομένων μέσα από ένα χαοτικό δίκτυο πολλών
διαμεσολαβητών υπολογιστών (proxy servers), τους οποίους
τρέχουν διάφοροι εθελοντές, οπότε ο καθένας μπορεί να
αποτελέσει μέρος του δικτύου.
• Τα δεδομένα που ανταλλάσσονται κινούνται
κρυπτογραφημένα σε τυχαίες διαδρομές τις οποίες κανένας
υπολογιστής του δικτύου δεν γνωρίζει ολόκληρες, ώστε αν
κάποιος από τους proxy υπολογιστές υποκλέπτει ή παρέχει
πληροφορίες, να μην μπορεί να εξακριβώσει την προέλευση
ή τον προορισμό των δεδομένων

• Για πρόσθετη ασφάλεια ανά 10 περίπου λεπτά δημιουργείται
καινούριο κύκλωμα διαμεσολαβητών.
• Κάθε κύκλωμα έχει και διαφορετικό διαμεσολαβητή εξόδου,
άρα δείχνει και διαφορετική IP στο δίκτυο.
• Για να μείνει κρυφή η συνολική διαδρομή από τα μέρη του
δικτύου χρησιμοποιείται κρυπτογράφηση μέσα σε
κρυπτογράφηση, σχηματίζοντας γύρω απ’ τα δεδομένα μία
δομή με πολλαπλά στρώματα κρυπτογράφησης που θυμίζει
κρεμμύδι (onion).
• Το όνομα the onion routing σημάινει δρομολόγηση
κρεμμυδιού.
• Ο σκοπός της χρήσης του εναπόκειται στο ήθος του
υποκειμένου που το χρησιμοποιεί.

• Κάθε κόμβος στο κανάλι γνωρίζει μόνο τους γειτονικούς του και
δεν το αποκαλύπτει.
• Τα πακέτα δεδομένων μαζί με τον τελικό προορισμό τους
κρυπτογραφούνται πριν φύγουν από τον υπολογιστή του
χρήστη για να ταξιδέψουν προς τον διαμεσολαβητή – κόμβο
εισόδου του δικτύου tor.
• Ο κωδικός κρυπτογράφησης είναι ένα δημόσιο κλειδί και μόνο
όποιος έχει το ιδιωτικό κλειδί μπορεί να ξεκλειδώσει και έτσι
φτιάχνεται ένα κρυπτογραφημένο κανάλι επικοινωνίας.
• Μέσα στο κανάλι δημιουργείται μια αντίστοιχη σύνδεση με έναν
τυχαίο ενδιάμεσο κόμβο του δικτύου, ο οποίος στέλνει και αυτός
το δημόσιο κλειδί του στον υπολογιστή του χρήστη.
• Έτσι φτιάχνεται ένα κρυπτογραφημένο κανάλι μέσα στο
κρυπτογραφημένο κανάλι, άρα ο κόμβος εισόδου δεν ξέρει να
αποκρυπτογραφήσει τα δεδομένα ούτε και τον προορισμό τους.
• Η κρυπτογράφηση μοιάζει με κρεμμύδι (πολλά στρώματα).

• Το ίδιο ισχύει και για την επικοινωνία με τον κόμβο εξόδου,
όπου ιδρύεται και τρίτο κανάλι μέσα σε κανάλι.
• Οπότε ο τυχαίος ενδιάμεσος κόμβος αποκρυπτογραφεί το
δεύτερο στρώμα και αποστέλλει την μονή κρυπτογραφημένη
ροή στον κόμβο εξόδου.
• Ο ενδιάμεσος κόμβος δεν γνωρίζει τίποτα για τα δεδομένα
ούτε την προέλευση, ούτε τον προορισμό τους, ξέρει μόνο
από ποιόν κόμβο εισόδου τα πήρε και σε ποιόν κόμβο
εξόδου πρέπει να τα δώσει.
• Ο κόμβος εξόδου αποκρυπτογραφεί τα δεδομένα και τον
προορισμό τους και τα αποστέλλει στον προορισμό τους.
• Οπότε ο κόμβος εξόδου μπορεί να γνωρίζει τα δεδομένα όχι
όμως την προέλευση τους.

• Γι αυτό το λόγο διάφοροι τρέχουν κόμβους εξόδου του tor ως
ωτακουστές (wikileaks).
• Φυσικά το αντίμετρο που μπορεί να πάρει ο χρήστης tor είναι
να κρυπτογραφεί και την επικοινωνία με τον προορισμό του,
αυτό όμως δεν είναι δουλειά του δικτύου tor.
• Π.χ. εάν στο σερφάρισμα χρησιμοποιεί αντί για http το https,
ο κόμβος εξόδου θα τροφοδοτεί το site – προορισμό με
κρυπτογραφημένη ροή χωρίς να μπορεί να κρυφακούσει
τίποτα.
• Η δύναμη του βασίζεται στη χαοτικότητα του και στην
εξελιγμένη κρυπτογραφία.

• Το Tor έχει συνδεθεί με δραστηριότητες ακτιβιστών, χρήση
από απλούς πολίτες που θέλουν να κρατήσουν μυστική τη
δραστηριότητά τους στο Ίντερνετ, αλλά και παράνομες
δραστηριότητες στο Ίντερνετ, όπως το online εμπόριο
ναρκωτικών και η διακίνηση παιδικής πορνογραφίας.
• Η παρούσα υπηρεσία αναμένεται να φανεί ιδιαίτερα
δημοφιλής σε χρήστες όπου η πρόσβαση στο δίκτυο είναι
μπλοκαρισμένη, όπως η Κίνα, το Ιράν, η Β. Κορέα και η
Κούβα.
• Tο Facebook αποτελεί τον πρώτο κολοσσό της Σίλικον Βάλεϊ
που παρέχει επίσημη υποστήριξη στο Tor.

Darknet
✓ .onion
• .onion είναι ψευδο-top-level όνομα τομέα που ορίζει μια
ανώνυμη κρυφή υπηρεσία που είναι προσβάσιμη μέσω του
δικτύου Tor.
• Οι διευθύνσεις αυτές δεν είναι πραγματικά ονόματα DNS και το
.onion TLD δεν βρίσκεται στο Internet DNS root, αλλά έχοντας
εγκατεστημένο το κατάλληλο λογισμικό proxy, τα διαδικτυακά
προγράμματα όπως ένας περιηγητής διαδικτύου αποκτούν
πρόσβαση σε διευθύνσεις .onion στέλνοντας το αίτημα
διαμέσου των σέρβερς του δικτύου Tor.
• Ο σκοπός της χρήσης ενός τέτοιου συστήματος είναι να κάνει
τόσο τον πάροχο των πληροφοριών όσο και το άτομο που έχει
πρόσβαση σε αυτές τις πληροφορίες πιο δύσκολο να
ανιχνευθούν.
• Το όνομα "onion" αναφέρεται στην τεχνική δρομολόγησης
onion routing, που χρησιμοποιείται από το δίκτυο Tor έτσι ώστε
να εξασφαλίσει την ανωνυμία των χρηστών και των παρόχων.

Darknet
✓ Bitcoin
• Το Bitcoin χρησιμοποιεί τεχνολογία μεταξύ ομότιμων (peer-
to-peer) χωρίς κεντρική εξουσία ή τράπεζες.
• Η διαχείριση συναλλαγών και η έκδοση των bitcoins
διεξάγεται συλλογικά από το δίκτυο.
• Το Bitcoin είναι ανοιχτού κώδικα, ο σχεδιασμός του είναι
δημόσιος, κανείς δεν είναι ιδιοκτήτης ούτε ελέγχει το Bitcoin
και όλοι μπορούν να συμμετέχουν.
• Μέσα από τις πολλές μοναδικές του ιδιότητες, το Bitcoin
επιτρέπει συναρπαστικές χρήσεις οι οποίες δεν θα
μπορούσαν να καλυφθούν από οποιοδήποτε από τα
προηγούμενα συστήματα πληρωμής.

Darknet
✓ Bitcoin
• Bitcoin: το λογισμικό ανοιχτού κώδικα που αποτελεί τη βάση
του δικτύου (B κεφαλαίο)
• bitcoins: οι μονάδες συναλλαγής πληροφοριών του
λογισμικού (b μικρό)
• Block: Ομάδα συναλλαγών που έχουν υποβληθεί στο δίκτυο
για επιβεβαίωση εγκυρότητας
• Blockchain: Η αλυσίδα των επιβεβαιωμένων ομάδων
συναλλαγών που ξεκινά από την πρώτη, έως την πιο
πρόσφατη έγκυρη ομάδα.

Darknet
✓ Πως δημιουργούνται τα bitcoins
• Κάθε συναλλαγή που γίνεται στο δίκτυο του Bitcoin,
ελέγχεται για την εγκυρότητά της και στη συνέχεια
τοποθετείται μέσα σ ένα block μαζί με τις άλλες ελεγμένες
συναλλαγές.
• Κάθε 10΄, δημιουργείται και ένα νέο block για να φιλοξενήσει
αυτές τις συναλλαγές, το οποίο σχετίζεται με το αμέσως
προηγούμενο αλλά κι όλα τα υπόλοιπα blocks που έχουν
δημιουργηθεί πριν από αυτό, σχηματίζοντας έτσι την αλυσίδα
των μπλοκ (block chain).
• Ένας μαθηματικός αλγόριθμος χρησιμοποιείται για να γίνει ο
συσχετισμός του νέου block με τα προηγούμενα.
• Μόλις βρεθεί η λύση του αλγόριθμου τότε θα δημιουργηθεί το
νέο block και μαζί με αυτό δημιουργηθεί κι ένας
συγκεκριμένος αριθμός νέων bitcoins, τα οποία θα
αποδοθούν σε αυτόν ή αυτούς που βρήκαν τη λύση.

Darknet
✓ Πως δημιουργούνται τα bitcoins
• Αυτή η διαδικασία ονομάζεται Mining κι έχει πάρει το όνομά
της ως μια σύγχρονη αναπαράσταση των χρυσωρύχων του
περασμένου αιώνα.
• Για να μπορεί η λύση του αλγόριθμου (γρίφου) να προκύπτει
κάθε 10΄ περίπου, ανεξάρτητα από το πόσοι χρήστες
προσπαθούν ταυτόχρονα να τη βρουν, είναι προφανές πως
θα πρέπει να τροποποιηθεί η δυσκολία του γρίφου.
• Αυτό γίνεται αυτόματα από το δίκτυο ενώ όσοι περισσότεροι
χρήστες προσπαθούν να λύσουν το γρίφο (όσο μεγαλύτερη
επεξεργαστική ισχύ), τόσο μεγαλώνει η δυσκολία του κι
αντίστροφα.
• Κάθε συσκευή που αναζητά τη λύση, συμμετέχει παράλληλα
και στην προστασία του δικτύου από επιθέσεις καθώς και
στον έλεγχο και προώθηση των συναλλαγών στο δίκτυο.

Darknet
✓ Bitcoin
ΣΗΜΑΝΤΙΚΗ ΣΗΜΕΙΩΣΗ
Από το 2014 κι έπειτα η δυσκολία του Mining αυξήθηκε υπερβολικά,
ως συνέπεια της μαζικής εισόδου νέων συσκευών ειδικά
βελτιστοποιημένες για αυτό το σκοπό (ASIC). Συνεπώς το Mining με
HY καταναλώνει άσκοπα ηλεκτρική ενέργεια, χωρίς να παράγει
Bitcoin.

Darknet
✓ Bitcoin, παράδειγμα συναλλαγής
• Ο χρήστης Α επιθυμεί τη αποστολή X bitcoin στον χρήστη Β.
• Για να είναι έγκυρη αυτή η συναλλαγή κατά τους κανόνες του
δικτύου, πρέπει να αποδείξει ότι είναι κάτοχός τους και να
υποδείξει στο δίκτυο σε ποιόν χρήστη επιθυμεί να
μεταφερθούν.
• Η απόδειξη της κατοχής από τον χρήστη Α γίνεται με την
«υπογραφή» με το ιδιωτικό κλειδί του και η υπόδειξη της
«διεύθυνσης» αποστολής είναι το δημόσιο κλειδί του Β.
• Όλες οι συναλλαγές εκτελούνται άμεσα και υποβάλλονται στο
αποκεντρωμένο δίκτυο για επιβεβαίωση εγκυρότητάς τους.
• Οι συναλλαγές ομαδοποιούνται (σε blocks) βάσει των
κανόνων του δικτύου, και οι επικρατέστερες (με τη
μεγαλύτερη εγκυρότητα) ομάδες τοποθετούνται στη συνέχεια
μιας αλυσίδας (blockchain) που ξεκινάει με την πρώτη
συναλλαγή που έγινε το 2009 και φτάνουν έως την πιο
πρόσφατη.

Darknet
• Το δίκτυο είναι σχεδιασμένο κατά τέτοιο τρόπο ώστε να
προκύπτει μια τέτοια ομάδα συναλλαγών στην κορυφή της
αλυσίδας περίπου κάθε δέκα λεπτά.
• Κάθε νέα ομάδα συναλλαγών που τοποθετείται στην κορυφή
της αλυσίδας, επιβεβαιώνει όχι μόνο της συναλλαγές που
περιέχονται σε αυτή, αλλά και την εγκυρότητα των
προηγούμενων ομάδων, και άρα την εγκυρότητα όλων των
συναλλαγών που έχουν εκτελεστεί έως την πρώτη.

Darknet
• Όλη αυτή η αλυσίδα, όπως και η αλληλουχία όλων των
συναλλαγών που έχουν εκτελεστεί έως τώρα, είναι δημοσίως
διαθέσιμη και προσβάσιμη από οποιονδήποτε, με την μορφή
των δημόσιων κλειδιών που έχουν ανταλλάξει bitcoins αλλά
και των ποσών που έχουν διακινηθεί μεταξύ τους.
• Έχοντας πλέον, επιβεβαιωμένα την νέα ιδιοκτησία του
ποσού Χ, ο χρήστης Β με τη χρήση του ιδιωτικού του
κλειδιού, μπορεί κατόπιν να αποστείλει αντίστοιχα το ποσό
σε όποιον χρήστη επιθυμεί (γνωρίζει το δημόσιο κλειδί του).
• Κάθε χρήστης μπορεί να έχει σχεδόν απεριόριστο αριθμό
δημόσιων και αντίστοιχων ιδιωτικών κλειδιών, ασφαλισμένα
και υπό τον έλεγχό του (στον υπολογιστή ή στο κινητό του ή
και σε πολλές άλλες μορφές).

Darknet
• Το σύνολο αυτών αποτελεί ένα είδος ψηφιακού πορτοφολιού
του οποίου τα ιδιωτικά κλειδιά πρέπει να μείνουν κρυφά για
την αποφυγή απώλειας των περιεχόμενων bitcoin.
• Εφόσον το δημόσιο κλειδί παράγεται από το ιδιωτικό και
εφόσον το ιδιωτικό κλειδί είναι το μόνο μέσο που επιτρέπει
μεταφορά των bitcoin εκτός πορτοφολιού, αν ο χρήστης
απολέσει ή αποκαλύψει το ιδιωτικό κλειδί του, ουσιαστικά
χάνει την αποκλειστική κυριότητα των bitcoin του.

Darknet
✓ Bitcoin Virus
• Το Bitcoin virus (επίσης γνωστό και ως BitcoinMiner ή
Bitcoin Mining virus) είναι ένα κακόβουλο trojan horse, το
οποίο χρησιμοποιείται για να διεισδύσει στους HY και να
τους ρυθμίσει με τέτοιο τρόπο ώστε να εκτελούν μια
πληθώρα περίπλοκων εργασιών για να παράγουν Bitcoins
για τους δημιουργούς τους.

Απειλές
✓ Εκφοβισμός (Cyberbullying)

Απειλές
✓ Ηλεκτρονικός Τζόγος

Απειλές
✓ Βίαια Παιχνίδια

Απειλές
✓ Παραπληροφόρηση (Misinformation)
ΕΝΑ ΜΩΡΑΚΙ ΕΧΕΙ ΤΗΝ ΑΝΑΓΚΗ ΜΑΣ!!! ΤΟΥΛΑΧΙΣΤΩΝ KΟΙΝΟΠΟΙΗΣΤΕ!!!

Απειλές
✓ Παραπληροφόρηση (Misinformation)

Απειλές
✓ Παραποίηση Γλώσσας

Απειλές
✓ Αποξένωση

Απειλές
✓ Εθισμός (Internet Addiction)

Απειλές
✓ Επιβλαβείς Συμπεριφορές

Απειλές
✓ Φυσικές Παθήσεις

Αιτίες απειλών
✓ Άγνοια
✓ Λάθη – Παραλήψεις – Απροσεξίες
✓ Δεν γνωρίζουμε τι αρχεία και που τα έχουμε
✓ Δολιοφθορά (Δυσαρεστημένοι Υφιστάμενοι κτλ)
✓ Απάτη – Κλοπή
✓ Κατασκοπεία

Πόσο καλά γνωρίζεις το κινητό σου τηλέφωνο;
Το 65% των χρηστών έχει ημιτελείς γνώσεις.
Το 30% ελάχιστες.
Το 5% είναι πλήρως ενημερωμένοι.

Τι γνωρίζει για εσένα το τηλέφωνο σου;
Γνωρίζει που βρίσκεσαι… GPS Τracking

Γνωρίζει τι κάνεις… Environmental Τracking

Γνωρίζει πως αισθάνεσαι… Mood and Voice Recognition

Γνωρίζει την όψη σου… Face Recognition

Βλέπει ότι βλέπεις… Augmented Reality

Η ζωή που φτιαχτούμε στο διαδίκτυο,
δεν σβήνει με delete,
ούτε κλείνει με shutdown…

Το ασφαλές διαδίκτυο μας αφορά όλους

112112
➢ Google Deep Search
intitle:”curriculum vitae” “phone * * *” “address *” “e-mail”
filetype:xls inurl:”email.xls”
intitle:index.of finances.xls
inurl:”viewerframe?mode=motion”
intitle:”Live View / – AXIS”
“?intitle:index.of?mp3 madona“

113113
➢ Google Deeper Search
"#mysql dump" filetype:sql 098f6bcd4621d373cade4e832627b4f6
filetype:sql site:com and "insert into" admin "2015“
inurl:wp-admin/admin-ajax.php inurl:wp-config.php

Web Application Security
"The Land that Information Security Forgot"
BlackHat vs WhiteHat
Konstantinos Demertzis
kdemertz@fmenr.duth.gr

Hardering Guide
.htaccess
Εξουσιοδότηση - Πιστοποίηση
Μηχανή χειρισμού URL
Μπλοκάρισμα
Server Side Includes (SSI)
Ρύθμιση σελίδας σφάλματος
Cache Control
Προστασία των Includes Αρχείων
Hot Link Prevention

Hardering Guide
Brute-force protections
Strong password
CAPTCHA module
Login security
Secure password hashes
Restrict login or role by IP address
Database security
Encryption
localhost access
Backups

Hardering Guide
Security Tips
Keep Yourself Updated
Set Permissions
Setup Firewall
Change Passwords
Security Plan for Modified Modules
Keep Maintained Modules
Strong Passwords
Εthical Ηacking
Think Like a Hacker

Hardering Guide
Configuration steps
Harden Your Web Server
Harden Your File Systems
Hide Php
Remove Unwanted Modules
Setup Application-Layer Firewall
Remove Unwanted Files

Hardering Guide
Critical Security Risks
SQL Injection
Cross Site Scripting (XSS)
Authentications and sessions
Insecure direct object references
Cross Site Request Forgery (CSRF)
Security misconfiguration
Insecure cryptographic storage
Failure to restrict URL access
Insufficient transport protection
Unvalidated redirects

Thank You
Questions?
BlackHat vs WhiteHat
Konstantinos Demertzis
kdemertz@fmenr.duth.gr

121121
➢ Εργασίες Ασφάλειας Πληροφορικής
➢ Bio-Inspired Hybrid Artificial Intelligence Framework for Cyber
Security (bioHAIFCS)
➢ Hybrid Evolving Spiking Anomaly Detection Model (HESADM)
➢ Evolving Computational Intelligence System for Malware Detection
(ECISMD)
➢ Evolutionary Prevention System from SQL Injection (ePSSQLI)
➢ Hybrid Intelligent Method for Detecting Android Malware (HIMDAM)
➢ Evolving Smart URL Filter in a Zone-based Policy Firewall for
Detecting Algorithmically Generated Malicious Domains (eSURLF)
➢ SAME: An Intelligent Anti-Malware Extension for Android ART Virtual
Machine
➢ Ladon: A Cyber Threat Bio-Inspired Intelligence Management System
➢ An Integrated Smart Energy Grid Cyber Security Fuzzy Decision
Management System (SEGFDMS)

122122
HESADM
 Bio-Inspired Hybrid Artificial Intelligence Framework for Cyber Security
(bioHAIFCS)

123123
 Hybrid Evolving Spiking Anomaly Detection Model (HESADM)
e-Democracy 2013
eSNN + MLFFNN

124124
 Evolving Computational Intelligence System for Malware Detection (ECISMD)
CAISE 2014
eSNN + GA ECF

125125
 Evolutionary Prevention System from SQL Injection (ePSSQLI)
2nd_CryptAAF 2014
MLFFNN GA

126126
 Hybrid Intelligent Method for Detecting Android Malware (HIMDAM)
KICSS 2014
ELM + eSNN

127127
 Evolving Smart URL Filter in a Zone-based Policy Firewall for Detecting
Algorithmically Generated Malicious Domains (eSURLF)
SLDS 2015
eSNN

128128
 SAME: An Intelligent Anti-Malware Extension for Android ART Virtual
Machine
ICCCI 2015
MLFFNN BBO

129129
 Ladon: A Cyber Threat Bio-Inspired Intelligence Management System
TTSAAMS 2015
Online Sequential ELM

130130
 An Integrated Smart Energy Grid Cyber Security Fuzzy Decision
Management System (SEGFDMS)
FCM

131131
http://filab.fmenr.duth.gr/
kdemertz@fmenr.duth.gr | liliadis@fmenr.duth.gr
 Ερωτήσεις – Θέματα για Συζήτηση

My Publications
Environmental informatics
1. Anezakis, V., Mallinis, G., Iliadis, L., Demertzis, K., 2018. Soft computing forecasting of
cardiovascular and respiratory incidents based on climate change scenarios, in: 2018
IEEE Conference on Evolving and Adaptive Intelligent Systems (EAIS). Presented at the
2018 IEEE Conference on Evolving and Adaptive Intelligent Systems (EAIS), pp. 1–8.
https://doi.org/10.1109/EAIS.2018.8397174
2. Anezakis, V.-D., Demertzis, K., Iliadis, L., 2018a. Classifying with fuzzy chi-square test:
The case of invasive species. AIP Conference Proceedings 1978, 290003.
https://doi.org/10/gdtm5q
3. Anezakis, V.-D., Demertzis, K., Iliadis, L., Spartalis, S., 2018b. Hybrid intelligent
modeling of wild fires risk. Evolving Systems 9, 267–283. https://doi.org/10/gdp863
4. Anezakis, V.-D., Demertzis, K., Iliadis, L., Spartalis, S., 2016a. A Hybrid Soft Computing
Approach Producing Robust Forest Fire Risk Indices, in: Iliadis, L., Maglogiannis, I.
(Eds.), Artificial Intelligence Applications and Innovations, IFIP Advances in
Information and Communication Technology. Springer International Publishing, pp.
191–203.
5. Anezakis, V.-D., Dermetzis, K., Iliadis, L., Spartalis, S., 2016b. Fuzzy Cognitive Maps for
Long-Term Prognosis of the Evolution of Atmospheric Pollution, Based on Climate
Change Scenarios: The Case of Athens, in: Nguyen, N.-T., Iliadis, L., Manolopoulos, Y.,
Trawiński, B. (Eds.), Computational Collective Intelligence, Lecture Notes in Computer
Science. Springer International Publishing, pp. 175–186.
6. Anezakis, V.-D., Iliadis, L., Demertzis, K., Mallinis, G., 2017. Hybrid Soft Computing
Analytics of Cardiorespiratory Morbidity and Mortality Risk Due to Air Pollution, in:
Dokas, I.M., Bellamine-Ben Saoud, N., Dugdale, J., Díaz, P. (Eds.), Information Systems
for Crisis Response and Management in Mediterranean Countries, Lecture Notes in
Business Information Processing. Springer International Publishing, pp. 87–105.
7. Bougoudis, I., Demertzis, K., Iliadis, L., 2016a. Fast and low cost prediction of extreme
air pollution values with hybrid unsupervised learning. Integrated Computer-Aided
Engineering 23, 115–127. https://doi.org/10/f8dt4t
8. Bougoudis, I., Demertzis, K., Iliadis, L., 2016b. HISYCOL a hybrid computational
intelligence system for combined machine learning: the case of air pollution modeling
in Athens. Neural Comput & Applic 27, 1191–1206. https://doi.org/10/f8r7vf
9. Bougoudis, I., Demertzis, K., Iliadis, L., Anezakis, V.-D., Papaleonidas, A., 2018.
FuSSFFra, a fuzzy semi-supervised forecasting framework: the case of the air pollution
in Athens. Neural Comput & Applic 29, 375–388. https://doi.org/10/gc9bbf
10. Bougoudis, I., Demertzis, K., Iliadis, L., Anezakis, V.-D., Papaleonidas, A., 2016c. Semi-
supervised Hybrid Modeling of Atmospheric Pollution in Urban Centers, in: Jayne, C.,
Iliadis, L. (Eds.), Engineering Applications of Neural Networks, Communications in
Computer and Information Science. Springer International Publishing, pp. 51–63.
11. Demertzis, Konstantinos, Anezakis, V.-D., Iliadis, L., Spartalis, S., 2018a. Temporal
Modeling of Invasive Species’ Migration in Greece from Neighboring Countries Using
Fuzzy Cognitive Maps, in: Iliadis, L., Maglogiannis, I., Plagianakos, V. (Eds.), Artificial
Intelligence Applications and Innovations, IFIP Advances in Information and
Communication Technology. Springer International Publishing, pp. 592–605.

12. Demertzis, K., Iliadis, L., 2018b. The Impact of Climate Change on Biodiversity: The
Ecological Consequences of Invasive Species in Greece, in: Leal Filho, W., Manolas, E.,
Azul, A.M., Azeiteiro, U.M., McGhie, H. (Eds.), Handbook of Climate Change
Communication: Vol. 1: Theory of Climate Change Communication, Climate Change
Management. Springer International Publishing, Cham, pp. 15–38.
https://doi.org/10.1007/978-3-319-69838-0_2
13. Demertzis, K., Iliadis, L., 2017a. Adaptive Elitist Differential Evolution Extreme
Learning Machines on Big Data: Intelligent Recognition of Invasive Species, in:
Angelov, P., Manolopoulos, Y., Iliadis, L., Roy, A., Vellasco, M. (Eds.), Advances in Big
Data, Advances in Intelligent Systems and Computing. Springer International
Publishing, pp. 333–345.
14. Demertzis, K., Iliadis, L., 2015c. Intelligent Bio-Inspired Detection of Food Borne
Pathogen by DNA Barcodes: The Case of Invasive Fish Species Lagocephalus
Sceleratus, in: Iliadis, L., Jayne, C. (Eds.), Engineering Applications of Neural Networks,
Communications in Computer and Information Science. Springer International
15. Demertzis, K., Iliadis, L., Anezakis, V., 2017. A deep spiking machine-hearing system
for the case of invasive fish species, in: 2017 IEEE International Conference on
INnovations in Intelligent SysTems and Applications (INISTA). Presented at the 2017
IEEE International Conference on INnovations in Intelligent SysTems and Applications
(INISTA), pp. 23–28. https://doi.org/10.1109/INISTA.2017.8001126
16. Demertzis, Konstantinos, Iliadis, L., Anezakis, V.-D., 2017a. Commentary: Aedes
albopictus and Aedes japonicus—two invasive mosquito species with different
temperature niches in Europe. Front. Environ. Sci. 5. https://doi.org/10/gdp865
17. Demertzis, K., Iliadis, L., Avramidis, S., El-Kassaby, Y.A., 2017. Machine learning use in
predicting interior spruce wood density utilizing progeny test information. Neural
Comput & Applic 28, 505–519. https://doi.org/10/gdp86z
18. Demertzis, Konstantinos, Iliadis, L.S., Anezakis, V.-D., 2018d. Extreme deep learning in
biosecurity: the case of machine hearing for marine species identification. Journal of
Information and Telecommunication 2, 492–510. https://doi.org/10/gdwszn
19. Dimou, V., Anezakis, V.-D., Demertzis, K., Iliadis, L., 2018. Comparative analysis of
exhaust emissions caused by chainsaws with soft computing and statistical
approaches. Int. J. Environ. Sci. Technol. 15, 1597–1608. https://doi.org/10/gdp864
20. Iliadis, L., Anezakis, V.-D., Demertzis, K., Mallinis, G., 2017. Hybrid Unsupervised
Modeling of Air Pollution Impact to Cardiovascular and Respiratory Diseases.
IJISCRAM 9, 13–35. https://doi.org/10/gfkhpm
21. Iliadis, L., Anezakis, V.-D., Demertzis, K., Spartalis, S., 2018. Hybrid Soft Computing for
Atmospheric Pollution-Climate Change Data Mining, in: Thanh Nguyen, N., Kowalczyk,
R. (Eds.), Transactions on Computational Collective Intelligence XXX, Lecture Notes in
Computer Science. Springer International Publishing, Cham, pp. 152–177.
https://doi.org/10.1007/978-3-319-99810-7_8
22. Demertzis, K., Iliadis, L., 2017b. Detecting invasive species with a bio-inspired semi-
supervised neurocomputing approach: the case of Lagocephalus sceleratus. Neural
Comput & Applic 28, 1225–1234. https://doi.org/10/gbkgb7
23. Κωνσταντίνος Δεμερτζής, Λάζαρος Ηλιάδης, 2015, Γενετική Ταυτοποίηση
Χωροκατακτητικών Ειδών με Εξελιγμένες Μεθόδους Τεχνητής Νοημοσύνης: Η
Περίπτωση του Ασιατικού Κουνουπιού Τίγρης (Aedes Αlbopictus). Θέματα
Δασολογίας & Διαχείρισης Περιβάλλοντος & Φυσικών Πόρων, 7ος τόμος, Κλιματική

Αλλαγή: Διεπιστημονικές Προσεγγίσεις, ISSN: 1791-7824, ISBN: 978-960-9698-11-5,
Eκδοτικός Oίκος: Δημοκρίτειο Πανεπιστήμιο Θράκης
24. Βαρδής-Δημήτριος Ανεζάκης, Κωνσταντίνος Δεμερτζής, Λάζαρος Ηλιάδης. Πρόβλεψη
Χαλαζοπτώσεων Μέσω Μηχανικής Μάθησης. 3o Πανελλήνιο Συνέδριο Πολιτικής
Προστασίας «SafeEvros 2016: Οι νέες τεχνολογίες στην υπηρεσία της Πολιτικής
Προστασίας», Proceedings, ISBN : 978-960-89345-7-3, Ιούνιος 2017, Eκδοτικός Oίκος:
∆ημοκρίτειο Πανεπιστήμιο Θράκης.
Cyber Security informatics
25. Demertzis, K., Iliadis, L., 2018a. A Computational Intelligence System Identifying
Cyber-Attacks on Smart Energy Grids, in: Daras, N.J., Rassias, T.M. (Eds.), Modern
Discrete Mathematics and Analysis : With Applications in Cryptography, Information
Systems and Modeling, Springer Optimization and Its Applications. Springer
International Publishing, Cham, pp. 97–116. https://doi.org/10.1007/978-3-319-
74325-7_5
26. Demertzis, K., Iliadis, L., 2017c. Computational intelligence anti-malware framework
for android OS. Vietnam J Comput Sci 4, 245–259. https://doi.org/10/gdp86x
27. Demertzis, K., Iliadis, L., 2016. Bio-inspired Hybrid Intelligent Method for Detecting
Android Malware, in: Kunifuji, S., Papadopoulos, G.A., Skulimowski, A.M.J., Kacprzyk,
J. (Eds.), Knowledge, Information and Creativity Support Systems, Advances in
Intelligent Systems and Computing. Springer International Publishing, pp. 289–304.
28. Demertzis, K., Iliadis, L., 2015a. A Bio-Inspired Hybrid Artificial Intelligence Framework
for Cyber Security, in: Daras, N.J., Rassias, M.T. (Eds.), Computation, Cryptography,
and Network Security. Springer International Publishing, Cham, pp. 161–193.
https://doi.org/10.1007/978-3-319-18275-9_7
29. Demertzis, K., Iliadis, L., 2015b. Evolving Smart URL Filter in a Zone-Based Policy
Firewall for Detecting Algorithmically Generated Malicious Domains, in: Gammerman,
A., Vovk, V., Papadopoulos, H. (Eds.), Statistical Learning and Data Sciences, Lecture
Notes in Computer Science. Springer International Publishing, pp. 223–233.
30. Demertzis, K., Iliadis, L., 2015d. SAME: An Intelligent Anti-malware Extension for
Android ART Virtual Machine, in: Núñez, M., Nguyen, N.T., Camacho, D., Trawiński, B.
(Eds.), Computational Collective Intelligence, Lecture Notes in Computer Science.
Springer International Publishing, pp. 235–245.
31. Demertzis, K., Iliadis, L., 2014a. A Hybrid Network Anomaly and Intrusion Detection
Approach Based on Evolving Spiking Neural Network Classification, in: Sideridis, A.B.,
Kardasiadou, Z., Yialouris, C.P., Zorkadis, V. (Eds.), E-Democracy, Security, Privacy and
Trust in a Digital World, Communications in Computer and Information Science.
Springer International Publishing, pp. 11–23.
32. Demertzis, K., Iliadis, L., 2014b. Evolving Computational Intelligence System for
Malware Detection, in: Iliadis, L., Papazoglou, M., Pohl, K. (Eds.), Advanced
Information Systems Engineering Workshops, Lecture Notes in Business Information
Processing. Springer International Publishing, pp. 322–334.
33. Demertzis, K., Iliadis, L., Anezakis, V., 2018. MOLESTRA: A Multi-Task Learning
Approach for Real-Time Big Data Analytics, in: 2018 Innovations in Intelligent Systems
and Applications (INISTA). Presented at the 2018 Innovations in Intelligent Systems
and Applications (INISTA), pp. 1–8. https://doi.org/10.1109/INISTA.2018.8466306

34. Demertzis, Konstantinos, Iliadis, L., Anezakis, V.-D., 2018b. A Dynamic Ensemble
Learning Framework for Data Stream Analysis and Real-Time Threat Detection, in:
Kůrková, V., Manolopoulos, Y., Hammer, B., Iliadis, L., Maglogiannis, I. (Eds.), Artificial
Neural Networks and Machine Learning – ICANN 2018, Lecture Notes in Computer
Science. Springer International Publishing, pp. 669–681.
35. Demertzis, Konstantinos, Iliadis, L., Spartalis, S., 2017b. A Spiking One-Class Anomaly
Detection Framework for Cyber-Security on Industrial Control Systems, in: Boracchi,
G., Iliadis, L., Jayne, C., Likas, A. (Eds.), Engineering Applications of Neural Networks,
Communications in Computer and Information Science. Springer International
36. Demertzis, Konstantinos, Iliadis, L.S., Anezakis, V.-D., 2018c. An innovative soft
computing system for smart energy grids cybersecurity. Advances in Building Energy
Research 12, 3–24. https://doi.org/10/gdp862
37. Demertzis, Konstantinos, Kikiras, P., Tziritas, N., Sanchez, S.L., Iliadis, L., 2018e. The
Next Generation Cognitive Security Operations Center: Network Flow Forensics Using
Cybersecurity Intelligence. Big Data and Cognitive Computing 2, 35.
https://doi.org/10/gfkhpp
38. Rantos, K., Drosatos, G., Demertzis, K., Ilioudis, C., Papanikolaou, A., 2018. Blockchain-
based Consents Management for Personal Data Processing in the IoT Ecosystem.
Presented at the International Conference on Security and Cryptography, pp. 572–
577.
39. Demertzis, Konstantinos, Iliadis, L.S., 2018. Real-time Computational Intelligence
Protection Framework Against Advanced Persistent Threats. Book entitled "Cyber-
Security and Information Warfare", Series: Cybercrime and Cybersecurity Research,
NOVA science publishers, ISBN: 978-1-53614-385-0, Chapter 5.
40. Demertzis, Konstantinos, Iliadis, L.S., 2016. Ladon: A Cyber Threat Bio-Inspired
Intelligence Management System. Journal of Applied Mathematics & Bioinformatics,
vol.6, no.3, 2016, 45-64, ISSN: 1792-6602 (print), 1792-6939 (online), Scienpress Ltd,
2016.
Other
41. Κωνσταντίνος Δεμερτζής. Ενίσχυση της Διοικητικής Ικανότητας των Δήμων Μέσω της
Ηλεκτρονικής Διακυβέρνησης: Η Στρατηγική των «Έξυπνων Πόλεων» με Σκοπό την
Αειφόρο Ανάπτυξη. Θέματα Δασολογίας και Διαχείρισης Περιβάλλοντος και
Φυσικών Πόρων, 10ος Τόμος: Περιβαλλοντική Πολιτική: Καλές Πρακτικές,
Προβλήματα και Προοπτικές, σελ. 84 - 100, ISSN: 1791-7824, ISBN: 978-960-9698-14-
6, Νοέμβριος 2018, Eκδοτικός Oίκος: Δημοκρίτειο Πανεπιστήμιο Θράκης.
View publication statsView publication stats

Cyber security

Recommended

Recommended

More Related Content

Similar to Cyber security

Similar to Cyber security (20)

More from Konstantinos Demertzis

More from Konstantinos Demertzis (11)

Cyber security