SlideShare a Scribd company logo

SECURICON - Hackers and Network Security

PROBOTEK
PROBOTEK

http://www.netweek.gr/default.asp?pid=9&la=1&arId=22399

1 of 4
Download to read offline
Hackers & Network Security “IT, infrastructure, network, cloud, hacker, virus, penetration testing, vulnerability assessment, wires, CAT5/6, fiber optics, router, switch, rack...” είναι μερικές από τις λέξεις που απαρτίζουν το λεξιλόγιο μιας σύγχρονης υποδομής πληροφορικής. Πώς όμως διαχειρίζεται σήμερα ο εκάστοτε IT / Network administrator τις υποδομές αυτές και πόσο σίγουρος είναι ότι αυτές είναι και ασφαλείς? Δυστυχώς τα δεδομένα και οι στατιστικές των τελευταίων ετών σε συνδυασμό με τις συνεχείς επιθέσεις σε εγκαταστάσεις και ιστοσελίδες στην Ελλάδα μας λένε πως ή έννοια της ασφάλειας είναι ανύπαρκτη! Σε αυτό έχουν συμβάλει για μεγάλο χρονικό διάστημα η στείρα γνώση και η μη πρακτική εφαρμογή των θεωριών σε πραγματικό χώρο που δέχεται επιθέσεις. Ο IT / Network administrator είναι απαίδευτος και δεν έχει καλή και σε βάθος γνώση των τεχνολογικών υποδομών αλλά ούτε και φυσικά των πρωτοκόλλων και εφαρμογών που “συνεργάζονται” για την επίτευξη του στόχου και την παροχή υπηρεσιών σε ένα εταιρικό δίκτυο. Ας πάρουμε όμως τα πράγμα με τη σειρά. Το πρόβλημα ξεκινά, ξεκάθαρα, από την παιδεία και την κακή έως ανύπαρκτη εμβάθυνση της γνώσης των ειδικευμένων που αναλαμβάνουν την διαχείριση ενός συστήματος πληροφορικής. Εάν ο υπεύθυνος δε λάβει σωστές γνώσεις τότε και οι πράξεις του θα είναι μοιραία εσφαλμένες ή ελλιπείς. Το άρθρο αυτό έχει ως στόχο να ενημερώσει τον αναγνώστη του σχετικά με τις ευπάθειες των υφιστάμενων υποδομών και έπειτα να προσδώσει παραδείγματα λύσεων τα οποία είναι αποτελεσματικά και άμεσα, εξηγώντας παράλληλα σε βάθος τις υποδομές. Η εποχή μας έχει “βαφτιστεί” - και όχι άδικα - ως ο αιώνας της πληροφορίας. Ζούμε στην εποχή της πληροφορικής και συνεχώς “βομβαρδιζόμαστε” από καταιγιστικά δεδομένα τα οποία πρέπει να επεξεργαστούμε για να πάρουμε αποφάσεις και να πράξουμε ανάλογα. Η πληροφορία όμως είναι εύκολο να μεταβληθεί, να αλλάξει, να μετασχηματιστεί και να δημιουργήσει εσφαλμένες αντιλήψεις ή να μας οδηγήσει εσκεμμένα σε λάθος δρόμο. Επίσης, υπάρχουν μέθοδοι με τις οποίες η πληροφορία μπορεί να παρουσιάζεται σε κάποιους ως ασήμαντη ενώ την ίδια στιγμή λίγο παραπέρα κάποιος άλλος την εκμεταλλεύεται και αντλεί σημαντικά και απόρρητα, πολλές φορές, δεδομένα! Φτάνοντας σε αυτό το σημείο, μπορούμε να παρουσιάσουμε τον άνθρωπο που ζει ανάμεσά μας και που έχει τις γνώσεις και τις μεθόδους να πράξει τα παραπάνω. Την πηγή του “κακού” και τον υπαίτιο για όλα τα προαναφερθέντα σύμφωνα με τα Μ.Μ.Ε που του έχουν προσδώσει έναν πολύ γενικό τίτλο. Τον ονομάζουν “Hacker”! Ένας τίτλος που όμως από μόνος του δεν λέει απολύτως τίποτα στους γνώστες της πληροφορικής, στους μηχανικούς και στους αρχιτέκτονες πληροφοριακών συστημάτων. Ο hacker είναι μια πολύ αφηρημένη έννοια. Ο συγγραφέας αυτού του άρθρου είναι hacker. Τι είναι όμως ο hacker και γιατί από μόνη της η λέξη αυτή δεν προσδίδει κάτι το κακό η το καλό? Σύμφωνα με το Jargon dictionary ο hacker είναι τρόπος ζωής. Είναι ένα άτομο που έχει μια νοοτροπία ζωής με βάση την οποία δεν αποδέχεται απλά ότι του λένε. Είναι ένα άτομο με οξύ νου και ανεπτυγμένη την κριτική σκέψη που προσπαθεί πάντα να μάθει πως και γιατί τα πράγματα που βλέπει γύρω του λειτουργούν με αυτό τον τρόπο και πολλές φορές μπορεί να προτείνει πιο αποτελεσματικές λύσεις σε προβλήματα ή να αξιοποιήσει ένα σύνολο γνώσεων και υποδομών για να ικανοποιήσει τις
δικές του ανάγκες. Όπως καταλαβαίνετε ο hacker δεν έχει να κάνει πάντα και μόνο με την τεχνολογία και φυσικά δεν είναι πάντα κακός ή κακόβουλος. Μερικά παραδείγματα hacker είναι ο πρωτοπόρος αρχιτέκτονας που σχεδιάζει κάτι με νέες προσθήκες πέραν της κλασικής αρχιτεκτονικής, ο μηχανικός αυτοκινήτων που με καλή γνώση αλλά με λιγότερα ανταλλακτικά από όσα θα έπρεπε να είχε καταφέρνει και επισκευάζει ή ακόμα και βελτιστοποιεί έναν κινητήρα, ο ιστορικός που ανακαλύπτει μετά από χρόνια ερευνών χαμένες έννοιες και τα συνδέει με γεγονότα.... Βλέπουμε λοιπόν πως ο hacker είναι ο άνθρωπος της έρευνας, της αγάπης για την εργασία του, της καινοτομίας και της “πατέντας” όπως λέμε στην Ελλάδα. Για να επικεντρωθούμε όμως στο χώρο μας και να προσδιορίσουμε τον hacker της πληροφορικής με σαφήνεια πρέπει ορίσουμε κάποιες κατηγορίες που τα τελευταία 20 χρόνια δίνουν “χρώμα” και κυριολεκτικά στις ενέργειές τους. Η βασική κατάταξη των hackers είναι: 1. White Hat 2. Grey Hat 3. Black Hat Οι white hat hackers είναι τα “καλά” παιδιά της πληροφορικής. Είναι ηθικοί και πάρα πολύ ικανοί. Είναι security experts και έχουν άμεσες λύσεις στα πιο δύσκολα προβλήματα. Επίσης εγκαθιστούν λογισμικό και υλικό και το ρυθμίζουν με τέτοιο τρόπο ώστε να είναι ανθεκτικό σε επιθέσεις και να προκαταλαμβάνει τυχόν ευπάθειες. Είναι αυτοί που διαβάζουν ασταμάτητα, εκπαιδεύονται και ενημερώνονται για να μην βρεθούν ποτέ στη δεύτερη θέση. Είναι η κατηγορία των διαχειριστών που λείπει από την Ελλάδα λόγω της κακής παιδείας μας. Οι grey hat hackers είναι εξίσου καλοί και μοιάζουν σε πολλά σημεία με τους white hats. Όμως, ένας grey hat δεν είναι και πάντα τόσο ηθικός και μπορεί η πληροφορία που θα τον ικανοποιεί να την διαστρεβλώσει ή να την υποκλέψει. Οι grey hats έχουν μεγάλο πάθος με την άντληση πληροφοριών και είναι πολύ εκδικητικοί. Τέλος, είναι υπεύθυνοι για χιλιάδες επιθέσεις σε συστήματα και ιστοσελίδες σε όλο τον κόσμο. Οι black hat hackers είναι άτομα με πολύ καλές γνώσεις αλλά συνήθως διακρίνονται από κακεντρέχεια και μίσος για το σύνολο. Είναι περιθωριακοί τύποι και πολλές φορές πέρα από επιθέσεις κάνουν και σπασίματα κωδικών ή cracks. Γενικά διαβάζουν πολύ και έχουν εξαιρετικές δυνατότητες στην κατανόηση και τον προγραμματισμό σε χαμηλό επίπεδο. Σε αυτή την κατηγορία ανήκουν και πολλοί δυνατοί crackers αν και σαν κατηγορία οι crackers είναι αυτόνομοι. Όποια κατηγορία όμως και να κοιτάξουμε διακρίνουμε ένα κοινό σημείο, το σκάλισμα του τι υπάρχει μέσα στο “κουτί”, η δίψα για γνώση, η τάση για εξερεύνηση. Από εκεί ξεκινάει ο μεγάλος αγώνας και η αντιπαράθεση. Οι επιθέσεις είναι μια μορφή πρόκλησης που ανεβάζει την αδρεναλίνη του επιτιθέμενου. Η δίψα του να ανακαλύψει ή να προσβάλει ένα σύστημα το οποίο θεωρείται ασφαλές είναι το υπέρτατο ναρκωτικό που ικανοποιεί τον εγωισμό του! Έχοντας κατανοήσει τους κοινωνικούς και ψυχολογικούς παράγοντες της συμπεριφοράς ενός hacker ένας οργανισμός, μια εταιρία ή ένας ιστοχώρος δεν θα είναι στο έλεος του επιτιθέμενου. Αυτό φυσικά προϋποθέτει ότι η εκάστοτε επιχείρηση για παράδειγμα έχει φροντίσει να εκπαιδεύσει το προσωπικό της, έχει προσλάβει εξειδικευμένα άτομα και ικανούς administrators και φυσικά έχει ενισχύσει τις άμυνες του δικτύου της και της εγκατάστασής της γενικά. Δυστυχώς, στην Ελλάδα όταν μια εταιρία ακούει τις έννοιες “vulnerability assessment” και “penetration testing” είτε αδυνατεί να κατανοήσει την σημαντικότητα των λέξεων και απλά τα απορρίπτει είτε πιο συχνά τις φοβάται ως κάτι άγνωστο ή άχρηστο. Είναι τρομακτικό το γεγονός πως στην Ελληνική επικράτεια υπάρχει η νοοτροπία του ότι είμαστε ασφαλείς και οι καλύτερα διασφαλισμένοι σε εγκαταστάσεις και συστήματα πληροφορικής. Το δε κωμικοτραγικό είναι πως υπάρχουν άτομα με χρόνια εμπειρίας που υποστηρίζουν και έχουν την
πεποίθηση ότι επειδή δεν έπεσαν ποτέ θέμα επιθέσεων δε θα πέσουν και στο μέλλον. Φαίνεται ότι οι κύριοι αυτοί δε γνωρίζουν το κλασικό ρητό που λέει πως: “Το θέμα δεν είναι αν θα υπάρξει κάποια ηλεκτρονική επίθεση σε μια εταιρία αλλά το πότε θα γίνει!”. Κοινώς το “αν” δεν είναι καν θέμα συζήτησης αλλά το “πότε” είναι, και αυτό δεν πρέπει να το αφήσουμε στην τύχη. Εάν λοιπόν περιμένουμε την ημέρα που κάποιος hacker με τον ένα ή τον άλλο τρόπο θα εισβάλει στο σύστημά μας για να πάρουμε αντίμετρα, τότε πλέον είναι σίγουρο πως έχουμε πάθει μεγάλη ζημιά και το μέλλον της εταιρίας, οργανισμού κτλ. είναι στο έλεος του επιτιθέμενου. Αυτό είναι απαράδεκτο! Ας δούμε ποιες είναι οι πιο κλασικές μέθοδοι επιθέσεων καθώς και οι τεχνικές που ακολουθούνται από τους grey hat και black hat hackers: 1. Cross Site Scripting (XSS) 2. SQL Injection (SQLi) Cross Site Scripting (XSS) είναι μια τεχνική με την οποία ο επιτιθέμενος εισαγάγει τμήματα κώδικα σε μια ιστοσελίδα τα οποία με τη σειρά τους εκτελούνται όταν ένας χρήστης “βλέπει” την ιστοσελίδα από τον υπολογιστή του. Εάν αυτό συμβεί και ο επιτιθέμενος έχει προγραμματίσει με τέτοιο τρόπο τον κώδικα ώστε να αποστέλλει πληροφορίες όπως τα “session cookies” τότε μπορεί μέσα σε μερικά λεπτά να αποκτήσει πρόσβαση με στοιχεία άλλων χρηστών. SQL Injection (SQLi) είναι μια τεχνική με την οποία ο επιτιθέμενος παρεμβάλει τμήματα κώδικα μέσω της address bar του browser και επηρεάζει ή αλλάζει την λογική των SQL εντολών που “τρέχουν” πίσω από την ιστοσελίδα και εξυπηρετούν τη φόρτωση περιεχομένων. Ο επιτιθέμενος είναι ικανός να υποκλέψει στοιχεία από τη βάση δεδομένων, να αλλάξει ή ακόμα και να σβήσει όλα τα δεδομένα. Όπως καταλαβαίνετε τα παραπάνω μπορούν να συνδυαστούν και ο επιτιθέμενος να έχει πλήρη πρόσβαση στον απομακρυσμένο server που βρίσκεται η προς επίθεση ιστοσελίδα. Πέραν των παραπάνω μεθόδων υπάρχουν κι άλλες κλασικές ή πιο νέες ή πιο εξειδικευμένες τεχνικές που όμως δεν είναι συνήθεις λόγω της δυσκολίας υλοποίησής τους. Το ανησυχητικό όμως δεν είναι η πληθώρα τρόπων επιθέσεων αλλά τα άτομα και οι ηλικίες αυτών που είναι ικανοί να πράξουν και να ολοκληρώσουν μια ηλεκτρονική επίθεση στην εποχή μας. Στατιστικά και μιλώντας μόνο για την Ελλάδα έχει παρατηρηθεί ότι το εύρος των ηλικιών των επιτιθέμενων είναι από 12 – 25 ετών. Είναι πραγματικά δύσκολο να αποδεχτούμε πως ένας έφηβος ηλικίας μόλις 15 ετών μπορεί μέσα σε λίγα λεπτά να καταστήσει άχρηστα τα συστήματα ασφαλείας και τους ειδικευμένους διαχειριστές μιας τράπεζας! Όμως για τα πάντα υπάρχει μια εξήγηση. Σήμερα το Internet αποτελεί μια τεράστια βιβλιοθήκη γνώσης αλλά και λογισμικού / υλικού. Είναι εύκολο για ένα παιδί να βρει μερικές πηγές και να κατεβάσει έτοιμα εργαλεία ή βοηθητικά λογισμικά που θα του δώσουν τα εφόδια ώστε να εκτελέσει μια επιτυχημένη επίθεση. Δεν αποτελεί λοιπόν πανάκεια το ότι ο επιτιθέμενος μπορεί να είναι ένας γνώστης, ένας ειδικευμένος ή ένας hacker. Μπορεί κάλλιστα να είναι το παιδί της διπλανής πόρτας. Αυτό όμως είναι και το πιο ανησυχητικό και δυστυχώς δεν το κατανοούν οι εταιρίες και οι οργανισμοί. Ας αναλογιστούμε μόνο πως εάν ανάμεσα στα χιλιάδες παιδιά της χώρας μας ένα μικρό ποσοστό “παίζει” και περνάει την ώρα του κάνοντας ηλεκτρονικές επιθέσεις, τότε κάθε μέρα οι εταιρίες, οι οργανισμοί, τα υπουργεία, οι σταθμοί, τα νοσοκομεία και άλλα θα είναι σε συνεχή κίνδυνο. Τέλος, τι θα γινόταν εάν ένα μέρος μόνον αυτών των παιδιών στο κοντινό μέλλον γίνουν ικανοί hackers? Για να αποφευχθούν λοιπόν οι επιθέσεις και να είναι έτοιμες οι εταιρίες να αντεπεξέλθουν θα πρέπει να υπάρχει ενημέρωση, οργάνωση, εκπαίδευση και συνεχής έλεγχος των εγκαταστάσεων. Το πρότυπο ISO 27000 καθορίζει όλες τις μεθοδολογίες, καλές πρακτικές και κινήσεις μέσα σε μία εταιρία ώστε να προφυλαχτεί και να συνεχίζει να προφυλάσσει τις εταιρικές πληροφορίες. Επιπλέον, το ISO 27000 καθορίζει πρότυπα για την καταγραφή και την οργάνωση του τμήματος της πληροφορικής μέσα
σε έναν οργανισμό ή εταιρία. Για την ολοκληρωμένη προστασία δεν φτάνει όμως μόνον αυτό. Οι εταιρίες πρέπει να επαγρυπνούν και να κάνουν συνεχείς ελέγχους σε τακτά χρονικά διαστήματα λίγων εβδομάδων για πιθανές ευπάθειες των υποδομών τους. Για τον λόγο αυτό υπάρχουν οι μεθοδολογίες και οι τεχνικές μαζί με τα κατάλληλα λογισμικά και τους κανόνες που βοηθούν στην έγκαιρη καταγραφή και επίλυση των πιθανών ευπαθειών που ίσως ανακαλυφθούν. Για την επίτευξη του στόχου η διαδικασία περιλαμβάνει τρία βασικά βήματα: 1. Vulnerability Assessment: Η διαδικασία κατά την οποία ένα σύστημα ελέγχεται με εργαλεία και μεθοδολογίες για την τεκμηρίωση των πιθανών ευπαθειών του. 2. Penetration Testing: Η διαδικασία κατά την οποία ένα σύστημα τίθεται υπό επίθεση από εξουσιοδοτημένο και εξειδικευμένο τεχνικό προσωπικό για να ανακαλυφθούν ευπάθειες και τρωτά σημεία. Συνήθως συνδυάζεται με το Vulnerability Assessment και μάλιστα ακολουθεί αυτού. 3. Επίλυση προβλημάτων και ευπαθειών. Είδαμε λοιπόν γενικά τι είναι ένας hacker και πως παιδιά με ελάχιστες γνώσεις Η/Υ μπορούν να βλάψουν μια εταιρία με τη βοήθεια έτοιμων λογισμικών, είδαμε πως γίνονται οι συνήθεις επιθέσεις, ποιοι είναι οι πιθανοί επιτιθέμενοι και πως μπορεί μια εταιρία να προστατευθεί. Κλείνοντας, θέλω να επισημάνω πως οι εταιρίες για να προστατευθούν πρέπει να δίνουν πάντα προσοχή ακόμα και σε θέματα που φαίνονται ασήμαντα τόσο για τις εγκαταστάσεις όσο και τα λογισμικά τους. Πρέπει να θυμούνται πάντα, πώς ο επιτιθέμενος θα στηριχθεί στο γεγονός της αδιαφορίας ή της μη κατανόησης της σοβαρότητας του κινδύνου σε θεωρητικά “μικρά” προβληματάκια. Γιώργος Α. Δελαπόρτας --- IT & Network administrator at Securicon Network Security Expertise (White Hat) Computer & Informatics Engineer MSc in Data Communications & Networking PhD in Digital Forensics

Recommended

εργασία κακόβουλο λογισμικό
εργασία κακόβουλο λογισμικόεργασία κακόβουλο λογισμικό
εργασία κακόβουλο λογισμικόarmekka
 
Social Networks Security
Social Networks SecuritySocial Networks Security
Social Networks SecurityPapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
Cyber War
Cyber WarCyber War
Cyber WarPapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
Online Banking Cyber Security
Online Banking Cyber SecurityOnline Banking Cyber Security
Online Banking Cyber SecurityPapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
SECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlSECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlPROBOTEK
 
Meletis Belsis - Workflow based Incident Management Model
Meletis Belsis - Workflow based Incident Management ModelMeletis Belsis - Workflow based Incident Management Model
Meletis Belsis - Workflow based Incident Management ModelMeletis Belsis MPhil/MRes/BSc
 
Malicious Software. In Greek.
Malicious Software. In Greek.Malicious Software. In Greek.
Malicious Software. In Greek.John ILIADIS
 
Cloud Infrastructures for Enterprises and Governments
Cloud Infrastructures for Enterprises and GovernmentsCloud Infrastructures for Enterprises and Governments
Cloud Infrastructures for Enterprises and GovernmentsNiki Kyriakou
 

Recommended

εργασία κακόβουλο λογισμικό
εργασία κακόβουλο λογισμικόεργασία κακόβουλο λογισμικό
εργασία κακόβουλο λογισμικόarmekka
 
Social Networks Security
Social Networks SecuritySocial Networks Security
Social Networks SecurityPapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
Cyber War
Cyber WarCyber War
Cyber WarPapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
Online Banking Cyber Security
Online Banking Cyber SecurityOnline Banking Cyber Security
Online Banking Cyber SecurityPapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
SECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlSECURICON - Physical and IT Access Control
SECURICON - Physical and IT Access ControlPROBOTEK
 
Meletis Belsis - Workflow based Incident Management Model
Meletis Belsis - Workflow based Incident Management ModelMeletis Belsis - Workflow based Incident Management Model
Meletis Belsis - Workflow based Incident Management ModelMeletis Belsis MPhil/MRes/BSc
 
Malicious Software. In Greek.
Malicious Software. In Greek.Malicious Software. In Greek.
Malicious Software. In Greek.John ILIADIS
 
Cloud Infrastructures for Enterprises and Governments
Cloud Infrastructures for Enterprises and GovernmentsCloud Infrastructures for Enterprises and Governments
Cloud Infrastructures for Enterprises and GovernmentsNiki Kyriakou
 
Hackers crackers
Hackers crackersHackers crackers
Hackers crackersDimitra Mylonaki
 
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfCyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfVasoPolimerou
 
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςTicTac Data Recovery
 
Ασφαλεια στο Διαδικτυο
Ασφαλεια στο ΔιαδικτυοΑσφαλεια στο Διαδικτυο
Ασφαλεια στο Διαδικτυοvagarg
 
Hacking στις μέρες
Hacking στις μέρεςHacking στις μέρες
Hacking στις μέρεςxpapas
 
Hacking στις μέρες
Hacking στις μέρεςHacking στις μέρες
Hacking στις μέρεςxpapas
 
Έγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
Έγκλημα και Διαδίκτυο Εβελίνα ΚοκίνουΈγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
Έγκλημα και Διαδίκτυο Εβελίνα Κοκίνου4gymsch
 
Θέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfΘέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfssuser9421c7
 
AI & Machine Learning - Γράβας Χρ.pptx
AI & Machine Learning - Γράβας Χρ.pptxAI & Machine Learning - Γράβας Χρ.pptx
AI & Machine Learning - Γράβας Χρ.pptxChristopherGravas
 
Ασφαλές Internet τώρα
Ασφαλές Internet τώραΑσφαλές Internet τώρα
Ασφαλές Internet τώραrenablatz
 
5.1eisagogi
5.1eisagogi5.1eisagogi
5.1eisagogiAnastasiaStathopoulo5
 
Παρουσίαση 5ο Δημοτικό Ασφάλεια
Παρουσίαση 5ο Δημοτικό ΑσφάλειαΠαρουσίαση 5ο Δημοτικό Ασφάλεια
Παρουσίαση 5ο Δημοτικό ΑσφάλειαIbstpi Trainers
 
ιοoi
ιοoiιοoi
ιοoiMarsia Orfanelli
 
Προστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
Προστασία Λογισμικού - Ιοί - Πειρατεία ΛογισμικούΠροστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
Προστασία Λογισμικού - Ιοί - Πειρατεία ΛογισμικούNikos Michailidis
 
Spware and adware
Spware and adwareSpware and adware
Spware and adwareevvg
 
Spware and adware
Spware and adwareSpware and adware
Spware and adwareEVDANEL
 
Spware and adware
Spware and adwareSpware and adware
Spware and adwareEVDANEL
 
Cyber risks for enterprises-Vacations Time
Cyber risks for enterprises-Vacations TimeCyber risks for enterprises-Vacations Time
Cyber risks for enterprises-Vacations TimePapadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD
 
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1) Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1) 1lykeioperamatos
 
Ασφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΑσφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 
AiRFLOW - Drone Services Platform
AiRFLOW - Drone Services PlatformAiRFLOW - Drone Services Platform
AiRFLOW - Drone Services PlatformPROBOTEK
 
PROBOTEK - Profile
PROBOTEK - ProfilePROBOTEK - Profile
PROBOTEK - ProfilePROBOTEK
 

More Related Content

Similar to SECURICON - Hackers and Network Security

CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfCyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfVasoPolimerou
 
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςTicTac Data Recovery
 
Ασφαλεια στο Διαδικτυο
Ασφαλεια στο ΔιαδικτυοΑσφαλεια στο Διαδικτυο
Ασφαλεια στο Διαδικτυοvagarg
 
Hacking στις μέρες
Hacking στις μέρεςHacking στις μέρες
Hacking στις μέρεςxpapas
 
Hacking στις μέρες
Hacking στις μέρεςHacking στις μέρες
Hacking στις μέρεςxpapas
 
Έγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
Έγκλημα και Διαδίκτυο Εβελίνα ΚοκίνουΈγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
Έγκλημα και Διαδίκτυο Εβελίνα Κοκίνου4gymsch
 
Θέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfΘέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfssuser9421c7
 
AI & Machine Learning - Γράβας Χρ.pptx
AI & Machine Learning - Γράβας Χρ.pptxAI & Machine Learning - Γράβας Χρ.pptx
AI & Machine Learning - Γράβας Χρ.pptxChristopherGravas
 
Ασφαλές Internet τώρα
Ασφαλές Internet τώραΑσφαλές Internet τώρα
Ασφαλές Internet τώραrenablatz
 
Παρουσίαση 5ο Δημοτικό Ασφάλεια
Παρουσίαση 5ο Δημοτικό ΑσφάλειαΠαρουσίαση 5ο Δημοτικό Ασφάλεια
Παρουσίαση 5ο Δημοτικό ΑσφάλειαIbstpi Trainers
 
Προστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
Προστασία Λογισμικού - Ιοί - Πειρατεία ΛογισμικούΠροστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
Προστασία Λογισμικού - Ιοί - Πειρατεία ΛογισμικούNikos Michailidis
 
Spware and adware
Spware and adwareSpware and adware
Spware and adwareevvg
 
Spware and adware
Spware and adwareSpware and adware
Spware and adwareEVDANEL
 
Spware and adware
Spware and adwareSpware and adware
Spware and adwareEVDANEL
 
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1) Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1) 1lykeioperamatos
 
Ασφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΑσφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 

Similar to SECURICON - Hackers and Network Security (20)

Hackers crackers
Hackers crackersHackers crackers
Hackers crackers
 
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdfCyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
CyberSecurity - Γ.Μαρινάκης 24-3-23.pdf
 
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο Κυβερνοαπειλές
 
Ασφαλεια στο Διαδικτυο
Ασφαλεια στο ΔιαδικτυοΑσφαλεια στο Διαδικτυο
Ασφαλεια στο Διαδικτυο
 
Hacking στις μέρες
Hacking στις μέρεςHacking στις μέρες
Hacking στις μέρες
 
Hacking στις μέρες
Hacking στις μέρεςHacking στις μέρες
Hacking στις μέρες
 
Έγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
Έγκλημα και Διαδίκτυο Εβελίνα ΚοκίνουΈγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
Έγκλημα και Διαδίκτυο Εβελίνα Κοκίνου
 
Θέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdfΘέματα_Κυβερνοασφάλειας.pdf
Θέματα_Κυβερνοασφάλειας.pdf
 
AI & Machine Learning - Γράβας Χρ.pptx
AI & Machine Learning - Γράβας Χρ.pptxAI & Machine Learning - Γράβας Χρ.pptx
AI & Machine Learning - Γράβας Χρ.pptx
 
Ασφαλές Internet τώρα
Ασφαλές Internet τώραΑσφαλές Internet τώρα
Ασφαλές Internet τώρα
 
5.1eisagogi
5.1eisagogi5.1eisagogi
5.1eisagogi
 
Παρουσίαση 5ο Δημοτικό Ασφάλεια
Παρουσίαση 5ο Δημοτικό ΑσφάλειαΠαρουσίαση 5ο Δημοτικό Ασφάλεια
Παρουσίαση 5ο Δημοτικό Ασφάλεια
 
ιοoi
ιοoiιοoi
ιοoi
 
Προστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
Προστασία Λογισμικού - Ιοί - Πειρατεία ΛογισμικούΠροστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
Προστασία Λογισμικού - Ιοί - Πειρατεία Λογισμικού
 
Spware and adware
Spware and adwareSpware and adware
Spware and adware
 
Spware and adware
Spware and adwareSpware and adware
Spware and adware
 
Spware and adware
Spware and adwareSpware and adware
Spware and adware
 
Cyber risks for enterprises-Vacations Time
Cyber risks for enterprises-Vacations TimeCyber risks for enterprises-Vacations Time
Cyber risks for enterprises-Vacations Time
 
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1) Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
Ασφάλεια στο διαδίκτυο (Εργασία της μαθήτριας Μαριαλένας Κ., Α1)
 
Ασφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΑσφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτων
 

More from PROBOTEK

AiRFLOW - Drone Services Platform
AiRFLOW - Drone Services PlatformAiRFLOW - Drone Services Platform
AiRFLOW - Drone Services PlatformPROBOTEK
 
PROBOTEK - Profile
PROBOTEK - ProfilePROBOTEK - Profile
PROBOTEK - ProfilePROBOTEK
 
ProboTEK - Gray Mantis (Security Drone System)
ProboTEK - Gray Mantis (Security Drone System)ProboTEK - Gray Mantis (Security Drone System)
ProboTEK - Gray Mantis (Security Drone System)PROBOTEK
 
ProboTEK - Fire Guardian (Powered by AiRFLOW)
ProboTEK - Fire Guardian (Powered by AiRFLOW)ProboTEK - Fire Guardian (Powered by AiRFLOW)
ProboTEK - Fire Guardian (Powered by AiRFLOW)PROBOTEK
 
ProboTEK - Vitrina Store
ProboTEK - Vitrina StoreProboTEK - Vitrina Store
ProboTEK - Vitrina StorePROBOTEK
 
Shoprise Me! - Presentation
Shoprise Me! - PresentationShoprise Me! - Presentation
Shoprise Me! - PresentationPROBOTEK
 
ConnectiKR0N - Presentation for LiDAR
ConnectiKR0N - Presentation for LiDARConnectiKR0N - Presentation for LiDAR
ConnectiKR0N - Presentation for LiDARPROBOTEK
 
ConnectiKR0N - Presentation
ConnectiKR0N - PresentationConnectiKR0N - Presentation
ConnectiKR0N - PresentationPROBOTEK
 
AiRagroTEK.net - Presentation
AiRagroTEK.net - PresentationAiRagroTEK.net - Presentation
AiRagroTEK.net - PresentationPROBOTEK
 
HASH-box - Business Plan Presentation
HASH-box - Business Plan PresentationHASH-box - Business Plan Presentation
HASH-box - Business Plan PresentationPROBOTEK
 
George Delaportas - VEDICOR (Hacking CV)
George Delaportas - VEDICOR (Hacking CV)George Delaportas - VEDICOR (Hacking CV)
George Delaportas - VEDICOR (Hacking CV)PROBOTEK
 
G.A.N.N - Documentation
G.A.N.N - DocumentationG.A.N.N - Documentation
G.A.N.N - DocumentationPROBOTEK
 
Z0C (Pitch Deck)
Z0C (Pitch Deck)Z0C (Pitch Deck)
Z0C (Pitch Deck)PROBOTEK
 
Z0C in the Insurance Market
Z0C in the Insurance MarketZ0C in the Insurance Market
Z0C in the Insurance MarketPROBOTEK
 
Z0C - Presentation (EN)
Z0C - Presentation (EN)Z0C - Presentation (EN)
Z0C - Presentation (EN)PROBOTEK
 
Hash box - Outline Presentation
Hash box - Outline PresentationHash box - Outline Presentation
Hash box - Outline PresentationPROBOTEK
 
SECURICON - February 2016
SECURICON - February 2016SECURICON - February 2016
SECURICON - February 2016PROBOTEK
 
SECURICON - September 14
SECURICON - September 14SECURICON - September 14
SECURICON - September 14PROBOTEK
 
xDSL Signal Encoding Efficiency
xDSL Signal Encoding EfficiencyxDSL Signal Encoding Efficiency
xDSL Signal Encoding EfficiencyPROBOTEK
 
Analysis on Common Network Attacks & Vulnerability Scanners
Analysis on Common Network Attacks & Vulnerability ScannersAnalysis on Common Network Attacks & Vulnerability Scanners
Analysis on Common Network Attacks & Vulnerability ScannersPROBOTEK
 

More from PROBOTEK (20)

AiRFLOW - Drone Services Platform
AiRFLOW - Drone Services PlatformAiRFLOW - Drone Services Platform
AiRFLOW - Drone Services Platform
 
PROBOTEK - Profile
PROBOTEK - ProfilePROBOTEK - Profile
PROBOTEK - Profile
 
ProboTEK - Gray Mantis (Security Drone System)
ProboTEK - Gray Mantis (Security Drone System)ProboTEK - Gray Mantis (Security Drone System)
ProboTEK - Gray Mantis (Security Drone System)
 
ProboTEK - Fire Guardian (Powered by AiRFLOW)
ProboTEK - Fire Guardian (Powered by AiRFLOW)ProboTEK - Fire Guardian (Powered by AiRFLOW)
ProboTEK - Fire Guardian (Powered by AiRFLOW)
 
ProboTEK - Vitrina Store
ProboTEK - Vitrina StoreProboTEK - Vitrina Store
ProboTEK - Vitrina Store
 
Shoprise Me! - Presentation
Shoprise Me! - PresentationShoprise Me! - Presentation
Shoprise Me! - Presentation
 
ConnectiKR0N - Presentation for LiDAR
ConnectiKR0N - Presentation for LiDARConnectiKR0N - Presentation for LiDAR
ConnectiKR0N - Presentation for LiDAR
 
ConnectiKR0N - Presentation
ConnectiKR0N - PresentationConnectiKR0N - Presentation
ConnectiKR0N - Presentation
 
AiRagroTEK.net - Presentation
AiRagroTEK.net - PresentationAiRagroTEK.net - Presentation
AiRagroTEK.net - Presentation
 
HASH-box - Business Plan Presentation
HASH-box - Business Plan PresentationHASH-box - Business Plan Presentation
HASH-box - Business Plan Presentation
 
George Delaportas - VEDICOR (Hacking CV)
George Delaportas - VEDICOR (Hacking CV)George Delaportas - VEDICOR (Hacking CV)
George Delaportas - VEDICOR (Hacking CV)
 
G.A.N.N - Documentation
G.A.N.N - DocumentationG.A.N.N - Documentation
G.A.N.N - Documentation
 
Z0C (Pitch Deck)
Z0C (Pitch Deck)Z0C (Pitch Deck)
Z0C (Pitch Deck)
 
Z0C in the Insurance Market
Z0C in the Insurance MarketZ0C in the Insurance Market
Z0C in the Insurance Market
 
Z0C - Presentation (EN)
Z0C - Presentation (EN)Z0C - Presentation (EN)
Z0C - Presentation (EN)
 
Hash box - Outline Presentation
Hash box - Outline PresentationHash box - Outline Presentation
Hash box - Outline Presentation
 
SECURICON - February 2016
SECURICON - February 2016SECURICON - February 2016
SECURICON - February 2016
 
SECURICON - September 14
SECURICON - September 14SECURICON - September 14
SECURICON - September 14
 
xDSL Signal Encoding Efficiency
xDSL Signal Encoding EfficiencyxDSL Signal Encoding Efficiency
xDSL Signal Encoding Efficiency
 
Analysis on Common Network Attacks & Vulnerability Scanners
Analysis on Common Network Attacks & Vulnerability ScannersAnalysis on Common Network Attacks & Vulnerability Scanners
Analysis on Common Network Attacks & Vulnerability Scanners
 

SECURICON - Hackers and Network Security

  • 1. Hackers & Network Security “IT, infrastructure, network, cloud, hacker, virus, penetration testing, vulnerability assessment, wires, CAT5/6, fiber optics, router, switch, rack...” είναι μερικές από τις λέξεις που απαρτίζουν το λεξιλόγιο μιας σύγχρονης υποδομής πληροφορικής. Πώς όμως διαχειρίζεται σήμερα ο εκάστοτε IT / Network administrator τις υποδομές αυτές και πόσο σίγουρος είναι ότι αυτές είναι και ασφαλείς? Δυστυχώς τα δεδομένα και οι στατιστικές των τελευταίων ετών σε συνδυασμό με τις συνεχείς επιθέσεις σε εγκαταστάσεις και ιστοσελίδες στην Ελλάδα μας λένε πως ή έννοια της ασφάλειας είναι ανύπαρκτη! Σε αυτό έχουν συμβάλει για μεγάλο χρονικό διάστημα η στείρα γνώση και η μη πρακτική εφαρμογή των θεωριών σε πραγματικό χώρο που δέχεται επιθέσεις. Ο IT / Network administrator είναι απαίδευτος και δεν έχει καλή και σε βάθος γνώση των τεχνολογικών υποδομών αλλά ούτε και φυσικά των πρωτοκόλλων και εφαρμογών που “συνεργάζονται” για την επίτευξη του στόχου και την παροχή υπηρεσιών σε ένα εταιρικό δίκτυο. Ας πάρουμε όμως τα πράγμα με τη σειρά. Το πρόβλημα ξεκινά, ξεκάθαρα, από την παιδεία και την κακή έως ανύπαρκτη εμβάθυνση της γνώσης των ειδικευμένων που αναλαμβάνουν την διαχείριση ενός συστήματος πληροφορικής. Εάν ο υπεύθυνος δε λάβει σωστές γνώσεις τότε και οι πράξεις του θα είναι μοιραία εσφαλμένες ή ελλιπείς. Το άρθρο αυτό έχει ως στόχο να ενημερώσει τον αναγνώστη του σχετικά με τις ευπάθειες των υφιστάμενων υποδομών και έπειτα να προσδώσει παραδείγματα λύσεων τα οποία είναι αποτελεσματικά και άμεσα, εξηγώντας παράλληλα σε βάθος τις υποδομές. Η εποχή μας έχει “βαφτιστεί” - και όχι άδικα - ως ο αιώνας της πληροφορίας. Ζούμε στην εποχή της πληροφορικής και συνεχώς “βομβαρδιζόμαστε” από καταιγιστικά δεδομένα τα οποία πρέπει να επεξεργαστούμε για να πάρουμε αποφάσεις και να πράξουμε ανάλογα. Η πληροφορία όμως είναι εύκολο να μεταβληθεί, να αλλάξει, να μετασχηματιστεί και να δημιουργήσει εσφαλμένες αντιλήψεις ή να μας οδηγήσει εσκεμμένα σε λάθος δρόμο. Επίσης, υπάρχουν μέθοδοι με τις οποίες η πληροφορία μπορεί να παρουσιάζεται σε κάποιους ως ασήμαντη ενώ την ίδια στιγμή λίγο παραπέρα κάποιος άλλος την εκμεταλλεύεται και αντλεί σημαντικά και απόρρητα, πολλές φορές, δεδομένα! Φτάνοντας σε αυτό το σημείο, μπορούμε να παρουσιάσουμε τον άνθρωπο που ζει ανάμεσά μας και που έχει τις γνώσεις και τις μεθόδους να πράξει τα παραπάνω. Την πηγή του “κακού” και τον υπαίτιο για όλα τα προαναφερθέντα σύμφωνα με τα Μ.Μ.Ε που του έχουν προσδώσει έναν πολύ γενικό τίτλο. Τον ονομάζουν “Hacker”! Ένας τίτλος που όμως από μόνος του δεν λέει απολύτως τίποτα στους γνώστες της πληροφορικής, στους μηχανικούς και στους αρχιτέκτονες πληροφοριακών συστημάτων. Ο hacker είναι μια πολύ αφηρημένη έννοια. Ο συγγραφέας αυτού του άρθρου είναι hacker. Τι είναι όμως ο hacker και γιατί από μόνη της η λέξη αυτή δεν προσδίδει κάτι το κακό η το καλό? Σύμφωνα με το Jargon dictionary ο hacker είναι τρόπος ζωής. Είναι ένα άτομο που έχει μια νοοτροπία ζωής με βάση την οποία δεν αποδέχεται απλά ότι του λένε. Είναι ένα άτομο με οξύ νου και ανεπτυγμένη την κριτική σκέψη που προσπαθεί πάντα να μάθει πως και γιατί τα πράγματα που βλέπει γύρω του λειτουργούν με αυτό τον τρόπο και πολλές φορές μπορεί να προτείνει πιο αποτελεσματικές λύσεις σε προβλήματα ή να αξιοποιήσει ένα σύνολο γνώσεων και υποδομών για να ικανοποιήσει τις
  • 2. δικές του ανάγκες. Όπως καταλαβαίνετε ο hacker δεν έχει να κάνει πάντα και μόνο με την τεχνολογία και φυσικά δεν είναι πάντα κακός ή κακόβουλος. Μερικά παραδείγματα hacker είναι ο πρωτοπόρος αρχιτέκτονας που σχεδιάζει κάτι με νέες προσθήκες πέραν της κλασικής αρχιτεκτονικής, ο μηχανικός αυτοκινήτων που με καλή γνώση αλλά με λιγότερα ανταλλακτικά από όσα θα έπρεπε να είχε καταφέρνει και επισκευάζει ή ακόμα και βελτιστοποιεί έναν κινητήρα, ο ιστορικός που ανακαλύπτει μετά από χρόνια ερευνών χαμένες έννοιες και τα συνδέει με γεγονότα.... Βλέπουμε λοιπόν πως ο hacker είναι ο άνθρωπος της έρευνας, της αγάπης για την εργασία του, της καινοτομίας και της “πατέντας” όπως λέμε στην Ελλάδα. Για να επικεντρωθούμε όμως στο χώρο μας και να προσδιορίσουμε τον hacker της πληροφορικής με σαφήνεια πρέπει ορίσουμε κάποιες κατηγορίες που τα τελευταία 20 χρόνια δίνουν “χρώμα” και κυριολεκτικά στις ενέργειές τους. Η βασική κατάταξη των hackers είναι: 1. White Hat 2. Grey Hat 3. Black Hat Οι white hat hackers είναι τα “καλά” παιδιά της πληροφορικής. Είναι ηθικοί και πάρα πολύ ικανοί. Είναι security experts και έχουν άμεσες λύσεις στα πιο δύσκολα προβλήματα. Επίσης εγκαθιστούν λογισμικό και υλικό και το ρυθμίζουν με τέτοιο τρόπο ώστε να είναι ανθεκτικό σε επιθέσεις και να προκαταλαμβάνει τυχόν ευπάθειες. Είναι αυτοί που διαβάζουν ασταμάτητα, εκπαιδεύονται και ενημερώνονται για να μην βρεθούν ποτέ στη δεύτερη θέση. Είναι η κατηγορία των διαχειριστών που λείπει από την Ελλάδα λόγω της κακής παιδείας μας. Οι grey hat hackers είναι εξίσου καλοί και μοιάζουν σε πολλά σημεία με τους white hats. Όμως, ένας grey hat δεν είναι και πάντα τόσο ηθικός και μπορεί η πληροφορία που θα τον ικανοποιεί να την διαστρεβλώσει ή να την υποκλέψει. Οι grey hats έχουν μεγάλο πάθος με την άντληση πληροφοριών και είναι πολύ εκδικητικοί. Τέλος, είναι υπεύθυνοι για χιλιάδες επιθέσεις σε συστήματα και ιστοσελίδες σε όλο τον κόσμο. Οι black hat hackers είναι άτομα με πολύ καλές γνώσεις αλλά συνήθως διακρίνονται από κακεντρέχεια και μίσος για το σύνολο. Είναι περιθωριακοί τύποι και πολλές φορές πέρα από επιθέσεις κάνουν και σπασίματα κωδικών ή cracks. Γενικά διαβάζουν πολύ και έχουν εξαιρετικές δυνατότητες στην κατανόηση και τον προγραμματισμό σε χαμηλό επίπεδο. Σε αυτή την κατηγορία ανήκουν και πολλοί δυνατοί crackers αν και σαν κατηγορία οι crackers είναι αυτόνομοι. Όποια κατηγορία όμως και να κοιτάξουμε διακρίνουμε ένα κοινό σημείο, το σκάλισμα του τι υπάρχει μέσα στο “κουτί”, η δίψα για γνώση, η τάση για εξερεύνηση. Από εκεί ξεκινάει ο μεγάλος αγώνας και η αντιπαράθεση. Οι επιθέσεις είναι μια μορφή πρόκλησης που ανεβάζει την αδρεναλίνη του επιτιθέμενου. Η δίψα του να ανακαλύψει ή να προσβάλει ένα σύστημα το οποίο θεωρείται ασφαλές είναι το υπέρτατο ναρκωτικό που ικανοποιεί τον εγωισμό του! Έχοντας κατανοήσει τους κοινωνικούς και ψυχολογικούς παράγοντες της συμπεριφοράς ενός hacker ένας οργανισμός, μια εταιρία ή ένας ιστοχώρος δεν θα είναι στο έλεος του επιτιθέμενου. Αυτό φυσικά προϋποθέτει ότι η εκάστοτε επιχείρηση για παράδειγμα έχει φροντίσει να εκπαιδεύσει το προσωπικό της, έχει προσλάβει εξειδικευμένα άτομα και ικανούς administrators και φυσικά έχει ενισχύσει τις άμυνες του δικτύου της και της εγκατάστασής της γενικά. Δυστυχώς, στην Ελλάδα όταν μια εταιρία ακούει τις έννοιες “vulnerability assessment” και “penetration testing” είτε αδυνατεί να κατανοήσει την σημαντικότητα των λέξεων και απλά τα απορρίπτει είτε πιο συχνά τις φοβάται ως κάτι άγνωστο ή άχρηστο. Είναι τρομακτικό το γεγονός πως στην Ελληνική επικράτεια υπάρχει η νοοτροπία του ότι είμαστε ασφαλείς και οι καλύτερα διασφαλισμένοι σε εγκαταστάσεις και συστήματα πληροφορικής. Το δε κωμικοτραγικό είναι πως υπάρχουν άτομα με χρόνια εμπειρίας που υποστηρίζουν και έχουν την
  • 3. πεποίθηση ότι επειδή δεν έπεσαν ποτέ θέμα επιθέσεων δε θα πέσουν και στο μέλλον. Φαίνεται ότι οι κύριοι αυτοί δε γνωρίζουν το κλασικό ρητό που λέει πως: “Το θέμα δεν είναι αν θα υπάρξει κάποια ηλεκτρονική επίθεση σε μια εταιρία αλλά το πότε θα γίνει!”. Κοινώς το “αν” δεν είναι καν θέμα συζήτησης αλλά το “πότε” είναι, και αυτό δεν πρέπει να το αφήσουμε στην τύχη. Εάν λοιπόν περιμένουμε την ημέρα που κάποιος hacker με τον ένα ή τον άλλο τρόπο θα εισβάλει στο σύστημά μας για να πάρουμε αντίμετρα, τότε πλέον είναι σίγουρο πως έχουμε πάθει μεγάλη ζημιά και το μέλλον της εταιρίας, οργανισμού κτλ. είναι στο έλεος του επιτιθέμενου. Αυτό είναι απαράδεκτο! Ας δούμε ποιες είναι οι πιο κλασικές μέθοδοι επιθέσεων καθώς και οι τεχνικές που ακολουθούνται από τους grey hat και black hat hackers: 1. Cross Site Scripting (XSS) 2. SQL Injection (SQLi) Cross Site Scripting (XSS) είναι μια τεχνική με την οποία ο επιτιθέμενος εισαγάγει τμήματα κώδικα σε μια ιστοσελίδα τα οποία με τη σειρά τους εκτελούνται όταν ένας χρήστης “βλέπει” την ιστοσελίδα από τον υπολογιστή του. Εάν αυτό συμβεί και ο επιτιθέμενος έχει προγραμματίσει με τέτοιο τρόπο τον κώδικα ώστε να αποστέλλει πληροφορίες όπως τα “session cookies” τότε μπορεί μέσα σε μερικά λεπτά να αποκτήσει πρόσβαση με στοιχεία άλλων χρηστών. SQL Injection (SQLi) είναι μια τεχνική με την οποία ο επιτιθέμενος παρεμβάλει τμήματα κώδικα μέσω της address bar του browser και επηρεάζει ή αλλάζει την λογική των SQL εντολών που “τρέχουν” πίσω από την ιστοσελίδα και εξυπηρετούν τη φόρτωση περιεχομένων. Ο επιτιθέμενος είναι ικανός να υποκλέψει στοιχεία από τη βάση δεδομένων, να αλλάξει ή ακόμα και να σβήσει όλα τα δεδομένα. Όπως καταλαβαίνετε τα παραπάνω μπορούν να συνδυαστούν και ο επιτιθέμενος να έχει πλήρη πρόσβαση στον απομακρυσμένο server που βρίσκεται η προς επίθεση ιστοσελίδα. Πέραν των παραπάνω μεθόδων υπάρχουν κι άλλες κλασικές ή πιο νέες ή πιο εξειδικευμένες τεχνικές που όμως δεν είναι συνήθεις λόγω της δυσκολίας υλοποίησής τους. Το ανησυχητικό όμως δεν είναι η πληθώρα τρόπων επιθέσεων αλλά τα άτομα και οι ηλικίες αυτών που είναι ικανοί να πράξουν και να ολοκληρώσουν μια ηλεκτρονική επίθεση στην εποχή μας. Στατιστικά και μιλώντας μόνο για την Ελλάδα έχει παρατηρηθεί ότι το εύρος των ηλικιών των επιτιθέμενων είναι από 12 – 25 ετών. Είναι πραγματικά δύσκολο να αποδεχτούμε πως ένας έφηβος ηλικίας μόλις 15 ετών μπορεί μέσα σε λίγα λεπτά να καταστήσει άχρηστα τα συστήματα ασφαλείας και τους ειδικευμένους διαχειριστές μιας τράπεζας! Όμως για τα πάντα υπάρχει μια εξήγηση. Σήμερα το Internet αποτελεί μια τεράστια βιβλιοθήκη γνώσης αλλά και λογισμικού / υλικού. Είναι εύκολο για ένα παιδί να βρει μερικές πηγές και να κατεβάσει έτοιμα εργαλεία ή βοηθητικά λογισμικά που θα του δώσουν τα εφόδια ώστε να εκτελέσει μια επιτυχημένη επίθεση. Δεν αποτελεί λοιπόν πανάκεια το ότι ο επιτιθέμενος μπορεί να είναι ένας γνώστης, ένας ειδικευμένος ή ένας hacker. Μπορεί κάλλιστα να είναι το παιδί της διπλανής πόρτας. Αυτό όμως είναι και το πιο ανησυχητικό και δυστυχώς δεν το κατανοούν οι εταιρίες και οι οργανισμοί. Ας αναλογιστούμε μόνο πως εάν ανάμεσα στα χιλιάδες παιδιά της χώρας μας ένα μικρό ποσοστό “παίζει” και περνάει την ώρα του κάνοντας ηλεκτρονικές επιθέσεις, τότε κάθε μέρα οι εταιρίες, οι οργανισμοί, τα υπουργεία, οι σταθμοί, τα νοσοκομεία και άλλα θα είναι σε συνεχή κίνδυνο. Τέλος, τι θα γινόταν εάν ένα μέρος μόνον αυτών των παιδιών στο κοντινό μέλλον γίνουν ικανοί hackers? Για να αποφευχθούν λοιπόν οι επιθέσεις και να είναι έτοιμες οι εταιρίες να αντεπεξέλθουν θα πρέπει να υπάρχει ενημέρωση, οργάνωση, εκπαίδευση και συνεχής έλεγχος των εγκαταστάσεων. Το πρότυπο ISO 27000 καθορίζει όλες τις μεθοδολογίες, καλές πρακτικές και κινήσεις μέσα σε μία εταιρία ώστε να προφυλαχτεί και να συνεχίζει να προφυλάσσει τις εταιρικές πληροφορίες. Επιπλέον, το ISO 27000 καθορίζει πρότυπα για την καταγραφή και την οργάνωση του τμήματος της πληροφορικής μέσα
  • 4. σε έναν οργανισμό ή εταιρία. Για την ολοκληρωμένη προστασία δεν φτάνει όμως μόνον αυτό. Οι εταιρίες πρέπει να επαγρυπνούν και να κάνουν συνεχείς ελέγχους σε τακτά χρονικά διαστήματα λίγων εβδομάδων για πιθανές ευπάθειες των υποδομών τους. Για τον λόγο αυτό υπάρχουν οι μεθοδολογίες και οι τεχνικές μαζί με τα κατάλληλα λογισμικά και τους κανόνες που βοηθούν στην έγκαιρη καταγραφή και επίλυση των πιθανών ευπαθειών που ίσως ανακαλυφθούν. Για την επίτευξη του στόχου η διαδικασία περιλαμβάνει τρία βασικά βήματα: 1. Vulnerability Assessment: Η διαδικασία κατά την οποία ένα σύστημα ελέγχεται με εργαλεία και μεθοδολογίες για την τεκμηρίωση των πιθανών ευπαθειών του. 2. Penetration Testing: Η διαδικασία κατά την οποία ένα σύστημα τίθεται υπό επίθεση από εξουσιοδοτημένο και εξειδικευμένο τεχνικό προσωπικό για να ανακαλυφθούν ευπάθειες και τρωτά σημεία. Συνήθως συνδυάζεται με το Vulnerability Assessment και μάλιστα ακολουθεί αυτού. 3. Επίλυση προβλημάτων και ευπαθειών. Είδαμε λοιπόν γενικά τι είναι ένας hacker και πως παιδιά με ελάχιστες γνώσεις Η/Υ μπορούν να βλάψουν μια εταιρία με τη βοήθεια έτοιμων λογισμικών, είδαμε πως γίνονται οι συνήθεις επιθέσεις, ποιοι είναι οι πιθανοί επιτιθέμενοι και πως μπορεί μια εταιρία να προστατευθεί. Κλείνοντας, θέλω να επισημάνω πως οι εταιρίες για να προστατευθούν πρέπει να δίνουν πάντα προσοχή ακόμα και σε θέματα που φαίνονται ασήμαντα τόσο για τις εγκαταστάσεις όσο και τα λογισμικά τους. Πρέπει να θυμούνται πάντα, πώς ο επιτιθέμενος θα στηριχθεί στο γεγονός της αδιαφορίας ή της μη κατανόησης της σοβαρότητας του κινδύνου σε θεωρητικά “μικρά” προβληματάκια. Γιώργος Α. Δελαπόρτας --- IT & Network administrator at Securicon Network Security Expertise (White Hat) Computer & Informatics Engineer MSc in Data Communications & Networking PhD in Digital Forensics