Σειρά μαθημάτων ΤΠΕ, Ε' και ΣΤ' Δημοτικού 2015-16.
Τα αρχεία που απαιτούνται για την υλοποίηση των Δραστηριοτήτων και τα οποία στη διάρκεια της σχολικής χρονιάς αποθήκευα σε φάκελο "Μαθήματα" στους Η/Υ των μαθητών (όπως αναφέρεται στις διαφάνειες) διατίθενται πλέον διαδικτυακά στο:
https://drive.google.com/folderview?id=0B48d8jMibLYGTkFIUExDaHJEZkE&usp=sharing
Σειρά μαθημάτων ΤΠΕ, Ε' και ΣΤ' Δημοτικού 2015-16.
Τα αρχεία που απαιτούνται για την υλοποίηση των Δραστηριοτήτων και τα οποία στη διάρκεια της σχολικής χρονιάς αποθήκευα σε φάκελο "Μαθήματα" στους Η/Υ των μαθητών (όπως αναφέρεται στις διαφάνειες) διατίθενται πλέον διαδικτυακά στο:
https://drive.google.com/folderview?id=0B48d8jMibLYGTkFIUExDaHJEZkE&usp=sharing
Accompanying slides for Chapter 8 "Malicious Software" of the book "Information Systems Security" (http://www.papasotiriou.gr/product/asfaleia-pliroforiakon-sistimaton-237775), March 2004
Accompanying slides for Chapter 8 "Malicious Software" of the book "Information Systems Security" (http://www.papasotiriou.gr/product/asfaleia-pliroforiakon-sistimaton-237775), March 2004
1. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Ασφάλεια στο Διαδίκτυο
& Θέματα Κυβερνοασφάλειας
2. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Μαθησιακοί Στόχοι
Με την ολοκλήρωση της ενότητας ο εκπαιδευόμενος θα μπορεί να:
• Περιγράφει τις βασικές έννοιες και τους όρους που αφορούν στην κυβερνοασφάλεια
• Αντιλαμβάνεται τις κυριότερες απειλές κυβερνοασφάλειας, τα τρωτά σημεία και τις τεχνολογικές
επιθέσεις
• Αντιλαμβάνεται τη διαδικτυακή απάτη
• Περιγράφει τις αρχές ασφάλειας στη διακίνηση των πληροφοριών
• Περιγράφει τις βασικές τεχνολογίες που αφορούν στην προστασία των δικτύων, όπως στον έλεγχο
πρόσβασης
• Περιγράφει διάφορα είδη ελέγχου και ειδικών μηχανισμών άμυνας
• Περιγράφει την υλοποίηση μέτρων ασφάλειας σε όλο το εύρος της επιχείρησης
2
3. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Τι είναι η Κυβερνοασφάλεια
• Δεν υπάρχει τυποποιημένος και καθολικά αποδεκτός ορισμός της κυβερνοασφάλειας. Ο όρος
αυτός σε γενικές γραμμές καλύπτει το σύνολο των διασφαλίσεων και μέτρων που
υιοθετούνται για την προστασία των συστημάτων πληροφοριών και των χρηστών τους έναντι
μη εξουσιοδοτημένης πρόσβασης, επιθέσεων και ζημίας, ώστε να εξασφαλίζονται η
εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων.
• Ο όρος «κυβερνοασφάλεια» δεν καλύπτει μόνο την ασφάλεια δικτύων και πληροφοριών,
αλλά και κάθε παράνομη δραστηριότητα με τη χρήση ψηφιακών τεχνολογιών στον
κυβερνοχώρο. Ως εκ τούτου, μπορεί να περιλαμβάνει κυβερνοεγκλήματα όπως την εξαπόλυση
επιθέσεων με ιούς υπολογιστών ή την απάτη με μέσα πληρωμής πλην των μετρητών και να
αφορά τόσο συστήματα όσο και περιεχόμενο, καθώς και τη διάδοση υλικού σεξουαλικής
κακοποίησης παιδιών στο διαδίκτυο. Μπορεί επίσης να καλύπτει εκστρατείες
παραπληροφόρησης για την άσκηση επιρροής στον διαδικτυακό διάλογο και υπόνοιες για
παρέμβαση σε εκλογικές διαδικασίες.
3
4. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Το Περιβάλλον της Κυβερνοασφάλειας
Κάθε φορά που μια νέα συσκευή συνδέεται στο διαδίκτυο
ή με άλλες συσκευές, η λεγόμενη «επιφάνεια επίθεσης»
αυξάνεται.
Η εκθετική ανάπτυξη του διαδικτύου των πραγμάτων, του
υπολογιστικού νέφους, των μαζικών δεδομένων και η
ψηφιοποίηση της βιομηχανίας συνοδεύονται από
αυξημένη έκθεση των τρωτών σημείων, που παρέχει σε
κακόβουλους παράγοντες τη δυνατότητα να στοχεύουν
ολοένα και περισσότερα θύματα.
Η ποικιλία των ειδών επιθέσεων και η αυξανόμενη
πολυπλοκότητά τους δυσχεραίνει εξαιρετικά την
παρακολούθηση των εξελίξεων
4
5. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 5
Το περιβάλλον της κυβερνοασφάλειας
Σε όλο τον κόσμο παρατηρείται ότι οι νόμοι
και οι κανονισμοί περί απορρήτου
ενισχύονται. Οι πρόσφατα θεσπισθείσες
απαιτήσεις υποβολής εκθέσεων σχετικά με
την Εθνική Παραβίαση Δεδομένων (NDB) του
Αυστραλιανού Νόμου περί Προστασίας
Προσωπικών Δεδομένων και οι διάφοροι
κανονισμοί περί προστασίας της ιδιωτικής
ζωής στις ΗΠΑ, με αυστηρές απαιτήσεις
υποβολής αναφορών σχετικά με τις
παραβιάσεις των δεδομένων, ενισχύουν τα
πρότυπα για όσους κατέχουν δεδομένα για
τους κατοίκους αυτών των χωρών.
S
l
i
d
e
5
-
5
6. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Σημεία Απειλών
• Τρία βασικά σημεία της ευπάθειας του Διαδικτύου
1. Πελάτης (Client)
2. Διακομιστής (Server)
3. Αγωγός επικοινωνιών (κανάλια επικοινωνίας μέσω του
διαδικτύου)
6
7. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Είδη των Απειλών
Τα διάφορα είδη απειλών για την
κυβερνοασφάλεια μπορούν να
ταξινομηθούν είτε σύμφωνα με
αυτό που προκαλούν στα δεδομένα
–κοινολόγηση, τροποποίηση,
καταστροφή ή άρνηση πρόσβασης–
είτε σύμφωνα με τις βασικές αρχές
ασφάλειας των πληροφοριών που
παραβιάζουν
7
8. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 8
Μια τυπική συναλλαγή ηλεκτρονικού εμπορίου
S
l
i
d
e
5
-
8
9. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 9
Τρωτά σημεία σε μια συναλλαγή ηλ. εμπορίου
S
l
i
d
e
5
-
9
10. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
• Κακόβουλο λογισμικό (malware)
Το κακόβουλο λογισμικό (malware) σχεδιάζεται για να προκαλέσει
βλάβες σε συσκευές ή δίκτυα. Μπορεί να περιλαμβάνει μεταξύ
άλλων, ιούς, Δούρειους ίππους, λυτρισμικό, λογισμικά σκουλήκια,
προγράμματα διαφημίσεων (adware) και κατασκοπευτικό λογισμικό
(spyware)
Οι πιο κοινές απειλές κυβερνοασφάλειας
10
11. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές κυβερνοασφάλειας
• Κακόβουλο λογισμικό (malware)
Διεισδύουν στη μεταφόρτωση
– Ιοί - Προγράμματα τα οποία είναι έτσι σχεδιασμένα ώστε να «εισβάλλουν» στον υπολογιστή μας και να
δημιουργούν ανεπιθύμητες παρενέργειες
– Σκουλήκια - Αναπαράγονται δημιουργώντας αντίγραφα του εαυτού τους διαμέσου των δικτύων
ηλεκτρονικών υπολογιστών
– Λυτρισμικό (Ransomware) - Κρυπτογραφεί τα δεδομένα, εμποδίζοντας την πρόσβαση των χρηστών στα
αρχεία τους έως ότου καταβληθούν λύτρα, συνήθως σε κρυπτονόμισμα, ή γίνει κάποια ενέργεια,
– Κερκόπορτες (Βackdoors) - λειτουργίες ή προγράμματα που μπορούν να χρησιμοποιηθούν για την
παράκαμψη των λειτουργιών ασφάλειας ενός προγράμματος, μιας συσκευής, μιας πύλης ή μιας υπηρεσίας -
εκμεταλλεύονται συνήθως ελαττώματα, και κενά ασφαλείας.
– Δούρειοι ίπποι (Trojan) – ‘Ξεγελάει’ τον χρήστη και τον κάνει να πιστεύει ότι εκτελεί κάποια χρήσιμη
λειτουργία ενώ στα κρυφά εγκαθιστά στον υπολογιστή του άλλα κακόβουλα προγράμματα.
11
12. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές κυβερνοασφάλειας
Οι τύποι Δούρειων Ίππων μπορούν να διαχωριστούν περαιτέρω στις εξής κατηγορίες ανάλογα με τις συνέπειες που έχουν
στον μολυσμένο υπολογιστή:
• Απομακρυσμένη πρόσβαση.
• Αποστολή e-mail.
• Καταστροφή αρχείων.
• Κατέβασμα αρχείων.
• Proxy Trojan.
• FTP Trojan (προσθήκη, διαγραφή ή μεταφορά αρχείων από τον μολυσμένο υπολογιστή).
• Απενεργοποίηση λογισμικού ασφαλείας (Firewall, αντιϊκά κλπ).
• Επιθέσεις άρνησης υπηρεσιών (Denial of Service, DoS).
• URL Trojan (επιτρέπει στον υπολογιστή να συνδεθεί στο διαδίκτυο μόνο μέσω μίας πολύ ακριβής σύνδεσης).
Μερικές από τις επιπτώσεις εκτέλεσης ενός δούρειου ίππου είναι για παράδειγμα η διαγραφή αρχείων στον μολυσμένο
υπολογιστή, η χρησιμοποίησή του για επίθεση σε άλλους υπολογιστές, το ανοιγόκλεισμα του οδηγού CD-ROM, η
παρακολούθηση των κινήσεων του χρήστη για την απόκτηση των κωδικών του σε τράπεζες, απόκτηση διευθύνσεων e-mail
για να χρησιμοποιηθούν για spamming, επανεκκίνηση του υπολογιστή, απενεργοποίηση προγραμμάτων firewall ή αντιϊκών
και πολλά άλλα.
12
Η πλειοψηφία των μολύνσεων υπολογιστών από
δούρειους ίππους συμβαίνει επειδή ο χρήστης
προσπάθησε να εκτελέσει ένα μολυσμένο
πρόγραμμα. Για τον λόγο αυτό οι χρήστες πάντα
προτρέπονται να μην ανοίγουν ύποπτα αρχεία
επισυναπτόμενα σε e-mail.
13. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 13
Οι ιοί διαδίδονται από τον ένα
υπολογιστή στον άλλο με δύο
τρόπους: Είτε μέσω φορητού μέσου
αποθήκευσης, είτε μέσω δικτύου. Ο
δεύτερος τρόπος είναι σήμερα ο πλέον
διαδεδομένος, λόγω της ευρείας
διάδοσης του Διαδικτύου διεθνώς. Η
βασική υπηρεσία διάδοσης ιών είναι
αυτή του e-mail, μέσω του οποίου
αποστέλλονται είτε ως συνημμένα είτε
ως τμήμα αυτού καθαυτού του
μηνύματος. Για το λόγο αυτό, πολλές
υπηρεσίες e-mail προσφέρουν πρώτα
σάρωση των μηνυμάτων και των
συνημμένων τους με κάποιο
αντιβιοτικό, πριν επιτρέψουν στο
χρήστη να τα λάβει.
Οι ιοί διαδίδονται από τον ένα υπολογιστή στον άλλο με δύο τρόπους:
Είτε μέσω φορητού μέσου αποθήκευσης, είτε μέσω δικτύου
14. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
• Πιθανώς ανεπιθύμητα προγράμματα (Potentially Unwanted
Programs - PUPs)
– Παράσιτα Browser
– Adware - Aνεπιθύμητο λογισμικό που έχει σχεδιαστεί για να προβάλλει διαφημίσεις στην
οθόνη σας, τις περισσότερες φορές μέσα σε ένα πρόγραμμα περιήγησης στο διαδίκτυο.
– Spyware - Προγράμματα που προσκολλώνται κρυφά σε αρχεία που κατεβάζουμε από το
Διαδίκτυο. Μόλις κατέβει, αυτοεγκαθίσταται στον υπολογιστή μας και ξεκινά την
παρακολούθηση της διαδικτυακής μας δραστηριότητας. Οι πληροφορίες που καταγράφει
αποστέλλονται σε τρίτους.
14
15. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
• Κοινωνική μηχανική:
Οι κυβερνοεγκληματίες χειραγωγούν την «ανθρώπινη αδυναμία» των θυμάτων τους μέσω
της κοινωνικής μηχανικής. Ένα επαγγελματικά δημιουργημένο ηλεκτρονικό έντυπο ή ένα μήνυμα
ηλεκτρονικού ταχυδρομείου (phishing attack) από έναν αξιόπιστο αποστολέα μπορεί να πείσει
ακόμη και καλά εκπαιδευμένους χρήστες να αποκαλύψουν τους κωδικούς τους.
Ο όρος κοινωνική μηχανική αναφέρεται σε μια σειρά μη τεχνολογικών μεθόδων επίθεσης που
χρησιμοποιούνται από κυβερνοεγκληματίες για να χειραγωγήσουν τους χρήστες προκειμένου να
παρακάμψουν τα πρωτόκολλα ασφάλειας ή άλλες επιχειρηματικές διαδικασίες, εκτελώντας
επιβλαβείς ενέργειες ή να τους αναγκάσουν να παραδώσουν ευαίσθητες πληροφορίες.
15
16. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
- Απάτες E-mail (Spam): Το Spam αποτελεί οποιαδήποτε μορφή ανεπιθύμητης επικοινωνίας που
αποστέλλεται μαζικά. Τις περισσότερες φορές, το spam είναι ένα email που αποστέλλεται σε όσο το
δυνατόν περισσότερους παραλήπτες, αλλά μπορεί επίσης να παραδοθεί μέσω άμεσων μηνυμάτων,
SMS και κοινωνικών μέσων.
Το Spam δεν είναι το ίδιο ένα εργαλείο κοινωνικής μηχανικής, αλλά ορισμένες από τις καμπάνιες
χρησιμοποιούν τεχνικές κοινωνικής μηχανικής όπως phishing, spearphishing, vishing, smishing ή
διάδοση κακόβουλων επισυναπτόμενων αρχείων ή συνδέσμων.
16
17. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
• Ψάρεμα (Phishing)
Το ηλεκτρονικό ψάρεμα (phishing) είναι μια μορφή διαδικτυακής επίθεσης στην οποία ο
εγκληματίας πλαστοπροσωπεί μια αξιόπιστη οντότητα για να αποσπάσει ευαίσθητες
πληροφορίες από το θύμα. Αυτά τα είδη απάτης συνήθως προσπαθούν να δημιουργήσουν
μια αίσθηση επείγοντος ή να χρησιμοποιήσουν τακτικές τρόμου για να εξαναγκάσουν το
θύμα να συμμορφωθεί με τα αιτήματα του επιτιθέμενου. Οι καμπάνιες ηλεκτρονικού
ψαρέματος μπορούν να στοχεύουν μεγάλο αριθμό ανώνυμων χρηστών ή συγκεκριμένου
θύματος/θυμάτων.
17
18. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
• Άλλες τεχνικές απάτης:
Το Spearphishing είναι μια στοχευμένη μορφή ηλεκτρονικού ψαρέματος στο οποίο ο
εισβολέας στέλνει προσαρμοσμένα μηνύματα σε μια περιορισμένη ομάδα ανθρώπων, ή
ακόμη και σε ένα άτομο, με σκοπό την υποκλοπή των δεδομένων τους ή τη χειραγώγησή τους
με σκοπό την εκτέλεση επιβλαβών ενεργειών.
Το Vishing και το Smishing είναι τεχνικές κοινωνικής μηχανικής που μοιάζουν με το
ηλεκτρονικό ψάρεμα (phishing), αλλά πραγματοποιούνται με άλλα μέσα. Το Vishing
(φωνητικό ηλεκτρονικό ψάρεμα - voice phishing) χρησιμοποιεί ψευδείς τηλεφωνικές κλήσεις,
ενώ το Smishing (SMS phishing) χρησιμοποιεί μηνύματα κειμένου SMS που περιέχουν
κακόβουλους συνδέσμους ή περιεχόμενο.
18
19. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
• Άλλες τεχνικές απάτης:
Η πλαστοπροσωπία στην κυβερνοασφάλεια έχει παρόμοιο νόημα με την αντίστοιχη στον
φυσικό κόσμο. Οι κυβερνοεγκληματίες ενεργούν στο όνομα ενός αξιόπιστου προσώπου και
εξαπατούν τα θύματα για να προβούν σε ενέργειες που βλάπτουν τον εαυτό τους ή τον
οργανισμό τους. Ένα τυπικό παράδειγμα είναι ένας εισβολέας που πλαστοπροσωπεί τον
Διευθύνοντα Σύμβουλο μιας εταιρείας - όταν ο ίδιος βρίσκεται εκτός γραφείου - παραγγέλλει
και εγκρίνει δόλιες συναλλαγές.
Οι απάτες τεχνικής υποστήριξης (Technical Support Scams) είναι συνήθως ψευδείς
τηλεφωνικές κλήσεις ή web διαφημίσεις στις οποίες οι επιτιθέμενοι προσφέρουν στα
θύματα υποτιθέμενες υπηρεσίες τεχνικής υποστήριξης. Στην πραγματικότητα, οι
κυβερνοεγκληματίες προσπαθούν να αποκομίσουν οικονομικά οφέλη από την πώληση
ψεύτικων υπηρεσιών και την άρση ανύπαρκτων προβλημάτων.
19
20. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Οι πιο κοινές απειλές ασφάλειας (συν.)
• Άλλες τεχνικές απάτης:
Το Scareware είναι λογισμικό που χρησιμοποιεί διάφορες τεχνικές με σκοπό να προκαλέσει
άγχος στα θύματα προκειμένου να τα χειραγωγήσει ώστε να εγκαταστήσουν περαιτέρω
κακόβουλο κώδικα στις συσκευές τους, ενώ συνήθως αποσπά πληρωμές για μη λειτουργικό ή
κακόβουλο λογισμικό. Ένα τυπικό παράδειγμα είναι ένα ψεύτικο προϊόν προστασίας από
ιούς που έχει σχεδιαστεί για να εξαπατήσει τους χρήστες ώστε να πιστεύουν ότι οι συσκευές
τους έχουν παραβιαστεί και ότι πρέπει να εγκαταστήσουν ειδικό (συνήθως επιβλαβές)
λογισμικό για την εξάλειψη του προβλήματος.
Οι κυβερνοαπάτες (cyberscams) είναι δόλιες διαδικασίες που χρησιμοποιούν συχνά μία ή
ακόμα και πολλές από τις τεχνικές κοινωνικής μηχανικής.
20
21. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 21
Τρωτά Σημεία -Passwords
Σύμφωνα με την Έκθεση Data Breach Investigation Report 2017 της Verizon, το
81% των παραβιάσεων δεδομένων οφείλεται σε αδύναμους ή κλεμμένους
κωδικούς πρόσβασης.
Ένας από τους πιο δημοφιλείς τρόπους για να σπάσει κανείς έναν κωδικό είναι
η τεχνική brute force. Αυτοματοποιημένα εργαλεία δοκιμάζουν εκατομμύρια
συνδυασμούς κωδικών πρόσβασης σε σύντομο χρονικό διάστημα μέχρι να
βρεθεί ο σωστός. Αυτός είναι ο λόγος για τον οποίο έχει καταστεί αναγκαίο οι
κωδικοί πρόσβασης να γίνονται συνεχώς μεγαλύτεροι σε μήκος. Επίσης, όσο
πιο σύνθετος είναι ο κωδικός πρόσβασης, τόσο περισσότερο χρόνο θα κάνουν
οι κυβερνοεγκληματίες για να καταφέρουν να τον "σπάσουν".
S
l
i
d
e
5
-
2
1
22. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Τεχνολογικές Λύσεις
• Προστασία των επικοινωνιών στο
Διαδίκτυο
– Κρυπτογράφηση
• Εξασφάλιση διαύλων επικοινωνίας
– SSL, VPNs
• Προστατεύοντας τα δίκτυα
– Firewalls
• Προστασία διακομιστών και πελατών
22
23. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Κρυπτογράφηση
Κρυπτογράφηση είναι η διαδικασία κωδικοποίησης πληροφοριών με τέτοιο τρόπο ώστε να μην είναι
προσβάσιμες από μη εξουσιοδοτημένα άτομα. Στην περίπτωση που τα κρυπτογραφημένα
δεδομένα σας διαρρεύσουν, αυτός που τα έχει υποκλέψει, δεν θα μπορεί να τα διαβάσει, καθώς
το περιεχόμενό τους είναι ακατανόητο χωρίς το κατάλληλο "κλειδί" αποκρυπτογράφησης.
– Μεταμορφώνει τα δεδομένα σε κρυπτογραφημένο κείμενο αναγνώσιμο μόνο από τον
αποστολέα και τον παραλήπτη
– Ασφαλίζει την αποθήκευση και μετάδοση των πληροφοριών
– Παρέχει 4 από 6 βασικές διαστάσεις της ασφάλειας του ηλεκτρονικού εμπορίου:
• Ακεραιότητας μηνύματος
• Μη αποποίηση ευθύνης
• Πιστοποίηση
• Εμπιστευτικότητα
23
24. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Κρυπτογράφηση συμμετρικού κλειδιού
• Ο αποστολέας και ο παραλήπτης χρησιμοποιούν το ίδιο ψηφιακό κλειδί για να
κρυπτογραφήσουν και να αποκρυπτογραφήσουν το μήνυμα
• Απαιτεί διαφορετικό σύνολο κλειδιών για κάθε συναλλαγή
• Ισχυρή κρυπτογράφηση
– Μήκος ψηφιακού κλειδιού που χρησιμοποιείται για την κρυπτογράφηση των
δεδομένων
• Data Encryption Standard (DES)
• Advanced Encryption Standard (AES)
– Οι πιο ευρέως χρησιμοποιούμενες κρυπτογραφήσεις συμμετρικού κλειδιού
– Χρησιμοποιούν κλειδιά κρυπτογράφησης 128-, 192- και 256-bit
• Άλλες προδιαγραφές χρησιμοποιούν κλειδιά έως και 2.048 bits
24
25. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Κρυπτογράφηση δημόσιου
κλειδιού
• Χρησιμοποιεί δύο μαθηματικά σχετιζόμενα ψηφιακά κλειδιά
• Δημόσιο κλειδί (διαδίδεται ευρέως)
• Το ιδιωτικό κλειδί (διατηρείται μυστικό από τον ιδιοκτήτη)
• Και τα δύο κλειδιά χρησιμοποιούνται για την κρυπτογράφηση και αποκρυπτογράφηση του
μηνύματος
• Αν ένα κλειδί χρησιμοποιηθεί για την κρυπτογράφηση του μηνύματος, το ίδιο δεν μπορεί να
χρησιμοποιηθεί για να αποκρυπτογραφήσει το μήνυμα
• Ο αποστολέας χρησιμοποιεί το δημόσιο κλειδί του παραλήπτη για την κρυπτογράφηση του
μηνύματος. Ο παραλήπτης χρησιμοποιεί το ιδιωτικό κλειδί για την αποκρυπτογράφηση
25
26. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 26
Κρυπτογράφηση δημόσιου κλειδιού: Μια απλή περίπτωση
S
l
i
d
e
5
-
2
6
27. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Κρυπτογράφηση δημόσιου κλειδιού με χρήση ψηφιακών
υπογραφών και σύνοψη κατακερματισμού
• Συνάρτηση κατακερματισμού:
– Μαθηματικός αλγόριθμος που παράγει αριθμό σταθερού μήκους και ονομάζεται σύνοψη μηνύματος ή
σύνοψη κατακερματισμού
• Ή σύνοψη κατακερματισμού του μηνύματος στέλνεται στον παραλήπτη μαζί με το
μήνυμα για να επιβεβαιώσει την ακεραιότητα
• Ή σύνοψη κατακερματισμού και το μήνυμα κρυπτογραφούνται με το δημόσιο
κλειδί του παραλήπτη
• Ολόκληρο το κρυπτογραφημένο κείμενο στη συνέχεια κρυπτογραφείται με το
ιδιωτικό κλειδί του αποστολέα - δημιουργία ψηφιακής υπογραφής για την
αυθεντικότητα, και μη αποποίηση ευθύνης
27
28. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 28
Κρυπτογραφία Δημόσιου Κλειδιού με ψηφιακές υπογραφές
S
l
i
d
e
5
-
2
8
29. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 29
Ψηφιακά πιστοποιητικά και Αρχές
Πιστοποίησης (ΑΠ)
S
l
i
d
e
5
-
2
9
30. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Όρια σε λύσεις κρυπτογράφησης
• Δεν προστατεύουν την αποθήκευση του ιδιωτικού κλειδιού
– PKI αναποτελεσματικό σε εσωτερικές απειλές και εργαζόμενους
– Προστασία των ιδιωτικών κλειδιών των ατόμων μπορεί να είναι αποσπασματική
• Δεν παρέχεται εγγύηση ότι η επαλήθευση υπολογιστή ή του εμπόρου
είναι ασφαλής
• Οι Αρχές Πιστοποίησης είναι ανεξέλεγκτες, αυτο-επιλεγμένες
οργανώσεις
30
31. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
GDPR και Kρυπτογράφηση
• Ο GDPR ορίζει επακριβώς τα προσωπικά δεδομένα. Αυτά περιλαμβάνουν κύρια
ονόματα και επώνυμα, φωτογραφίες, διευθύνσεις email, αριθμούς τηλεφώνου,
αριθμούς λογαριασμού, δακτυλικά αποτυπώματα και φωνητικά δείγματα.
• Ο κανονισμός αυτός, ο οποίος βρίσκεται σε ισχύ σε όλα τα κράτη μέλη της ΕΕ από
τις 25 Μαΐου 2018, καταδεικνύει την κρυπτογράφηση ως ένα μέτρο προστασίας
ως προς τον κίνδυνο απώλειας της αξιοπιστίας μιας εταιρείας.
31
32. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
GDPR και Kρυπτογράφηση
Η μη εκπλήρωση της υποχρέωσης αναφοράς παραβίασης δεδομένων στην αρμόδια
εποπτική αρχή τιμωρείται με πρόστιμο έως 10 εκατομμύρια ευρώ ή, έως και 2% των
ετήσιων παγκόσμιων εσόδων της εταιρείας κατά το προηγούμενο οικονομικό
έτος. Εκτός από την υψηλή χρηματική ποινή, η αρχή προστασίας δεδομένων μπορεί
επίσης να θεσπίσει τα ακόλουθα:
• προσωρινό ή οριστικό περιορισμό, συμπεριλαμβανομένης της απαγόρευσης της
επεξεργασίας δεδομένων προσωπικού χαρακτήρα
• διαγραφή προσωπικών δεδομένων.
32
33. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Εξασφάλιση διαύλων επικοινωνίας
• Secure Sockets Layer (SSL)/Transport Layer Security (TLS)
– Δημιουργεί ασφαλή, με διαπραγμάτευση συνεδρία πελάτη-διακομιστή
• Virtual Private Network (VPN)
– Επιτρέπει στους απομακρυσμένους χρήστες να έχουν ασφαλή πρόσβαση στο
εσωτερικό δίκτυο μέσω του Διαδικτύου
• Ασύρματα δίκτυα (Wi-Fi)
– WPA2
33
34. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 34
Ασφαλείς με διαπραγμάτευση σύνοδοι με χρήση SSL/TLS
S
l
i
d
e
5
-
3
4
35. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Προστασία των δικτύων
• Τείχος προστασίας (Firewall)
– Υλικό ή λογισμικό
– Χρησιμοποιεί πολιτική ασφάλειας για το φιλτράρισμα πακέτων
– Δύο κύριες μέθοδοι:
• Φίλτρα πακέτων
• Πύλες Εφαρμογών
• Διακομιστές μεσολάβησης (proxies)
– Διακομιστές λογισμικού που χειρίζονται όλες τις παραλαβές και αποστολές στο Διαδίκτυο
• Συστήματα ανίχνευσης εισβολής
• Συστήματα αποτροπής εισβολής
35
36. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της 36
Tείχη προστασίας και διακομιστές μεσολάβησης
S
l
i
d
e
5
-
3
6
37. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Προστασία διακομιστών και πελατών
• Λειτουργικό σύστημα βελτιώσεις ασφαλείας
– Αναβαθμίσεις, μπαλώματα
• Λογισμικό Anti-virus
– Ευκολότερος και λιγότερο δαπανηρός τρόπος για την αποτροπή
απειλών για την ακεραιότητα του συστήματος
– Απαιτεί καθημερινές ενημερώσεις
37
38. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Πολιτικές διαχείρισης, Επιχειρησιακές Διαδικασίες
και Νόμοι
• Σε όλο τον κόσμο, οι εταιρείες ξοδεύουν περισσότερα από $
65 δισεκατομμύρια για την ασφάλεια του υλικού,
λογισμικού και υπηρεσιών
• Η διαχείριση κινδύνου περιλαμβάνει:
– Τεχνολογία
– Αποτελεσματικές πολιτικές διαχείρισης
– Νόμους και ενεργό επιβολή
38
39. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Σχέδιο Ασφαλείας Πολιτικές Διαχείρισης
• Η αξιολόγηση του κινδύνου
• Πολιτική Ασφάλειας
• Σχέδιο υλοποίησης
– Οργάνωση της ασφάλειας
– Έλεγχοι πρόσβασης
– Διαδικασίες ελέγχου ταυτότητας, συμπεριλαμβανομένων των βιομετρικών δεδομένων
– Πολιτικές εξουσιοδότησης, τα συστήματα διαχείρισης άδειας πρόσβασης
• Έλεγχοι ασφαλείας
39
40. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Ο ρόλος των Νόμων και της Πολιτικής
• Νόμοι που δίνουν στις αρχές εργαλεία για τον εντοπισμό, την ιχνηλασία και τη
δίωξη εγκληματιών του κυβερνοχώρου:
– Πράξη Προστασίας Εθνικών υποδομών του 1996 (ΗΠΑ)
– Πράξη Πατριωτικού Νόμου (ΗΠΑ)
– Πράξη Εσωτερικής Ασφάλειας (ΗΠΑ)
• Συνεργασίες δημόσιου-ιδιωτικού τομέα
– Κέντρο συντονισμού CERT
– US-CERT
• Κυβερνητική πολιτική και έλεγχοι σχετικά με λογισμικό κρυπτογράφησης
– OECD, G7/G8, Συμβούλιο της Ευρώπης, Διακανονισμός Wassener
40
41. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Ψηφιακά Μετρητά και Εικονικά Νομίσματα
• Ψηφιακό χρήμα
– Με βάση αλγόριθμο που παράγει μοναδικά κουπόνια που μπορούν
να χρησιμοποιηθούν στον «πραγματικό» κόσμο
– Παράδειγμα: Bitcoin
• Εικονικά νομίσματα
– Κυκλοφορούν στον εσωτερικό εικονικό κόσμο
– Παράδειγμα: Linden Dollars στο Second Life, Facebook Credits
41
42. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Eπίλογος-Συμπεράσματα
42
• Η πλειοψηφία των επιχειρήσεων έχουν βιώσει κάποια απειλή κυβερνοασφάλειας.
• Το περιβάλλον της κυβερνοασφάλειας περιλαμβάνει τόσο τις τεχνολογικές υποδομές και
τα δεδομένα, όσο και τις επιχειρησιακές και νομοθετικές ρυθμίσεις.
• Υπάρχουν πολλές τεχνικές απειλών στο Διαδίκτυο, όπως οι κωνικές μηχανές, το ψάρεμα,
οι ιοί κ.ά.
• Οι τεχνολογικές λύσεις κυβερνοασφάλειας περιλαμβάνουν τεχνικές κρυπτογράφησης,
ασφαλείς διαύλους επικοινωνίας, και προστατευόμενα δίκτυα (firewalls).
• Είναι σημαντικό η επιχείρηση να διαμορφώσει το επιχειρησιακό και νομικό της πλαίσιο
προκειμένου να επιτύχει το μεγαλύτερο δυνατό όφελος κυβερνοασφάλειας.
43. QMSCERT
Εκπαίδευση ομάδων ανθρώπινου δυναμικού του ΟΠΑ σε θέματα διασφάλισης ποιότητας και στους τρόπους εφαρμογής της
Πηγές
• E-Commerce 2018: Business, Technology, Society. Laudon-Trauver. (ed.14) 2019, 2018, 2017. Pearson Education,
Inc.
• Προκλήσεις για μια αποτελεσματική ενωσιακή πολιτική για την κυβερνοασφάλεια Ενημερωτικό έγγραφο
Μάρτιος 2019. Ευρωπαϊκή Επιτροπή (https://www.eca.europa.eu/)
• Ενημερωτικό δελτίο της Ευρωπαϊκής Επιτροπής για την κυβερνοασφάλεια, Σεπτέμβριος 2017
• ESET (https://www.eset.com/gr/social-engineering-business/)
43