ΠΡΟΣΤΑΣΙΑ Κ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ (Ελληνικά)

από **billyjean** Τετ Οκτ 17, 2007 5:41 pm

Σημειώσεις για το αντίστοιχο μάθημα του Κ. Βασιλάκη, καθηγητή πληροφορικής στο Πανεπιστήμιο Αθηνών.

http://rapidshare.com/files/25399418/prostasia_kai_asfaleia_yp._sustimaton_by_anemos.rar

PASSWORD: www.warezakias.info_by_anemos

Περιεχόμενα

ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ...................1
1 Βασικοί ορισμοί ................................................................................
.....................1
2 Συνηθισμένες απειλές στην ασφάλεια ...................................................................3
2.1 Αποκάλυψη συνθηματικών....................................................................
........3
2.2 Πλοήγηση ................................................................................
......................3
2.3 Αντιποίηση ή μεταμφίεση......................................................................
........3
2.4 Δούρειοι ίπποι...........................................................................
.....................3
2.5 Αξιοποίηση προγραμματιστικών σφαλμάτων ...............................................4
2.6 Παραπόρτια (trapdoors).....................................................................
............4
2.7 Ιοί ................................................................................
...................................4
2.8 Διαρροή δεδομένων ................................................................................
.......4
2.9 Συμπερασμός πληροφοριών.....................................................................
......5
2.10 Πλαστογράφηση ................................................................................
............5
2.11 Κανάλια διαρροής........................................................................
..................5
2.12 Παρεμπόδιση παροχής υπηρεσιών ................................................................5
2.13 Μη ηθελημένη καταστροφή ..........................................................................6
3 Ασφάλεια σε δικτυακό περιβάλλον .......................................................................6
4 Προσεγγίσεις στην επίτευξη ασφάλειας ................................................................8
4.1 Μηχανισμοί προστασίας......................................................................
..........8
4.1.1 Διακρίβωση ταυτότητας ........................................................................9
4.1.1.1 Τεχνικές όπου ζητάται κάτι που ο χρήστης γνωρίζει ........................9
4.1.1.2 Τεχνικές όπου ζητάται κάτι που ο χρήστης κατέχει ........................12
4.1.1.3 Πιστοποίηση βασισμένη σε βιομετρικά χαρακτηριστικά................15
4.1.2 Έλεγχος προσπέλασης .........................................................................16
4.2 Τεχνικές διασφάλισης ................................................................................
..18
4.3 Ασφάλεια στον προγραμματισμό ................................................................20
4.3.1 Ευπάθειες στις γλώσσες C/C++...........................................................21
4.3.1.1 Υπερχείλιση μνήμης ........................................................................21
4.3.1.2 Παράλειψη προσδιοριστή μορφής στην printf ................................26
4.3.2 Συνθήκες ανταγωνισμού ......................................................................26
4.3.3 Προσωρινά αρχεία ...............................................................................2
9
4.3.4 Μεταβλητές περιβάλλοντος.................................................................30

4.3.5 Περιορισμός πόρων .............................................................................31
5 Προστασία πόρων στο διαδίκτυο.......................................................................
..32
5.1 Φιλτράρισμα πακέτων.........................................................................
.........34
5.2 Αντιπροσώπευση υπηρεσιών .......................................................................38
5.3 Πρόσβαση από εσωτερικούς χρήστες σε εξωτερικές υπηρεσίες.................38
5.4 Χρήση «περιτυλιγμάτων» υπηρεσιών .........................................................40
5.5 Σχεδιασμός τοπολογίας δικτύου ..................................................................42
6 Εισαγωγή στην κρυπτογραφία και τη διαχείριση κλειδιών .................................44
6.1.1 Κύρια ζητήματα για την ασφάλεια ......................................................45
6.2 Κρυπτογραφία....................................................................
..........................46
6.2.1 Συμμετρικοί αλγόριθμοι κρυπτογραφίας.............................................48
6.2.1.1 Κρυπτογράφηση με μεταθέσεις .......................................................48
6.2.1.2 Κρυπτογράφηση με αντικατάσταση ................................................50
6.2.2 Ασύμμετροι αλγόριθμοι κρυπτογραφίας .............................................53
6.2.2.1 Γενική λειτουργία ασύμμετρης κρυπτογραφίας ..............................53
6.2.2.2 Παραδείγματα αλγορίθμων ασύμμετρης κρυπτογραφίας................54
6.2.3 Συμμετρικοί έναντι ασύμμετρων αλγορίθμων.....................................55
6.2.4 Διακρίβωση δημόσιων κλειδιών..........................................................55
6.2.5 Ανάκληση κλειδιών .............................................................................57
6.2.6 Διαχείριση κλειδιών........................................................................
.....58
6.2.7 Δημόσιοι κατάλογοι.......................................................................
......59
6.2.8 Ψηφιακές υπογραφές ...........................................................................59
6.2.9 Το πρωτόκολλο SSL ............................................................................60
6.2.9.1 Η χειραψία του πρωτοκόλλου SSL..................................................61
6.2.9.2 Η ανταλλαγή δεδομένων στο πρωτόκολλο SSL..............................63
6.2.10 Πού γίνεται η κρυπτογράφηση ............................................................64
6.2.11 Τύποι «επιθέσεων» σε κρυπτογραφικά συστήματα.............................64
7 Ασφάλεια στο διαδίκτυο.......................................................................
...............66
7.1 Ζητήματα ασφάλειας ηλεκτρονικού ταχυδρομείου.....................................67
7.2 Ζητήματα ασφάλειας κατά την πλοήγηση στο διαδίκτυο ...........................68
7.2.1 Η ασφάλεια στη γλώσσα Javascript.....................................................69
7.2.1.1 Επίπεδα προστασίας ........................................................................70
7.2.1.2 Πολιτική κοινής προέλευσης ...........................................................70
7.2.1.3 Πρόληψη διαρροής ευαίσθητων πληροφοριών ...............................72
7.2.2 Η ασφάλεια στη γλώσσα Java .............................................................72
7.2.2.1 Τα πιθανά προβλήματα από τη χρήση της Java...............................73
7.2.2.2 Μοντέλο ασφάλειας στη Java..........................................................74
7.2.2.3 Δομικά στοιχεία της γλώσσας για ασφάλεια ...................................75
7.2.2.4 Το sandbox.........................................................................
..............76
7.2.2.5 Ασφάλεια τύπων δεδομένων στη Java.............................................79
7.2.2.6 Κλάσεις ασφάλειας ..........................................................................81
7.2.2.7 Συνολική αποτίμηση της ασφάλειας στη γλώσσα Java ...................84
8 Ασφάλεια συστημάτων βάσεων δεδομένων ........................................................85
8.1 Γενικές αρχές ασφάλειας βάσεων δεδομένων .............................................86
8.2 Φυσική ακεραιότητα της βάσης δεδομένων ................................................87
8.3 Λογική ακεραιότητα της βάσης δεδομένων.................................................89
8.4 Διακρίβωση ταυτότητας χρηστών σε συστήματα βάσεων δεδομένων........91
8.4.1 Διακρίβωση ταυτότητας με όνομα χρήστη-συνθηματικό....................91
8.4.2 Διακρίβωση ταυτότητας από το λειτουργικό σύστημα .......................91
8.4.3 Διακρίβωση ταυτότητας μέσω καθολικών υπηρεσιών καταλόγου .....92
8.5 Έλεγχος προσπέλασης ................................................................................
.92
8.5.1 Κατ’ επιλογήν έλεγχος προσπέλασης ..................................................93
8.5.1.1 Βασικός χειρισμός προνομίων με τη γλώσσα SQL .........................93
8.5.1.2 Χρήση όψεων για παραχώρηση προνομίων ....................................94
8.5.1.3 Χρήση αποθηκευμένων διαδικασιών για παραχώρηση προνομίων 95
8.5.1.4 Ανάκληση των προνομίων...............................................................96
8.5.1.5 Διαχείριση προνομίων με ρόλους ....................................................96
8.5.2 Ευαίσθητα δεδομένα........................................................................
....97
8.5.2.1 Είδη αποκαλύψεων ευαίσθητων δεδομένων....................................98
8.5.2.2 Ακρίβεια έναντι ασφάλειας..............................................................99
8.5.3 Συμπερασμός ................................................................................
.....100
8.5.3.1 Ευθεία επίθεση για συμπερασμό ...................................................101
8.5.3.2 Έμμεση επίθεση για συμπερασμό..................................................102
8.5.4 Υποχρεωτικός έλεγχος προσπέλασης ................................................106
8.5.4.1 Διακριτότητα χαρακτηρισμών ασφάλειας .....................................107
8.5.4.2 Γενικό σχήμα για πολυεπίπεδη ασφάλεια......................................107
9 Ιοί ................................................................................
.......................................117
9.1 Οι φάσεις ενός ιού.............................................................................
.........118
9.2 Υπάρχουν καλοί ιοί;............................................................................
.......119
9.3 Ταξινόμηση των ιών ................................................................................
..121
9.3.1 Ιοί που μολύνουν τους τομείς εκκίνησης...........................................121
9.3.2 Ιοί αρχείων ................................................................................
.........122
9.3.3 Ιοί μακροεντολών ..............................................................................12
3
9.3.4 Ιοί συστοιχίας......................................................................
...............123
9.3.5 Ιοί συνοδείας.......................................................................
...............124
9.3.6 Ιοί ειδικά για Windows......................................................................124

9.3.7 Προγράμματα εναπόθεσης ιών ..........................................................125
9.3.8 Πολυμορφικοί ιοί.............................................................................
..125
9.3.9 Τεχνικές απόκρυψης ..........................................................................126
9.4 Αντιμετώπιση των ιών ...............................................................................1
26
9.5 Λογισμικό αντιμετώπισης των ιών ............................................................127
9.6 Κριτήρια επιλογής εργαλείων....................................................................127

9.6.1 Ακρίβεια........................................................................
.....................128
9.6.2 Ευχρηστία ................................................................................
..........128
9.6.3 Διαχειριστική επιβάρυνση .................................................................128
9.6.4 Επιβάρυνση συστήματος ...................................................................129
9.7 Εργαλεία και τεχνικές ................................................................................
129
9.7.1 Εντοπισμός υπογραφών .....................................................................129
9.7.1.1 Ακρίβεια........................................................................
.................130
9.7.1.2 Ευχρηστία ................................................................................
......130
9.7.1.3 Διαχειριστική επιβάρυνση .............................................................130
9.7.1.4 Επιβάρυνση συστήματος ...............................................................131
9.7.1.5 Εντοπισμός υπογραφών – Σύνοψη ................................................131
9.7.2 Έλεγχος ακεραιότητας .......................................................................131
9.7.2.1 Ακρίβεια........................................................................
.................132
9.7.2.2 Ευχρηστία ................................................................................
......132
9.7.2.3 Διαχειριστική επιβάρυνση .............................................................132
9.7.2.4 Επιβάρυνση συστήματος ...............................................................132
9.7.2.5 Έλεγχος ακεραιότητας – Σύνοψη ..................................................132
9.7.3 Επόπτες γενικού σκοπού....................................................................133
9.7.3.1 Ακρίβεια........................................................................
.................133
9.7.3.2 Ευχρηστία ................................................................................
......133
9.7.3.3 Διαχειριστική επιβάρυνση .............................................................134
9.7.3.4 Επιβάρυνση συστήματος ...............................................................134
9.7.3.5 Επόπτες γενικού σκοπού – Σύνοψη ...............................................134
9.7.4 Κελύφη ελέγχου πρόσβασης..............................................................134
9.7.4.1 Ακρίβεια........................................................................
.................135
9.7.4.2 Ευχρηστία ................................................................................
......135
9.7.4.3 Διαχειριστική επιβάρυνση .............................................................135
9.7.4.4 Επιβάρυνση συστήματος ...............................................................136
9.7.5 Ευρεστική ανάλυση κώδικα...............................................................136
9.7.6 Εργαλεία καθαρισμού ιών .................................................................136
10 Συστήματα ανίχνευσης εισβολών ..................................................................137
10.1 Λόγοι εισαγωγής Συστημάτων Ανίχνευσης Εισβολών..............................137
10.2 Γενικό μοντέλο για ανίχνευση εισβολών...................................................139
10.3 Αρχιτεκτονική συστημάτων ανίχνευσης εισβολών ...................................140
10.4 Χρονισμός της ανάλυσης........................................................................
...142
10.5 Κατάταξη των ΣΑΕ σε σχέση με την πηγή πληροφοριών.........................143
10.5.1 ΣΑΕ με συλλογή πληροφοριών από το δίκτυο ..................................143
10.5.2 ΣΑΕ με συλλογή πληροφοριών από υπολογιστές .............................145
10.5.3 ΣΑΕ με συλλογή πληροφοριών από εφαρμογές................................146
10.6 Τεχνικές ανάλυσης συμβάντων .................................................................147
10.6.1 Ανίχνευση καταχρήσεων ...................................................................147
10.6.2 Ανίχνευση ανωμαλιών .......................................................................148
10.7 Αντιδράσεις των συστημάτων ανίχνευσης εισβολών ................................149
10.7.1 Ενεργές αντιδράσεις.....................................................................
......149
10.7.2 Παθητικές αντιδράσεις.....................................................................
..150
10.8 Η «αυτοάμυνα» των συστημάτων ανίχνευσης εισβολών ..........................150