IT Professional Security - ΤΕΥΧΟΣ 24

smartpress

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

Ιανουάριος - Φεβρουάριος 2012 • Τεύχος 24 • Τιμή 5€

του Φορέα Διαχείρισης

της Ασφάλειας Πληροφοριών

Ο ρόλος των εργαζομένων στο DLP

Προστασία δεδομένων στα εικονικά περιβάλλοντα

Σχεδίαση και υλοποίηση Certification Authorities

σε περιβάλλον Windows Server

3G Δίκτυα

Τρωτά σημεία & επιλογές προστασίας

PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ

ΠΛHPΩMENO

TEΛOΣ

Tαχ. Γραφείο

(X+7)

KEMΠ.KΡ.

Aριθμός Άδειας

116

ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.

P R

PRESS POST

E S S

T

P O S


Οικονομία σε κρίση, Τεχνολογία σε έξαρση

Ποιά η αξία και η θέση

της Ασφάλειας Πληροφοριών

στο νέο επιχειρηματικό περιβάλλον

Η προστασία των πληροφοριών ανάγεται πλέον σε κομβικό

ζήτημα για την επιβίωση και περαιτέρω ανάπτυξη των επιχειρήσεων

και οργανισμών.

Το 2ο Infocom Security, έχει ως στόχο λοιπόν, να αναδείξει

τους κινδύνους που απειλούν σήμερα την ασφάλεια των πληροφοριών

σε έναν οργανισμό και ταυτόχρονα να αποτυπώσει

τις τάσεις, τις τεχνολογίες και τις στρατηγικές που αναπτύσσονται

προς της κατεύθυνση δημιουργίας ενός ασφαλούς

περιβάλλοντος για τα κρίσιμα επιχειρηματικά δεδομένα.

Διοργάνωση:


Ενότητα 1

Κίνδυνοι και μέτρα προστασίας κρίσιμων

επιχειρηματικών δεδομένων και εφαρμογών

Οι κρίσιμες πληροφορίες και οι επιχειρηματικές εφαρμογές

σε ένα οργανισμό αποκτούν ολοένα και μεγαλύτερη αξία, ενώ

οι κίνδυνοι που τις απειλούν αυξάνονται ποσοτικά και ποιοτικά.

Στη πρώτη ενότητα του συνεδρίου θα αναδείξουμε τους βασικούς

πυλώνες, στους οποίους θα πρέπει να στηρίζεται μια

πολιτική ασφάλειας πληροφοριών και εφαρμογών στο σύγχρονο

επαγγελματικό περιβάλλον, προβάλλοντας τις εξελίξεις

σε τομείς όπως:

• Data Loss Prevention

• End point security

• Risk Management

• Managed Services

• Business continuity planning

• Disaster Recovery

• Social Engineering

Ενότητα 2

Νέες τεχνολογικές και επιχειρηματικές τάσεις,

οι προκλήσεις ασφάλειας και η αντιμετώπιση τους

Η συνεχώς αυξανόμενη υιοθέτηση από πλευράς των επιχειρήσεων

των σύγχρονων τάσεων στις υποδομές πληροφορικής,

όπως το cloud, το virtualization αλλά και το mobility δημιούργησαν

νέες προκλήσεις για την ασφάλεια πληροφοριών τις ο-

ποίες καλούνται να διαχειριστούν και να αντιμετωπίσουν οι

Διευθυντές των τμημάτων IT. Στην συγκεκριμένη ενότητα θα

αναζητήσουμε τους βέλτιστους τρόπους διαχείρισης των προκλήσεων

που επιφέρουν τα συγκεκριμένα Megatrends:

• Cloud

• Virtualization

• Mobility

Ενότητα 3

Μέθοδοι αποτελεσματικής διαχείρισης

ασφάλειας πληροφοριών

Το συνεχές μεταβαλλόμενο περιβάλλον, λόγω των τεχνολογικών

εξελίξεων στο τομέα της πληροφορικής και οι αυξανόμενες

ανάγκες διαχείρισης της ασφάλειας πληροφοριών, ε-

πιβάλλουν την επικαιροποιήση των μεθόδων που κατά καιρούς

αναπτύσσονται. Ειδικοί της ασφάλειας πληροφοριών θα έχουν

την ευκαιρία σε αυτήν την ενότητα να παρουσιάσουν σύγχρονες

πρακτικές για την αποτελεσματικότερη διαχείριση της α-

σφάλειας πληροφοριών, όπως:

Security as a service

• Log management

• Vulnerability assessment

• Identity management

• Authentication

• PCI compliance

• Penetration testing

• Κρυπτογράφηση

Ενότητα 4

Εξελίξεις στο Θεσμικό πλαίσιο –

Αποτελεσματικοί τρόποι εναρμόνισης

Η ασφάλεια πληροφοριών εκτός από τις πολλές τεχνολογικές προεκτάσεις

που διαθέτει, ως έννοια είναι άρρηκτα συνδεδεμένη με

θεσμικά ζητήματα και νομικά πλαίσια που συνεχώς εξελίσσονται

και που θα μας απασχολήσουν στη συγκεκριμένη ενότητα, όπως :

• Προσωπικά δεδομένα εργαζομένων και ασφάλεια πληροφοριών

• Social networking Vs Security – Αναζητώντας τις ισορροπίες

• Ποινική αντιμετώπιση Ηλεκτρονικού εγκλήματος

• Ηλεκτρονικές συναλλαγές και εμπόριο

• Ηλεκτρονική Διακυβέρνηση

• Απόρρητο επικοινωνιών

Έκθεση χορηγών εταιριών

www.infocomsecurity.gr

Στα πλαίσια του Infocom Security 2012 θα πραγματοποιηθεί έκθεση των χορηγών εταιριών, δίνοντας την ευκαιρία στους συμμετέχοντες να

έρθουν σε επαφή με επιχειρήσεις που δραστηριοποιούνται στη χώρα μας στον τομέα των υπηρεσιών και λύσεων για την ασφάλεια πληροφοριών,

προκειμένου να ενημερωθούν «πρόσωπο με πρόσωπο» για όλες τις εξελίξεις στο χώρο.

Στο Συνέδριο έχουν κληθεί να συμμετάσχουν στελέχη της Πληροφορικής (CTOs, CIOs, IT Managers, IT Administrators, IT Security Managers,

IT Auditors κλπ) από μεγάλες εταιρείες του Ιδιωτικού και του Δημόσιου τομέα που καλύπτουν το σύνολο της αγοράς. Ενδεικτικά αναφέρονται

οι τομείς: Τράπεζες, Τηλεπικοινωνίες, Βιομηχανικές Μονάδες, Εμπορικές Επιχειρήσεις, Ναυτιλιακές Εταιρείες, Νοσηλευτικά Ιδρύματα, Μέσα

Μαζικής Ενημέρωσης, Logistics, Αλυσίδες Εστίασης, Ένοπλες Δυνάμεις, Σώματα Ασφαλείας, Δημόσιοι Οργανισμοί, Πρεσβείες κλπ.


E DITORIAL

Ο κομβικός ρόλος του ανθρώπινου παράγοντα

Αφορμή για το σημερινό μας σημείωμα αποτελεί το Cover

Story του περιοδικού με τίτλο «Αποτελεσματική λειτουργία

του Φορέα Διαχείρισης της Ασφάλειας Πληροφοριών» αλλά

και ένα ακόμα άρθρο που έχετε την ευκαιρία να διαβάσετε

στο τρέχον τεύχος του IT Security Professional, με τίτλο «Ο ρόλος

των εργαζομένων στο DLP».

Κοινός τόπος στα δύο αυτά άρθρα είναι ο κομβικός ρόλος του

ανθρώπινου παράγοντα στη διαμόρφωση των απαραίτητων

συνθηκών για την προστασία των πληροφοριών σε ένα Οργανισμό.

Το σημείο διάκρισης μεταξύ τους είναι ότι στο πρώτο

άρθρο γίνεται αναφορά στο στελεχιακό ανθρώπινο δυναμικό

που σχεδιάζει και θέτει τις πολικές ασφάλειας και το πώς

μπορεί να λειτουργήσει αποτελεσματικά, ενώ στο δεύτερο άρθρο

αναδεικνύεται η σημαντικότητα του ρόλου του συνόλου των

εργαζομένων, που τελικά πρέπει να εφαρμόζουν τις πολιτικές.

Οι σκέψεις που δημιουργούνται διαβάζοντας άρθρα όπως τα

συγκεκριμένα αλλά και πολλά άλλα που έχουν δημοσιευθεί στο

IT Security Professional, καταλήγουν πάντα στο ίδιο συμπέρασμα:

Ότι ακόμα και αν επιτευχθεί η αξιοποίηση των πλέον σύγχρονων

τεχνολογιών για την προστασία των δεδομένων σε ένα

Οργανισμό, δεν θα καταφέρουμε να περιοριστούν οι κίνδυνοι

και τα τρωτά σημεία, αν πρωτίστως οι άνθρωποι - είτε αυτοί που

είναι επιφορτισμένοι με το έργο της διασφάλισης των πληροφοριών

είτε οι απλοί χρήστες των υπολογιστικών συστημάτων

- δεν εφαρμόσουν με ευλάβεια τα όσα προβλέπονται για την

αποτελεσματική λειτουργία του συνολικού συστήματος ασφάλειας

πληροφοριών.

Κάθε κρίκος σε αυτή την αλυσίδα του συστήματος είναι πολύτιμος.

Κάθε άνθρωπος που ανήκει σε αυτό το σύστημα

μπορεί να επηρεάσει θετικά ή αρνητικά την αποτελεσματική

λειτουργία του συγκεκριμένου μηχανισμού προστασίας πληροφοριών,

ανάλογα πάντα με τη συμπεριφορά και τις επιλογές

του, αλλά και την κρισιμότητα των δεδομένων που διαχειρίζεται.

Έχοντας ως αφετηρία τη θετική πίστη ότι όλοι εργάζονται

υπέρ των συμφερόντων του Οργανισμού, χωρίς αυτό να σημαίνει

ότι πρέπει να υπάρχει εφησυχασμός, οφείλουμε να

εξετάζουμε ανά περίπτωση την κάθε πιθανή δυσλειτουργία

στο οικοσύστημα του Οργανισμού. Ενώ κυρίως να επικαιροποιούμε

τις πολιτικές που πρέπει να εφαρμόζονται ανάλογα

με τα δεδομένα που υπάρχουν κάθε εποχή και τις συνθήκες

που δημιουργούνται είτε εσωτερικά είτε εξωτερικά του

Οργανισμού.

Μακριά από εμάς κάθε φοβική αντίληψη του θέματος. Πιστεύουμε

ότι δεν εξυπηρετεί σε τίποτα η δημιουργία ενός

κλίματος με πολύ αυστηρά οριοθετημένο πλαίσιο κανόνων

τους οποίους πρέπει να εφαρμόζουν οι εργαζόμενοι σε ένα

Οργανισμό, χωρίς όμως να γνωρίζουν το γιατί και το σκοπό.

Ο ιδανικός δρόμος είναι η προσπάθεια εμπέδωσης της

κουλτούρας ασφάλειας από το φορέα διαχείρισης προς τους

εργαζομένους, μέσα από την κατάλληλη εκπαίδευση που τελικά

θα οδηγήσει στην κατανόηση των πολιτικών ασφάλειας

και της σημαντικότητας τήρησής τους.

Βλάσης Αμανατίδης

Iδιοκτησία

Nίκος Πανδής

Eκδότης

Nίκος Πανδής

Διεύθυνση Εκδόσεων

Aντώνιος Σάκκουλας

Αρχισυντάκτης

Βλάσης Αμανατίδης

info@securitymanager.gr

Συνεργάτες

Αριστοτέλης Λυμπερόπουλος

Βασίλης Λαμπρόπουλος

Δημήτρης Παπίτσης

Ελένη Σωτηρίου

Αλέξανδρος Σουλαχάκης

Ιωσήφ Ανδρουλιδάκης

Mίνα Ζούλοβιτς

Νότης Ηλιόπουλος

Παναγιώτα Τσώνη

Συνεργάτης Κύπρου

Φρίξος Μόζορας

Εμπορικό Τμήμα

Γιώργος Σιφονιός

sifonios@pressline.gr

Τμήμα Διαφήμισης - Marketing

Nίκη Πανδή

marketing@pressline.gr

Υπεύθυνος Συνδρομών

Γιώργος Τσιματσίδης

support@securitymanager.gr

Λογιστήριο

Xρήστος Mακρής

fin@pressline.gr

Γραμματειακή Yποστήριξη

Nικολέτα Πανδή

Διευθυντής Παραγωγής

Σάκης Γαβαλάς

Kαλλιτεχνική Eπιμέλεια

Mάρθα Τσάρου

Hλεκτρονική Σελιδοποίηση

Λευτέρης Πανδής

Σχεδιασμός Mu ltimedia

Φίλιππος Kαλογιάννης

Aτελιέ-Διαχωρισμοί-Mοντάζ

PressLine

www.itsecuritypro.gr

www.securitymanager.gr

info@securitymanager.gr

H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ

Mάγερ 11, 104 38 Αθήνα,

Τηλ.: 210-52.25.479 (6 γραμμές),

Fax: 210-52.43.345,

web: www.pressline.gr

2| security


CONTENTS

18 28 41

2|EDITORIAL

COVER ISSUE

PRACTICAL

6|NEWS

INTERVIEW

14|Συνέντευξη με τον Χρήστο

Παπαθανασίου Ιδρυτικό

μέλος του AthCon

REFERENCE

16|Εξασφάλιση του απορρήτου

των επικοινωνιών κινητής

τηλεφωνίας

4| security

18|Αποτελεσματική λειτουργία

του Φορέα Διαχείρισης της

Ασφάλειας Πληροφοριών

ISSUE

22|Web 2.0 -Νέοι “δρόμοι” για

προγραμματιστές και

χρήστες

28|Ο ρόλος των εργαζομένων

στο DLP

32|Προστασία δεδομένων στα

εικονικά περιβάλλοντα

37| 3G Δίκτυα -Τρωτά σημεία &

επιλογές προστασίας

41|Σχεδίαση και υλοποίηση

Certification Authorities σε

περιβάλλον Windows Server

45|PRODUCTS

REVIEW

46|Symantec NetBackup 7.5

και Backup Exec 2012-

Καλύτερο Backup, μείωση

στα λειτουργικά κόστη


NEWS

Οι εταιρείες Atos, EMC και VMware σχηματίζουν στρατηγική

συμμαχία ‘Open Cloud Computing’

Οι εταιρείες Atos, EMC Corporation και VMware ανακοίνωσαν

σήμερα τη δημιουργία μιας στρατηγικής συμμαχίας

στον τομέα της ‘open cloud computing’. Επιπροσθέτως, η

Atos σχεδιάζει την ίδρυση της Canopy, μίας νέας εταιρείας

η οποία θα παρέχει ευρεία γκάμα λύσεων και υπηρεσιών cloud,

που έχουν σχεδιαστεί για να επιταχύνουν την παράδοση της

τεχνολογίας cloud computing και να βοηθήσουν τους πελάτες

να εκμεταλλευτούν ταχύτερα τα οφέλη της. Βασισμένες

στη βέλτιστη τεχνολογία των εταιρειών

EMC και VMware, που είναι παγκόσμιοι

ηγέτες στον τομέα της cloud computing,

οι νέες υπηρεσίες και λύσεις θα περιλαμβάνουν

μία open cloud platform, η

οποία θα επιτρέπει στους πελάτες να

επιλέγουν με ευκολία και ευελιξία, να

έχουν πρόσβαση και να αναπτύσσουν

υπηρεσίες βασισμένες στο Cloud, για να

καλύψουν τις εταιρικές τους ανάγκες στον

τομέα της Πληροφορικής.

Η Canopy θα διαθέτει ένα κορυφαίο One-Stop-

Shop παροχής υπηρεσιών νέφους, που θα επιτρέπει

στους Οργανισμούς να επιταχύνουν εύκολα, οικονομικά και

με ασφάλεια τη μετάβασή τους στο cloud. Ως μέρος της

στρατηγικής συμμαχίας και επιπροσθέτως της παροχής προηγμένων

τεχνολογιών, επάνω στις οποίες θα δομηθούν οι

λύσεις και οι υπηρεσίες cloud της Atos, οι εταιρείες EMC και

VMware προτίθενται επίσης να επενδύσουν παράλληλα με την

Atos στην ώθηση της καινοτομίας και της επιτυχούς υιοθέτησης

των λύσεων της Canopy από την αγορά.

Ο Thierry Breton, Πρόεδρος και Διευθύνων Σύμβουλος

της Atos, δήλωσε: «Οι σημερινές επιχειρήσεις και κυβερνήσεις

αντιμετωπίζουν ταυτόχρονα τεράστιες πιέσεις για δαπάνες

στον τομέα της Πληροφορικής, αυξάνοντας τις προσδοκίες

των χρηστών για ευελιξία, ευχρηστία και καινοτομία.

Το cloud computing αλλάζει ριζικά τον κόσμο της Πληροφορικής,

καλύπτοντας τις παραπάνω ανάγκες. Η ίδρυση της

Canopy και οι μοναδικές της - επιχειρηματικού επιπέδου -

υπηρεσίες θα εξασφαλίσουν στην Atos έναν ηγετικό ρόλο

σε αυτήν τη νέα και αναπτυσσόμενη αγορά. Η αξία της σημερινής

στρατηγικής συμμαχίας είναι μείζονος σημασίας για

τους πελάτες μας, αφού η Canopy σχεδιάστηκε για να αξιοποιήσει

τις δυνατότητες των τεχνολογιών της Atos, της EMC

και της VMware, έτσι ώστε να προσφέρονται στους πελάτες

μας οι καλύτερες one-stop-shop υπηρεσίες cloud. Η Canopy

συγκεκριμένα, θα συνεργαστεί στενά με τους πελάτες της

από τον ιδιωτικό και το δημόσιο τομέα, για να διασφαλίσει

ότι οι λύσεις και οι λειτουργίες που θα παρέχει, θα προσφέρουν

το υψηλότερο επίπεδο ακεραιότητας, αξιοπιστίας

και ασφάλειας».

Ο Joe Tucci, Πρόεδρος και Διευθύνων

Σύμβουλος της EMC, δήλωσε: «Το cloud

computing αλλάζει για πάντα τον τρόπο

με τον οποίο σχεδιάζεται και λειτουργεί

η Πληροφορική σε κέντρα δεδομένων,

εφαρμογές και σημεία πρόσβασης

τελικών χρηστών. Η EMC προσβλέπει

σε μία ακόμα στενότερη συνεργασία

με την Atos, δίνοντας ώθηση

στο κοινό αυτό όραμα και κάνοντας πραγματικότητα

τα οφέλη της cloud computing για

εταιρικούς πελάτες στοχευμένων κλάδων».

Ο Paul Maritz, Διευθύνων Σύμβουλος της VMware, δήλωσε:

«Το cloud computing αντιπροσωπεύει μία σημαντική αλλαγή

στον τρόπο με τον οποίο οι πελάτες χρησιμοποιούν και

διαχειρίζονται τους πόρους της Πληροφορικής, αλλά απαιτούν

οφέλη βάσει των δικών τους αναγκών, με τη δυνατότητα

παροχής υπηρεσιών διαχείρισης είτε απομακρυσμένα

είτε επί τόπου. Είμαστε ιδιαίτερα χαρούμενοι που θα συνεργαστούμε

με την Atos και την EMC για την προσφορά λύσεων

νέφους με αυτήν τη μέθοδο – απλοποιώντας και αυτοματοποιώντας

τις υπηρεσίες Πληροφορικής, για να βοηθήσουμε

τους πελάτες μας όχι μόνο να μειώσουν τα κόστη

τους, αλλά και να μετατρέψουν την Πληροφορική σε ένα

στρατηγικό πλεονέκτημα που θα προσφέρει επιχειρηματική

και ανταγωνιστική αξία».

Οι νέες στρατηγικές λύσεις νέφους θα βασίζονται σε ανοιχτά

πρότυπα, έτσι ώστε οι πελάτες να μπορούν πάντα να

επιλέγουν την τεχνολογία που προτιμούν, με απομακρυσμένη

ή επιτόπου διαχείριση, αλλά και τον τρόπο που θα συνδυάσουν

ιδιωτικές, δημόσιες ή υβριδικές λύσεις νέφους, για

6| security


να καλύψουν καλύτερα τις επιχειρηματικές τους ανάγκες. Θα

απευθύνονται σε επιλεγμένες κάθετες αγορές και θα περιλαμβάνουν:

• Το Κατάστημα Εφαρμογών Επιχειρήσεων – που θα στηρίζεται

στις τεχνολογίες της EMC και της Vmware - θα επιτρέπει

σε πελάτες από όλο τον κόσμο να επιλέγουν, να

έχουν πρόσβαση και να κατεβάζουν τις εφαρμογές που

απαιτούνται από το μοντέλο SaaS (Software as a Service).

Το κατάστημα θα περιλαμβάνει οριζόντιες (διατομεακές)

και συγκεκριμένων τομέων επιχειρηματικές εφαρμογές.

• Την Paas (Enterprise Platform as a Service) – που θα στηρίζεται

στις τεχνολογίες της EMC και της VMware και θα

τελεί υπό τη διαχείριση της Atos - η οποία θα παρέχει ένα

ασφαλές επιχειρηματικό περιβάλλον ανάπτυξης Java, που

θα ενσωματώνει ένα τυποποιημένο αναπτυξιακό πλαίσιο,

όπου η Canopy και οι πελάτες της θα μπορούν να σχεδιάζουν,

να δημιουργούν και να κάνουν δοκιμές νέων

εφαρμογών cloud.

• Ένα private cloud – που θα στηρίζεται σε τεχνολογίες της

EMC και της Vmware – θα προσφέρει στους πελάτες μία

προ-παραμετροποιημένη, τυποποιημένη, επιχειρηματικού

επιπέδου δεσμίδα cloud για απομακρυσμένη ή επιτόπια

ανάπτυξη και λειτουργία, επιτρέποντάς τους να επιταχύνουν

την ετοιμότητά τους στο cloud.

• Ένα σχεδιασμό διαδρομής της στρατηγικής και του μετασχηματισμού

του cloud, που θα καλύπτει από υπηρεσίες

δημιουργίας προσαρμοσμένης στρατηγικής νέφους μέχρι

μορφοποίησης της διαδρομής μετασχηματισμού του, έτσι

ώστε οι πελάτες να αξιοποιούν τα οφέλη του cloud, ενόσω

θα μεταβαίνουν σε αυτό ασφαλώς και με τη σωστή -

γι’ αυτούς - ταχύτητα.

Η στρατηγική αυτή συμμαχία θα αξιοποιήσει τα κοινά κανάλια

της Atos και της EMC, για να εισαχθεί στην αγορά

ένα χαρτοφυλάκιο διατερματικών υπηρεσιών cloud. Με την

υπολογιστική νέφους να αντιπροσωπεύει σήμερα το 10% της

αγοράς της Πληροφορικής - αριθμός που αναμένεται να τετραπλασιαστεί

μέχρι το 2020 - οι εταιρείες Atos, EMC και

VMware μοιράζονται ένα κοινό όραμα και μία κοινή στρατηγική,

αναφορικά με τη διαρκή μεταμόρφωση στο Cloud

Computing, καθώς και με τις λύσεις και τις υπηρεσίες cloud

που απαιτούνται από την αγορά.

Η Canopy θα μεταμορφώσει το τοπίο εφαρμογών των πελατών

και θα τους βοηθήσει να εκμεταλλευτούν την αξία

που προσφέρει το cloud. Οι πελάτες της Canopy θα ωφεληθούν

από τα υψηλότατα επίπεδα ακεραιότητας, ασφάλειας

και εμπιστευτικότητας των δεδομένων στο cloud, αλλά και

θα διασφαλίσουν τις λειτουργίες τους με υψηλού βαθμού

διαθεσιμότητα, αξιοποιώντας το ευρύ χαρτοφυλάκιο λύσεων

και υπηρεσιών των συνεταίρων της.

Με αυτόν τον τρόπο, οι πελάτες της Canopy θα ωφεληθούν

πλήρως από τις τεχνολογίες αιχμής της EMC και της VMware,

οι οποίες θα συντονίζονται, θα ενσωματώνονται προσεκτικά

στις υπάρχουσες, θα βιομηχανοποιούνται και θα προσφέρονται

μέσω του παγκόσμιου δικτύου κέντρων δεδομένων

της Atos και με αρωγό την αποδεδειγμένη της τεχνογνωσία

σε υπηρεσίες cloud. Για τους Οργανισμούς, τα οφέλη

είναι τεράστια. Ειδικά στην Πληροφορική, η μείωση του

κόστους μέσω ευέλικτων μοντέλων τιμολόγησης και η δυνατότητα

πρόσβασης σε καινοτόμες, ευέλικτες και ολοκληρωμένες

τεχνολογίες, θα διασφαλίσουν τάχιστη υλοποίηση

και συντόμευση του χρόνου προώθησης προϊόντων και υπηρεσιών

στην αγορά.

Με έδρα στην Ευρώπη, η Canopy προτείνει λύσεις cloud μέσα

από εξειδικευμένες υποδομές, έτσι ώστε να εξασφαλίσει

στους πελάτες της προστασία και ασφάλεια δεδομένων, που

θα πληρούν τις προϋποθέσεις όλων των σχετικών κανονισμών.

Ο Διευθύνων Σύμβουλος της Canopy θα διοριστεί

από την Atos, που είναι και ο βασικός της μέτοχος.

security | 7


NEWS

Προβλέψεις της IDC για την ελληνική αγορά

πληροφορικής

Κατά τη διάρκεια του ετήσιου IDC Executive

Briefing, η IDC έκανε μια επισκόπηση

των βασικών τάσεων της ελληνικής

αγοράς Πληροφορικής και Τηλεπικοινωνιών

(ICT) για το έτος που πέρασε

και παρουσίασε τις προβλέψεις

της για το 2012 στις κυριότερες κατηγορίες

τεχνολογίας.

Πιο αναλυτικά, σύμφωνα με τις πρώτες

εκτιμήσεις της IDC, το 2011 η συνολική

αξία της αγοράς Πληροφορικής στην

Ελλάδα έφτασε τα $2,18 δις (σε σταθερές

ισοτιμίες ή τα 1,65 δις ευρώ) σημειώνοντας

μείωση 11% σε ετήσια βάση. Η συνεχιζόμενη οικονομική

κρίση επηρέασε για ακόμη μία χρονιά και τις

τρεις βασικές κατηγορίες του κλάδου της Πληροφορικής:

Hardware, Software και Υπηρεσίες Πληροφορικής

(IT Services). Η κατηγορία που επηρεάστηκε περισσότερο

ήταν το Hardware, που σημείωσε μείωση 16,4% σε

ετήσια βάση λόγω των μειωμένων εσόδων από

τις πωλήσεις Η/Υ, που σημείωσαν ετήσια μείωση 32%. Οι

δαπάνες για Software επίσης επηρεάστηκαν αρνητικά,

αλλά σε μικρότερο βαθμό (ετήσια μείωση 7,6%). Τέλος,

οι Υπηρεσίες Πληροφορικής αποδείχθηκαν ως η πλέον

ανθεκτική κατηγορία της ελληνικής αγοράς Πληροφορικής

το 2011, με σχεδόν ελάχιστη επιδείνωση (ετήσια

μείωση μόνο 2,5%), καθώς φαίνεται πως οι εγχώριες

εταιρείες επέλεξαν να εφαρμόζουν όλο και περισσότερο

τις Υπηρεσίες Πληροφορικής, με σκοπό να μειώσουν

τα κόστη τους και να αυξήσουν την αποτελεσματικότητά

τους.

Όσον αφορά στο 2012, η IDC προβλέπει πως θα είναι

εξίσου δύσκολο για τους εγχώριους IT Vendors τουλάχιστον

για το πρώτο εξάμηνο του έτους, καθώς όλοι

ανεξαιρέτως οι ανασταλτικοί παράγοντες του 2011 όπως

η συνεχιζόμενη οικονομική κρίση, η πολιτική αβεβαιότητα,

τα βαριά μέτρα λιτότητας, η μειωμένη αγοραστική

εμπιστοσύνη από επιχειρήσεις και καταναλωτές και

το πάγωμα των πιστώσεων, παραμένουν και στη χρονιά

που διανύουμε.

Στο πλαίσιο αυτό, η IDC προβλέπει συνολική ετήσια

μείωση της ελληνικής αγοράς Πληροφορικής κατά 3,9%

το 2012, φτάνοντας στα $2,1 δις και σημειώνοντας πτώση

για τέταρτη συνεχή χρονιά, με την επιβράδυνση του

ρυθμού μείωσης να αποδίδεται κυρίως στην αναμενόμενη

βελτίωση των οικονομικών συνθηκών προς τα τέλη

του 2012.

Σχετικά με τις αγορές της τεχνολογίας, περιμένουμε

πως αυτή η σχετική βελτίωση θα προκληθεί ως επί το

πλείστον από τον κλάδο του Hardware (εμφανίζεται

ετήσια μείωση 4,7%, κυρίως λόγω της επιβράδυνσης στη

μείωση των εσόδων από τις πωλήσεις Η/Y) και σε μικρότερο

βαθμό από τον κλάδο του Software (εμφανίζεται

ετήσια μείωση 3,7% το 2012). Επίσης αναμένεται οι

Υπηρεσίες Πληροφορικής να συνεχίσουν να έχουν μια

πιο θετική εικόνα (ετήσια μείωση 2,6%) ιδίως στο Χρηματοπιστωτικό

και Τηλεπικοινωνιακό κλάδο, όπου η ανάκαμψη

των γειτονικών αγορών προβλέπεται να παίξει

θετικό ρόλο.

8| security


Ένα Bot επικρατεί των άλλων, αναφέρουν τα PandaLabs

Τα PandaLabs, τα anti-malware εργαστήρια

της Panda Security – The Cloud Security

Company – αναφέρει ένα νέο bot με την

ονομασία Ainslot.L. Το malware αυτό έχει

σχεδιαστεί να καταγράφει τις δραστηριότητες

του χρήστη, να κατεβάζει πρόσθετα

malware και να ελέγχει το σύστημα. Επιπλέον

δρα ως banker Trojan, κλέβοντας

log-in πληροφορίες σχετικές με τις τράπεζες

και σκανάρει τον υπολογιστή ψάχνοντας

και σβήνοντας άλλα bots, ώστε να παραμείνει

κυρίαρχο στο σύστημα.

«Το γεγονός ότι το Ainslot.L σβήνει τα άλλα bots από ένα

μολυσμένο σύστημα, αναμφίβολα τράβηξε την προσοχή

μας», εξηγεί ο Luis Corrons, technical director των PandaLabs.

«Εξαλείφει τον ανταγωνισμό του, αφήνοντας τον

υπολογιστή στο έλεός του. Μας θυμίζει τις δημοφιλείς ταινίες

‘Highlander’ - μόνο ένα μπορεί να υπάρχει».

Εξαπλώνεται μέσω ενός ψευδούς email το

οποίο υποτίθεται ότι αποστέλλεται από τη

βρετανική εταιρεία ρούχων CULT. Το μήνυμα

«δεξιοτεχνικά» ενημερώνει τους

χρήστες ότι έχουν παραγγείλει προϊόντα

αξίας 200£ από το ηλεκτρονικό κατάστημα

της εταιρείας και ότι η πιστωτική τους

κάρτα θα χρεωθεί με αυτό το ποσό. Το

κείμενο περιλαμβάνει ένα link στο οποίο

ο χρήστης μπορεί να δει την παραγγελία

του - το οποίο στην πραγματικότητα κατεβάζει

το bot στον υπολογιστή του. Σύμφωνα

με τον Corrons «τα phishing emails δεν είναι συνήθως

τόσο καλοφτιαγμένα. Δεν υπάρχει αμφιβολία ότι αυτή

τη φορά οι απατεώνες έχουν κάνει πολύ καλή δουλειά,

ώστε τα μηνύματα να μοιάζουν όσο αληθινά γίνεται και να

«πιάνουν» στο αγκίστρι τους όσους περισσότερους μπορούν».


NEWS

Έρευνα της HP αναδεικνύει τους κινδύνους για την ασφάλεια των

εταιρικών δεδομένων

Σύμφωνα με νέα παγκόσμια έρευνα που παρουσίασε η HP,

η έλλειψη ελέγχου σε δράσεις χρηστών με προνομιακή

πρόσβαση (π.χ. διαχειριστές βάσεων δεδομένων, μηχανικοί

δικτύων και υπεύθυνοι ασφάλειας), απειλούν τα ευαίσθητα

και απόρρητα δεδομένα των χώρων εργασίας.

Τα βασικά συμπεράσματα της έρευνας (με τίτλο The

insecurity of Privileged Users), η οποία πραγματοποιήθηκε

από το Ponemon Institute,

αποκαλύπτουν ότι:

• Το 52% των ερωτηθέντων σημείωσαν

ότι δεν είναι πιθανό

να έχουν πρόσβαση σε εμπιστευτικές

και απόρρητες πληροφορίες,

πέρα από αυτές

που έχουν σχέση με τη θέση

τους.

• Πάνω από το 60% ανέφεραν

ότι υπάρχουν χρήστες που αξιοποιούν

τα προνόμιά τους για να

έχουν πρόσβαση σε ευαίσθητα ή

απόρρητα δεδομένα, όχι λόγω του αντικειμένου

της εργασίας τους, αλλά από περιέργεια.

• Οι πληροφορίες για τους πελάτες και τα γενικά εταιρικά

δεδομένα διατρέχουν το μεγαλύτερο κίνδυνο, ενώ

οι εφαρμογές που αντιμετωπίζουν τις περισσότερες

απειλές είναι αυτές που αφορούν σε φορητές συσκευές

και social media, αλλά και όσες αφορούν σε συγκεκριμένες

επιχειρησιακές μονάδες.

Πολλοί ερωτηθέντες ισχυρίστηκαν ότι υπάρχουν επαρκώς

προσδιορισμένες πολιτικές για τα άτομα με δικαιώματα

προνομιακής πρόσβασης σε συγκεκριμένα συστήματα πληροφορικής.

Παρόλα αυτά, περίπου το 40% δήλωσαν ότι

δεν ήταν σίγουροι αν τα συγκεκριμένα δικαιώματα ήταν

γνωστά σε όλη την επιχείρηση ή αν όσοι έχουν δικαιώματα

προνομιακής πρόσβασης ανταποκρίνονται στις πολιτικές

συμμόρφωσης. Όσον αφορά σε αυτό το ζήτημα, οι

Οργανισμοί προσπαθούν να διατηρήσουν τον έλεγχο με

διάφορους τρόπους. Το 27% των ερωτηθέντων δήλωσαν

ότι οι Οργανισμοί αξιοποιούν την τεχνολογία, πραγματοποιώντας

ελέγχους ταυτότητας και πρόσβασης, ώστε να

αναγνωρίσουν πώς κατανέμονται τα δικαιώματα προνομιακής

πρόσβασης. Το 24% δήλωσαν ότι οι επιχειρήσεις

συνδυάζουν την τεχνολογία με τις εταιρικές διαδικασίες.

Παρόλα αυτά, το 15% παραδέχονται ότι η πρόσβαση

δεν ελέγχεται ουσιαστικά και το 11% τόνισαν

ότι δεν είχαν τη δυνατότητα να αναγνωρίσουν

σε ποιους κοινοποιούνται

τα δικαιώματα προνομιακής πρόσβασης.

«Η έρευνα αναδεικνύει τους κινδύνους

στους οποίους οι Οργανισμοί

δεν δίνουν τόση σημασία

- όση σε σχέση με κρίσιμα patches,

την περιμετρική τους άμυνα

και άλλα θέματα ασφαλείας» δήλωσε

ο Tom Reilly, Vice President

και General Manager, Enterprise Security

Products της HP. «Τα αποτελέσματα

της έρευνας τονίζουν την ανάγκη για

καλύτερη διαχείριση των πολιτικών πρόσβασης και

για την αξιοποίηση προηγμένων λύσεων επιχειρησιακής ευφυΐας

στον τομέα της ασφάλειας, όπως η ανάλυση της ταυτότητας

των προνομιούχων χρηστών, ώστε να βελτιωθεί η

παρακολούθηση των βασικών διαδικασιών ασφάλειας»,

συμπλήρωσε.

Η παγκόσμια έρευνα εστίασε σε πάνω από 5.000 λειτουργίες

πληροφορικής και υλοποιήθηκε με τη συμμετοχή security

managers από την Αυστραλία, τη Βραζιλία, τη Γαλλία,

τη Γερμανία, το Χονγκ Κονγκ, την Ινδία, την Ιταλία, την Κορέα,

τη Σιγκαπούρη, την Ισπανία, το Ηνωμένο Βασίλειο και

τις ΗΠΑ.

Η HP προσφέρει ολοκληρωμένες λύσεις security intelligence

και ελέγχου μέσω της πλατφόρμας HP Security Intelligence

Platform, η οποία βοηθά τις εταιρείες στην προσπάθειά

τους να υιοθετήσουν το μοντέλο της Instant-On

Επιχείρησης.

10 | security


Η ESET διαθέτει τη BETA έκδοση των ESET Endpoint

Security και ESET Endpoint Security Suite

Η ESET διαθέτει τη BETA έκδοση των

ESET Endpoint Security και ESET Endpoint

Security Suite

Η ESET ανακοίνωσε τη διάθεση της

BETA έκδοσης των ESET Endpoint

Security και ESET Endpoint Security

Suite, των νέων προϊόντων που αποτελούν

ναυαρχίδες για επαγγελματική

χρήση. Η ESET, πρωτοπόρος εταιρεία

στην προληπτική προστασία κατά των

διαδικτυακών απειλών και δημιουργός της βραβευμένης τεχνολογίας

NOD32 η οποία το 2012 γιορτάζει την 25η της

επέτειο, προσκαλεί τα στελέχη της Πληροφορικής να συμμετάσχουν

στη δημόσια δοκιμή της έκδοσης beta των νέων

της προϊόντων. Τα ESET Endpoint Security Suite BE-

TA (με την προσθήκη των χαρακτηριστικών Personal Firewall

και Anti-spam) και η ελαφρύτερη έκδοση ESET Endpoint

Security BETA διατίθενται με τη λειτουργία ESET

Remote Administrator 5 BETA και είναι διαθέσιμα για δωρεάν

download στη σελίδα www.eset.com/gr.

Χρησιμοποιώντας πολλαπλά επίπεδα

ανίχνευσης (μηχανή ThreatSense,

ESET Live Grid - τεχνολογία που λειτουργεί

στο cloud) η επόμενη γενιά

λύσεων ασφαλείας ESET Endpoint Security

παρέχει κορυφαία προληπτική

προστασία κατά των αναδυόμενων

ηλεκτρονικών απειλών. Η χαμηλή κατανάλωση

πόρων του συστήματος, σε συνδυασμό με την

προηγμένη λειτουργία απομακρυσμένης διαχείρισης των

τερματικών σταθμών, καθιστούν τα νέα προϊόντα την

ιδανική λύση για όλες τις επιχειρήσεις. Η επόμενης γενιάς

ESET Remote Administrator 5 BETA, που προσφέρεται και

στις δύο λύσεις προστασίας, περιλαμβάνει τις λειτουργίες

Web Dashboards και Role Based Administration,

επιτρέποντας διαφορετικά επίπεδα αυτοματισμού εργασίας

και έλεγχο εξ αποστάσεως κάθε τερματικού σημείου.

Νέα επέκταση της SSH Information Integrity Platform

Η SSH Communications Security

- παγκόσμια γνωστή ως η εφευρέτρια

του SSH πρωτοκόλλου - αποκάλυψε

στην RSA Conference που

διεξήχθη στο San Francisco, την

πρώτη νέα επέκταση της SSH Information

Integrity Platform, το

SSH User Key Management. Το

συγκεκριμένο module θα χρησιμεύσει

στο να παρέχει στις επιχειρήσεις

τη δυνατότητα της αναγνώρισης, οργάνωσης και διατήρησης

των public και private keys που χρειάζονται για την

κρυπτογραφημένη επικοινωνία. “Τα σημαντικότερα δεδομένα

και εφαρμογές των επιχειρήσεων συνήθως μεταφέρονται

και φιλοξενούνται σε SSH και OpenSSH servers. Εκείνες οι

επιχειρήσεις που ακολουθούν διαδικασία πιστοποίησης με

δημόσιο κλειδί (public key) για την απόκτηση πρόσβασης σε

εκείνους τους servers, έρχονται αντιμέτωπες με μια σημαντική

πρόκληση όσον αφορά στη γνώση ποιος και τι μπορεί

να αποκτήσει πρόσβαση σε εκείνους

τους servers. Αυτό δεν είναι

μόνο ένα κρίσιμο ρίσκο

ασφάλειας και συμμόρφωσης

στους κανόνες - αποτελεί επίσης

και ένα πρόβλημα κόστους, ενώ

αρκετοί Οργανισμοί διαχειρίζονται

αυτή τη λειτουργία χειροκίνητα

με ελάχιστη ή χωρίς επίβλεψη”

αναφέρει ο Tatu Ylönen,

CΕΟ της SSH Communications Security. Ο Universal SSH

Key Manager θα λειτουργήσει ως μία προέκταση της δυνατότητας

της SSH να ελέγξει και να διαχειριστεί μια άλλη όψη

της SSH υποδομής που επικρατεί ήδη στις σημερινές επιχειρήσεις.

Για περισσότερες πληροφορίες αναφορικά με την

SSH Communications Security, παρακαλούμε επισκεφθείτε

το www.ssh.com. Σε Ελλάδα, Κύπρο και άλλες χώρες των

Βαλκανίων, η SSH Communications Security αντιπροσωπεύεται

από την Inter Engineering.

security | 11


NEWS

Μελέτη για την προστασία δεδομένων από την RSA

Η RSA, το τμήμα εφαρμογών ασφάλειας δεδομένων της

EMC (NYSE: EMC), παρουσίασε μια νέα μελέτη σχετικά με

την προστασία από προηγμένες απειλές στον κυβερνοχώρο.

Η μελέτη αξιοποιεί τις γνώσεις μιας ομάδας κορυφαίων

ειδικών ασφαλείας ΙΤ από ολόκληρο τον κόσμο και έχει στόχο

να βοηθήσει επιχειρηματικούς αλλά και κρατικούς Οργανισμούς

να βελτιώσουν δραστικά την ικανότητά τους να

εντοπίζουν προηγμένες κυβερνο-απειλές και να προστατεύουν

τα κρίσιμα δεδομένα τους από τη βιομηχανική κατασκοπεία

και τις υποδομές τους, από ενδεχόμενες δολιοφθορές.

Η έκθεση αποτελεί την ένατη κατά σειρά έκδοση εκ μέρους

του Συμβουλίου για την Καινοτομία στην Επιχειρηματική

Ασφάλεια (Security for Business Innovation Council - SBIC)

και προσφέρει συγκεκριμένες συμβουλές για το πώς μπορεί

να αξιοποιηθεί ένα πλέγμα κρίσιμων πληροφοριών για την

προστασία από τις απειλές του κυβερνοχώρου. Βασισμένη

στην εμπειρία 17 κορυφαίων στελεχών προστασίας ΙΤ, η έκθεση

παίζει το ρόλο οδηγού για τα στελέχη ΙΤ που επιθυμούν

να αξιοποιήσουν μια παγκόσμια δεξαμενή πληροφοριών,

ώστε να μπορέσουν να προβλέπουν, να ανιχνεύουν και

να προστατεύονται από επιθέσεις μέσω του κυβερνοχώρου.

“Η καθημερινή συλλογή πληροφοριών σχετικά με τις απειλές

που υπάρχουν στον κυβερνοχώρο, δεν αφορά πλέον

μόνο τις κρατικές υπηρεσίες – είναι προαπαιτούμενο για τις

επιχειρήσεις που θέλουν να επιβιώσουν σε ένα σκληρά ανταγωνιστικό

περιβάλλον” δήλωσε ο κος Art Coviello, Εκτελεστικός

Πρόεδρος στην RSA. “Ο ρυθμός και η φύση ορισμένων

πρόσφατων επιθέσεων επιβάλλουν την άμεση λήψη

αποτελεσματικών αντίμετρων, τα οποία θα δίνουν τη δυνατότητα

στους Οργανισμούς όχι μόνο να εντοπίζουν μια προηγμένη

απειλή, αλλά και να προβλέπουν τους πιθανούς τρόπους

προσβολής, ώστε να μπορούν να οργανώνουν καλύτερα

την άμυνά τους. Για να καταπολεμηθούν οι προηγμένες

επιθέσεις απαιτείται μια εντελώς νέα προσέγγιση του θέματος

της προστασίας, καθώς επίσης και πολύ καλύτερες

πρακτικές για τη συλλογή, την επεξεργασία και τηv κοινοποίηση

κρίσιμων πληροφοριών σχετικών με τις απειλές στον

κυβερνοχώρο”.

Intelligence-Driven Security: ένα νέο αμυντικό

δόγμα για την προστασία των δεδομένων από

προηγμένες απειλές

Το SBIC είναι μια ομάδα κορυφαίων στελεχών από ολόκληρο

τον κόσμο, τα οποία είναι υπεύθυνα για την ασφάλεια

των δεδομένων σε 1000 επιχειρήσεις παγκόσμιου βεληνεκούς.

Με πρωτοβουλία της RSA, η ομάδα συγκαλείται με

σκοπό να εξετάσει τα πιο καυτά θέματα στον τομέα της προστασίας

δεδομένων, αλλά και τις ευκαιρίες που δημιουργούνται

μέσα από τη συνεργασία. Στην τελευταία έκθεση της

ομάδας εργασίας, με τίτλο “Getting Ahead of Advanced

Threats: Achieving Intelligence-Driven Information Security” το

Συμβούλιο προωθεί την ιδέα ενός νέου αμυντικού δόγματος

για την προστασία από προηγμένες επιθέσεις στον κυβερνοχώρο.

Στο σχέδιο αυτό, με το οποίο εισάγεται η έννοια

της προστασίας μέσα από την αξιοποίηση κρίσιμων πληροφοριών

(“intelligence-driven information security”), περιλαμβάνονται

τα εξής:

Η συστηματική συλλογή αξιόπιστων πληροφοριών σχετικά με

τις απειλές στον κυβερνοχώρο - μέσα από κυβερνητικά, κλαδικά,

εμπορικά και εσωτερικά κανάλια πληροφόρησης - η

οποία βοηθά στην καλύτερη κατανόηση των κινδύνων και

του ποσοστού έκθεσης σε αυτούς.

Η διαρκής έρευνα για τον εντοπισμό εχθρών στον κυβερνοχώρο,

καθώς και την κατανόηση πιθανών κινήτρων πίσω

από τις σχεδιαζόμενες επιθέσεις, τις αγαπημένες τεχνικές

επίθεσης και τα καταγεγραμμένα συμβάντα.

Η ανάπτυξη νέων δεξιοτήτων στο εσωτερικό του Οργανισμού

για τη συλλογή κρίσιμων πληροφοριών σχετικών με

12 | security


την ασφάλεια και τις επαπειλούμενες επιθέσεις.

Η ανάπτυξη διαδικασιών για την αποτελεσματική ανάλυση και

τη διαχείριση πληροφοριών σχετικών με τις απειλές στον κυβερνοχώρο.

Οι πληροφορίες προέρχονται από διαφορετικές

πηγές και συνδυάζονται ώστε να προκύπτει συγκεκριμένο

πλάνο δράσης.

Η εμπέδωση συνθηκών πλήρους ορατότητας στο εσωτερικό

των Οργανισμών ΙΤ, η οποία βοηθά στον εντοπισμό αφύσικης

συμπεριφοράς συστημάτων ή χρηστών.

Η λήψη αποφάσεων λελογισμένου ρίσκου και η διαμόρφωση

στρατηγικής με βάση τα χαρακτηριστικά της απειλής και

τα διαθέσιμα αμυντικά όπλα κάθε Οργανισμού.

Οι βέλτιστες πρακτικές και η κοινοποίηση χρήσιμων πληροφοριών

σχετικά με τις ενδείξεις επίθεσης, όπως αυτές έχουν

καταγραφεί από άλλους Οργανισμούς.

“Μπορεί να είναι δύσκολο για κάποιους να αποδεχθούν ότι

θα πρέπει να αναπτύξουν ένα μακροχρόνιο πλάνο το οποίο

θα τους βοηθήσει να εντοπίσουν τους εχθρούς τους που

δραστηριοποιούνται στον κυβερνοχώρο και τους τρόπους

με τους οποίους προτίθενται να τους πλήξουν” δηλώνει ο

κος Tim McKnight, Αντιπρόεδρος και Γενικός Διευθυντής

Ασφάλειας ΙΤ στη Northrop Grumman. “Εξετάζοντας την

ασφάλεια από τρίμηνο σε τρίμηνο, ίσως να μη μπορείτε να

εντοπίσετε κάποια απώλεια. Θα μπορούσαν να περάσουν

ακόμη και χρόνια μέχρι που κάποια στιγμή, ξαφνικά, μια εταιρεία

από την άλλη άκρη του κόσμου κατακτά την κορυφή

στην αγορά στην οποία δραστηριοποιείστε, έχοντας πρώτα

εκμεταλλευτεί για δικό της όφελος τις επενδύσεις που εσείς

έχετε κάνει στην έρευνα και την ανάπτυξη”.

Η νέα έκθεση του Συμβουλίου καταγράφει έξι βασικά βήματα

που βοηθούν να διασφαλιστεί η ασφάλεια των δεδομένων

μέσα από την αξιοποίηση κρίσιμων πληροφοριών (intelligence-driven

information security):

Βήμα 1: Ξεκινήστε με τα βασικά

Καταγράψτε τα στρατηγικής σημασίας στοιχεία και δεδομένα,

βελτιώστε τη διαδικασία διαχείρισης συγκεκριμένων γεγονότων

και προχωρήστε σε μια ολοκληρωμένη εκτίμηση

των κινδύνων που διατρέχετε.

Βήμα 2. Προσδιορίστε το στόχο

Ενημερώστε τα μέλη της διοίκησης και όσους πιστεύετε ότι

κατέχουν ρόλο – κλειδί στον Οργανισμό σας, σχετικά με τα

οφέλη ενός προγράμματος ασφαλείας το οποίο θα δίνει έμφαση

στην αξιοποίηση κρίσιμων πληροφοριών (intelligencedriven

security program). Εντοπίστε πεδία όπου θα μπορούσαν

να κερδηθούν ορισμένες “γρήγορες μάχες” προκειμένου

να πετύχετε ευρεία στήριξη αλλά και χρηματοδότηση

του πλάνου σας.

Βήμα 3. Εντοπίστε τους κατάλληλους ανθρώπους

Αναζητήστε επαγγελματίες που συνδυάζουν τις τεχνικές γνώσεις

για θέματα ασφαλείας, με την αναλυτική σκέψη και την

ικανότητα δημιουργίας σχέσεων συνεργασίας με τα μέλη του

Οργανισμού σας.

Βήμα 4. Δημιουργήστε ένα πλέγμα πηγών πληροφόρησης

Προσδιορίστε ποιες εσωτερικές ή εξωτερικές πηγές πληροφοριών

θα σας βοηθήσουν να ανιχνεύετε, να προβλέπετε

ή και να μετριάζετε τις επιπτώσεις μιας στοχευμένης επίθεσης.

Μην παραλείπετε να αξιολογείτε τις πηγές αυτές σε

τακτική βάση.

Βήμα 5: Ορίστε διαδικασίες

Κωδικοποιήστε μια συγκεκριμένη μεθοδολογία για τη συλλογή

απτών πληροφοριών, διασφαλίστε ότι έχετε τα μέσα για

την κατάλληλη και έγκαιρη αντίδραση σε τυχόν επίθεση και

αναπτύξτε μια σειρά αποτελεσματικών αντιμέτρων.

Βήμα 6: Υλοποιήστε αυτοματισμούς

Βρείτε τρόπους να αυτοματοποιήσετε την ανάλυση και τη

διαχείριση μεγάλου όγκου δεδομένων, τα οποία προέρχονται

από πολλές διαφορετικές πηγές.

Μπορείτε να κατεβάσετε αντίγραφα (PDF) της μελέτης “Getting

Ahead of Advanced Threats: Achieving Intelligence-driven Information

Security” από την ηλεκτρονική διεύθυνση

http://www.RSA.com/securityforinnovation.

security | 13


I ΝΤERVIEW

Πρόκληση είναι να

προστατεύεις τον Οργανισμό

σου από ένα συνεχώς

μεταβαλλόμενο τοπίο απειλών

Συνέντευξη με τον Χρήστο Παπαθανασίου

Iδρυτικό μέλος του AthCon

Ενόψει της 3ης διοργάνωσης του AthCon που θα πραγματοποιηθεί

φέτος 3 & 4 Μαΐου στην Αθήνα, ο ένας εκ των δυο ιδρυτικών

μελών, κ. Χρήστος Παπαθανασίου, ο οποίος εργάζεται ως

υπεύθυνος Ασφάλειας πληροφοριών στην Royal Bank of Scotland,

μας απαντάει σε σημαντικά και επίκαιρα ερωτήματα που

απασχολούν τους επαγγελματίες του χώρου της ασφάλειας πληροφοριών

Με βάση την εμπειρία σας, θα μπορούσατε να ιεραρχήσετε

τους μεγαλύτερους κινδύνους που απειλούν σήμερα

την ασφάλεια των πληροφοριών και γενικότερα τα δίκτυα

των Οργανισμών στο χρηματοοικονομικό τομέα;

Ο τραπεζικός τομέας είναι ένας τομέας που σε σχέση με άλλους

επενδύει παραδοσιακά σ’ αυτό που ονομάζεται ασφάλεια

πληροφοριακών συστημάτων. Οι επενδύσεις αυτές είναι

σε επίπεδο προσωπικού, διαδικασιών και τεχνολογίας.

Οι απειλές είναι ορατές και το νομοθετικό/ ρυθμιστικό πλαίσιο

που καλύπτει τα χρηματοοικονομικά ιδρύματα σε μεγάλο

βαθμό επιβάλλει να λαμβάνονται οι σωστές προφυλάξεις

και να τοποθετούνται οι σωστές δικλείδες ασφαλείας. Επιβάλλεται

επίσης αυτές οι δικλείδες ασφαλείας να ελέγχονται

σε τακτά χρονικά διαστήματα για να διαπιστωθεί η αποτελεσματικότητά

τους.

Τα τελευταία χρόνια παρατηρείται το φαινόμενο των phishing

scams. Αυτές οι απάτες στοχεύουν να υποκλέψουν

τα στοιχεία της πιστωτικής κάρτας των καταναλωτών και

μετέπειτα να τα χρησιμοποιήσουν για να αγοράσουν online

ηλεκτρονικές συσκευές μεγάλης αξίας. Οι ‘crackers’

εχουν αλλάξει δηλαδή την τακτική τους - από το να πηγαίνουν

στην τράπεζα με ‘όπλο’ και να ζητάνε τα χρήματα

από την ταμία με κίνδυνο να τους δει το κύκλωμα κλειστής

τηλεόρασης CCTV, να τους συλλάβει ο φύλακας

κ.λπ., στο να τη στήνουν απέξω και να κλέβουν τους πελάτες

καθώς εισέρχονται, μακριά απ’ όλες αυτές τις δικλείδες

ασφαλείας. Θα μπορούσαμε κάλλιστα να το θεωρήσουμε

σαν ένα αντάρτικο, το οποίο με ασύμβατα μέσα,

στην πραγματικότητα επιτυγχάνει ακριβώς το ίδιο αποτέλεσμα.

14 | security


Ποιες είναι λοιπόν οι προκλήσεις που έχουν να αντιμετωπίσουν

όσοι εργάζονται στα τμήματα IT ασφάλειας

των τραπεζικών Οργανισμών - και όχι μόνο;

Τι τεχνολογικά μέσα έχουν στη διάθεσή τους για να

προστατεύσουν τα κρίσιμα δεδομένα και ποιες είναι οι

βασικές πολιτικές που πρέπει να εφαρμόζουν;

Οι προκλήσεις επικεντρώνονται γύρω από δύο κολώνες - η

μία είναι ο Οργανισμός να είναι σύμφωνος με όλα τα νομικά

και ρυθμιστικά διατάγματα στα οποία υπόκειται, π.χ. PCI

DSS, Sarbanes Oxley, Gramm Leach Bliley, Data Protection

act κ.λπ.

Η δεύτερη πρόκληση είναι να προστατεύεις τον Οργανισμό

σου από ένα συνεχώς μεταβαλλόμενο τοπίο απειλών. Σήμερα

αυτό συμπεριλαμβάνει ένα πολύ ευρύ φάσμα ενεργειών,

που στόχο έχουν να αποτρέψουν μια τέτοια ενέργεια. Οι

τράπεζες πλέον δημιουργούν εσωτερικές υπηρεσίες πληροφοριών,

οι οποίες διεξάγουν έρευνα (open source intelligence)

και παρακολουθούν από πολύ κοντά τα διάφορα

blogs, IRC, pastebin κ.λπ., όπου θα μπορούσε να αναφερθεί

το όνομά τους ως στόχος μιας επικείμενης επίθεσης. Στήνονται

εσωτερικές ομάδες ‘Penetration Testing’ οι οποίες

ελέγχουν όλα τα websites του Οργανισμού για τρωτά σημεία

ασφάλειας, που θα μπορούσαν να βοηθήσουν έναν cracker

να αλλοιώσει μία σελίδα ή να αποκτήσει πρόσβαση στο εσωτερικό

δίκτυο της τράπεζας. Μετέπειτα αυτά τα τρωτά σημεία

διορθώνονται τυχαία και έτσι ελαττώνεται η έκθεση του

Οργανισμού σε κίνδυνο.

Γίνονται εσωτερικά σεμινάρια/ εκπαίδευση και ευαισθητοποίηση

στους εργαζόμενους, σχετικά με τις πολιτικές ασφάλειας

του Οργανισμού και συνεχής αξιολόγηση και επανεπιμόρφωση

αν έχουν ξεχαστεί οι πολιτικές ή όχι.

Όπως όλοι παρακολουθούμε, οι eπιθέσεις hacking

των Anonymous αυξάνονται διαρκώς. Το φαινόμενο

μπορεί να έχει και κοινωνική διάσταση, αλλά ταυτόχρονα

αποτελεί και μεγάλο μπελά για τα τμήματα ασφάλειας

μεγάλων κρατικών Οργανισμών. Ποια είναι τα χαρακτηριστικά

των συγκεκριμένων επιθέσεων και γιατί

σχεδόν πάντα βρίσκονται ένα βήμα μπροστά από τους

ανθρώπους της ασφάλειας;

Σχεδόν πάντα βρίσκονται ένα βήμα μπροστά, επειδή σαν

επαγγελματίες της ασφάλειας συνήθως δεν έχουμε άλλη επιλογή

από το να προστατεύουμε με το ένα χέρι πίσω από την

πλάτη - όχι επειδή δεν γνωρίζουμε πώς να αποτρέψουμε τέτοιου

είδους επιθέσεις, αλλά επειδή δεν μπορούμε να κάνουμε

προσπάθειες διείσδυσης χρησιμοποιώντας τις ίδιες

τεχνικές, καθώς επιβάλλονται περιορισμοί από τους ίδιους

τους Οργανισμούς που προστατεύουμε.

Αυτοί οι περιορισμοί έχουν να κάνουν π.χ. με τη διαθεσιμότητα

των συστημάτων που ελέγχουμε, με διαθέσιμα κονδύλια,

με πολιτικές του τμήματος ανθρώπινου δυναμικού, π.χ.

σε πολλούς Οργανισμούς δεν επιτρέπεται να γίνουν δοκιμές

αν ο Οργανισμός είναι προστατευμένος εναντίον social engineering

attacks, γιατί ευλόγως υπάρχουν ευαισθησίες στο

να στέλνονται δοκιμαστικά mail σε καίρια πρόσωπα της επιχείρησης,

προσπαθώντας να τους υποκλέψουν τους κωδικούς.

Όμως, αν δεν κάνουμε εμείς αυτές τις δοκιμές - που

η δουλειά μας είναι να προστατέψουμε την επιχείρηση από

τέτοιου είδους επιθέσεις - αφήνονται κενά, τεράστια κενά

όχι μόνο από τεχνολογικής άποψης, αλλά και από πλευράς

επίγνωσης (awareness) και από πλευράς ασφαλούς διαχείρισης

τέτοιου είδους περιστατικών.

Οι τεχνικές που χρησιμοποιούν οι Anonymous είναι βασικές

από τεχνικής πλευράς, αλλά στοχεύουν αυτά τα κενά

που προανέφερα, όπου πολλοί Οργανισμοί δεν θέλουν ή

δεν μπορούν για τον άλφα ή βήτα λόγο να προστατέψουν.

Πάντα διαλέγουν τους στόχους τους για να μεγαλοποιούν

το PR στα media που θα αποφέρει κάθε επίθεση και δημιουργούν

ένα είδος ψυχολογικού πολέμου. Βέβαια, αυτό μετέπειτα

οδηγεί και ταράζει τα λιμνάζοντα νερά και επιτυγχάνει

μία ώθηση να αποδεσμευτούν κονδύλια, να γίνουν τέτοιου

είδους δοκιμασίες σε στυλ ‘Anonymous’ και να τοποθετηθούν

οι κατάλληλες δικλείδες ασφαλείας - αλλά το σωστό

θα ήταν αυτό να γινόταν προαιρετικά, παρά αντιδραστικά, για

να μη φτάνουμε ως εδώ.

Στις 3 & 4 Μαΐου θα διεξαχθεί για ακόμα μία φορά στην

Αθήνα, το AthCon, του οποίου είστε ένα από τα δύο

ιδρυτικά μέλη. Τι μπορούμε να περιμένουμε από τη φετινή

εκδήλωση;

Φέτος σαν 3η συνεχή χρονιά που διεξάγεται το AthCon,

καταφέραμε και θα φέρουμε κορυφαίους ερευνητές του IT

Security, όπως για παράδειγμα τον Nikolao Rango ή αλλιώς

kingcope, έναν από τους πιο διάσημους ερευνητές παγκοσμίως,

που θα μας μιλήσει για 0day exploit development.

Ο σκοπός του AthCon είναι να ενημερώνουμε τους Έλληνες

ΙΤ security managers και επαγγελματίες του χώρου, για

τις πραγματικές απειλές που αντιμετωπίζουν.

security | 15


REFERENCE

Άγγελος Αγραφιώτης,

Special Cases Consultant

Εξασφάλιση του απορρήτου των

επικοινωνιών κινητής τηλεφωνίας

Η συνεχής παραβίαση

των επικοινωνιών

που χρησιμοποιούν

δίκτυα GSM & 3G και

η αδυναμία των εταιρειών

να διασφαλίσουν

το απόρρητο

οδήγησε ειδικούς

στην ανακάλυψη μιας

νέας τεχνικής επικοινωνίας

η οποία εξασφαλίζει

το απόρρητο,

καθιστώντας την

παραβίασή του αδύνατη.

O

ι μέχρι σήμερα διαπιστωμένες παραβιάσεις των

επικοινωνιών πραγματοποιούνται στα πλαίσια

βιομηχανικής κατασκοπείας - και όχι μόνο -

από ανταγωνιστές ή ξένες κυβερνήσεις, εγκληματίες,

ιδιωτικούς ερευνητές και ερευνητές δημοσιογράφους.

Πιο κάτω παρατίθενται ορισμένες περιπτώσεις παραβίασης

του απορρήτου της επικοινωνίας διεθνώς, που

είδαν το φως της δημοσιότητας και δημιούργησαν μεγάλα

προβλήματα στους εμπλεκόμενους.

Το 2010 συνελήφθη ένας τεχνικός που εργάστηκε σε εται-

16 | security


ρεία κινητής τηλεφωνίας του Λιβάνου, ως Ισραηλινός κατάσκοπος,

γιατί παρείχε πρόσβαση στις τηλεφωνικές κλήσεις

επί 14 χρόνια!!!

• Το 2010 οι ρουμανικές αρχές συνέλαβαν 50 άτομα με την

κατηγορία ότι χρησιμοποιώντας off-the-shelf λογισμικό

παρακολουθούσαν την τηλεφωνική επικοινωνία πολιτών.

• Το 2010 η Pirelli κατηγορήθηκε για υποκλοπή (βιομηχανική

κατασκοπεία των διεθνών εμπορικών συναλλαγών)

των ανταγωνιστριών εταιρειών της Michelin & Yokahoma,

με επίθεση insider στην Telecom Italia.

• Το 2010 στο Μεξικό συνελήφθη άνδρας ο οποίος χρησιμοποιούσε

εξοπλισμένη κινητή μονάδα van και έκανε

υποκλοπές τηλεφωνικών συνομιλιών σε πολιτικούς, επιχειρηματίες

και δημοσιογράφους.

• Το 2009 η New York Times και η Financial Times ανέφεραν

ότι μια διεθνής ομάδα ερευνητών της ασφάλειας

είχε κυκλοφορήσει

ένα βιβλίο κωδικών με

κλειδιά που επέτρεπαν

την αποκρυπτογράφηση

των GSM

κλήσεων, καθώς και

το σχέδιο για την κατασκευή

ενός κιτ παρακολούθησης

GSM

με αρκετά χαμηλό κόστος.

• Το 2010 στο Computer

Weekly ανακοινώθηκε

ένα βίντεο στο

YouTube που έδειχνε

τον εξοπλισμό παρακολούθησης

GSM με τη χρήση λογισμικού ανοικτού κώδικα

σε ένα φορητό υπολογιστή και ένα ραδιοφωνικό

δέκτη, που πωλούταν στο διαδίκτυο με κόστος κάτω από

$1.500. Ένα δεύτερο βίντεο έδειχνε την ίδια εφαρμογή,

με λογισμικό που έτρεχε σε ένα κινητό τηλέφωνο Android

αντί για το φορητό υπολογιστή.

Δεν μπορούμε βέβαια να μην αναφερθούμε στο 2004-

2005 όπου κατά τη διάρκεια μιας άσχετης έρευνας σχετικά

με την απόδοση του δικτύου κινητής τηλεφωνίας διαπιστώθηκε

η παραβίαση του απορρήτου των επικοινωνιών

των τότε κυβερνητικών αξιωματούχων της χώρας μας, μεταξύ

των οποίων ήταν ο Πρωθυπουργός, ο Υπουργός

Άμυνας, ο Υπουργός Δικαιοσύνης και ο Αρχηγός της Ελληνικής

Υπηρεσίας Πληροφοριών. Οι υποκλοπές γίνονταν

επί πολλούς μήνες κατά τη διάρκεια των Ολυμπιακών

Αγώνων της Αθήνας.

Η εταιρεία Cellcrypt λοιπόν, προχώρησε στην παρουσίαση

ενός μοναδικού λογισμικού κρυπτογράφησης κινητής

επικοινωνίας με τη χρήση IP τεχνολογίας. Η μορφή

αυτή κρυπτογράφησης έρχεται να ενισχύσει το βαθμό δυσκολίας

που υπήρχε ούτως ή άλλως με τη χρήση IP, προκειμένου

να διενεργηθεί ασφαλώς μια συνομιλία μέσω κινητών

τηλεφώνων.

Η κρυπτογραφία της Cellcrypt χρησιμοποιεί πρωτόκολλο

2048-bit RSA & ECDSA και για τον έλεγχο της ταυτότητας

μεταξύ των κινητών τηλεφώνων χρησιμοποιεί καμπύλες

με 384-bit prime moduli RSA και ECDSA.

Κατά τη διάρκεια της εγκατάστασης του λογισμικού στα κινητά

τηλέφωνα δημιουργούνται βασικά ζεύγη επικοινωνίας

που είναι και μοναδικά για κάθε τηλέφωνο. Ταυτόχρονα

δημιουργούνται μοναδικά κλειδιά επικοινωνίας μεταξύ των

κινητών ασφαλούς χρήσης που έχουν εγκατεστημένο το

λογισμικό της Cellcrypt.

Για την ανταλλαγή των

κλειδιών αυτών χρησιμοποιείται

η ελλειπτική

καμπύλη Diffie-Hellman

(ECDH) και RSA αλγόριθμοι.

Το μοναδικό αυτό

κλειδί επικοινωνίας

που δημιουργείται αρχικά,

είναι έγκυρο και μόνο

για ένα τηλεφώνημα

και καταστρέφεται με

ασφάλεια μετά τη χρήση.

Σε κάθε επόμενη

επικοινωνία δημιουργείται

ένα νέο μοναδικό

κλειδί.

Για την κρυπτογράφηση χρησιμοποιούνται ταυτόχρονα η

συμμετρική κρυπτογραφία AES & RC4, 256 bits και οι δύο

αλγόριθμοι κρυπτογράφησης. Όλο το πακέτο επικοινωνίας

των δεδομένων κρυπτογραφείται πρώτα με RC4 και

το κρυπτογραφημένο αυτό κείμενο στη συνέχεια κρυπτογραφείται

και πάλι με AES στη λειτουργία Counter (CTR).

Το κόστος ετήσιας χρήσης του software ανέρχεται στο

ποσό των 5.000 euro/συσκευή και η προμήθειά του γίνεται

από την A&K Risk Management Consulting. Η εγκατάσταση

του software είναι πάρα πολύ απλή και γίνεται

με downloading, με τη χρήση μοναδικού password για κάθε

χρήστη. Για περισσότερες πληροφορίες μπορείτε να

επικοινωνήσετε με την A&K Risk Management Consulting

στο τηλέφωνο: 210-6915118. iTSecurity

security | 17


C OVER ISSUE

Του Νότη Ηλιόπουλου

Msc Infosec, ISO 27001 LA, CISA, CISM

niliopoulos@intellisolutions.gr

Αποτελεσματική λειτουργία

του Φορέα Διαχείρισης της

Ασφάλειας Πληροφοριών

Η υλοποίηση της βασικής αρχής της ασφάλειας πληροφοριών για μια συνεχή και επαναλαμβανόμενη

διεργασία, είναι συνυφασμένη με τη δημιουργία ενός φορέα διαχείρισης

της εν λόγω διεργασίας. Ο συγκεκριμένος λόγος, πραγματικός ή εικονικός, επιβάλλεται

και από το θεσμικό το πλαίσιο, αλλά και από τα διάφορα σχετικά διεθνή πρότυπα.

Χωρίς να κλείνουμε τα μάτια στην αναγκαιότητα ύπαρξης αλλά

και στην ανάγκη αποτελεσματικής λειτουργίας του ρόλου ε-

νός φορέα διαχείρισης της ασφάλειας, σε αυτό το άρθρο θα

αναλύσουμε την αποστολή και τις βασικές δραστηριότητες του

ρόλου. Ο τρόπος καθημερινής λειτουργίας του φορέα καθώς

και η επαρκής στελέχωση, εξαρτώνται από το μέγεθος του

Οργανισμού, την κρισιμότητα των πληροφοριών που διαχειρίζεται

και το μέγεθος των κανονιστικών απαιτήσεων που τον α-

φορούν.

18 | security


Σκοπός λειτουργίας & αποστολή

Η αναγκαιότητα δομημένης διαχείρισης της ασφάλειας πληροφοριών

καταδεικνύει την ανάγκη δημιουργίας συγκεκριμένης

στρατηγικής και ενός σχεδίου δράσης το οποίο θα

υλοποιήσει τη στρατηγική. Στόχος είναι η επαρκής θωράκιση

της ασφάλειας των δεδομένων που επεξεργάζεται ο

εκάστοτε Οργανισμός και η υλοποίηση ενός επαρκούς ε-

πιπέδου ασφάλειας των πληροφοριών του Οργανισμού.

Για να επιτευχθεί ο παραπάνω στόχος είναι απαραίτητη η

υιοθέτηση συγκεκριμένου σχεδίου δράσης. Το εν λόγω

σχέδιο υλοποιεί τη στρατηγική και οριοθετεί τόσο τις γενικές

λειτουργικές δραστηριότητες οι οποίες θα επιφέρουν

το επιθυμητό επίπεδο ασφάλειας, όσο και τις δραστηριότητες

ενός Φορέα Διαχείρισης της Ασφάλειας Πληροφοριών.

Το σχέδιο δράσης προσδιορίζει τα κύρια βήματα που α-

παιτούνται για την υλοποίηση μίας συνεχούς και επαναλαμβανόμενης

διαδικασίας με στόχο την ασφάλεια των

πληροφοριών, η οποία θα συνοδεύει τη λειτουργία του Οργανισμού.

Τα απαραίτητα βήματα υλοποίησης της στρατηγικής για

την ασφάλεια πληροφοριών είναι τα ακόλουθα:

1. Σχεδιασμός της συνεχούς διαδικασίας

ασφάλειας συστημάτων

Προσδιορισμός του Ρόλου των Αρμοδιοτήτων & της

Οργάνωσης της Υπηρεσίας Ασφάλειας Πληροφοριών.

Σχεδιασμός και Ανάπτυξη της Πολιτικής Ασφάλειας.

Σχεδιασμός των αρχών ασφάλειας πληροφοριών (επιμέρους

πολιτικές ασφάλειας).

2. Υλοποίηση του σχεδίου ασφάλειας

πληροφοριών

Υλοποίηση των μέτρων προστασίας (τεχνικές & διαχειριστικές

δικλείδες ασφάλειας, διαδικασίες).

Εκπαίδευση και ευαισθητοποίηση προσωπικού.

3. Συντήρηση του επιπέδου ασφάλειας

Έλεγχος τήρησης και αποτελεσματικότητας των μέτρων

προστασίας.

Έλεγχος διαδικασιών ασφάλειας πληροφοριών και α-

ναθεωρήσεις αυτών.

Διαχείριση περιστατικών παραβίασης της ασφάλειας.

Ο φορέας διαχείρισης της ασφάλειας πληροφοριών έχει ως

στόχο το συντονισμό και τον έλεγχο υλοποίησης και ε-

λέγχου τήρησης των παραπάνω διεργασιών.

Προστασία γiα Χρήστες Δικτύων (Business Clients)

File Servers (Windows/Linux/MS Sharepoint)

Mail Servers/exchange 2000/2003/2007 Windows/

Linux/Free BSD

Gateway (ISA Servers)


COVER ISSUE

Αποτελεσματική λειτουργία του Φορέα Διαχείρισης της Ασφάλειας Πληροφοριών

Λειτουργία & δραστηριότητες

Έχοντας σαν οδηγό την υλοποίηση και τον έλεγχο τήρησης

των διεργασιών που αναφέρθηκαν στην προηγούμενη παράγραφο,

ο φορέας ασφάλειας πληροφοριών χρειάζεται να

δομηθεί αντίστοιχα, τόσο σε επίπεδο τεχνογνωσίας όσο και

σε επίπεδο αρμοδιοτήτων και στελέχωσης.

Ο Προορισμός του Φορέα διαχείρισης της ασφάλειας πληροφοριών

είναι η επίτευξη ενός επιπέδου ασφάλειας το ο-

ποίο ανταποκρίνεται στην κρισιμότητα των δεδομένων της

εταιρείας, με αποτέλεσμα την άμεση επίτευξη των επιχειρησιακών

στόχων της εταιρείας.

Στα παραπάνω πλαίσια, ο Φορέας διαχείρισης της ασφάλειας

πληροφοριών διαμορφώνει την Πολιτική Ασφάλειας,

τους κανόνες και τις διαδικασίες ασφάλειας και προτείνει τις

κατάλληλες δικλείδες ασφάλειας προκειμένου να διασφαλίσει

την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των

δεδομένων της εταιρείας. Ελέγχει και παρακολουθεί τις διαδικασίες

ασφάλειας πληροφοριών, εξασφαλίζοντας ότι οι

κανόνες και οι οδηγίες που έχουν προδιαγραφεί εφαρμόζονται

και μεριμνά για την επιβολή μέτρων και διαδικασιών

που πρέπει να λαμβάνονται για την ασφάλεια των πληροφοριών

του Οργανισμού.

Είναι αρμόδιος για την επίβλεψη της λειτουργίας των εξειδικευμένων

συστημάτων ασφάλειας, τα οποία λειτουργούν προκειμένου

να διασφαλίζεται το απαραίτητο επίπεδο ασφάλειας

και να επιβάλλεται η Πολιτική Ασφάλειας.

Οι διεργασίες οι οποίες εκτελούνται στα πλαίσια της λειτουργίας

του φορέα Ασφάλειας Πληροφοριών είναι οι α-

κόλουθες:

Υποδομή Διαχείρισης της Ασφάλειας Πληροφοριών

Ορισμός και ενημέρωση του στόχου της ασφάλειας πληροφοριών

στα πλαίσια της εταιρείας, σε συνεννόηση με τη

Διοίκηση.

Ανάπτυξη και στη συνέχεια ενημέρωση του Οργανισμού

αναφορικά με τις βασικές αρχές ασφάλειας πληροφοριών

(πολιτική ασφάλειας επιμέρους οδηγίες).

Υποστήριξη της Διοίκησης στη λήψη αποφάσεων που α-

φορούν στην ασφάλεια πληροφοριών - αλλά και του ευρύτερου

λειτουργικού κινδύνου, μέσα από τις διαδικασίες

του προσδιορισμού και της αποτίμησης των κινδύνων και

της επιλογής των κατάλληλων μέτρων προστασίας.

Ανάπτυξη σχεδίου για την υλοποίηση των στόχων και των

μέτρων προστασίας, τα οποία προκύπτουν από τις αρχές

ασφάλειας πληροφοριών.

Διαμόρφωση σχεδίου εκπαίδευσης και εγρήγορσης του

προσωπικού.

Σχεδιασμός και εφαρμογή ενός συστήματος πληροφόρησης

και αναφορών σχετικά με την ασφάλεια. Παράδειγμα

τέτοιων αναφορών, είναι αναφορές αξιολόγησης κινδύνων,

αποτελεσματικότητα υφιστάμενων μέτρων προστασίας, α-

πόκλιση από τις κανονιστικές απαιτήσεις.

Συντονισμός εφαρμογής της συνεχούς διαδικασίας ασφάλειας πληροφοριών

Προσδιορισμός και διαχείριση των πόρων και του προσωπικού

που απαιτούνται για το σχεδιασμό και την υλοποίηση

των βασικών αρχών της ασφάλειας πληροφοριών.

Οργάνωση και συντονισμός υλοποίησης των μέτρων προστασίας,

τα οποία προκύπτουν από τη πολιτική ασφάλειας

και τα ευρήματα των εκάστοτε αξιολογήσεων κινδύνων.

Έλεγχος αποτελεσματικής εφαρμογής της ασφάλειας πληροφοριών

Έλεγχος της επάρκειας και της αποτελεσματικότητας των

δικλείδων ασφαλείας, με βάση αποτελέσματα από διάφορους

τύπους ελέγχων.

Σύστημα συνεχούς ελέγχου και

παρακολούθησης

Η αποτελεσματική εφαρμογή της ασφάλειας πληροφοριών είναι

συνυφασμένη με την αποτελεσματική εφαρμογή ενός

πλαισίου συνεχούς παρακολούθησης και ελέγχου. Ο φορέας

ασφάλειας πληροφοριών σχεδιάζει και στη συνέχεια ε-

20 | security


φαρμόζει διαδικασίες επαναλαμβανόμενων ελέγχων, με στόχο

τη διατήρηση ενός ικανοποιητικού επιπέδου ασφάλειας

πληροφοριών.

Αυτά τα οποία χρειάζεται να παρακολουθούμε και να αξιολογούμε

όσον αφορά στην ασφάλεια πληροφοριών, είναι τα α-

κόλουθα:

Πληρότητα και αποτελεσματικότητα υφιστάμενων δικλείδων

ασφαλείας.

Τήρηση – συμμόρφωση με την υφιστάμενη πολιτική α-

σφάλειας.

Αξιολόγηση των κινδύνων ασφάλειας πληροφοριών.

Συμμόρφωση με κανονιστικό, θεσμικό πλαίσιο.

Τα παραπάνω είναι ανάγκη να ελέγχονται και να αξιολογούνται

ανά τακτά χρονικά διαστήματα, τα οποία προσδιορίζονται

από την αξία των ίδιων των πληροφοριών.

Για να γίνει αυτό, χρειάζεται η θέσπιση και εφαρμογή ενός

πλαισίου επαναλαμβανόμενων ελέγχων και αξιολογήσεων κινδύνων,

το οποίο σε ετήσια βάση θα περιλαμβάνει τα έξης:

1. Έλεγχος πληρότητας συστήματος διαχείρισης ασφάλειας

πληροφοριών.

2. Τακτικοί έλεγχοι (έλεγχοι τήρησης μέτρων προστασίας, ε-

παναλαμβανόμενοι σε τακτά χρονικά διαστήματα).

3. Αξιολόγηση κινδύνων ασφάλειας πληροφοριών.

4. Αξιολόγηση ασφάλειας, στο πλαίσιο ανάπτυξης νέων συστημάτων.

Η εφαρμογή ενός τέτοιου

πλαισίου αποτελεί ίσως την

πιο σημαντική διεργασία

του φορέα διαχείρισης της

ασφάλειας πληροφοριών.

Παράλληλα, απαιτεί σωστή

προετοιμασία. Απαιτεί προγραμματισμό

και θέσπιση

προτεραιοτήτων, βασισμένων

στα ακόλουθα:

Καταγραφή και κατηγοριοποίηση πληροφοριακών πόρων

σύμφωνα με την κρισιμότητά τους (σχήμα ταξινόμησης

πληροφοριών).

Προσδιορισμός αναφορικά με το ποια είναι τα πληροφοριακά

συστήματα τα οποία επηρεάζουν κρίσιμες επιχειρηματικές

διεργασίες ή / και πόρους.

Αξιολόγηση και προσδιορισμός των κινδύνων που αφορούν

στα συγκεκριμένα συστήματα και ταυτόχρονα την ε-

πίπτωσή τους στην επιχειρησιακή δραστηριότητα.

Κατάταξη των πληροφοριακών συστημάτων βάσει των παραπάνω

και απόφαση σχετικά με τη συχνότητα και το χρόνο

ελέγχου – παρακολούθησης των πληροφοριακών συστημάτων

και διεργασιών (τεχνογνωσία, πόροι, εργαλεία ε-

λέγχου, συσχέτιση με νομικό θεσμικό πλαίσιο).

Ρόλοι & Υπευθυνότητες σε σημαντικές

διεργασίες

Ολοκληρώνοντας την οριοθέτηση του ρόλου που καλείται να

ενσαρκώσει ο φορέας διαχείρισης της ασφάλειας πληροφοριών,

παραθέτουμε μερικές από τις κρίσιμες διαδικασίες στις

οποίες εμπλέκεται και τον τρόπο αποτελεσματικής διαχείρισης

αυτών.

Πολιτική Ασφάλειας Συστημάτων & Συμμόρφωση με Διεθνή

Standards - Συγγραφή, εξάπλωση και αναθεώρηση της

Πολιτικής Ασφάλειας. Οι ραγδαίες εξελίξεις στο χώρο της

πληροφορικής επιβάλλουν τη συμμόρφωση με διάφορα διεθνή

standards, αλλά και με το υφιστάμενο κανονιστικό πλαίσιο.

Χρειάζεται να προσδιοριστούν τόσο τα standards τα οποία θα

ακολουθηθούν, καθώς και να προσδιορισθούν οι αντικειμενικοί

στόχοι της συμμόρφωσης με τα συγκεκριμένα standards και

τις κανονιστικές απαιτήσεις. Επίσης, στα πλαίσια της συγκεκριμένης

ενασχόλησης είναι και η ευθύνη της υλοποίησης τόσο

της Πολιτικής ασφάλειας, όσο και των standards που θα επιλεγούν.

Διαδικασίες Ασφάλειας Συστημάτων - Τεκμηρίωση και έ-

λεγχος εφαρμογής όλων των διαδικασιών οι οποίες αφορούν

στην εφαρμογή των διαχειριστικών δικλείδων ασφαλείας κατά

την καθημερινή λειτουργία του Οργανισμού.

Business Continuity Plan - Συμμετοχή και διαχείριση των

σχετικών με την ασφάλεια πληροφοριών, σημείων ενός BCP.

Το BCP προδιαγράφει μία σειρά από ενέργειες οι οποίες θα

πρέπει να γίνονται τόσο κατά τη διάρκεια όσο και μετά από περιστατικά

έκτακτης ανάγκης, τα οποία έχουν προκαλέσει τη

διακοπή σημαντικών λειτουργιών των πληροφοριακών συστημάτων

της εταιρείας, τα οποία με τη σειρά τους εξυπηρετούν

security | 21


COVER ISSUE

Αποτελεσματική λειτουργία του Φορέα Διαχείρισης της Ασφάλειας Πληροφοριών

σημαντικής σημασίας λειτουργίες της εταιρείας. Το BCP περιλαμβάνει

διαδικασίες και οδηγίες που αφορούν στην πρόληψη

και αντιμετώπιση των περιστατικών έκτακτης ανάγκης, τόσο

σε επίπεδο πληροφοριακών συστημάτων, όσο και σε επίπεδο

διεκπεραίωσης των λειτουργιών της εταιρείας.

Εκπαίδευση & Ευαισθητοποίηση Εργαζομένων - Η πλειοψηφία

των κρουσμάτων που αφορούν στον τομέα της ασφάλειας

πληροφοριών προέρχεται από τους ίδιους τους εργαζόμενους

της εταιρείας, οι οποίοι είτε παραβιάζουν τα δικαιώματα

πρόσβασης τα οποία έχουν είτε προσπαθούν να χρησιμοποιήσουν

συστήματα και διαδικασίες για τα οποία δεν είναι

εξουσιοδοτημένοι.

Είναι σημαντικό όλοι οι εργαζόμενοι να είναι ενήμεροι τόσο για

τους κανόνες και τις διαδικασίες της ασφάλειας πληροφοριών

της εταιρείας, όσο και για τις υπευθυνότητες τις οποίες έχουν

σε σχέση με την ασφάλεια των συστημάτων και των δεδομένων

ευρύτερα. Παράλληλα, πρέπει ενημερωθούν για τον τρόπο

αντίδρασης σε περιπτώσεις κατά τις οποίες θα βρεθούν α-

ντιμέτωποι με κρούσματα ηλεκτρονικής απάτης.

Αξιολόγηση Κινδύνων (Risk Analysis) - Προσδιορισμός των

κινδύνων οι οποίοι προκύπτουν από την παραμετροποίηση του

κάθε πληροφοριακού πόρου αλλά και από τη λειτουργία του,

σε συνδυασμό με το σκοπό για τον οποίο χρησιμοποιείται. Η

αξιολόγηση κινδύνων προσδιορίζει τους κινδύνους και ταυτόχρονα

αξιολογεί την πιθανή αρνητική επίπτωση την οποία μπορεί

να προκαλέσουν. Τέλος προτείνει μία σειρά από δικλείδες

ασφαλείας οι οποίες θα ελαχιστοποιήσουν τους κινδύνους που

έχουν προσδιορισθεί.

Έλεγχοι, τήρηση Πολιτικής Ασφάλειας αλλά και του επιπέδου

ασφάλειας το οποίο έχει κριθεί ως ικανοποιητικό για το

περιβάλλον εργασίας της εταιρείας.

Διαβάθμιση Δεδομένων & Πληροφοριών - Προσδιορισμός

της κατάλληλης μεθόδου η οποία θα χρησιμοποιηθεί για

να καθοριστεί η διαβάθμιση των δεδομένων και κατ’ επέκταση

των πληροφοριακών συστημάτων. Φροντίζει για την εφαρμογή

της διαδικασίας και τον έλεγχο εφαρμογής της.

Χειρισμός έκτακτων περιστατικών παραβίασης της α-

σφάλειας - Έκτακτα περιστατικά παραβίασης της ασφάλειας

θεωρούνται όλα τα περιστατικά τα οποία είναι αντίθετα με τους

κανονισμούς ασφάλειας της εταιρείας, καθώς και τα περιστατικά

παρείσδυσης σε συστήματα για τα οποία οι χρήστες δεν

είναι εξουσιοδοτημένοι. Ο χειρισμός τέτοιων περιστατικών περιλαμβάνει

αναφορές προς τη Διοίκηση αλλά και διαδικασίες

χειρισμού τους σε περίπτωση που προκληθούν.

Διαμόρφωση υποδομής ασφάλειας συστημάτων - Η υποδομή

ασφάλειας συστημάτων περιλαμβάνει την περιγραφή ό-

λων των τεχνολογικών και διαδικαστικών δικλείδων ασφαλείας

οι οποίες θα αποτελέσουν τον πυρήνα της καθημερινής υποστήριξης

και τήρησης του επιθυμητού επιπέδου ασφάλειας των

συστημάτων της εταιρείας.

Πιστοποίηση ταυτότητας χρηστών & πληροφοριακών πόρων

- Μελέτη και κατευθύνσεις οι οποίες αφορούν στη λειτουργία

συγκεκριμένου σχήματος πιστοποίησης ταυτότητας

χρηστών. Το σχήμα θα πρέπει να είναι ανάλογο της αξίας των

δεδομένων τα οποία επεξεργάζονται καθημερινά.

Log off

Ο ρόλος και η λειτουργία ενός φορέα διαχείρισης και συντονισμού

της ασφάλειας πληροφοριών αποτελεί αναγκαιότητα. Η

εικονική λειτουργία ενός τέτοιου ρόλου καλύπτει θεσμικές ή κανονιστικές

απαιτήσεις, αλλά στην πραγματικότητα δεν μπορεί

να διαχειριστεί αποτελεσματικά τις απαιτήσεις ασφάλειας ενός

Οργανισμού.

Στις προηγούμενες παραγράφους αναπτύξαμε ένα οδηγό λειτουργίας,

διεργασιών και αρμοδιοτήτων ενός φορέα διαχείρισης

της ασφάλειας πληροφοριών, έτσι όπως προκύπτει από τις

σύγχρονες απαιτήσεις, τα πρότυπα και τις κανονιστικές διατάξεις.

Η λειτουργία ενός τέτοιου φορέα απαιτεί ανεξαρτησία και

στήριξη, μα πάνω απ’ όλα θέληση για αποτελεσματικότητα και

προστασία. iTSecurity

22 | security


Χαράλαμπος Γκιώνης

MSc Electrical Engineering (Computer Networks)

I SSUE

Web 2.0

Νέοι “δρόμοι” για προγραμματιστές και χρήστες

Στο δεύτερο μέρος του άρθρου για τη δυναμική και τα χαρακτηριστικά του,

θα αναφερθούμε μεταξύ άλλων στον όρο “Επίδραση Δικτύου”, στα κοινωνικά

δίκτυα, σ τις ανοικτές πηγές (Open Sources) και στα Blogs.

Επίδραση Δικτύου (Network Effect) και Αξία Ιστοθέσης (Power of the Web)

O

Ο όρος επιδράσεις δικτύου (network effect) αναφέρεται στην αυξανόμενη αξία ενός δικτύου, καθώς αυξάνεται

ο αριθμός των χρηστών του. Ο νόμος του Metcalfe αναφέρει ότι η αξία του δικτύου είναι ανάλογη με

το τετράγωνο του αριθμού των χρηστών του δικτύου (n 2 ) ή, ισοδύναμα, η αύξηση της αξίας ενός δικτύου

μεταβάλλεται εκθετικά με την αύξηση του αριθμού των χρηστών του δικτύου. Αν για παράδειγμα το δίκτυό

μας αποτελείται από πέντε χρήστες, τότε η αξία του δικτύου θα είναι ίση με 25 (=5 2 ) ενώ αν προσθέσουμε άλλον

ένα χρήστη, τότε η αξία του θα είναι ίση με 36 (=6 2 ).

security | 23


I SSUE

Web 2.0

Εικόνα 1: Στο σχήμα εμφανίζεται πώς αυξάνεται η αξία του δικτύου για έ-

να τηλεφωνικό δίκτυο

Ο νόμος του Metcalfe (Metcalfe law) χρησιμοποιείται για

να περιγράψει την αυξανόμενη αξία ενός δικτύου όπως

αυτό της σταθερής τηλεφωνίας, της κινητής τηλεφωνίας ή

ενός κοινωνικού δικτύου. Στο τηλεφωνικό δίκτυο, όσοι περισσότεροι

κατέχουν τηλεφωνική σύνδεση, τόσο μεγαλύτερη

αξία έχει για τους χρήστες αυτούς το δίκτυο. Στην

πληροφορική και στο Διαδίκτυο, τα πράγματα λειτουργούν

ακριβώς το ίδιο. Αν σκεφτούμε για παράδειγμα την ιστοθέση

της eBay, όσο πιο μεγάλος είναι ο αριθμός των α-

γοραστών και των πωλητών που χρησιμοποιούν την ιστοθέση,

τόσο πιο μεγάλη γίνεται η αξία της ιστοθέσης για

τους χρήστες. Ομοίως, αν σκεφτούμε κοινωνικές ιστοθέσεις

όπως η Facebook, Amazon κ.λπ.

Οι ιστοθέσεις κοινωνικής δικτύωσης βασίζονται πολύ στην

επίδραση του δικτύου και στη δημιουργία μιας αρχιτεκτονικής

συμμετοχής, που σκοπό έχει το προεπιλεγμένο μοίρασμα

του περιεχομένου με άλλους χρήστες, αυξάνοντας

την επίδραση του δικτύου, αφού αυξάνεται ο αριθμός των

χρηστών. Το μοίρασμα του περιεχομένου είναι προεπιλεγμένα

μοιραζόμενο, ώστε οι χρήστες να επιτρέπουν αυτόματα

το μοίρασμα, δημιουργώντας έτσι μια αρχιτεκτονική

συμμετοχή για τη δημιουργία του περιεχομένου της

ιστοθέσης. Οι εταιρείες χρησιμοποιούν απλά την ιστοθέση

ως πλατφόρμα πάνω στην οποία οι χρήστες δημιουργούν

το περιεχόμενο.

Κοινωνική δικτύωση/μέσα (social networks)

και Ιστοθέσεις Wikis

Οι ιστοθέσεις κοινωνικής δικτύωσης επιτρέπουν στους

χρήστες να παρακολουθούν τις υφιστάμενες διαπροσωπικές

τους σχέσεις και να δημιουργούν νέες. Αντίστοιχα

κοινωνικά μέσα αναφέρονται σε οποιαδήποτε μέσα και

μοιράζονται ηλεκτρονικά αρχεία (π.χ. παιχνίδια, μουσική,

φωτογραφίες κ.λπ.). Παραδείγματα κοινωνικής δικτύωσης

και κοινωνικών μέσων αποτελούν το Facebook, το Twitter,

MySpace, το SecondLife και το YouTube. Στις ιστοθέσεις

κοινωνικής δικτύωσης το κοινό μπορεί να δημιουργήσει

τη δική του ιστοσελίδα, να περιγράψει τον εαυτό του, να

αναρτήσει φωτογραφίες, τραγούδια, video clips που τους

αντιπροσωπεύουν ή αποτελούν μέρος της δουλειάς τους.

Στις ιστοθέσεις αυτές το κοινό (χρήστες) μοιράζεται το περιεχόμενο

που το ίδιο δημιουργεί πάνω σε πλατφόρμες

που παρέχονται από τις εταιρείες. Ταυτόχρονα οι χρήστες

μπορούν να αξιολογήσουν ή να σχολιάσουν το περιεχόμενο

που αναρτάται, ώστε να βοηθούν υπόλοιπους

χρήστες στην εύρεση αυτού που αναζητούν.

Αντίστοιχο παράδειγμα για τη δημιουργία του περιεχομένου

μιας ιστοθέσης αποτελούν τα wikis (λέξη από την

Hawaii που σημαίνει γρήγορα). Σ’ αυτές τις ιστοθέσεις οι

χρήστες επιτρέπεται να διαμορφώνουν, να επεξεργάζονται

το υφιστάμενο περιεχόμενο και να παρέχουν πρόσθετες

πληροφορίες. Κάθε φορά που ο χρήστης τροποποιεί

κάτι στη σελίδα, η προηγούμενη έκδοσή της εξακολουθεί

να είναι διαθέσιμη - ακόμη και να επαναφερθεί.

Το τελικό περιεχόμενο είναι χτισμένο με βάση τη συλλογική

ευφυΐα, όπου το σύνολο των χρηστών συνεισφέρει

στην επεξεργασία του περιεχομένου. Οι εφαρμογές (wiki

software) που χρησιμοποιούνται, επιτρέπουν τη συνεργασία

των χρηστών. Οι ιστοθέσεις wikis επιτελούν διάφορους

σκοπούς μέσα σε μια εταιρεία, Οργανισμό, Υ-

πηρεσία ή Εκπαιδευτικό Ίδρυμα. Η χρήση τους σαν σελίδες

αναφοράς της προόδου εργασιών, διευκολύνει τα μέλη

τους στην ενημέρωση και την εξέλιξη ενός έργου. Πολλά

πανεπιστημιακά ιδρύματα στο εξωτερικό συνεργάζονται

πάνω σε ιστοθέσεις wikis, επιτυγχάνοντας σημαντικά

αποτελέσματα. Επιπλέον, οι ιστοθέσεις αυτές επιτρέπουν

διάφορα δικαιώματα σε αντίστοιχους χρήστες (level

of access). Αντίστοιχα, πολλές εταιρείες χρησιμοποιούν

τα wikis για την ανάπτυξη και υποστήριξη προϊόντων, α-

νακαλύπτοντας ότι η συνεργασία αυτή πάνω σε διάφορα

έργα μειώνει τα email, τις τηλεφωνικές κλήσεις ανάμεσα

στους υπαλλήλους ενώ ταυτόχρονα υπάρχει δυνατότητα

24 | security


Διάγραμμα 1: Θεωρία Μεγάλης Ουράς

παρακολούθησης της εξέλιξης ενός έργου, με χαμηλό

κόστος.

Θεωρία Μεγάλης Ουράς (Long Tail)

Ο όρος αυτό επινοήθηκε από τον Chris Anderson και α-

ναφέρεται στο οικονομικό και επιχειρηματικό μοντέλο, με

βάση το οποίο η αγορά για μεγάλους αριθμούς ειδών μικρού

όγκου μπορεί να είναι σημαντική - και πολλές φορές

μεγαλύτερη από την αγορά για μικρούς αριθμούς ειδών υ-

ψηλού όγκου. Η ευκαιρία εκμετάλλευσης της θεωρίας Μεγάλης

Ουράς γίνεται πιο εύκολη μέσα από τη λειτουργία

μίας ηλεκτρονικής επιχείρησης Internet WEB 2.0. Η ηλεκτρονική

εταιρεία Netflix, η οποία έχει ένα κατάλογο με

πάνω από 80.000 τίτλους ταινιών για ενοικίαση, συνήθως

ενοικιάζει ένα μεγάλο όγκο λιγότερο δημοφιλών ταινιών ε-

πιπρόσθετα της αυξημένης ζήτησης, ενοικιάζοντας επιτυχημένους

τίτλους ταινιών. Αντίθετα, ένα μικρό τοπικά κατάστημα

ενοικίασης ταινιών έχει λίγο χώρο και εξυπηρετεί

ένα μικρό τοπικό πληθυσμό. Η Netflix εξυπηρετεί εκατομμύρια

πελάτες και δεν έχει φυσικούς περιορισμούς των καταστημάτων

της.

Οι επιχειρήσεις σαν την Netflix και την Amazon.com που

εφαρμόζουν αυτήν τη στρατηγική στηρίζονται στο κέρδος

από την πώληση μικρής ποσότητας από λιγότερο δημοφιλή

προϊόντα σε μεγάλο αριθμό πελατών, αντί να πωλούν μεγάλες

ποσότητες από δημοφιλή προϊόντα σε μειωμένο α-

ριθμό πελατών. Εργαζόμενος στην εταιρεία Amazon περιγράφει

τη Θεωρία Μεγάλης Ουράς ως εξής: «Πουλήσαμε

περισσότερα βιβλία σήμερα από όλα τα προϊόντα που πουλήσαμε

χθες, σε αντίθεση με αυτά τα προϊόντα που πουλήσαμε

σήμερα, από όλα τα βιβλία που πουλήσαμε χθες».

Στο διάγραμμα 1 παρουσιάζονται δύο καμπύλες, με τη μπλε

καμπύλη να αναπαριστά τα παλαιότερα καταστήματα με το

ευρύ κοινό και την κόκκινη τα νεότερα ηλεκτρονικά (online)

καταστήματα. Ο κατακόρυφος άξονας είναι τα έσοδα από

πωλήσεις, ενώ ο οριζόντιος είναι ο αριθμός των προϊόντων.

Όσο πιο νέο είναι το κατάστημα, τείνει να έχει μεγαλύτερη

“ουρά” και να επικεντρώνεται σε αξιόλογες πωλήσεις

στο δεξί τμήμα της καμπύλης. Δηλαδή, τα νεότερα

διαδικτυακά καταστήματα (κόκκινο χρώμα) χαμηλώνουν το

διάγραμμα από αριστερά και μεγαλώνουν και μακραίνουν

την “ουρά” από δεξιά.

Τα παραδοσιακά καταστήματα με το ευρύ κοινό και τα δημοφιλή

προϊόντα, επικεντρώνονται σε αξιόλογες πωλήσεις

στο αριστερό τμήμα της καμπύλης. Αντίθετα, τα νέα ηλεκτρονικά

καταστήματα καταλαμβάνουν το δεξί τμήμα της καμπύλης,

που περιλαμβάνει λιγότερο δημοφιλή προϊόντα αλλά

με αξιόλογες πωλήσεις. Με άλλα λόγια, οι παραδοσιακοί

έμποροι με κατάστημα βρίσκονται στο αριστερό μέρος του

διαγράμματος με περισσότερες πωλήσεις δημοφιλών προϊόντων

στο ευρύ κοινό. Αντίστοιχα, τα διαδικτυακά καταστήματα

βρίσκονται στο δεξί τμήμα του διαγράμματος, όπου η

πώληση λιγότερων δημοφιλών προϊόντων αλλά σε μεγαλύτερο

όγκο, υπερισχύει - και συνεπώς το εμπόριο σ’ αυτό το

τμήμα της καμπύλης καθίσταται ελκυστικό. Το λεγόμενο ευρύ

κοινό προσεγγίζεται με τους παραδοσιακούς (ενεργητικούς)

τρόπους διαφήμισης. Καθώς όμως μετατοπιζόμαστε

στο δεξί τμήμα της καμπύλης, οι πωλήσεις εξαρτώνται από

τους νέους (παθητικούς) τρόπους διαφήμισης, που αποτελούνται

από τη γνώμη, τα σχόλια και την αξιολόγηση των

χρηστών (users) που αναρτώνται δίπλα από το προϊόν.

Το μοντέλο της Μεγάλης Ουράς εμφανίζεται σήμερα σε

security | 25


I SSUE

Web 2.0

όλων των ειδών δραστηριοτήτων μας στο Διαδίκτυο. Οι μεγάλες

διαδικτυακές εταιρείες εφαρμόζουν το μοντέλο σε

εφαρμογές όπως δημιουργία λογισμικού ανοικτού κώδικα

(open source software), wikis, μοντέλα crowdsourcing (συνεργασία

πάνω σε πλατφόρμα για εργασία μιας εταιρείας),

μοντέλα crowdcasting (συνεργασία για την επίλυση ε-

φαρμογών ή έργων με σκοπό την απόκτηση νέων ιδεών)

κ.ά.

Κοινωνική Μηχανική (Social Engineering) και

Ανοικτές Πηγές (Open Sources)

Αν και ο όρος social engineering δεν υφίσταται σαν απευθείας

μετάφραση στα ελληνικά, θα τολμήσουμε να το ορίσουμε

ως ‘κοινωνική μηχανική’. Η κοινωνική μηχανική είναι

ίσως ο σημαντικότερος όρος που αφορά τους εργαζόμενους

και τη δικτυακή ασφάλεια μίας επιχείρησης. Αποτελεί

τη διαδικασία κατά την οποία κάποιο άτομο αποσπά από

κάποιον - πιθανότατα κακόβουλα - πληροφορίες που α-

φορούν στην κοινωνική του ζωή, την επικοινωνία (δια ζώσης

ή ηλεκτρονική), (προτιμήσεις, ενδιαφέροντα, κωδικούς,

αριθμούς πιστωτικών καρτών, προσωπικά στοιχεία όπως

Α.Φ.Μ, προσωπικές πληροφορίες για αγαπημένα πρόσωπα

μέσω φωτογραφιών κ.ά.). Κυρίως συλλέγονται πληροφορίες

με ψυχολογικά μέσα μέσω της πειθούς, όπως για παράδειγμα

θα έκανε ένας πειστικός τεχνικός του υπολογιστή

μας, δημιουργώντας ένα ψευδές σενάριο περί της βλάβης

αυτού. Οι πληροφορίες αυτές συλλέγονται από το επίδοξο

άτομο είτε άμεσα αποσπώντας τες από το ίδιο το θύμα/

χρήστη Διαδικτύου μετά από προφορική, διαδικτυακή,

γραπτή συζήτηση - είτε έμμεσα, χρησιμοποιώντας πληροφορίες

που το ίδιο το θύμα/ χρήστης έχει αναρτήσει στο

Διαδίκτυο. Μπορεί δηλαδή οι πληροφορίες αυτές να δίνονται

με τη βούλησή μας ή με την άγνοιά μας ή ταυτόχρονα

και με τα δύο. Με τη βούλησή μας, όταν ο θύτης έχει

κερδίσει την εμπιστοσύνη μας και με την άγνοιά μας όταν

προσωπικές μας πληροφορίες έχουν αναρτηθεί σε διάφορες

ιστοθέσεις.

Κάθε μία πληροφορία από μόνη της, πιθανότατα δεν ε-

γκυμονεί κινδύνους για τη χρήση της από έναν κακόβουλο

χρήστη του Διαδικτύου. Αποκτώντας όμως αυτός πρόσβαση

σε ένα σύνολο στοιχείων μας και συνδυάζοντάς τα

αυτά μεταξύ τους, αποκτά ένα σημαντικό προβάδισμα έ-

ναντι της διαδικτυακής μας ασφάλειας - είτε της προσωπικής

είτε της ασφάλειας του δικτύου της επιχείρησης. Ατομικά,

ο συνδυασμός και η χρήση των πληροφοριών αυτών

από τρίτο άτομο, ίσως να μας στερήσουν μερικές εκατοντάδες

ή και χιλιάδες ευρώ από την πιστωτική μας κάρτα.

Γενικότερα όμως, σε ένα μεγάλο Οργανισμό ή επιχείρηση,

όπου η οικονομική, βιομηχανική ή εθνική κατασκοπεία είναι

βασικής προτεραιότητας, η κοινωνική μηχανική αποκτά

ιδιαίτερη σπουδαιότητα. Στις περιπτώσεις αυτές δεν αρκούν

μόνο τα φυσικά μέσα προστασίας, οι ειδικές άδειες

εισόδου, οι ταυτότητες εισόδου ή οι φυσικές κλειδαριές

του χώρου του δικτύου. Το προσωπικό θα πρέπει επίσης

να είναι ενημερωμένο για τις δυνατότητες ενός επίδοξου

ατόμου. Για τη δυνατότητά του να μας αποσπάσει πληροφορίες

ανάλογα με τη θέση μας στην εταιρεία, ενώ έχει

κερδίσει την εμπιστοσύνη μας. Το social engineering έχει α-

ποκτήσει μεγάλη σημασία στις μέρες μας, καθόσον πολλά

προσωπικά και επαγγελματικά μας στοιχεία βρίσκονται α-

ναρτημένα στο Διαδίκτυο.

Η αρχική και βασική μέθοδος συγκέντρωσης πληροφοριών,

για παράδειγμα κατά την εφαρμογή penetration test

για μια επιχείρηση στο Web 2.0, είναι η αναζήτηση της ε-

πωνυμίας και παραπλήσιων πληροφοριών στη διάσημη μηχανή

αναζήτησης Google, μέσω ανοικτών πηγών (open

source). Οι επιπλέον πληροφορίες που μπορούν εύκολα

να συλλεχθούν από τα στελέχη της επιχείρησης, είναι πολύ

σημαντικές για την εφαρμογή της ασφάλειας πληροφοριών

στο δίκτυο υπολογιστών της επιχείρησης.

26 | security


Ιστολόγια (Blogging) – Δημοσιογραφία των

πολιτών

Ο όρος προέρχεται από τον όρο weblog και αποτελεί

μια λίστα ιστοθέσεων που παρουσιάζουν ενδιαφέρον και

ενημερώνεται σε τακτά χρονικά διαστήματα. Σε ορισμένες

περιπτώσεις τα ιστολόγια συναντούνται με τα μέσα κοινωνικής

δικτύωσης. Τέτοιες ιστοθέσεις υφίστανται από τη

δεκαετία του 90, αλλά τα τελευταία χρόνια παρουσιάζουν

μεγάλη αύξηση λόγω των λειτουργικότερων και ευκολότερων

στη χρήση λογισμικών, καθώς και λόγω της όλο και

πιο φθηνής πρόσβασης στο Internet. Τα ιστολόγια έχουν

γίνει ένα κοινωνικό φαινόμενο που προκαλεί τους χρήστες

να συμμετάσχουν - και όχι απλά να τα διαβάσουν. Τα

σχόλια κάθε αναγνώστη δημιουργούν μια διαδραστική ε-

μπειρία, επιτρέποντας στους χρήστες να αντιδρούν σε κάθε

καταχώριση. Περίπου το 90% των ιστολογίων επιτρέπουν

στο χρήστη να κάνει σχόλια, αφού επιτυχημένα ι-

στολόγια θεωρούνται αυτά που δίνουν προσοχή στα σχόλια

των χρηστών. Ταυτόχρονα όμως, αν επιτρέπονται τα

σχόλια, τότε αυξάνεται η πιθανότητα εμφάνισης ενοχλητικών

μηνυμάτων (π.χ. σχόλια, εκφράσεις, ενοχλητικές συνδέσεις)

αλλά αντίστοιχα αυξάνεται κατά κάποιο τρόπο η

αξία του δικτύου (αφού θα συμμετάσχουν περισσότεροι

χρήστες).

Τα ιστολόγια έχουν ενθαρρύνει και τη δημοσιογραφία των

πολιτών, επιτρέποντας στον κάθε χρήστη να γίνει δημοσιογράφος.

Στην εποχή μας, για τη νέα γενιά κυρίως, οι ι-

στοθέσεις έχουν αποσπάσει χρήστες από τα παραδοσιακά

μέσα ενημέρωσης (τηλεόραση, περιοδικά, εφημερίδες)

και έχουν γίνει μια καθημερινή άμεση πηγή ειδήσεων. Η

μορφή αυτής της συμμετοχικής δημοσιογραφίας είναι λιγότερο

μεροληπτική από τη συνηθισμένη δημοσιογραφία,

ιδιαίτερα όταν τηρούνται ορισμένοι κανόνες της συλλογικής

ευφυΐας. Ο χρήστης όμως είναι αυτός που τελικά θα

επιλέξει το κατάλληλο γι’ αυτόν ιστολόγιο - αυτό που “συμφωνεί”

περισσότερο με τις δικές του απόψεις και ιδέες.-

όπως ακριβώς συμβαίνει με τον ημερήσιο (έντυπο) τύπο

ή τα τηλεοπτικά μέσα ενημέρωσης.

Στον επιχειρηματικό κλάδο τα ιστολόγια προσφέρουν στα

μέλη μιας επιχείρησης νέες δυνατότητες επικοινωνίας, α-

νταλλαγής απόψεων και τεχνογνωσίας, ακόμη και αν δεν

βρίσκονται στον ίδιο φυσικό χώρο. Η καλλιέργεια της συνεργατικότητας

μέσα από αυτά, εκτός από τη σύσφιξη

σχέσεων έχει και πρακτικά αποτελέσματα στην επίλυση

διαφόρων θεμάτων.

Επίλογος

Η ανάπτυξη του Διαδικτύου προήλθε από τρεις βασικούς

παράγοντες. Αρχικά από τη διείσδυση του διαθέσιμου εύρος

ζώνης (bandwidth) (δηλαδή τη χωρητικότητα μεταφοράς

πληροφοριών από ένα μέσο διάδοσης) ή αλλιώς

χρήση του ευρυζωνικού Internet. Επιπλέον, η ανάπτυξη

τεχνολογιών στο υλικό των ηλεκτρονικών συστημάτων

(hardware) το οποίο γίνεται συνεχώς φθηνότερο και ταχύτερο,

επέδρασε θετικά στην εξέλιξη του Διαδικτύου. Τέλος,

η ανάπτυξη πολύπλευρων και εξελιγμένων εφαρμογών

(software) ανοικτού πηγαίου κώδικα έχει ως αποτέλεσμα

φθηνότερες και περισσότερο προσαρμοσμένες επιλογές

στο λογισμικό, ανάλογα με τη χρήση του.

Αν και το WEB 2.0 υποδηλώνει την αναβάθμιση της χρήσης

του παγκόσμιου ιστού, αυτό δεν σημαίνει ότι εκτελέστηκε

κάποιου είδους αναβάθμιση στο υλικό (hardware)

που χρησιμοποιείται. Αντίθετα, αποτελεί μια αλλαγή της

σχεδίασης των εφαρμογών (software) από τους προγραμματιστές

και αλλαγή στον τρόπο χρήσης του από

τους χρήστες (users). Αρχικά ο χρήστης έπαιρνε μέσω

του δικτύου πληροφορίες από το διακομιστή. Στη συνέχεια,

περισσότερες δυνατότητες δίνονταν στις εφαρμογές

να αναπτυχθούν πάνω στο ίδιο το δίκτυο. Σήμερα τα

προγράμματα περιήγησης αποτελούν πλέον το νέο χρήστη

και το Διαδίκτυο αποτελεί το διακομιστή ή την πλατφόρμα

για το χρήστη.

Η εξέλιξη για το WEB 3.0 θα είναι περισσότερο από οτιδήποτε

άλλο και σε τεχνολογική βάση. Στο σημασιολογικό

ιστό (semantic web) ή στο νόημα των δεδομένων - ό-

πως ονομάζεται το WEB 3.0 - θα έχει βάση η σημασία των

δεδομένων, όπου οι βάσεις δεδομένων θα μπορούν να

συνδυάζονται ανάλογα με το τι εννοεί ο χρήστης και με

βάση τη νοημοσύνη που αντίστοιχα θα εκφράζει το αίτημά

του. Η χρήση τεχνικών που βασίζονται σε ανοικτές πηγές

και τα ελεύθερα προς χρήση δεδομένα, θα έχουν ως

αποτέλεσμα τη χρήση των δεδομένων ως υπηρεσία (Data

as a Service), χωρίς να έχει σημασία πού θα είναι αποθηκευμένα

αυτά. Η τεχνολογία στην πληροφορική αναπτύσσεται

και μένει μόνο να εξερευνήσουμε το WEB 3.0

στην πράξη, στο άμεσο μέλλον.

ΒΙΒΛΙΟΓΡΑΦΙΑ

P. J. Deitel, H. M Deiterl, “Προγραμματισμός Internet &

World Wide Web”, Γκιούρδας, 2008 iTSecurity

security | 27


I SSUE

Της Παναγιώτας Τσώνη

Ο ρόλος

των εργαζομένων στο DLP

Η επιτυχία μιας πολιτικής DLP εξαρτάται σε πάρα πολύ μεγάλο βαθμό από την εκπαίδευση

και τη βαθιά κατανόηση των πολιτικών ασφαλείας που εφαρμόζονται στις Επιχειρήσεις και

τους Οργανισμούς.

ία Επιχείρηση για να θεωρηθεί βιώσιμη στις μέρες μας, πρέπει να φροντίζει πρωτίστως, για την προστασία

από παντός είδους απειλές, ηθελημένες ή όχι. Η ασφάλεια που πρέπει να επιδιώκεται αφορά τόσο

στην υλικοτεχνική υποδομή της επιχείρησης και την προστασία των εργαζομένων της, όσο και στη φύ-

Mλαξη των δεδομένων και πληροφοριών που διαχειρίζεται.

28 | security


Στην τελευταία περίπτωση ανήκει και αυτό που ονομάζεται

«Αποτροπή απώλειας δεδομένων- Data Loss

Prevention (DLP)» και υπεύθυνος για την υλοποίησή της

είναι το αντίστοιχό ΙΤ τμήμα κάθε εταιρείας, που συντάσσει

πολιτικές ασφάλειας ανάλογα με τις τρέχουσες απαιτήσεις.

Το κλειδί της επιτυχίας αυτών των κανόνων που

δημιουργούνται είναι να άπτονται των καθημερινών αναγκών

τόσο της επιχείρησης όσο και των εργαζομένων και

να συνδυάζονται με την επαρκή εκπαίδευση του προσωπικού,

ώστε να αποφεύγονται σφάλματα κατά τη διαχείριση

της πληροφορίας. Η κάθε μία από τις παραπάνω α-

παιτήσεις φέρει το δικό της βάρος στην εξίσωση της προστασίας

των δεδομένων, αλλά και οι δύο συμβάλλουν εξίσου

στην επιχειρησιακή ευρωστία.

Όσον αφορά στο ανθρώπινο δυναμικό της εκάστοτε ε-

ταιρείας, αφετηρία σύνταξης μιας πολιτικής DLP είναι η

παραδοχή ότι κανένας δεν θα διέρρεε σκοπίμως τα δεδομένα

της εταιρείας προς τρίτους, μιας και η επιτυχία του

συνολικού έργου αποτελεί και προσωπική επιτυχία για τον

καθένα. Το επόμενο βήμα για την επίτευξη του στόχου

κάθε πολιτικής είναι η ενημέρωση σχετικά με τους κανόνες

διαχείρισης των δεδομένων και η συμφωνία λειτουργίας

μέσα σε αυτό το πλαίσιο. Συγκεκριμένα, σχετικά με τη

σύνταξη μιας πολιτικής DLP πρέπει να ξεκαθαρίζονται τα

κατωτέρω:

Η αποδεκτή χρήση των εφαρμογών ηλεκτρονικού ταχυδρομείου.

Το είδος τον πληροφοριών που επιτρέπεται να διαμοιράζονται

μέσω email.

Η κατηγοριοποίηση των δεδομένων ανάλογα με το

βαθμό εμπιστευτικότητας που τα χαρακτηρίζει.

Οι περιορισμοί προς τους αποδέκτες συγκεκριμένων

πληροφοριών, όπως για παράδειγμα να απαγορεύεται

η αποστολή εταιρικών πληροφοριών σε προσωπικούς

λογαριασμούς email.

Σημειώνεται ότι μία πολιτική DLP δεν μπορεί παρά να ε-

ξελίσσεται διαρκώς, τόσο γρήγορα όσο επιτάσσουν οι τεχνολογικές

αλλαγές στην επικοινωνία προκειμένου να διασφαλίζει

ουσιαστική προστασία των δεδομένων και να μην

παρακωλύει ταυτόχρονα την εξέλιξη της επιχείρησης.

Το ηλεκτρονικό ταχυδρομείο ως πηγή

διαρροής πληροφοριών.

Η ανάγνωση μιας δεκαετούς πολιτικής ασφάλειας email

θα παρουσίαζε τόσο σημαντικές ελλείψεις σε σχέση με τα

θέματα που ανακύπτουν στις μέρες μας, που θα φαινόταν

τουλάχιστον ανεπίκαιρη. Η παρατήρηση αυτή βοηθά στην

κατανόηση των σημαντικών αλλαγών που έχει επιβάλλει η

τεχνολογική εξέλιξη στην καθημερινότητά μας και οδηγεί

στο συμπέρασμα ότι κάθε πολιτική ασφαλείας πρέπει να

ανανεώνεται έγκαιρα και στοχευμένα, σε σχέση με τις διαδραματιζόμενες

αλλαγές.

Ειδικότερα για τις τεχνολογίες επικοινωνίας μέσω email,

παλαιότερα η πρόσβαση στον εταιρικό λογαριασμό κάθε

εργαζόμενου γινόταν με τη χρήση τερματικών που ήταν ά-

μεσα συνδεδεμένα σε κεντρικούς Η/Υ, επιτρέποντας τον

απόλυτο έλεγχο της διακινούμενης πληροφορίας. Στις μέρες

μας, η εξέλιξη στη δικτύωση επιτρέπει την πρόσβαση

στο email της εταιρείας ποικιλοτρόπως και μέσω πληθώρας

συσκευών. Έτσι ο εργαζόμενος έχει πρόσβαση τόσο

από το δίκτυο της εταιρείας -χρησιμοποιώντας τους

τοπικούς υπολογιστές - όσο και από τον οικιακό του υ-

πολογιστή, από το smartphones, από το φορητό του υ-

πολογιστή, ενώ πολλές φορές η επικοινωνία τελείται μέσω

δημόσιων δικτύων.

Σαφώς οι εταιρικές συσκευές και το εσωτερικό δίκτυο είναι

τα πιο ασφαλή, μιας και αναπτύσσονται και ελέγχονται

από τους IT διαχειριστές. Τυπικά, ο βαθμός εμπιστοσύνης

απέναντί τους είναι υψηλός, γιατί ο κίνδυνος που ελλοχεύει

από αυτές τις συσκευές είναι πλήρως κατανοητός

και ελεγχόμενος. Ακόμα και οι προσωπικές συσκευές των

υπαλλήλων μπορούν να θεωρηθούν κατά μία έννοια έμπιστες,

μιας και το τμήμα ΙΤ μπορεί να απαιτήσει συγκεκριμένο

τρόπο διαμόρφωσης και να θέσει κανόνες επικοινωνίας,

ώστε να επιτρέψει την είσοδο του εργαζόμενου στο

δίκτυο της εταιρείας. Το πρόβλημα που ανακύπτει σε αυτές

τις περιπτώσεις είναι το ενδεχόμενο «σφάλμα» ή «ατύχημα»

που μπορεί να συμβεί. Ως «σφάλμα» εννοούμε

γεγονότα όπως την απροσεξία του εργαζόμενου που στέλνει

εμπιστευτικές μη κωδικοποιημένες πληροφορίες της ε-

ταιρείας μέσω δημόσιου δικτύου, ενώ ως «ατύχημα» εννοούμε

την κλοπή μιας τέτοιας συσκευής.

Ο χειρότερος εφιάλτης τον ΙΤ διαχειριστών είναι οι συσκευές

που δεν είναι δυνατό να ελεγχθούν, όπως οι υποsecurity

| 29


I SSUE

Ο ρόλος των εργαζομένων στο DLP

λογιστές ξενοδοχείων ή συνεδριακών κέντρων ή τα οικιακά

συστήματα των υπαλλήλων που διαμοιράζεται όλη η οικογένεια,

με αδιαφορία συνήθως προς τους κανόνες α-

σφαλείας της επιχείρησης. Ο μόνος τρόπος προστασίας

από αυτές τις συσκευές είναι η θέσπιση κανόνων επικοινωνίας,

με γνώμονα την ασφάλεια της πληροφορίας και

την ύπαρξη στοιχειωδών απαιτήσεων διαμόρφωσης, προκειμένου

να επιτραπεί η σύνδεση στο εταιρικό δίκτυο. Σημαντική

παρατήρηση είναι ότι εφόσον οι τρόποι πρόσβασης

στους email λογαριασμούς των εργαζομένων διαρκώς

αυξάνονται, οι πολιτικές προστασίας πρέπει να διαφοροποιούνται

με τον ίδιο ρυθμό, θεσπίζοντας νέους κανόνες

και καταργώντας παλαιότερους.

Αποδεκτή Χρήση

Ο όρος «αποδεκτή χρήση» χρησιμοποιείται για να περιγράψει

το είδος της επικοινωνίας που μπορεί κάποιος να

διενεργήσει μέσω του εταιρικού email. Παλαιότερα, αποδεκτή

χρήση σήμαινε επικοινωνία για αυστηρά εταιρικά θέματα,

όπως ο ορισμός της ώρας μιας σύσκεψης και η ενημέρωση

για την πορεία ενός έργου. Σήμερα οι εταιρείες δίνουν

έμφαση στο ανθρώπινο πρόσωπό τους και επιθυμούν

την κοινωνική έκφραση των υπαλλήλων τους. Έτσι, στην α-

ποδεκτή χρήση περιλαμβάνονται μηνύματα ευχών μεταξύ υ-

παλλήλων, ορισμός συναντήσεων εκτός εταιρείας κ.ά.

Από την άλλη μεριά, τα όρια της προσωπικής και εταιρικής

ζωής του κάθε εργαζόμενου γίνονται ολοένα και λιγότερο

διακριτά. Αν πριν κάποιες δεκαετίες δουλειά στο

σπίτι σήμαινε η επεξεργασία κάποιων εγγράφων, στις μέρες

μας ο υπάλληλος μπορεί να ελέγξει το εταιρικό του

email προτού ξεκινήσει για την εταιρεία και στο δρόμο να

επικοινωνεί με τους συνεργάτες του, διευθετώντας ζητήματα

πριν ακόμα φτάσει στο γραφείο του. Σαφώς αυτό ι-

σχύει και αντιστρόφως και ενόσω ο υπάλληλος βρίσκεται

στην εταιρεία του μπορεί να επικοινωνεί με την οικογένεια

και τους φίλους του.

Η λογική πλέον ερμηνεία της αποδεκτής χρήσης του εταιρικού

email περιλαμβάνει επικοινωνία μεταξύ συζύγων, φίλων,

γονέων και παιδιών και επιτρέπεται εφόσον δεν παρεμβαίνει

στην τελούμενη εργασία, δεν προσθέτει κόστος

στην εταιρεία και δεν εγείρει θέματα ασφάλειας. Οι πολιτικές

ασφάλειας email οφείλουν να παρέχουν αυτή την ισορροπία

μεταξύ της εξυπηρέτησης των αναγκών της εταιρείας

και των απαιτήσεων για επικοινωνία των εργαζομένων.

Δεν υπάρχει μόνο το ηλεκτρονικό

ταχυδρομείο

Η επικοινωνία στις μέρες μας άλλαξε σημαντικά με την υιοθέτηση

των Web 2.0 τεχνολογιών, οι οποίες επιτρέπουν

την αμφίδρομη επικοινωνία των ιστοσελίδων με τους χρήστες.

Έτσι το email έπαψε να είναι ο μόνος τρόπος διαρροής

πληροφοριών εκτός του εταιρικού δικτύου, μιας και

ένας εργαζόμενος μπορεί αποκαλύψει δεδομένα - όπως το

έργο που ζήτησε συγκεκριμένος πελάτης - σε ένα blog ή

σε μια ιστοσελίδα κοινωνικής δικτύωσης όπου διατηρεί λογαριασμό.

Οι αναγνώστες των εταιρικών πληροφοριών

μπορεί να είναι φίλοι και συγγενείς, άγνωστοι και αδιάφοροι

επί του θέματος ή εχθροί που συλλέγουν πληροφορίες

για να κινηθούν κατά της εταιρείας.

Σε όλες αυτές τις περιπτώσεις τα δεδομένα είτε είναι ευαίσθητα

είτε όχι, δεν δημοσιοποιούνται μέσω email, οπότε ο

εργαζόμενος μπορεί να θεωρήσει ότι δεν άπτονται των πολιτικών

email της εταιρείας. Η τεχνολογία Web 2.0 δημιούργησε

πρόσφορο έδαφος για την απώλεια δεδομένων και

ο μόνος τρόπος προστασίας είναι ο αυστηρός καθορισμός

της αποδεκτής χρήσης και η πλήρης αποσαφήνιση των κανόνων

στο προσωπικό που διαχειρίζεται τα δεδομένα, ώστε

να μην παρατηρούνται φαινόμενα διαρροής.

Εκπαίδευση στο DLP

Η απώλεια δεδομένων μπορεί να αποτραπεί μόνο αν οι εργαζόμενοι

επιμορφωθούν σχετικά με τους κανόνες των πολιτικών

ασφαλείας που εφαρμόζονται στην εταιρεία. Η επι-

30 | security


τυχία μιας πολιτικής DLP έγκειται στην πληρότητα και τη σαφήνειά

της. Δηλαδή, πρέπει να περιέχει όλους τους πιθανούς

τρόπους επικοινωνίας και ανταλλαγής δεδομένων, ό-

πως email, blogs, μηνύματα πραγματικού χρόνου, ιστοσελίδες

κοινωνικής δικτύωσης, ψηφιακές εγκυκλοπαίδειες και εν

γένει οποιοδήποτε εργαλείο διαμοιρασμού πληροφορίας.

Από την άλλη, ο προσδιορισμός της αποδεκτής χρήσης πρέπει

να είναι σαφής και λογικός, εξισορροπώντας τις ανάγκες

της εταιρείας και τις προσωπικές ανάγκες των εργαζομένων.

Αυτό θα βοηθούσε στη μείωση των διαρροών δεδομένων

που οδήγησε σε απολύσεις στο 26% των ερωτηθέντων α-

μερικανικών εταιρειών και την επιβολή πειθαρχικών μέτρων

στο 51% των ίδιων εταιρειών.

Το πρώτο βήμα της επιμόρφωσης με στόχο την κατανόηση

της πολιτικής DLP είναι να γίνει αντιληπτή η κατηγοριοποίηση

των δεδομένων και πληροφοριών που υπάρχουν

στην εταιρεία και ο τρόπος χειρισμού τους. Είθισται

οι εταιρείες να διαχωρίζουν τις πληροφορίες τους σε τέσσερις

βασικές κατηγορίες:

1. Δημόσιες πληροφορίες οι οποίες διαμοιράζονται ε-

λεύθερα εκτός του εταιρικού δικτύου σε όποιον έχει εκδηλώσει

ενδιαφέρον, όπως είναι πληροφορίες για την

κτιριακή συντήρηση ή την αλλαγή της πολιτικής στάθμευσης.

2. Ευαίσθητες πληροφορίες που δεν επιτρέπεται ο διαμοιρασμός

τους, αλλά τυχόν διαρροή τους δεν θα έ-

βλαπτε την εταιρεία, τους πελάτες ή τους συνεργάτες

της, όπως αναφορές σχετικές με την εξέλιξη ενός έργου,

ωρολόγια προγράμματα υπαλλήλων ή η εγκεκριμένη

λίστα προμηθευτών.

3. Ιδιωτικές πληροφορίες, αποτελούν τα προσωπικά δεδομένα

εργαζομένων, πελατών ή ασθενών, τα οποία

κρατούνται εμπιστευτικά από την εταιρεία, όπως είναι

το Α.Φ.Μ. ή το ιατρικό ιστορικό ενός ασθενούς.

4. Απόρρητες πληροφορίες, οι οποίες αν δημοσιοποιηθούν

μπορούν να βλάψουν την εταιρεία, όπως μυστικές

συμφωνίες εμπορικών συναλλαγών ή μη δημοσιοποιημένα

οικονομικά θέματα.

Σαφώς όλοι οι υπάλληλοι μιας εταιρείας δεν έχουν πρόσβαση

σε όλες τις κατηγορίες πληροφοριών που προαναφέρθηκαν,

αλλά κάθε τμήμα ξεχωριστά διαχειρίζεται κάποιες

από αυτές. Έτσι η επιμόρφωση πρέπει να γίνεται στοχευμένα,

να είναι σχετική με το αντικείμενο παραγωγής

του κάθε υπαλλήλου και να διασφαλίζεται ότι στο τέλος της

διαδικασίας ο υπάλληλος κατανόησε πλήρως τους κανόνες

που τίθενται από την εταιρεία, συμφωνεί λογικά με αυτούς

και αντιλαμβάνεται τις κυρώσεις αν τους παραβεί.

Κατανόηση των πολιτικών ασφαλείας

Όσος χρόνος και να αφιερωθεί στην επιμόρφωση των υ-

παλλήλων, ποτέ δεν διασφαλίζεται ότι ο κάθε εργαζόμενος

έχει αντιληφθεί πλήρως τους κανόνες και την ευαισθησία

των δεδομένων που διαχειρίζεται. Όμως η εκάστοτε

εταιρεία δεν μπορεί να ρισκάρει τη διαρροή των δεδομένων

της - είτε αυτό γίνει εσκεμμένα είτε λόγω παρανόησης

- μιας και η διαδικασία είναι μη αναστρέψιμη.

Γι’ αυτόν το λόγο τα ΙΤ τμήματα των εταιρειών επιφορτίζονται

με το επιπλέον έργο της χρήσης λογισμικών, που

διαμορφώνουν σύμφωνα με τους κανόνες ασφαλείας τους

οποίους έχουν ορίσει και που λειτουργούν ως αυτοματοποιημένα

εργαλεία DLP. Με τα εργαλεία αυτά οι κανόνες

δεν ανακοινώνονται απλώς, αλλά και επιβάλλονται και οι ΙΤ

διαχειριστές ελέγχουν καλύτερα τα συμβάντα εντός του

εταιρικού δικτύου, σημειώνοντας το είδος των παραβάσεων,

τη συχνότητα που συμβαίνουν και τους εργαζομένους

που εμπλέκονται. Έτσι είναι σε θέση να εφαρμόσουν δίκαια

οποιαδήποτε πειθαρχικά μέτρα, να εντοπίσουν αδυναμίες

στους θεσπισμένους κανόνες και να αναγνωρίσουν τα σημεία

όπου η επιμόρφωση αποδείχθηκε ελλιπής.

Τέλος, η κατανόηση από τους εργαζόμενους ότι ελέγχονται

για τη δραστηριότητά τους εκτός εταιρικού δικτύου,

λειτουργεί αφυπνιστικά και τους καθιστά πιο προσεκτικούς

και συνετούς στη χρήση των εταιρικών δεδομένων.

Εν κατακλείδι, οι εργαζόμενοι είναι αυτοί που διαδραματίζουν

το σημαντικότερο ρόλο στη DLP και η επιτυχία ο-

ποιασδήποτε πολιτικής ασφαλείας καθορίζεται από το αν

λαμβάνει υπόψη τους νέους τρόπους που επικοινωνούν οι

εργαζόμενοι, αν επικοινωνείται αποτελεσματικά με αυτούς

μέσω επιμόρφωσης και αν υπάρχουν αυτοματοποιημένα

εργαλεία DLP που θα επιβάλλουν αν χρειαστεί τη σωστή

διαχείριση των δεδομένων. iTSecurity

security | 31


I SSUE

Της Παναγιώτας Τσώνη

Προστασία δεδομένων στα εικονικά

περιβάλλοντα

Η εικονικοποίηση των υποδομών IT, εκτός από μία επιλογή που οδηγεί σε μείωση του κόστους

λειτουργίας, μπορεί να αποτελέσει και πυλώνα για την προστασία δεδομένων από ενδεχόμενους

κινδύνους.

H

Η τεχνολογική εξέλιξη σε επίπεδο υλικού υπολογιστικών συστημάτων οδήγησε μοιραία και στην άνθηση της

ανάπτυξης περιπλοκότερων και αρτιότερων λογισμικών εφαρμογών, που πολλές φορές αντικαθιστούν σε λειτουργικότητα

τα παραδοσιακά μηχανήματα. Στις μέρες μας, οποιοδήποτε εταιρικό ΙΤ τμήμα επενδύει σημαντικά

σε λογισμικό, με στόχο την ενδυνάμωση των υπηρεσιών που παρέχει και ταυτόχρονα τη μείωση του υλικού

που απαιτείται για την υλοποίηση των προαναφερομένων. Μία από τις πιο δημοφιλείς τεχνολογίες αυτής της κατηγορίας

είναι το virtualization ή αλλιώς τα «εικονικά περιβάλλοντα», τόσο σε επίπεδο servers όσο και σε επίπεδο αποθήκευσης (storage),

που στόχο έχουν την απλοποίηση της αρχιτεκτονικής δομής των εταιρικών συστημάτων, τη μείωση του κόστους και την εύκολη

ανάκαμψη από ενδεχόμενα ατυχήματα - αλλά και τέλος, την υποβολή σε δοκιμή των εκάστοτε εταιρικών συστημάτων.

Ενισχυμένη προστασία με λιγότερο υλικό

Παρόλο που η ιδέα του virtualization υφίσταται εδώ και δεκαετίες, η γοργή υιοθέτησή του από ΙΤ τμήματα όλου του εύρους

και διαφορετικής τοπολογίας, είναι που έκανε την αίσθηση. Και ενώ αρχικά η τεχνολογία χρησιμοποιήθηκε κυρίως για να θέ-

32 | security


τει υπό δοκιμή τα εταιρικά συστήματα, τώρα αποτελεί έναν

κρίσιμο παράγοντα σε κάθε περιβάλλον παραγωγής.

Η ιδέα του εικονικού περιβάλλοντος είναι απλή στη σύλληψή

της, αλλά παρέχει ένα πλήθος πλεονεκτημάτων που δεν

μπορούν να αγνοηθούν. Ουσιαστικά, σε ένα υπολογιστικό

σύστημα εκτελείται ένα πρόγραμμα όπως όλα τα υπόλοιπα,

το οποίο ονομάζεται «εικονική μηχανή» - virtual machine. Σε

κάθε διαφορετική εικονική μηχανή που φιλοξενείται στον ί-

διο υπολογιστή, εγκαθίσταται στο επόμενο επίπεδο ένα διαφορετικό

λειτουργικό σύστημα και στην κορυφή της δομής

εκτελούνται διάφορες εφαρμογές, όπως ακριβώς θα συνέβαινε

αν το λειτουργικό σύστημα ήταν το κυρίαρχο στο σύστημα.

Κάθε τέτοιο πρόγραμμα λειτουργεί ανεξάρτητα από

το λειτουργικό σύστημα και τις εφαρμογές που τελούνται

στο κυρίως περιβάλλον του υπολογιστή που το φιλοξενεί. Έ-

τσι, σε ένα και μόνο σύστημα υλικού μπορούν να βρίσκονται

πολλά διαφορετικά εικονικά συστήματα λογισμικού, που

δρουν ανεξάρτητα το ένα από το άλλο.

Η μόνη «εξαρτημένη σχέση» που υφίσταται στο σύστημα είναι

μεταξύ του επιπέδου του λογισμικού που εκτελείται α-

κριβώς πάνω από το επίπεδο του υλικού και του εικονικού

συστήματος - και αυτό το λογισμικό ονομάζεται hypervisor.

Είθισται ο hypervisor να εκτελείται ξεχωριστά από τις λειτουργίες

του κεντρικού λειτουργικού συστήματος του υπολογιστή,

είτε πολύ κοντά στο υλικό είτε πολλές φορές μέσα

σε αυτό. Αυτή είναι η επιθυμητή λειτουργία του, όταν πρόκειται

να δημιουργηθούν εικονικές μηχανές με δομή server

και άρα εικονικά περιβάλλοντα με παροχή προστασίας δεδομένων.

Πέραν από τη δημιουργία εικονικών συστημάτων server σε

ένα υπολογιστικό σύστημα, η ιδέα του virtualization έχει προχωρήσει

και στις μεθόδους αποθήκευσης. Και ενώ στην περίπτωση

των servers οι πόροι ενός μηχανήματος διαμοιράζονται

σε διαφορετικά εικονικά συστήματα, στην περίπτωση

των αποθηκευτικών μέσων χρησιμοποιούνται διαφορετικά

φυσικά μέσα αποθήκευσης, τα οποία διαχειρίζονται κεντρικά

και παρουσιάζονται στο χρήστη ως μία οντότητα (τεχνολογίες

RAID, SAN, NAS).

Μέχρι τώρα η κοινή πρακτική ανάκτησης των λειτουργιών

μιας εταιρείας έπειτα από ατύχημα ή καταστροφή ήταν η

χρήση των RAID τεχνολογιών. Στις μέρες μας, με το storage

virtualization για την προστασία των δεδομένων και το server

virtualization που αποτελεί μια αξιόπιστη και προσιτή δομή

η οποία μπορεί να ανακτηθεί πλήρως, η κλασική μέθοδος α-

νάκαμψης μέσω λήψης αντιγράφων ασφαλείας και αποκατάστασής

τους, έχει ξεπεραστεί. Η τεχνολογία virtualization

παρέχει από τα υψηλότερα επίπεδα προστασίας δεδομένων

και η ανάκαμψη της δομής μιας εταιρείας μπορεί να επιτευχθεί

έως και 100% έπειτα από καταστροφή.

Περιορισμός κόστους

Η υιοθέτηση των τεχνολογιών virtualization από τα εταιρικά

δίκτυα έγινε κυρίως για το υψηλό επίπεδο προστασίας που

παρέχεται σε περίπτωση καταστροφής, μιας και εξασφαλίζουν

ανάκτηση των δεδομένων σχεδόν σε πραγματικό χρόνο

και επαναλειτουργία της παραγωγής με το ελάχιστο δυνατό

κόστος. Στο κομμάτι του server virtualization έχει α-

ποδειχθεί ότι η μεγιστοποίηση της απόδοσης επιτρέπεται,

μιας και απαιτούνται λιγότεροι εικονικοί servers για να εκτελεστούν

οι ίδιες λειτουργίες μιας εταιρείας, σε σχέση με τους

φυσικούς servers που απαιτούν οι ίδιες λειτουργίες και άρα

απαιτούνται λιγότερα μηχανήματα στην τελική δομή. Από

την άλλη μεριά, όταν αναφερόμαστε σε γεγονότα ανάκτησης

λειτουργίας - εφόσον η συσχέτιση της παραγωγής έχει α-

πεμπλακεί σε μεγάλο βαθμό από τις φυσικές δομές και ουσιαστικά

το μοντέλο που υποστηρίζει την εταιρεία μπορεί να

αποθηκευθεί ως αρχείο - γίνεται πιο εύκολη η μετάβαση α-

πό το παλιό στο νέο σύστημα. Και αυτό γιατί δεν απαιτείται

η νέα φυσική δομή να είναι πανομοιότυπη ή παρόμοια με την

παλιά. Οι λειτουργίες και οι σχέσεις μεταξύ των συστημάτων

είναι πλέον αποθηκευμένες σε λογικό επίπεδο και μπορούν

να εγκατασταθούν εκ νέου σε οποιοδήποτε φυσικό

σύστημα είναι δυνατό να αποκτηθεί εκείνη την στιγμή. Έτσι

η ανάκαμψη της παραγωγής είναι γρηγορότερη και το

virtualization αποδεικνύεται ως αποτελεσματικότερη λύση.

Παρόλα αυτά, τα φυσικά συστήματα που φιλοξενούν τους

εικονικούς servers μιας εταιρείας, δεν μπορεί παρά να είναι

ισχυρά, με μεγάλη επεξεργαστική ισχύ και ικανοποιητική μνήμη.

Στο εμπόριο οι ελάχιστες απαιτήσεις που προτείνονται

για την εγκατάσταση εικονικών servers είναι συνήθως μέτριες,

αλλά πρέπει να γίνει κατανοητό ότι η ιδανική απόδοση

δεν επιτυγχάνεται με αδύναμα μηχανήματα. Σε κάθε πεsecurity

| 33


I SSUE

Προστασία δεδομένων στα εικονικά περιβάλλοντα

ρίπτωση, η αναβάθμιση της κεντρικής μονάδας επεξεργασίας

και η αύξηση των επιπέδων RAM ενός μηχανήματος, δεν

είναι ακριβότερη λύση από την αγορά ενός νέου πλήρους

μηχανήματος.

Σαφώς, αν το κόστος δεν αποτελούσε θέμα, κάθε ΙΤ τμήμα

θα μπορούσε να επενδύσει υπέρογκα ποσά σε λύσεις υλικού

και λογισμικού, που θα παρείχαν εύρωστους μηχανισμούς

προστασίας των δεδομένων. Υπάρχουν περιπτώσεις - όπως

όταν πρόκειται για στρατιωτικά απόρρητα όπου η προστασία

των δεδομένων είναι ζωτικής σημασίας - που δαπανώνται

αρκετά χρήματα για τη διασφάλισή τους. Σε εταιρικό ε-

πίπεδο όμως, αυτή η δυνατότητα δεν υπάρχει και έτσι τα εικονικά

περιβάλλοντα είναι αυτά που παρέχουν τον πιο ικανοποιητικό

λόγο κόστους προς απόδοση και γι’ αυτό προτιμούνται

από τους ΙΤ διαχειριστές.

Τέλος, εφόσον τα εικονικά περιβάλλοντα είναι κεντροποιημένα,

χρειάζονται λιγότερα φυσικά μηχανήματα και επιτρέπουν

την απομακρυσμένη διαχείρισή τους, είναι λογικό ότι

απαιτούν και λιγότερο προσωπικό, που σε άλλες περιπτώσεις

αναλαμβάνει τη συντήρηση των μηχανημάτων και τον ιδιαίτερο

χειρισμό του καθενός εξ αυτών. Η μείωση λοιπόν του

προϋπολογισμού για τα ΙΤ τμήματα και η δυνατότητα μείωσης

και του απαιτούμενου προσωπικού, αποτελούν κίνητρο

για την υιοθέτηση του virtualization σε μια επιχείρηση.

Virtualization για την τέλεση δοκιμών

Όπως προαναφέρθηκε, η αρχική χρήση των εικονικών συστημάτων

ήταν για την τέλεση δοκιμών στα συστήματα μιας

δομής, ώστε να διαπιστωθεί η ευρωστία της, τα σημεία που

παρουσιάζει αδυναμίες, αλλά και οι δυνατότητες ανάκαμψης

μετά από σφάλματα. Ακόμα και σήμερα εταιρείες που δεν έ-

χουν εισάγει το virtualization στην παραγωγή τους το χρησιμοποιούν

για δοκιμές, μιας και η τεχνολογία επιτρέπει συχνότερους

πειραματισμούς απ’ ότι στους φυσικούς servers.

Και αυτό γιατί δεν απαιτείται να γίνει εγκατάσταση και ξεχωριστή

διαμόρφωση σε κάθε μηχάνημα που θα εξεταστεί,

αλλά χρησιμοποιείται μια εικονική μηχανή.

Επιπρόσθετα, ενώ οι δοκιμές στα φυσικά μηχανήματα είναι

χρονοβόρες και απαιτούν υπομονή, το virtualization επιτρέπει

την εύκολη επανεκκίνηση της εικονικής μηχανής αλλά και α-

φήνει περιθώρια για αποτυχία του συστήματος, χωρίς να υ-

πάρχει άγχος για τη φυσική πρόσβαση στο σύστημα από άλλες

διεργασίες. Βέβαια η λύση δεν παρέχει 100% εγγυημένα α-

ποτελέσματα, μιας και κάλλιστα μπορεί μία εφαρμογή που λειτούργησε

στην εικονική μηχανή, να αστοχήσει στο φυσικό μηχάνημα

ή να παρουσιάσει διαφορετική συμπεριφορά - και το

αντίστροφο. Επίσης υπάρχουν εφαρμογές που από τη φύση

της λειτουργίας τους δεν επιτρέπεται να λειτουργούν σε εικονικές

μηχανές, οπότε το virtualization δεν είναι χρήσιμο σε αυτές

τις περιπτώσεις. Ευτυχώς όλα αυτά συμβαίνουν σπάνια και

οι δοκιμές σε εικονικά περιβάλλοντα θεωρούνται αξιόπιστες.

Οι κανόνες προστασίας των δεδομένων

Η τεχνολογία virtualization αν και αποδεικνύεται αποδοτική

όσον αφορά στην ανάκαμψη από ατυχήματα, δεν αποτελεί

το μόνο μέτρο που πρέπει να ληφθεί από μια εταιρεία για

να προστατέψει τα δεδομένα και τη δομή της. Αν δεν τηρηθούν

οι βασικοί και πρωταρχικοί κανόνες προστασίας δεδομένων,

οποιαδήποτε λύση θα είναι ανεπαρκής. Για παράδειγμα,

δεν είναι δυνατό να αναμένεται ανάκαμψη των φυσικών

και εικονικών servers, αν πρώτα δεν έχουν εφαρμοστεί

οι απαραίτητοι μηχανισμοί για να λαμβάνονται τακτικά αντίγραφα

ασφαλείας.

Η προστασία των δεδομένων ξεκινά από το φυσικό επίπεδο.

Οι κανόνες για το πώς προστατεύονται τα δεδομένα, φυσικά

αποτελούν το πρώτο βήμα για τη θέσπιση μιας ολοκληρωμένης

πολιτικής ασφάλειας. Έτσι πρέπει να θεσπιστούν κανόνες

ώστε να αποφευχθεί η μη εγκεκριμένη πρόσβαση των δεδομένων,

η οποία θα ακύρωνε οποιαδήποτε προσπάθεια προστασίας

τους. Ακολούθως απαιτείται η τακτική λήψη (εβδομαδιαίως,

ημερησίως ή σε πραγματικό χρόνο) αντιγράφων α-

σφαλείας και η διατήρησή τους σε ασφαλές μέρος. Επίσης

34 | security


μέριμνα πρέπει να υπάρξει για συμβάντα φυσικών καταστροφών,

τα οποία αν και δεν συμβαίνουν καθημερινά, είναι πιθανά

και δεν αφήνουν περιθώρια ελλιπούς προετοιμασίας. Κατά

συνέπεια, μέτρα πρέπει να ληφθούν για την αντιμετώπιση

ενδεχόμενων πλημμύρων, πυρκαγιών, σεισμών κ.ά. και γι’ αυτό

απαιτείται τα αντίγραφα ασφαλείας να φυλάσσονται σε τοποθεσία

απομακρυσμένη από το εταιρικό περιβάλλον.

Τέλος, όπως και σε κάθε δίκτυο έτσι και στα εικονικά περιβάλλοντα

η ελεύθερη διακίνηση των δεδομένων της εταιρείας

σε αυτό - είτε πρόκειται για LAN είτε για WAN, χωρίς να

λαμβάνονται επαρκείς προφυλάξεις, είναι καταστροφική και

ουσιαστικά δεν υπάρχει ικανοποιητική λύση προστασίας των

δεδομένων. Κάθε δίκτυο είναι τόσο ασφαλές όσο το πιο α-

δύναμό του σημείο και αν υπάρχουν ελλείψεις στην πολιτική

ασφάλειας που καθορίζει τα δικαιώματα και τους ρόλους του

κάθε χρήστη σχετικά με τα δεδομένα, τότε η ακεραιότητα ό-

λου του συστήματος τίθεται υπό αμφισβήτηση.

Αποδοτική και γρήγορη μετακίνηση των δεδομένων

Στην περίπτωση καταστροφής των εταιρικών συστημάτων α-

πό ένα πλήθος πιθανών αιτιών, ο χρόνος αντίδρασης είναι

περιορισμένος. Όσο και λεπτομερές να είναι το σχέδιο α-

ντίδρασης και ανάκαμψης που έχει συντάξει το ΙΤ τμήμα για

κάθε μονάδα παραγωγής, πάλι ο χρόνος είναι που καθορίζει

το τελικό αποτέλεσμα.

Το ζητούμενο σ’ αυτήν την περίπτωση είναι η γρήγορη μετακίνηση

των δεδομένων σε απομακρυσμένο σημείο στο

WAN, χρησιμοποιώντας το εικονικό περιβάλλον και μια σταθερή

και γρήγορη σύνδεση που θα επιτρέψει την αποθήκευση

της τρέχουσας εταιρικής κατάστασης. Η χρήση λοιπόν

του virtualization, μια σταθερή σύνδεση στο WAN και

η ύπαρξη μιας απομακρυσμένης δικτυακής τοποθεσίας που

θα γίνει η αποθήκευση, αλλάζει τους όρους της ανάκαμψης

δραματικά και επιτρέπει τη γρήγορη και οικονομική επαναφορά

των λειτουργιών παραγωγής της εκάστοτε εταιρείας.

Η δομή των εικονικών servers συμβάλλει στην ταχύτερη εκκένωση

των δεδομένων και στη μετακίνησή τους προς α-

σφαλές μέρος. Οι εικονικοί servers είναι στην πραγματικότητα

αρχεία λογισμικού, τα οποία αντιγράφονται και μετακινούνται

εύκολα και περιέχουν όλο το εύρος των λειτουργιών

τους (λειτουργικό σύστημα, αρχεία και εφαρμογές). Αν

λοιπόν πρέπει να αποθηκευτούν σε μια απομακρυσμένη τοποθεσία

όλοι οι εικονικοί servers μιας εταιρείας, αποτελεί

σχετικά μια εύκολη και γρήγορη διαδικασία, μιας και είναι λίγα

αρχεία (μεγάλα σε μέγεθος) τα οποία παρουσιάζουν λιγότερες

επιπλοκές κατά τη μετακίνηση, από αυτές των χιλιάδων

αρχείων που πρέπει να μετακινηθούν στα φυσικά συστήματα.

Ακόμα ένα θέμα που αντιμετωπίζεται εύκολα με τους εικονικούς

servers είναι η διαχείριση των κλειδωμένων αρχείων, τα

οποία είθισται να μην επιτρέπεται η μετακίνησή τους ή η αντιγραφή

τους από μη εγκεκριμένο προσωπικό. Όλα τα αρχεία,


I SSUE

Προστασία δεδομένων στα εικονικά περιβάλλοντα

ανοιχτά ή κλειδωμένα, βρίσκονται εμφωλευμένα στο αρχείο

που αποτελεί τον εικονικό server και μετακινούνται μαζί του χωρίς

να απαιτούνται ξεχωριστές διαδικασίες. Από την άλλη μεριά,

η πρόσβαση σε αυτά και η λήψη των δεδομένων τους, α-

παιτεί αδειοδότηση η οποία αν έχει συνταχθεί σωστά δεν χάνει

την ισχύ της κατά την αντιγραφή του αρχείου. Εν ολίγοις,

όπου και να βρεθεί το αρχείο, πρόσβαση σε αυτό μπορούν να

έχουν μόνο όσοι έχει επιτρέψει ο διαχειριστής του - και άρα

τα εσωτερικά δεδομένα του δεν βρίσκονται εκτεθειμένα.

Πλεονεκτήματα

Με την τεχνολογία του virtualization ένα συγκεκριμένο λειτουργικό

περιβάλλον που έχει διαμορφωθεί σύμφωνα με τις

ανάγκες της εκάστοτε εταιρείας, εκτελεί συγκεκριμένες ε-

φαρμογές υπό την επίβλεψη καθορισμένου λειτουργικού συστήματος

και επεξεργάζεται συγκεκριμένα δεδομένα, μπορεί

να δημιουργηθεί ως εικονική μηχανή, να δοκιμαστεί ε-

παρκώς από τους υπεύθυνους και κατόπιν να μεταφερθεί ως

ένα απλό αρχείο σε οποιοδήποτε σύστημα και να γίνει μέρος

της παραγωγής. Ακόμα λοιπόν κι αν δεν υπήρχαν άλλα

πλεονεκτήματα σχετικά με την προστασία των εταιρικών δεδομένων,

αυτή η δυνατότητα περιορίζει δραματικά το χρόνο

αστοχίας των συστημάτων (από μέρες σε ώρες ή και λιγότερο)

και αλλάζει ουσιαστικά το επίπεδο ευρωστίας και

παραγωγικής δυνατότητας της κάθε επιχείρησης.

Στο κομμάτι του σχεδιασμού αντιμετώπισης καταστροφών

και ανάκαμψης σε μία εταιρεία, αναλύονται δύο μέτρα από

τους διαχειριστές και με γνώμονα αυτά τίθεται και ο στόχος

επίτευξης. Το πρώτο μέτρο είναι ο χρόνος ανάκαμψης –

RTO (Recovery Time Objective) ο οποίος καθορίζει το χρονικό

διάστημα μεταξύ της αστοχίας του συστήματος και της

πλήρους επαναλειτουργίας του. Το δεύτερο μέτρο είναι το

σημείο ανάκαμψης – RPO (Recovery Point Objective), το ο-

ποίο καθορίζει πόση απώλεια δεδομένων είναι πιθανή κατά

την ανάκαμψη. Δηλαδή, αν ένας εταιρικός δίσκος αστοχήσει

και ο μόνος τρόπος για να αποκατασταθεί η λειτουργία

της εταιρείας είναι να ανασυρθούν τα δεδομένα από τα α-

ντίγραφα ασφαλείας τα οποία τελευταία φορά ελήφθησαν

πριν 10 ώρες, τότε το RPO = 10 ώρες. Όσο πιο στενά είναι

τα όρια που επιθυμεί η εταιρεία να τίθενται οι τιμές των RTO

και RPO, τόσο μεγαλύτερο το κόστος της επιλεχθείσας τεχνολογίας

που θα τις υποστηρίξει.

Τεχνολογικά υπάρχει πληθώρα επιλογών για υψηλή διαθεσιμότητα,

αλλά οι εταιρικοί στόχοι πλέον δεν ικανοποιούνται

από τις παραδοσιακές μεθόδους, γι’ αυτό και υπάρχει

έντονη κινητικότητα προς το virtualization. Εν κατακλείδι, τα

εικονικά περιβάλλοντα πλεονεκτούν σημαντικά στα εξής:

Γρήγορες και αξιόπιστες δοκιμές νέων συστημάτων και

εφαρμογών.

Εύκολη εγκατάσταση των νέων συστημάτων στη γραμμή

παραγωγής.

Γρήγορη μετακίνηση και ανάκτηση των δεδομένων.

Γρήγορη μετακίνηση και ανάκτηση των δομών της γραμμής

παραγωγής και των συστημάτων που την απαρτίζουν.

Όλα τα προαναφερόμενα επιτυγχάνονται με χαμηλό κόστος

και περιορισμένες απαιτήσεις σε ανθρώπινο δυναμικό που τα

υποστηρίζει και για όλα αυτά το virtualization υπερτερεί σημαντικά

στον τομέα της προστασίας των δεδομένων.


Τoυ Παναγιώτη Κικίλια

Στέλεχος της Υπηρεσίας Δίωξης Ηλεκτρονικού Εγκλήματος

P RACTICAL

3G Δίκτυα

Τρωτά σημεία &

επιλογές προστασίας

Τα κενά ασφαλείας που

παρουσιάζονται στις 3G

συσκευές αλλά και στα 3G δίκτυα

είναι αρκετά, γι’ αυτό και

παρατηρείται μία αυξανόμενη

επιθετικότητα προς αυτά.

Η

χρήση της τεχνολογίας 3G θεωρείται πλέον ευρέως

διαδεδομένη, καθόσον το σύνολο των ε-

ταιρειών κινητής τηλεφωνίας έχουν προσαρμόσει

αλλά και βελτιώσει κατά πολύ τα δίκτυά τους

προς αυτή την κατεύθυνση, ενώ η πλειοψηφία των

νέων κινητών τηλεφώνων έχουν ενσωματώσει τη συγκεκριμένη

τεχνολογία στις λειτουργίες τους.

Τα δίκτυα 3G καθώς και οι συσκευές που τα υποστηρίζουν,

δίνουν τη δυνατότητα στο χρήστη να «σερφάρει» στο internet

με ιδιαίτερα υψηλές ταχύτητες σε χαμηλό κόστος και να έχει

πρόσβαση σε διαδικτυακές εφαρμογές (multimedia και άλλες)

στις οποίες δεν μπορούσε να έχει πρόσβαση στο παρελθόν

από μία κινητή συσκευή. Οι σχετιζόμενες με τον τομέα

εταιρείες αγκάλιασαν τη 3G τεχνολογία προσαρμόζοντας

ανάλογα τα προϊόντα και τις υπηρεσίες τους, ενώ στα πλαίσια

του ανταγωνισμού την εμπλούτισαν και την προέκτειναν περαιτέρω

σε πολλούς τομείς. Δεν έδωσαν όμως το απαιτούμενο

βάρος στον τομέα της ασφάλειας, με αποτέλεσμα σήμερα τα

κενά ασφαλείας που παρουσιάζονται στις 3G συσκευές

αλλά και στα 3G δίκτυα να είναι αρκετά και να παρατηρείται

μία αυξανόμενη επιθετικότητα προς αυτά.

Λίγο πριν εμφανιστεί η 3G τεχνολογία, η πλειοψηφία των συσκευών

κινητής τηλεφωνίας παρείχαν γρήγορες ταχύτητες

στο διαδίκτυο - κατά κανόνα μόνο μέσω των Wifi συνδέσεων.

Με άλλα λόγια, οι χρήστες τότε έψαχναν να βρουν κάποιο

wifi access point προκειμένου να συνδεθούν σε αυτό από το

κινητό τους τηλέφωνο και στη συνέχεια μέσα από εκεί να α-

ποκτήσουν πρόσβαση στο διαδίκτυο με υψηλές ταχύτητες.

Διαφορετικά, η άλλη τους επιλογή ήταν η χρήση του λεγόμενου

GPRS (General Packet Radio Service), υπηρεσία ιδιαίτερα

ακριβή και αργή. Με την ανάπτυξη της 3G τεχνολογίας οι

χρήστες δεν ήταν πλέον αναγκασμένοι να ψάχνουν για κάποιο

wifi access point προκειμένου να έχουν γρήγορη πρόσβαση

στο διαδίκτυο και επιπλέον δεν αντιμετώπιζαν το ρίσκο υπο-

security | 37


P RACTICAL

3G Δίκτυα

κλοπής δεδομένων μέσω της wifi σύνδεσής που χρησιμοποιούσαν.

Η τεχνολογία 3G τους παρείχε αυξημένη ασφάλεια

σε σχέση με τα wifi δίκτυα. Η αυξημένη ασφάλεια που παρείχε

η 3G τεχνολογία σε σχέση με τις wifi συνδέσεις, δημιούργησε

μία ψευδαίσθηση ασφαλείας θα μπορούσαμε να πούμε,

με αποτέλεσμα η ζήτηση (χρήστες) αλλά και η προσφορά (εταιρείες)

να εστιαστούν στην αύξηση της ποιότητας των ε-

φαρμογών, αφήνοντας σχεδόν απ’ έξω το ζήτημα της ασφάλειας.

Μόνο την τελευταία διετία όπου το πρόβλημα των «3G

επιθέσεων» παρουσιάζει ιδιαίτερη αύξηση, έχουν ξεκινήσει

προσπάθειες πραγματικής θωράκισης της 3G τεχνολογίας α-

πό εταιρείες, προκειμένου να αντιμετωπίσουν αυτή την ολοένα

αυξανόμενη επιθετικότητα.

Radio

Access

Network

Core 3G Network

Διάγραμμα 1. Η αρχιτεκτονική ενός 3G Δικτύου

Internet

PSTN

Δομή και λειτουργία του δικτύου 3G

Προκειμένου να γίνουν πιο κατανοητά τα κενά ασφαλείας

των 3G δικτύων, θα δούμε απλοποιημένα, τον τρόπο με τον

οποίο λειτουργεί και δομείται ένα 3G δίκτυο (διάγραμμα 1).

Ας θεωρήσουμε ότι έχουμε μία 3G κινητή συσκευή (π.χ. 3G

κινητό τηλέφωνο, 3G Tablet κ.λπ.) και διατυπώνουμε ένα αίτημα

προς το 3G δίκτυό μας. Το αίτημα αυτό μπορεί να είναι

μία ιστοσελίδα, τα email μας, μία τηλεφωνική κλήση ή ό,τι

άλλο μπορεί να επιθυμούμε. Το αίτημα μεταφέρεται μέσω

του τηλεπικοινωνιακού δικτύου (Radio Access Network

system) στον πυρήνα του 3G δικτύου (Core 3G Network).

Εκεί, αφού εξεταστεί, ο πυρήνας το προωθεί είτε στο διαδίκτυο

(αν είναι email ή οποιαδήποτε web εφαρμογή) είτε στο

τηλεφωνικό δίκτυο PSTN (Public Switched Telephone

Network) αν είναι κάποια τηλεφωνική κλήση. Η ίδια διαδικασία

ακολουθείται φυσικά και αντίστροφα όταν λαμβάνουμε

την απάντηση από το αίτημά μας ή το αίτημα κάποιου άλλου

που αφορά εμάς (π.χ. μας καλούν τηλεφωνικά). Βλέπουμε

πως η λειτουργία του δικτύου 3G δεν διαφέρει και πολύ

από τις ADSL συνδέσεις που χρησιμοποιούμε για να έχουμε

διαδικτυακή πρόσβαση στα σπίτια μας. Και εκεί το αίτημα

που «φεύγει» από τον υπολογιστή μας, ταξιδεύει μέσω του

modem-router στον core router της εταιρείας μας και στη

συνέχεια προωθείται ανάλογα στο διαδίκτυο. Η πλειοψηφία

των επιθέσεων που πραγματοποιούνται στα 3G δίκτυα,

βάσει των κοινών τους χαρακτηριστικών μπορούν να

χωριστούν σε δύο βασικές κατηγορίες. Στις επιθέσεις

που πραγματοποιούνται μέσα από κοινές-τοπικές υποδομές

(single infrastructure attacks) και στις επιθέσεις

που πραγματοποιούνται κυρίως μέσα από τις διαδικτυακές

εφαρμογές (cross infrastructure Cyber Attacks).

Single Infrastructure attacks

Οι επιθέσεις αυτού του είδους είναι συνήθως «τοπικού χαρακτήρα»

και προσβάλλουν συνήθως συγκεκριμένο αριθμό

συσκευών και δικτύων. Ουσιαστικά, ένας ή περισσότεροι

χρήστες επιτίθενται σε άλλους χρήστες που μοιράζονται τα

ίδια 3G δίκτυα με αυτούς. Για παράδειγμα, ένας χρήστης α-

ποκτά μη εξουσιοδοτημένη και πλήρη πρόσβαση (admin

rights) σε έναν πυρήνα 3G δικτύου. Εφόσον ελέγχει το συγκεκριμένο

πυρήνα, το χρησιμοποιεί και αποκτά πρόσβαση

σε όποια συσκευή συνδέεται ή αποστέλλει κάποιο αίτημα σε

αυτόν. Με άλλα λόγια, αν κάποιος χρήστης καταφέρει και ε-

λέγξει ένα 3G πυρήνα, τότε με αρκετή ευκολία αποκτά πρόσβαση

στο σύνολο των συσκευών τις οποίες ο πυρήνας αυτός

εξυπηρετεί. Έτσι μπορεί να ελέγχει το σύνολο των δεδομένων

που διακινούνται μέσω του συγκεκριμένου πυρήνα.

Η εν λόγω τεχνική έχει περιορισμένες δυνατότητες όσον α-

φορά στον αριθμό συσκευών που προσβάλλει, καθόσον ο

αριθμός συσκευών που εξυπηρετούνται από τον κάθε 3G

πυρήνα είναι περιορισμένος και για συγκεκριμένο χρονικό

διάστημα.

Αυτή η τεχνική μπορεί να χρησιμοποιηθεί όμως για τις λεγόμενες

«επιθέσεις ακριβείας». Αν για παράδειγμα υπάρχει

ένας συγκεκριμένος χρήστης-στόχος, είναι δυνατό να ε-

ντοπιστεί ο πυρήνας 3G μέσω του οποίου εξυπηρετούνται

συνήθως οι 3G συσκευές του στόχου (θα μπορούσε να είναι

ο 3G πυρήνας που βρίσκεται κοντά στο σπίτι του). Αν οι

38 | security


επιτιθέμενοι αποκτήσουν πρόσβαση εκεί, μπορούν να αποκτήσουν

στη συνέχεια πρόσβαση και στις 3G συσκευές του

στόχου. Έτσι θα μπορούσαν να «τραβήξουν» όλα τα δεδομένα

του κινητού τηλεφώνου του στόχου, χωρίς εκείνος να

το αντιλαμβάνεται την ώρα που το χρησιμοποιεί. Σημαντικό

πλεονέκτημα αυτής της τεχνικής είναι ότι λόγω της περιορισμένης

εμβέλειάς της, σπανίως γίνεται αντιληπτή ακόμα και

από τους νόμιμους διαχειριστές των 3G δικτύων ή αν γίνει,

θα είναι μετά από αρκετά μεγάλο χρονικό διάστημα. Επίσης

αυτή η τεχνική είναι δύσκολο να αφήσει ίχνη, καθόσον η ό-

λη επίθεση πραγματοποιείται σε τοπικό επίπεδο.

Πέραν των επιθέσεων ακριβείας, η συγκεκριμένη τεχνική λόγω

και του ότι δεν αφήνει ίχνη, είναι δυνατό να χρησιμοποιηθεί

και για καταστροφές δικτύων. Θα μπορούσε για παράδειγμα

ο επιτιθέμενος να θέσει εκτός λειτουργίας τον 3G

πυρήνα που έχει προσβάλλει. Αυτό θα προκαλούσε μεγάλη

δυσλειτουργία στο ευρύτερο 3G δίκτυο με άγνωστα καταληκτικά

αποτελέσματα γι’ αυτό, καθόσον μία τέτοια πτώση

θα μπορούσε να συμπαρασύρει αλυσιδωτά και άλλα δίκτυα.

Τέτοιου είδους επιθέσεις όμως παρατηρούνται αρκετά α-

ραιά. Συνήθως οι επιτιθέμενοι χρησιμοποιούν την εν λόγω

τεχνική για να αποκτήσουν πρόσβαση σε συγκεκριμένο στόχο

ή για να καλύψουν τη διαδικτυακή τους ταυτότητα. Χρησιμοποιούν

δηλαδή το εν λόγω δίκτυο ως proxy για να καλύψουν

τα δικτυακά τους ίχνη.

Από τα παραπάνω βλέπουμε ότι μπορεί η συγκεκριμένη τεχνική

επιθέσεως να είναι περιορισμένης εμβέλειας καθόσον

προσβάλλει πεπερασμένο αριθμό συσκευών, είναι όμως ιδιαίτερα

ύπουλη λόγω του ότι κάποιος ο οποίος μας έχει στοχοποιήσει

μπορεί να αποκτήσει πρόσβαση στο 3G κινητό

μας για παράδειγμα, χωρίς εμείς να το αντιληφθούμε. Τέλος

θα μπορούσε να χρησιμοποιηθεί και ως τεχνική αντιπερισπασμού,

θέτοντας κάποιο δίκτυο εκτός λειτουργίας και α-

φού όλοι εστιαστούν στην αντιμετώπιση αυτού, να πραγματοποιηθεί

μία γενικευμένη επίθεση με άλλες τεχνικές, όπως

αυτή που θα δούμε παρακάτω.

Cross Infrastructure Cyber Attacks

Ενώ οι single infrastructure attacks (SIA) όπως τις είδαμε α-

νωτέρω μπορούν να χαρακτηριστούν ως εσωτερικές επιθέσεις,

οι cross infrastructure cyber attacks (CICA) μπορούν

να χαρακτηριστούν ως εξωτερικές επιθέσεις. Στις SIA

ο επιτιθέμενος λειτουργεί ουσιαστικά «από μέσα προς τα έ-

ξω», ενώ στις CICA ο επιτιθέμενος λειτουργεί «από έξω

προς τα μέσα». Οι CICA προσβάλλουν το τηλεπικοινωνιακό

δίκτυο, χρησιμοποιώντας τις IP υποδομές και το internet.

Ας δούμε όμως μέσα από ένα απλοποιημένο παράδειγμα

πώς μπορεί να πραγματοποιηθεί μία τέτοιου είδους επίθεση.

Χρησιμοποιώντας πληθώρα τεχνικών θεωρούμε ότι έχουμε

μολύνει έναν εξυπηρετητή ηλεκτρονικού ταχυδρομείου (email

server) με κακόβουλο λογισμικό. Στη συνέχεια ένας ανυποψίαστος

χρήστης προσπαθεί να δει τα email του από το 3G

κινητό του. Όπως έχουμε προαναφέρει, ο χρήστης αποστέλλει

ένα αίτημα, το αίτημα αυτό εξετάζεται από τον πυρήνα

3G και στη συνέχεια προωθείται ανάλογα. Στην περίπτωσή

μας ο πυρήνας 3G βλέπει ότι το αίτημα αφορά email

και το προωθεί σε έναν ενδιάμεσο εξυπηρετητή (Call

Forwarding Server ή CF server) ο οποίος συνδέεται με το

mail server που έχουμε μολύνει για να εξυπηρετήσει το αίτημα

του χρήστη. Κατά τη σύνδεση και τη μεταφορά των

μηνυμάτων από τον email server στο δικό του αποθηκευτικό

χώρο, ο CF server μολύνεται. Στη συνέχεια ο CF server

συνδέεται με τον πυρήνα 3G προκειμένου να μεταφέρει τα

μηνύματα του ανυποψίαστου χρήστη και μολύνεται και αυτός.

Τέλος, ο μολυσμένος πλέον πυρήνας 3G συνδέεται με

το κινητό του ανυποψίαστου χρήστη προκειμένου να εξυπηρετήσει

το αίτημά του, μεταφέροντας τα μηνύματα του η-

λεκτρονικού του ταχυδρομείου, με αποτέλεσμα να μολυνθεί

και το κινητό του τηλέφωνο. Έτσι ελέγχοντας ουσιαστικά έ-

να mail server καταφέρνουμε να αποκτήσουμε πρόσβαση

και να ελέγξουμε CF Servers, 3G πυρήνες, αλλά και 3G συσκευές.

Οι τεχνικές που εφαρμόζονται για τέτοιου είδους επιθέσεις

ομοιάζουν στη συντριπτική τους πλειοψηφία με τις web

hacking τεχνικές, για τις οποίες υπάρχει πληθώρα αναφορών

στα τεύχη του IT Security. Ένα βασικό πλεονέκτημα που

παρέχουν οι CICA είναι η πρόσβαση και κατ’ επέκταση ο έ-

λεγχος μεγάλου αριθμού συσκευών, πυρήνων και γενικότερα

δικτύων 3G. Αυτό δίνει αρκετές δυνατότητες στους επιτιθέμενους,

από το να δημιουργούν botnets 1 , μέχρι να παραμετροποιούν

τα τηλεπικοινωνιακά δίκτυα και να ελέγχουν

security | 39


P RACTICAL

3G Δίκτυα

τις κάμερες στα κινητά μας τηλέφωνα. Το κλειδί σε αυτές τις

τεχνικές είναι να καταφέρουν οι επιτιθέμενοι να αποκτήσουν

πρόσβαση και να ελέγξουν servers ευρείας συνδεσιμότητας

και κυρίως servers που εξυπηρετούν επικοινωνιακές ανάγκες,

καθόσον αυτοί χρησιμοποιούνται σε καθημερινή βάση από

το σύνολο σχεδόν των χρηστών του διαδικτύου. Προκύπτει

από τα παραπάνω, ότι ακόμα και ένα απλό αίτημα όπως είναι

η πρόσβαση σε email κάποιου χρήστη, μπορεί υπό προϋποθέσεις

να τον οδηγήσει σε απώλεια δεδομένων από το

3G κινητό του τηλέφωνο. Με άλλα λόγια, δεν χρειάζεται πλέον

να κάνει κάτι ιδιαίτερο ή να συνδεθεί με κάποια ιστοσελίδα

περίεργου περιεχομένου προκειμένου να μολυνθεί. Αρκεί

ακόμα και μία «επίσκεψη» στο mailbox του από το 3G

κινητό του.

Τεχνικές αντιμετώπισης των επιθέσεων

Οι δύο επιθέσεις που περιγράφηκαν παραπάνω, συνιστούν

ίσως τις πιο διαδεδομένες στα 3G δίκτυα. Η ιδιαίτερη έ-

ξαρσή τους οφείλεται πρώτον στην πολύ γρήγορη ανάπτυξη

της 3G τεχνολογίας, την αύξηση των ατόμων που χρησιμοποιούν

εκτεταμένα τα 3G δίκτυα, καθώς και στην προτεραιότητα

που έδωσαν οι εταιρείες στην αύξηση της ποιότητας

των υπηρεσιών τους (quality of service), αφήνοντας αρκετά

στάδια πίσω την ασφάλεια των υποδομών τους. Οι ε-

ταιρείες που ειδικεύονται στη δικτυακή ασφάλεια έχουν ξεκινήσει

και αναπτύσσουν τεχνικές και λογισμικά αντιμετώπισης

αυτών των επιθέσεων, ενώ φαίνεται ότι προσανατολίζονται

πλέον σε ενοποιημένα πακέτα ασφαλείας. Με ένα

προϊόν δηλαδή, θα παρέχουν ασφάλεια στο σύνολο των συσκευών

και δικτύων του κάθε χρήστη, ενώ ανάλογα πακέτα

θα παρέχονται και στις εταιρείες παροχής ευρυζωνικών υ-

πηρεσιών, προκειμένου να θωρακίζουν και αυτές τα δίκτυά

τους.

Μία πρώτη ζώνη άμυνας ενάντια στις απειλές των 3G δικτύων

θα μπορούσε να αποτελέσει ένας συνδυασμός της

λεγόμενης «end to end» ασφάλειας, μαζί με «point to point»

κρυπτογράφηση. Η φιλοσοφία της «end to end» ασφάλειας

σχετίζεται με τη θωράκιση των τελικών συσκευών. Αν οι

τελικές συσκευές που αποστέλλουν και λαμβάνουν δεδομένα

είναι ασφαλείς, τότε παρέχεται ένα minimum επίπεδο α-

σφαλείας. Τουλάχιστον είναι σίγουρο ότι από εκεί που θα φύγουν

κάποια δεδομένα και εκεί που θα καταλήξουν, δεν υ-

πάρχει κάποια απειλή. Αν αυτό συνδυαστεί με μία υψηλού ε-

πιπέδου «point to point» κρυπτογράφηση, όπου τα δεδομένα

θα φεύγουν από την αρχική συσκευή κρυπτογραφημένα

και θα αποκρυπτογραφούνται μόνο στη συσκευή που καταλήγουν,

τότε θα μπορούσε να εξασφαλιστεί ένα ελάχιστο

ασφαλείας. Εφόσον είναι σίγουρο ότι η αρχική συσκευή είναι

ασφαλής, τα δεδομένα που εξέρχονται από αυτή είναι

κρυπτογραφημένα, ταξιδεύουν στους ενδιάμεσους προορισμούς

κρυπτογραφημένα και αποκρυπτογραφούνται μόνο

στην τελική συσκευή η οποία είναι και αυτή ασφαλής, τότε

μπορεί να θεωρηθεί ότι υπάρχει ένα ελάχιστο ασφάλειας.

Αφού και κάποια από τις ενδιάμεσες συσκευές να μην α-

σφαλής και τα δεδομένα να υποκλαπούν, θα είναι στην ουσία

άχρηστα, καθόσον θα χρειάζεται αρκετός χρόνος για να

αποκρυπτογραφηθούν.

Σημειώνουμε εδώ ότι παρόλο που μία πρόταση σαν την παραπάνω

είναι άμεσα εφαρμόσιμη και προσφέρει ασφάλεια ε-

πικοινωνιών σε αποδεκτά επίπεδα, σε καμία περίπτωση δεν

μπορεί να αποτελέσει μία μόνιμη και ολοκληρωμένη λύση.

Προκειμένου να αναπτυχθεί μία τέτοιου είδους εφαρμογή η

οποία θα παρέχει μόνιμα ασφάλεια σε υψηλά επίπεδα στις

επικοινωνίες μας, απαιτείται εμπεριστατωμένη έρευνα των

3G δικτύων, εντοπισμός ακόμα και με penetration testing

των κενών ασφαλείας τους και στη συνέχεια, μέσα από πειραματισμούς

και δοκιμές, ο σχεδιασμός μίας ενιαίας πολιτικής

ασφαλείας η οποία θα μπορεί να αναπροσαρμόζεται α-

νάλογα με τη δομή, τον τρόπο και το σκοπό λειτουργίας του

κάθε δικτύου. Οι ιδιωτικοί αλλά και οι δημόσιοι φορείς έ-

χουν έλθει πλέον αντιμέτωποι με μία πρόκληση. Το να καταφέρουν

να θωρακίσουν μία τεχνολογία την οποία οι ίδιοι

ανέπτυξαν και διέδωσαν ευρέως στους χρήστες τους, η ο-

ποία αυτήν τη στιγμή λόγω των κενών ασφαλείας που παρουσιάζει,

συνιστά σε πολλά της σημεία απειλή για τη διαδικτυακή

λειτουργία. Το αν θα τα καταφέρουν ή όχι, εκτιμούμε

ότι θα φανεί στο άμεσο χρονικό διάστημα.

Πηγή

«A taxonomy of cyber attacks on 3G networks», Kameswari

Katapati, Peng Liu, Yan Sun, Thomas F. LaPorta (USA, 2005,

Pensylvania State University). iTSecurity

1

Συμπλέγματα «μολυσμένων» υπολογιστών, τα οποία χρησιμοποιούνται για γενικευμένες επιθέσεις.

40 | security


Του Δημήτρη Παπίτση *

Microsoft MVP - Enterprise Security

MCSE, MCT

P RACTICAL

Το

μεγαλύτερο βάρος

σε ένα έργο ΡΚΙ πρέπει να

δοθεί στο σωστό σχεδιασμό,

ακολουθούμενο από τη

σωστή εγκατάσταση και

παραμετροποίηση.

Σχεδίαση και υλοποίηση

Certification Authorities σε

περιβάλλον Windows Server

Σ

το άρθρο που δημοσιεύτηκε στο προηγούμενο

τεύχος με τίτλο «Ισχυρή ασφάλεια για ασύρματα

και ενσύρματα δίκτυα στις επιχειρήσεις»,

είδαμε πώς μπορούμε να εκμεταλλευτούμε

μία υπάρχουσα υποδομή ΡΚΙ προκειμένου να

στήσουμε ένα περιβάλλον ασφαλούς ασύρματης δικτύωσης

σε ένα Οργανισμό. Στο άρθρο αυτό, το οποίο μπορούμε

να πούμε πως αποτελεί φυσική συνέχεια του προηγούμενου,

θα δούμε αναλυτικά τον τρόπο με τον οποίο θα στήσουμε

αυτή την υποδομή με τη χρήση Windows Server 2008R2,

κάτι που είναι προϋπόθεση για τη λειτουργία της συνολικής

περιγραφόμενης λύσης.

Ιστορική αναδρομή

Η διαδεδομένη χρήση τεχνολογιών ΡΚΙ ξεκίνησε από τα μέσα

της δεκαετίας του ’90, οπότε και οι σχετικές τεχνολογίες έ-

γιναν ευρύτερα γνωστές και διαθέσιμες στο χώρο του ΙΤ. Εκείνη

την εποχή πρωτοπορούσαν εταιρείες όπως η VeriSign (το πρώτο

Certification Authority) και η Netscape (δημιουργός του

SSL). Το 1997 η Microsoft για πρώτη φορά προσέφερε δωρεάν

λογισμικό δημιουργίας ενδοεταιρικού Certification Authority

(CA), περιλαμβάνοντας τα Certificate Services ως κομμάτι

του Windows NT 4.0 Option Pack. Ένα από τα ελάχιστα βιβλία

της εποχής για ΡΚΙ (Digital Certificates, Feghhi/Fegghi/

Williams) αφιέρωνε ένα σημαντικό μέρος στο στήσιμο και την

security | 41


P RACTICAL

Σχεδίαση και υλοποίηση Certification Authorities σε περιβάλλον Windows Server

παραμετροποίηση της υπηρεσίας αυτής, δίνοντας έτσι μια ε-

πιπλέον ώθηση στη χρήση της. Από τότε έχουν περάσει 15

χρόνια και τα Active Directory Certificate Services (AD CS),

όπως είναι πλέον η επίσημη ονομασία τους στα Windows

Server 2008R2, συνεχίζουν να αποτελούν μέρος των Windows

Server και ίσως την πιο διαδεδομένη πλατφόρμα ενδοεταιρικών

Certification Authorities (CAs). Η επιτυχία τους πηγάζει

τόσο από τον ιδιαίτερα φιλικό τρόπο εγκατάστασης, ό-

σο και από τη μη ύπαρξη επιπλέον χρεώσεων, πλην της άδειας

του λειτουργικού – το οποίο ούτως ή άλλως οι περισσότεροι

μικρομεσαίοι και μεγάλοι Οργανισμοί ήδη διαθέτουν.

Σχεδιασμός και προϋποθέσεις μιας υλοποίησης

Windows Server 2008R2 AD CS

Μια πληθώρα από ρόλους που μπορούν να ενεργοποιηθούν

στα Windows φαίνονται φαινομενικά απλοί και άμεσοι στην υ-

λοποίησή τους (το γνωστό στήσιμο “Next-Next-Finish”) και το

ΡΚΙ δεν θα μπορούσε να αποτελέσει εξαίρεση. Ωστόσο, αν

δεν έχει προϋπάρξει σωστή σχεδίαση και προσεκτική υλοποίηση

ενός τέτοιου περιβάλλοντος, η προσπάθεια μπορεί εύκολα

να αποτύχει. Κρίνοντας από την κρισιμότητα των παρεχόμενων

υπηρεσιών (κρυπτογράφηση, κ.λπ.) της εγκατάστασης

μιας υποδομής ΡΚΙ, η εκ των υστέρων αποτυχία της μπορεί να

δημιουργήσει τεράστια προβλήματα σε ένα Οργανισμό. Μια α-

ποτυχία π.χ. στην ανάκτηση ιδιωτικών κλειδιών των εκδιδόμενων

πιστοποιητικών, μπορεί να οδηγήσει σε μη αναγνώσιμα

έγγραφα ή e-mails ή στην αποτυχία κρυπτογράφησης ενός α-

σφαλούς καναλιού. Κατά συνέπεια το μεγαλύτερο βάρος σε έ-

Το θέμα του συγκεκριμένου άρθρου αποτέλεσε παρουσίαση

των : Δημήτρη Παπίτση και Γιώργου Σπηλιώτη στα πλαίσια

του ITPro|Dev Connections 2011 που διεξήχθη στις

26-27 Νοεμβρίου 2010

Ο Δημήτρης Παπίτσης είναι κάτοχος B.Sc. in Business Administration

– Computer Information Systems και πολλών πιστοποιήσεων

της Microsoft, όπως Microsoft Certified IT Professional

και Microsoft Certified Trainer, ενώ δραστηριοποιείται στο χώρο

του IT από το 1998. Εργάζεται ως Premier Field Engineer στη Microsoft

Hellas, ενώ ειδικεύεται στους τομείς e-mail and collaboration

και ασφαλείας. Είναι, επίσης ιδρυτικό μέλος της Κοινότητας

Επαγγελματιών Πληροφορικής autoexec.gr.

να έργο ΡΚΙ πρέπει να δοθεί στο σωστό σχεδιασμό, ακολουθούμενο

από τη σωστή εγκατάσταση και παραμετροποίηση.

Λόγω του περιορισμένου χώρου του παρόντος άρθρου δεν

θα αναφερθούμε αναλυτικά στο σχεδιασμό, αλλά θα αρκεστούμε

να αναφέρουμε ότι προ της εγκατάστασης θα πρέπει

να αποφασιστούν κατ’ ελάχιστο τα εξής: α) Αν θα υπάρχουν

πολλαπλές βαθμίδες στην ιεραρχία του CA, κάτι που περιορίζει

τον κίνδυνο στην περίπτωση επίθεσης και ακύρωσής του,

β) το μήκος του ιδιωτικού κλειδιού των πιστοποιητικών των CA

και η διάρκεια ζωής τους, ανάλογα με το βαθμό ασφάλειας

που θα αποφασίσουμε, γ) η χρήση διαδικασιών δημιουργίας

ασφαλών αντιγράφων των ιδιωτικών κλειδιών που θα εκδίδονται,

καθώς και πολλά άλλα.

Όσον αφορά στις προϋποθέσεις για την εγκατάσταση ενός ή

περισσότερων CA σε ένα Οργανισμό, αυτές δεν είναι πολλές

και σίγουρα υπάρχουν ήδη στην πλειοψηφία των μικρομεσαίων

και μεγάλων Οργανισμών: θα χρειαστεί η ύπαρξη ενός υ-

πάρχοντος Active Directory και ενός (ή δύο, ανάλογα με την

επιλογή της ιεραρχίας) servers ή virtual machines με εγκατεστημένα

Windows 2008R2 (στη συνέχεια του άρθρου θα α-

σχοληθούμε και με το θέμα των εκδόσεων του λειτουργικού

που απαιτούνται). Αξίζει να αναφέρουμε ότι αν και δεν προτείνεται,

υποστηρίζεται η εγκατάσταση του Issuing CA και σε

ένα ήδη υπάρχοντα server που επιτελεί και άλλες λειτουργίες,

αφού η χρήση της υπηρεσίας δεν επιβαρύνει παρά ελάχιστα

το λειτουργικό σύστημα και τους πόρους του hardware.

Σχεδιασμός της χρήσης Certificate

Revocations Lists (CRLs)

Είναι πολύ σημαντικό να κάνουμε ειδική μνεία στο σχεδιασμό

μιας ιδιαίτερα ευαίσθητης υπηρεσίας, αυτής των Certificate

Revocation Lists (CRLs – λίστες ανακληθέντων πιστοποιητικών).

Οι λίστες αυτές περιλαμβάνουν τα (πιθανά) ανακληθέντα

πιστοποιητικά, όπως αυτά έχουν εκδοθεί από τα Issuing

CAs που έχουν εγκατασταθεί. Δύο πράγματα πρέπει να τονιστούν

για αυτές τις λίστες: α) είναι πολύ σημαντικό να είναι συνεχώς

διαθέσιμες, γιατί οι υπηρεσίες ή οι συσκευές που θα τις

συμβουλευτούν θα πρέπει να ξέρουν αν ένα πιστοποιητικό έ-

χει ανακληθεί (και κατά συνέπεια δεν είναι αξιόπιστο για τη δημιουργία

ασφαλούς καναλιού επικοινωνίας) και β) σε περίπτωση

ενδοεταιρικών υλοποιήσεων CA (όπως αυτές που αναλύουμε

στο παρόν άρθρο) θα πρέπει να προαποφασίσουμε αν

42 | security


Εικόνα 1. Τα φυσικά αρχεία που περιέχουν την CRL και το CA Certificate.

θέλουμε να είναι διαθέσιμες εκτός του εσωτερικού μας δικτύου.

Η απόφαση για κάτι τέτοιο εξαρτάται από το αν τα πιστοποιητικά

που θα εκδοθούν θα χρησιμοποιηθούν και από υπηρεσίες

ή συσκευές που δεν ανήκουν στο εσωτερικό μας δίκτυο.

Αν δεν μας ενδιαφέρει η διάθεση της CRL στο internet, τα

πράγματα τόσο για την υψηλή της διαθεσιμότητα όσο και για

την ευκολία πρόσβασης προς αυτήν, είναι εύκολα. Και οι δύο

προϋποθέσεις (υψηλή διαθεσιμότητα και διάθεση εκτός δικτύου)

επιτυγχάνονται ως μέρος της αντίστοιχης διαδικασίας

των domain controllers (DCs) – μέσω του Active Directory

replication, δηλαδή (σε αυτό το σημείο γίνεται κατανοητή και

η ευκολία που παρέχει το Active Directory στο συγκεκριμένο

θέμα). Στη δεύτερη περίπτωση η υλοποίηση γίνεται περισσότερο

περίπλοκη, αφού δεν επιθυμούμε να εκθέσουμε την ε-

σωτερική διαδικασία του DC replication σε μη ασφαλή δίκτυα

και κατά συνέπεια θα πρέπει να δημιουργήσουμε ένα ξεχωριστό

σύστημα πρόσβασης και υψηλής διαθεσιμότητας της CRL.

Αυτό επιτυγχάνεται με τη μη αυτόματη διάθεσή της μέσω web

services (χρήση του ρόλου IIS των Windows Server 2008R2),

μια διαδικασία η οποία προϋποθέτει την ύπαρξη ενός scheduled

task αντιγραφής της CRL από το CA προς τουλάχιστον

δύο IIS servers για την επίτευξη υψηλής διαθεσιμότητας, αλλά

και τo «publishing» (διάθεση) αυτών προς το internet, ούτως

ώστε να είναι διαθέσιμοι σε οποιονδήποτε εκτός δικτύου επιθυμεί

να ελέγξει την κατάσταση ενός πιστοποιητικού που έχει

εκδοθεί από δικά μας CAs. To τελευταίο σημείο εμπλέκει και

το διαχειριστή του δικτύου, αφού θα πρέπει να δώσει πρόσβαση

στους εσωτερικούς IIS μέσω (συνήθως) του firewall.

Στο παρόν άρθρο θα αρκεστούμε στο πρώτο σενάριο όσον

αφορά στη CRL του CA που θα εκδίδει certificates, όχι γιατί

είναι το πιο εύκολο, αλλά γιατί στη δική μας περίπτωση η α-

σφάλιση των ασύρματων συσκευών μας δεν ξεφεύγει από τα

όρια του εσωτερικού μας δικτύου. Αντίθετα, στην περίπτωση

του Offline Root CA, επειδή δεν διατίθεται αυτή η διαδικασία

θα πρέπει με μη αυτόματο τρόπο να την εισάγουμε στο Active

Directory, κάτι που θα δούμε παρακάτω.

Εγκατάσταση ενός Windows Server 2008R2 AD

CS

Στο παρόν άρθρο θα αναφερθούμε στην εγκατάσταση μιας ιεραρχίας

δύο βαθμίδων (two-tier hierarchy) σε ένα υποθετικό

ενδοεταιρικό CA – θα ξεκινήσουμε με το λεγόμενο Offline

Root CA (ας το ονομάσουμε «ORCA») και θα συνεχίσουμε

με το Online Enterprise Issuing Subordinate CA (ας το ονομάσουμε

«OEISCA»). Θα χρειαστούμε δύο εγκαταστάσεις

Windows 2008R2 – για το μεν ORCA αρκεί η Standard έκδοση

του λειτουργικού, για το δε OEISCA είναι προτιμότερη

η χρήση της Enterprise έκδοσης, για να εκμεταλλευτούμε τη

δυνατότητα μιας υπηρεσίας που θα δούμε αργότερα και που

ονομάζεται Key Archival. Ξεκινώντας από τον ORCA αξίζει να

αναφέρουμε ότι μετά την εγκατάστασή του, για λόγους α-

σφαλείας θα πρέπει να εκδώσει ένα μόνο πιστοποιητικό στον

OEISCA. Μετά αυτό θα πρέπει να κλείσει (εξ ου και το “offline”)

και να τοποθετηθεί σε ένα φυσικά ασφαλές και φυλασσόμενο

σημείο. Κατ’ επέκταση, το λειτουργικό στο οποίο θα στηθεί

δεν θα πρέπει να γίνει join σε Active Directory domain. Κατά

τα άλλα η εγκατάσταση δεν περιλαμβάνει δύσκολα βήματα –

σημαντικές επιλογές που πρέπει να γίνουν είναι το στήσιμο ως

“standalone” & “root CA”. O χρόνος διάρκειας είναι συνήθως

5-20 χρόνια, αφού θεωρητικά είναι ιδιαίτερα ασφαλής (από τις

δικές μας ενέργειες θα κριθεί τελικά ο βαθμός ασφαλείας του).

Αφού στηθεί θα πρέπει να ενεργοποιηθεί το auditing, να εκδώσουμε

μία CRL και να εξαχθεί το CA certificate και η CRL,

έτσι ώστε και τα δύο αυτά να εισαχθούν στο Active Directory

προκειμένου να τα «εμπιστεύονται» όλοι οι χρήστες και υ-

πολογιστές του domain. Επιπλέον, πρέπει εκ των υστέρων να

εκδώσει και να παράσχει στο subordinate CA το πιστοποιητικό

του, όταν γίνει το σχετικό request κατά τη διάρκεια του στησίματος

του τελευταίου. Μετά από αυτά μπορεί να κλείσει και

να ανοίξει ξανά μόνο όταν έρθει η ώρα να εκδοθεί νέα CRL

(η συχνότητα έκδοσης ρυθμίζεται με σχετική εντολή κατά το

στήσιμο) και περιοδικά (ελάχιστες φορές το χρόνο) προκειμένου

να πάρει security updates για το λειτουργικό. Αξίζει να

σημειωθεί ότι λόγω της φύσης του, ο ORCA είναι εξαιρετικός

candidate για να στηθεί σε virtual machine, αλλά λόγω της σημαντικότητάς

του, θα πρέπει να προσεχθεί ιδιαίτερα η φυσική

πρόσβαση στο virtualization server και στο ίδιο το virtual machine.

Συνεχίζοντας με τον OEISCA θα πρέπει να έχουμε

φροντίσει το computer object να έχει γίνει join στο Active

Directory domain και να επιλέξουμε να εγκατασταθεί το CA

ως Enterprise & Subordinate. Μόλις στηθεί θα δημιουργηθεί

ένα certificate request το οποίο πρέπει να «ταξιδέψει»

μέχρι τον ORCA, αυτός να το εκδώσει και το τελικό εκδοθέν

πιστοποιητικό να εγκατασταθεί στον EISCA. Στη συνέχεια

θα πρέπει να εκδώσουμε και εδώ τη CRL του συγκεκριμένου

CA και – αν όλα έχουν πάει καλά – είμαστε έτοιμοι

να εκδώσουμε το πρώτο μας πιστοποιητικό.

security | 43


P RACTICAL

Σχεδίαση και υλοποίηση Certification Authorities σε περιβάλλον Windows Server

Εικόνα 2. Η οθόνη από την οποία επιλέγουμε αν το CA θα είναι Root ή

Subordinate.

Certificate Templates

Η έκδοση πιστοποιητικών για συγκεκριμένο σκοπό διευκολύνεται

ιδιαίτερα από την ύπαρξη templates με τις κατάλληλες

προεπιλογές, έτσι ώστε να μπορούμε σε πολύ μικρό χρονικό

διάστημα να εκδώσουμε ένα πιστοποιητικό για τον κατάλληλο

σκοπό, με τις κατάλληλες ρυθμίσεις, εύκολα και χωρίς να χρειάζεται

να ξέρουμε πολλά πράγματα εκτός από τη χρήση για

την οποία εκδίδεται. Για τη χρήση τους σε συσκευές όπως οι

υπολογιστές (όπως αναφέρθηκε και στο πρώτο μέρος του άρθρου)

μπορούμε να χρησιμοποιήσουμε το workstation template

και δίνοντάς του δικαιώματα για τους υπολογιστές που

μας ενδιαφέρουν, να εκδώσουμε πολύ γρήγορα πιστοποιητικά.

Επιπλέον, με τη χρήση μιας δυνατότητας η οποία ονομάζεται

Autoenrollment μπορούμε να διανείμουμε πιστοποιητικά

κατά χιλιάδες μέσα σε λίγες ώρες, σε χρήστες και υπολογιστές

που είναι joined στο domain.

Εικόνα 3. Ένα εκδοθέν πιστοποιητικό, όπως αυτό φαίνεται από την κονσόλα

διαχείρισης.

Επιπλέον λειτουργίες

Ένα CA δεν αρκεί να εκδίδει πιστοποιητικά - θα πρέπει να

έχει και την κατάλληλη υποδομή για να τα υποστηρίξει. Έτσι

λοιπόν στα Windows Server 2008R2 διατίθεται ένα πολύ

ελκυστικό και ιδιαίτερα εύκολο περιβάλλον χρήσης και παραμετροποίησης,

ενώ έχουμε τη δυνατότητα ανάκτησης των

πιστοποιητικών (μαζί με τα ιδιωτικά κλειδιά τους) αν ενεργοποιήσουμε

την υπηρεσία Key Archival. Για χρήστες οι ο-

ποίοι μετακινούνται συνεχώς από PC σε PC ή notebook,

μπορούμε να εγκαταστήσουμε και την υπηρεσία Credential

Roaming, η οποία αναλαμβάνει να μας διαθέσει τα ίδια (ήδη

εκδοθέντα) πιστοποιητικά σε πολλαπλές συσκευές στις ο-

ποίες κάνει logon ο ίδιος χρήστης. Διατίθενται επίσης οι δυνατότητες

έκδοσης και διανομής για φορητές συσκευές που

υποστηρίζουν το πρωτόκολλο SCEP (όπως π.χ. συσκευές με

iOS 5.x) καθώς και για συσκευές που δεν ανήκουν στο ε-

ταιρικό domain.

Συμπεράσματα

Με τη χρήση των Windows Server 2008R2 η εγκατάσταση και

η λειτουργία ενός Certification Authority γίνεται εύκολα και

χωρίς ιδιαίτερα προαπαιτούμενα. Θα πρέπει ωστόσο να δοθεί

μεγάλο βάρος στο σωστό σχεδιασμό, ώστε η υλοποίηση

να συνάδει με τους επιχειρηματικούς σκοπούς για τους οποίους

στήνεται το CA, αλλά και να αποτελεί παράδειγμα ασφαλούς

υπηρεσίας στο ενδοεταιρικό μας περιβάλλον. Θα πρέπει

να προσεχθεί ιδιαίτερα η σωστή υλοποίηση των CRLs και ο ενδελεχής

έλεγχος της εγκατάστασης, ώστε αυτή να παράσχει

τα επιθυμητά αποτελέσματα.

Σημείωση: το παρόν άρθρο αποτελεί μια απλή (και απλοποιημένη)

αναφορά σε υπηρεσίες Windows ΡΚΙ - σε καμία περίπτωση

δεν πρέπει να χρησιμοποιηθεί αυτούσιο ως οδηγός για

τη δημιουργία τέτοιων εγκαταστάσεων σε παραγωγικό περιβάλλον.

Υπάρχουν διάφορα best practices τα οποία είτε δεν

έχουν αναφερθεί για λόγους συντομίας είτε έχουν παραβλεφθεί

για λόγους απλοποίησης. Αν επιθυμείτε περισσότερες

πληροφορίες, προτείνεται η χρήση των υπαρχουσών πηγών

της Microsoft στο TechNet (). iTSecurity

44 | security


P RODUCTS

ΜcAfee Web Gateway

Η κορυφαία anti-malware λύση για απειλές σχετικές

με Web 2.0, ΜcAfee Web Gateway, επιτυγχάνει

λεπτομερή ανάλυση όλου του περιεχομένου

και του κώδικα που εισάγεται σε ένα δίκτυο μέσω των

ιστοσελίδων που επισκέπτονται οι χρήστες, προσφέροντας

άμεση προστασία από κάθε ενδεχόμενο κίνδυνο.

Με βάση την πολυεπίπεδη ασφάλεια που παρέχουν συνδυάζοντας

τοπική και cloud προστασία, οι μηχανισμοί ΜcAfee

Web Gateway Anti-Malware Engine προσφέρουν αυτοματοποιημένες

λειτουργίες προστασίας από κακόβουλο λογισμικό,

ενώ χάρη στους πάντα επικαιροποιημένους μηχανισμούς “global

reputation intelligence” αποτρέπονται τα spyware, οι zeroday

και άλλες στοχευμένες επιθέσεις. Οι συγκεκριμένες λύσεις

υψηλής προστασίας δεδομένων, διασφαλίζουν παράλληλα τον

αξιόπιστο έλεγχο για ένα πλήθος web εφαρμογών και προσφέρουν

βέλτιστη διαχείριση

χρήσης των πληροφοριών

που διακινούνται. Επιπρόσθετα

αποτρέπουν την απώλεια των κρίσιμων και ευαίσθητων δεδομένων

του Οργανισμού, ενώ προσφέρουν προστασία κρυπτογραφημένων

πληροφοριών, μέσω προηγμένων εργαλείων

ανίχνευσης των blogs, wikis και άλλων Web 2.0 εφαρμογών και

ιστοσελίδων.

Με τις λύσεις Web Gateway o διαχειριστής των πληροφοριακών

υποδομών σε ένα Οργανισμό μπορεί να αναπτύξει

πολλαπλούς μηχανισμούς προστασίας - από web filtering μέχρι

antimalware και SSL scanning - μέσα από ένα εύκολο περιβάλλον

διαχείρισης, έχοντας ανά πάσα στιγμή τη δυνατότητα

εξαγωγής λεπτομερών αναφορών.

www.itway.gr

Oracle Big Data Appliance

Βέλτιστη διαχείριση των Big Data

Η Oracle ανακοίνωσε τη διαθεσιμότητα της λύσης Oracle Big Data Appliance, που σε συνδυασμό

με το λογισμικό Oracle Big Data Connectors βοηθά τις επιχειρήσεις στην αξιοποίηση μεγάλων συνόλων

δεδομένων (Big Data) σε εταιρικό επίπεδο. Η λύση Oracle Big Data Appliance είναι ένα σύστημα

που ενσωματώνει τον υλικό εξοπλισμό και το λογισμικό και περιλαμβάνει μία διανομή της

Cloudera με Apache Hadoop (CDH), την εφαρμογή διαχείρισης Cloudera Manager, καθώς και μία

διανομή ανοιχτού κώδικα της γλώσσας προγραμματισμού R. Το σύστημα τρέχει σε περιβάλλον Oracle Linux και διαθέτει

επίσης τα Oracle NoSQL Database Community Edition και Oracle HotSpot Java Virtual Machine. Η λύση Oracle Big

Data Appliance έχει σχεδιαστεί με στόχο την απλοποίηση της υλοποίησης και διαχείρισης έργων σχετικά με μεγάλα σύνολα

δεδομένων (Big Data) και παρέχεται σε διαμόρφωση rack πλήρους μεγέθους, με 18 servers Oracle Sun και τα παρακάτω

αθροιστικά χαρακτηριστικά: 864 GB κύρια μνήμη - 216 πυρήνες επεξεργαστή - 648 TB χωρητικότητα σε δίσκους

- Συνδεσιμότητα InfiniBand ταχύτητας 40 Gb/s μεταξύ κόμβων και άλλων συστημάτων της Oracle - Συνδεσιμότητα Ethernet

ταχύτητας 10 Gb/s για το κέντρο δεδομένων. Η αρχιτεκτονική της λύσης Oracle Big Data Appliance αποσκοπεί

στο να βοηθήσει τους πελάτες να διαθέσουν γρήγορα ένα επεκτάσιμο σύστημα υψηλής διαθεσιμότητας για τη διαχείριση

τεράστιων όγκων δεδομένων και να ελέγξουν τα κόστη του IT, χάρη στην προ-ενοποίηση όλων των στοιχείων εξοπλισμού

και λογισμικού σε μία ενιαία λύση Big Data, η οποία θα συμπληρώνει τις εταιρικές αποθήκες δεδομένων.

www.oracle.com

security | 45


REVIEW

Symantec NetBackup 7.5 και

Backup Exec 2012

Καλύτερο

Backup,

μείωση στα

λειτουργικά

κόστη

H

Symantec ανακοίνωσε ότι θα προσφέρει μία νέα προσέγγιση

για τον εκσυγχρονισμό των backup και recovery - μία

διαδικασία που έχει γίνει αδικαιολόγητα περίπλοκη και κοστοβόρα,

καθώς οι ανάγκες αποθήκευσης των δεδομένων

των Οργανισμών έχουν υποστεί ραγδαία αύξηση. Σε σύγκριση με το παραδοσιακό

backup, η προσέγγιση της Symantec επιτρέπει τη δημιουργία

100 φορές ταχύτερου backup, διευκολύνει τη διαχείριση και απλοποιεί

την ανάκτηση σε περίπτωση καταστροφής, βοηθώντας τους πελάτες να

εξοικονομήσουν σημαντικά κόστη, ενώ παράλληλα να προστατεύουν καλύτερα

τα εταιρικά τους δεδομένα. Η σημερινή προσέγγιση για τον εκσυγχρονισμό

του backup παρουσιάζει μία μεγάλη συλλογή λύσεων που

οδηγούν σε επιπρόσθετη πολυπλοκότητα, αυξανόμενα κόστη και πονοκέφαλο

στους διαχειριστές των συστημάτων, των δικτύων και των στελεχών

των επιχειρήσεων. Η Symantec ολοκλήρωσε πρόσφατα έρευνα σε

περισσότερους από 1.400 επαγγελματίες IT σε παγκόσμιο επίπεδο, σχετικά

με τις μεθόδους backup που χρησιμοποιούν και τη δυνατότητά τους

να ανακτούν πληροφορίες σε περίπτωση καταστροφής. Τα ευρήματα καταδεικνύουν

ότι οι παραδοσιακές προσεγγίσεις backup είναι εσφαλμένες

και μία νέα προσέγγιση ήταν απαραίτητη:

Βασικά στοιχεία της μοναδικής προσέγγισης της Symantec για την προστασία

της πληροφορίας είναι οι λύσεις NetBackup 7.5 και Backup Exec

2012 και οι λύσεις cloud, οι οποίες είναι σχεδιασμένες για να βοηθήσουν

περισσότερους από δύο εκατομμύρια πελάτες της να αντιμετωπίσουν τα

επίμαχα θέματα backup που είναι κοινά για όλες τις εταιρείες παγκοσμίως.

Η στρατηγική της Symantec εστιάζει στους ακόλουθους συγκεκριμένους

τομείς:

Αλλαγή του Λειτουργικού Μοντέλου του Backup: Η στρατηγική της Symantec

είναι να εξαλείψει 80% του λειτουργικού κόστους του backup,

προσφέροντας μία ενιαία πλατφόρμα η οποία αντικαθιστά τις πολλαπλές

λύσεις που χρησιμοποιούνταν στο backup μέχρι σήμερα. Οι backup συσκευές

της Symantec μπορούν να οδηγήσουν τα κόστη σε ακόμη χαμηλότερα

επίπεδα απ’ ότι οι παραδοσιακές συσκευές, συνδυάζοντας λογισμικό

backup και deduplication σε μία μόνο λύση που υποστηρίζεται από

ένα μόνο προμηθευτή, για γρήγορη ανάπτυξη και εύκολη διαχείριση. Η

46 | security


REVIEW

δυνατότητα συνδυασμού λογισμικού, συσκευών και λύσεων

backup με βάση το cloud, παρέχει στους πελάτες περισσότερες

επιλογές και ευελιξία.

Όχι πια άλλα Backup Window: 100 φορές ταχύτερο backup

με το NetBackup 7.5 σε σύγκριση με τις παραδοσιακές μεθόδους,

σημαίνει ότι οι επιχειρήσεις μπορούν να ολοκληρώσουν

την πλήρη διαδικασία backup στις ταχύτητες των εφεδρικών

backup, χωρίς να θυσιάζουν τη δυνατότητα ανάκτησης για να

επιτύχουν τα κρίσιμα service levels.

Καταπολέμηση της διατήρησης δεδομένων επ’ αόριστο: Πολλοί

Οργανισμοί διατηρούν backup για περισσότερο χρόνο

από όσο χρειάζεται. Έχοντας γνώση πότε οι πληροφορίες

μπορούν να διαγράφουν τα δεδομένα τους, μειώνει σημαντικά

το κόστος και τα βάρη διαχείρισης του ΙΤ. Νέες δυνατότητες

εύρεσης στα αρχεία backup στο NetBackup δίνουν στο

IT τη δυνατότητα να διαχωρίζει τι είναι σχετικό από νομικής

άποψης και σύμφωνα με τους κανονισμούς συμμόρφωσης,

ενώ η λοιπή υποδομή του backup λειτουργεί σε μηνιαία – διμηνιαία

– τριμηνιαία βάση. Η για αόριστο χρόνο διατήρηση δεδομένων,

αποτελεί αλόγιστη σπατάλη για το ΙΤ και ένα τεράστιο

ρίσκο για τις νομικές υπηρεσίες.

Ενοποίηση των Snapshots και Backup: Ένα snapshot χωρίς το

NetBackup, παραμένει απλά ένα snapshot. Ένα snapshot μαζί

με τη λύση NetBackup αποτελεί συνώνυμο της προστασίας

της πληροφορίας, διαχείρισης και δυνατότητας ανάκτησης.

Ενοποιώντας τα snapshot και backup στο NetBackup, η Symantec

προσφέρει την ταχύτητα των snapshot με τη δυνατότητα

ανάκτησης του backup.

Παύση συσσώρευσης των Tapes On Trucks: Με τη βοήθεια

της τεχνολογίας Symantec NetBackup, οι Οργανισμοί μπορούν

να εκσυγχρονίσουν τις στρατηγικές disaster recovery

που διαθέτουν και να σταματήσουν τη μέθοδο αποστολής tapes

by truck. Η λειτουργία Symantec NetBackup Auto Image

Replication (AIR) επιτρέπει στους πελάτες να εξουδετερώνουν

τον όγκο των φυσικών στοιχείων, δίνει προτεραιότητα στα αρχεία

που μπορούν να σταλούν μέσω του δικτύου, ενώ παράλληλα

μειώνει σημαντικά την πιθανότητα ανθρώπινου λάθους.

Ενοποίηση των Virtual και Physical Backup: Στόχος είναι η μείωση

του λειτουργικού κόστους γύρω από το virtualization με

την τεχνολογία Symantec V-Ray (για την οποία εκκρεμεί κατοχύρωση

ευρεσιτεχνίας), επιτρέποντας στους Οργανισμούς

να έχουν μεγαλύτερο visibility σχετικά με τις VMware και Hyper-V

μηχανές του virtual backup με ένα μόνο προϊόν. Η τεχνολογία

V-Ray η οποία είναι ενσωματωμένη σε NetBackup και

Backup Exec, προσφέρει ισορροπία στη δημιουργία backup

σε virtual machine, έτσι ώστε να εξουδετερώσει τις «καταιγίδες»

backup, να βελτιώσει την απόδοση των virtual machine

και να μειώσει την ανάγκη αποθήκευσης μέσω του data deduplicating

παντού - είτε βρίσκονται σε VMware, σε Hyper-V

ή σε φυσικούς servers - έχοντας ως αποτέλεσμα μέχρι και

90% μείωση των αποθηκευτικών αναγκών.

Ένα Προϊόν για κάθε ανάγκη Ανάκτησης: To Backup μπορεί

να έχει πολλές μορφές, αλλά όχι και η ανάκτηση. Η Symantec

παρέχει μία λύση για όλα τα backup - είτε γίνονται σε tape,

disk, σε φυσικά ή virtual περιβάλλοντα. Οι πελάτες μπορούν

να ανακτήσουν κάθε εφαρμογή ή σύστημα σε μία virtual

μηχανή - είτε έχουν το hardware είτε όχι. Φυσική ή virtual

ανάκτηση συμπεριλαμβάνεται χωρίς κόστος στη λύση

Backup Exec, απλοποιώντας το disaster recovery μέσω της

αυτοματοποιημένης δημιουργίας μίας virtual μηχανής, όταν

υπάρχει ανάγκη ανάκτησης. Η νέα backup to virtual (B2V) τεχνολογία

είναι διαθέσιμη προκειμένου να επιταχύνει τη μετάβαση

από τους φυσικούς σε virtual servers ως τμήμα της

διαδικασίας backup.

Εξουδετέρωση της Πολυπλοκότητας: Το Backup Exec έχει

εξαλείψει την πολυπλοκότητα διαχείρισης του backup μέσω

της απλοποίησης του user interface, χρησιμοποιώντας στοιχεία

από εκατομμύρια χρήστες, από διάφορες πολιτικές συμμόρφωσης

και θέματα licensing. Το γεγονός αυτό επιτρέπει στους

διαχειριστές IT και στους ιδιοκτήτες SMB να έχουν μία στρατηγική

προστασίας δεδομένων, χωρίς να απασχολούν στελέχη

μόνο για backup.

Εύκολο Backup: Η Symantec παρουσιάζει το Backup Exec

Small Business Edition, εξασφαλίζοντας στις μικρότερες εταιρείες

την απόκτηση μίας κατάλληλης προστασίας δεδομένων

σε λιγότερο από 10 λεπτά, σε 3 απλά βήματα. Επιπρόσθετα,

η Symantec επεκτείνει το Backup Exec.cloud στην

Ευρώπη, παρέχοντας σε όσους πελάτες επιθυμούν μία απλή,

αυτοματοποιημένη διαδικασία backup, σε μία αξιόπιστη και

ασφαλή λύση. iTSecurity

www.symantec.com

security | 47


Διμηνιαίο περιοδικό για τo Enterprise Computing

και την Ασφάλεια Πληροφοριών

Διμηνιαίο περιοδικό με θεματολογία στο χώρο της ασφάλειας

ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΚΑΙ ΣΤΑ ΔΥΟ ΠΕΡΙΟΔΙΚΑ (SECURITY MANAGER & IT SECURITY)

ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 4O€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 65€ (2 τεύχη)

ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 78€ ΛΟΙΠΕΣ ΧΩΡΕΣ 97 €

ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΣΤΟ ΠΕΡΙΟΔΙΚΟ IT SECURITY

ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 3O€ ΦΟΙΤΗΤΕΣ/ΣΠΟΥΔΑΣΤΕΣ 20€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 50€ (2 τεύχη)

ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 60€ ΛΟΙΠΕΣ ΧΩΡΕΣ 75 €

TPOΠOI ΠΛHPΩMHΣ

• Με ταχυδρομική επιταγή

• Με κατάθεση στον τραπεζικό λογαριασμό:

ΕΘΝ. ΤΡΑΠΕΖΗΣ 108-47118154

EUROBANK 0026 0251 5202 006 97497

ALPHA BANK 276002002005830

• Με πιστωτική κάρτα:

Εθνοκάρτα Mastercard Visa Diners

Aριθμός κάρτας:

Ημ. Λήξεως:

ΔΕΛΤΙΟ ΣΥΝΔΡΟΜΗΣ

Νέος συνδρομητής n Ανανέωση Συνδρομής n Συνδρομή και στα 2 περιοδικά n

(Security Manager & IT Security)

Επωνυμία επιχείρησης:.................................................................................................................................................................... ΑΦΜ:...................................................................... ΔΟΥ:...............................................................................

Δραστηριότητα (επιχείρησης): ................................................................................................................................................ E-mail:..............................................................................................................................................................................

Ονοματεπώνυμο (Υπευθύνου):.......................................................................................... Θέση στην εταιρεία: ..........................................................................

Διεύθυνση:.............................................................................................................................................................................................................................................................................. Ταχ. Κώδικας: .........................................................................

Πόλη:............................................................................................................................................................. Τηλέφωνο:.................................................................................................... Fax:..........................................................................................

Ονοματεπώνυμο παραλήπτη: ................................................................................................................................................................................................................................................................................................................................

Διεύθυνση αποστολής περιοδικού:...................................................................................................................................................................................................................................................................................................................................

Ταχ. Κώδικας:..................................................................................Πόλη:.............................................................................................................................................................................................................................................................

Σύμφωνα με το ΚΒΣ, άρθρο 13, παραγρ. 17, για τις συνδρομές εκδίδονται διπλότυπες αθεώρητες αποδείξεις ως παραστατικό δαπάνης για την επιχείρηση.


Οικονομία σε κρίση, Τεχνολογία σε έξαρση

Ποιά η αξία και η θέση

της Ασφάλειας Πληροφοριών

στο νέο επιχειρηματικό περιβάλλον

Η προστασία των πληροφοριών ανάγεται πλέον σε κομβικό ζήτημα

για την επιβίωση και περαιτέρω ανάπτυξη των επιχειρήσεων

και οργανισμών.

Το 2ο Infocom Security, έχει ως στόχο λοιπόν, να αναδείξει

τους κινδύνους που απειλούν σήμερα την ασφάλεια των πληροφοριών

σε έναν οργανισμό και ταυτόχρονα να αποτυπώσει

τις τάσεις, τις τεχνολογίες και τις στρατηγικές που αναπτύσσονται

προς της κατεύθυνση δημιουργίας ενός ασφαλούς

περιβάλλοντος για τα κρίσιμα επιχειρηματικά δεδομένα.

Διοργάνωση:

More magazines by this user