IT Professional Security - ΤΕΥΧΟΣ 26

smartpress

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

Μάιος - Ιούνιος - Ιούλιος 2012 • Τεύχος 26 • Τιμή 5€

Mobile Payments

Ακόμα μία πρόκληση για την

Ασφάλεια Πληροφοριών

Mobility; Ασφαλώς Η ανάπτυξη, οι κίνδυνοι & οι τρόποι αντιμετώπισης

Mobile applications penetration testing

Unified Threat Management 6 κριτήρια επιλογής

Κυβερνοπόλεμος Χαρακτηριστικά – Στόχοι - Άμυνα

PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ

ΠΛHPΩMENO

TEΛOΣ

Tαχ. Γραφείο

(X+7)

KEMΠ.KΡ.

Aριθμός Άδειας

116

ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.

P R

PRESS POST

E S S

T

P O S


E DITORIAL

Φορητότητα.. παντού και πάντα!

Tρία από τα βασικά άρθρα του παρόντος τεύχους αφορούν

στην τάση του Mobility, από διαφορετική προσέγγιση

το κάθε ένα. Η συγκεκριμένη επιλογή δεν είναι τυχαία. Από

τη μία, η τάση του Mobility και στη διαχείριση επαγγελματικών

εφαρμογών αποκτά ολοένα ευρύτερες διαστάσεις παγκοσμίως

- και φυσικά και στη χώρα μας. Από την άλλη, κατά τη διάρκεια

του καλοκαιριού η αξιοποίηση των φορητών συσκευών γίνεται

ακόμα εντονότερη. Η δυνατότητα για απομακρυσμένη

πρόσβαση στις επαγγελματικές μας εφαρμογές και πληροφορίες

μέσω των φορητών συσκευών ακόμα και κατά τη διάρκεια

των διακοπών του καλοκαιριού - και όχι μόνο - έχει δημιουργήσει

ένα νέο status. Οι προεκτάσεις του θέματος είναι

πολλές και αφορούν: τις διαθέσιμες τεχνολογίες, τα οφέλη σε

σχέση με την παραγωγικότητα, τις αλλαγές που επιφέρει στη

λειτουργία πολλών επιχειρήσεων σε σχέση ακόμα και με τη

διαχείριση προσωπικού … και φυσικά τους κινδύνους.

Έτσι, το κεντρικό θέμα του παρόντος τεύχους που έχει γράψει

ο συνεργάτης μας Νότης Ηλιόπουλος, επικεντρώνεται σε

μία από τις παραμέτρους του Mobility που αρχίζει να αναπτύσσεται

και στο μέλλον αναμένεται να κερδίσει μια σημαντική

θέση. Πρόκειται για το mobile payments. Στο άρθρο

του, ο συνεργάτης μας αναφέρει χαρακτηριστικά «…το κινητό

τηλέφωνο πρόκειται να γίνει γρήγορα όχι μόνο το μέσο για

τη διενέργεια μιας συναλλαγής, αλλά ταυτόχρονα θα δίνει πληροφορίες

για το προϊόν που μας ενδιαφέρει, καθώς και πληροφορίες

για το πού θα βρούμε το προϊόν και σε ποια τιμή».

Φυσικά σε ένα τέτοιο περιβάλλον όπου η διεξαγωγή των συναλλαγών

θα γίνεται μέσω των φορητών συσκευών μας, η

ασφάλεια των πληροφοριών θα αποτελεί τη σημαντικότερη

ίσως πρόκληση.

Επίσης επιλέξαμε να απευθυνθούμε σε στελέχη εταιρειών

προκειμένου να μας αναπτύξουν τη δική τους προσέγγιση σε

ορισμένα θέματα που αφορούν στο mobility και την ασφάλεια.

Τα συμπεράσματα από όσους μας απάντησαν, επιβεβαιώνουν

τη μεγάλη δυναμική του mobility, τα πολλά και σημαντικά

πλεονεκτήματα που επιφέρει, αλλά και τις νέες προκλήσεις

που προκύπτουν για τους διαχειριστές των υποδομών

IT, με κυριότερη αυτή της ασφάλειας. Οι λύσεις για την

προστασία των δεδομένων και των ίδιων των συσκευών που

έχουν αναπτυχθεί από πολλές εταιρείες, καλύπτουν σε μεγάλο

βαθμό τις ανάγκες για ασφάλεια - αν και όπως έχουμε επισημάνει

πάρα πολλές φορές, οι διαδικασίες που αφορούν

στην ασφάλεια εξελίσσονται συνεχώς, όσο εξελίσσονται οι

κίνδυνοι ποσοτικά και ποιοτικά. Την τριλογία των άρθρων

που αφορούν στο Mobility συμπληρώνει το άρθρο του κου

Χρήστου Βιδάκη από την KPMG, που αναλύει μηχανισμούς

ασφαλείας οι οποίοι έχουν αναπτυχθεί για την προστασία

σε επίπεδο φορητών συσκευών, εστιάζοντας κυρίως στις επιθέσεις

παρείσδυσης.

Η φορητότητα λοιπόν βρίσκεται στο επίκεντρο του καλοκαιρινού

μας τεύχους, το οποίο συμπληρώνουν και άλλα εξίσου

πολύ ενδιαφέροντα άρθρα. Ελπίζοντας να ευχαριστηθείτε την

ανάγνωση και να εντοπίσετε χρήσιμα θέματα, θα θέλαμε να σας

ευχηθούμε ολόψυχα καλό καλοκαίρι και καλή ξεκούραση!

Βλάσης Αμανατίδης

Iδιοκτησία

Nίκος Πανδής

Eκδότης

Nίκος Πανδής

Διεύθυνση Εκδόσεων

Aντώνιος Σάκκουλας

Αρχισυντάκτης

Βλάσης Αμανατίδης

info@securitymanager.gr

Συνεργάτες

Αριστοτέλης Λυμπερόπουλος

Βασίλης Λαμπρόπουλος

Δημήτρης Παπίτσης

Ελένη Σωτηρίου

Αλέξανδρος Σουλαχάκης

Ιωσήφ Ανδρουλιδάκης

Mίνα Ζούλοβιτς

Νότης Ηλιόπουλος

Παναγιώτα Τσώνη

Συνεργάτης Κύπρου

Φρίξος Μόζορας

Εμπορικό Τμήμα

Γιώργος Σιφονιός

sifonios@pressline.gr

Τμήμα Διαφήμισης - Marketing

Nίκη Πανδή

marketing@pressline.gr

Υπεύθυνος Συνδρομών

Γιώργος Τσιματσίδης

support@securitymanager.gr

Λογιστήριο

Xρήστος Mακρής

fin@pressline.gr

Γραμματειακή Yποστήριξη

Nικολέτα Πανδή

Διευθυντής Παραγωγής

Σάκης Γαβαλάς

Kαλλιτεχνική Eπιμέλεια

Mάρθα Τσάρου

Hλεκτρονική Σελιδοποίηση

Λευτέρης Πανδής

Σχεδιασμός Mu ltimedia

Φίλιππος Kαλογιάννης

Aτελιέ-Διαχωρισμοί-Mοντάζ

PressLine

www.itsecuritypro.gr

www.securitymanager.gr

info@securitymanager.gr

H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ

ΚΩΔΙΚΟΣ 01-8267

Mάγερ 11, 104 38 Αθήνα,

Τηλ.: 210-52.25.479 (6 γραμμές),

Fax: 210-52.43.345,

web: www.pressline.gr

security | 1


CONTENTS

27 32 36

1|EDITORIAL

4|NEWS

COVER ISSUE

8|Mobile Payments

Ακόμη μία πρόκληση για την

Ασφάλεια Πληροφοριών

ISSUE

14|Mobility; Ασφαλώς

Η ανάπτυξη, οι κίνδυνοι

& οι τρόποι αντιμετώπισης

2| security

REFERENCE

22|Mobile applications

penetration testing

Προλαμβάνοντας τις

εξελίξεις για τη διασφάλιση

ασφάλειας εφαρμογών

φορητών συσκευών από

επιθέσεις παρείσδυσης

ISSUE

27|SSL Πιστοποίηση

Πυλώνας εμπιστοσύνης

και προστασίας

32|Unified Threat Management

6 κριτήρια επιλογής

36|Zero Day Attacks

Χαρακτηριστικά και

Αντιμετώπιση

40|Κυβερνοπόλεμος

Χαρακτηριστικά - Στόχοι -

Άμυνα

REVIEW

46|ESET Endpoint Antivirus

& Endpoint Security

Με προηγμένη λειτουργία

Web Control

47| PRODUCTS


McAfee Mobile Security

Οι λύσεις Mobile Security από την McAfee παρέχουν προστασία ενάντια σε κινδύνους όπως οι απώλειες

δεδομένων (data loss) των φορητών συσκευών άλλα και άλλων απειλών που στοχεύουν σε smartphones και

tablets. Επίσης, η λειτουργία “McAfee mobile device management” βοηθάει στην μείωση των ρίσκων που

προκύπτουν από την απώλεια ή κλοπή φορητών συσκευών, όπως απώλεια προσωπικών ή επιχειρηματικών

δεδομένων και διακοπή πρόσβασης σε δίκτυο. Με τις λύσεις ασφαλείας της McAfee υποστηρίζουμε όλους

τους τύπους των φορητών συσκευών, συμπεριλαμβανομένου : Apple iPhone, iPad, Android και Blackberry.

McAfee Enterprise Mobility Management (EMM):

Με τις λειτουργίες προστασίας συσκευών και δεδομένων για τις πλέον δημοφιλείς σήμερα mobile συσκευές όπως Apple iPhone, iPad και

Android, η McAfee προσφέρει ένα ολοκληρωμένο σύνολο λύσεων ασφαλείας που καλύπτει το μεγαλύτερο μέρος της γκάμας των συσκευών

που κυκλοφορούνε στην αγορά. Η ολοκληρωμένη λύση McAfee Enterprise Mobility Management (EMM) παρέχει το ίδιο επίπεδο ασφάλειας και

ελέγχου των φορητών συσκευών με αυτό που εφαρμόζεται σε laptops και desktops, συμπεριλαμβανομένου τη δυνατότητα προσδιορισμού

ταυτοποίησης και προσδιορισμού πολιτικών για τις συσκευές που κατέχουν οι υπάλληλοι των οργανισμών και των επιχειρήσεων.

Η λύση McAfee EMM συνδυάζει αρκετές εφαρμογές προστασίας φορητών συσκευών όπως anti-malware, ισχυρή αυθεντικοποιήση, υψηλή

διαθεσιμότητα, επεκτάσιμη αρχιτεκτονική και αναφορές συμμόρφωσης σε ένα ενιαίο σύστημα. Η ενοποίηση των εφαρμογών μέσω του McAfee

ePolicy Orchestrator (McAfee ePO) επιτρέπει στα τμήματα IT να ενσωματώνουν τις απαραίτητες πολιτικές και να απλοποιούν τη διαχείριση

συμμόρφωσης, ενώ ταυτόχρονα προστατεύσουν τις συσκευές και το δίκτυο της επιχείρησης από κακόβουλο λογισμικό. Η λύση McAfee EMM

βασίζεται στην υλοποίηση των web υπηρεσιών REST, προκειμένου να αυτοματοποιηθούν οι λειτουργίες «help desk», συμπεριλαμβανομένου

λειτουργίες αποκλεισμού χρηστών φορητών συσκευών όταν απαιτείται.

Η λύση McAfee EMM προσφέρει:

Ασφάλεια συσκευών – Διαμορφώνει κατάλληλα τις φορητές συσκευές για να προσαρμοστεί

με τις εταιρικές πολιτικές ασφαλείας και να εφαρμόσει τη συμμόρφωση πριν από την πρόσβαση

στο δίκτυο. Παρέχει προστασία από κακόβουλο λογισμικό για συσκευές Android μέσω του

McAfee VirusScan Mobile για επιχειρήσεις. Επίσης προστατεύει το εταιρικό ηλεκτρονικό

ταχυδρομείο, το ημερολόγιο και οι επαφές από τα προσωπικά στοιχεία με McAfee εξασφαλίζουν

το εμπορευματοκιβώτιο.

Εύκολη επέκταση και διαμόρφωση - Διευκολύνει τη διαχείριση του mobility, αυτοματοποιώντας

τη διαμόρφωση και τη συνδεσιμότητα των VPN, Wi-Fi, PKI και email. Τα χαρακτηριστικά

γνωρίσματα εξατομίκευσης εξοπλίζουν τη συσκευή με τα μοναδικά πιστοποιητικά ενός χρήστη

για να επιτρέψουν την πρόσβαση σε υπηρεσίες εφαρμογών και την επιβολή πολιτικών ειδικά

για συγκεκριμένους χρήστες. Επίσης βοηθάει τους administrators, να διαχειριστούν εύκολα και

γρήγορα τις μεγάλες ομάδες εταιρικών χρηστών.

Επεκτάσιμη αρχιτεκτονική ασφάλειας φορητών συσκευών – Διαχειρίζεται μερικές ή χιλιάδες

κινητές συσκευές, σε ένα γεωγραφικά διασκορπισμένο δίκτυο δεδομένων, με αποτελεσματικό

τρόπο βοηθώντας τους χρήστες να διαχειριστούνε κάθε πρόβλημα που μπορεί να προκύψει.

Κύρια χαρακτηριστικά:

Make it secure

Διαμορφώνει, επιβάλλει και διαχειρίζεται τις

ρυθμίσεις ασφαλείας των φορητών συσκευών

Προστατεύει τα εταιρικά δεδομένα από την

ακούσια ή κακόβουλη διαρροή

Επιβάλλει τη συμμόρφωση στις εταιρικές πολιτικές

Συνδέει με ασφάλεια εταιρικές υπηρεσίες όπως:

VPN, WI-FI, emails και εφαρμογές line-ofbusiness

γραμμή-

Make it easy

Πρόβλεψη για αυτοεξυπηρέτηση και μαζική

εξυπηρέτηση ομαδικών χρηστών

Προσαρμόζει τις συσκευές στα ιδιαίτερα

χαρακτηριστικά του κάθε χρήστη ενισχύοντας

την παραγωγικότητα

Αναβαθμίζει το ePO παρέχοντας μια ολιστική

εικόνα όλων των εταιριών endpoints

Make it scalable

Ενσωματώνεται στο ήδη

υπάρχον επιχειρηματικό

περιβάλλον

Επεκτείνεται υποστηρίζοντας

μέχρι 15.000 συσκευές ανά

server

Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την ITWAY Hellas (εξουσιοδοτημένος διανομέας):

Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr


NEWS

Cisco WebEx Social. Η κοινωνική δικτύωση και συνεργασία

διαθέσιμη σε κινητές συσκευές, email και επιχειρηματικές εφαρμογές

Η Cisco αναβαθμίζει το WebEx,

το οποίο πλέον περιλαμβάνει εκτός

του Web Conferencing και στοιχεία

κοινωνικής συνεργασίας και

Telepresence, προσφέροντας

στους πελάτες νέα μέσα για την ενθάρρυνση

της συμμετοχής και της

καινοτομίας των εργαζομένων. Το

Cisco WebEx Social προσφέρει

ενοποίηση με το Microsoft Office.

Η ενοποίηση του WebEx Social με το Microsoft Office θα

προσφέρει στους εργαζόμενους που χρησιμοποιούν το Word,

το PowerPoint ή το Excel τη δυνατότητα να επεξεργάζονται

και να δημοσιεύουν από κοινού έγγραφα, παρουσιάσεις και

υπολογιστικά αρχεία στο WebEx Social. Επίσης το email δεν

χρειάζεται να είναι πλέον μια κεντρική εφαρμογή. Με τη βελτιωμένη

ενοποίηση e-mail, οι εργαζόμενοι μπορούν να εξακολουθούν

να χρησιμοποιούν e-mail

client όπως είναι το Microsoft Outlook,

ενώ παράλληλα να δημιουργούν

και να δημοσιεύουν ενημερώσεις

στο WebEx Social. Οι βελτιώσεις

στα WebEx Social iPhone

και iPad client θα δώσουν στους

εργαζόμενους τη δυνατότητα να

μεταβαίνουν από την κοινωνική δικτύωση

σε IM, Web conferencing

και φωνητικές κλήσεις σε πραγματικό χρόνο από τη mobile

εφαρμογή τους. Με τη νέα δυνατότητα βιντεοκλήσεων μέσω

browser, είναι πλέον εφικτή η άμεση μετάβαση σε υψηλής ανάλυσης

(HD) video conferencing, χωρίς να απαιτείται χωριστή

εφαρμογή. Το WebEx Social είναι διαθέσιμο ως λύση που παρέχεται

στις εγκαταστάσεις του πελάτη (WebEx Social Server),

μέσω συνεργατών ή μέσω τεχνολογίας cloud.

Διαδικτυακές απειλές Μαρτίου-Μαΐου

σύμφωνα με το ESET Live Grid

Το ESET Live Grid, το σύστημα συλλογής στατιστικών δεδομένων

για malware μέσω cloud, σημείωσε αλλαγή στα

στατιστικά δεδομένα των ηλεκτρονικών απειλών για τον τελευταίο

μήνα, καθώς το INF/Autorun κατάφερε να «εκθρονίσει»

το HTML/ScrInject.B, το οποίο βρισκόταν για

τρεις μήνες στην πρώτη θέση των στατιστικών δεδομένων

σε παγκόσμιο και Ευρωπαϊκό επίπεδο. Καθ’ όλη τη διάρκεια

του Μαΐου του 2012, το INF/Autorun είχε ποσοστό διείσδυσης

6,36% σε παγκόσμιο επίπεδο και 4,99% στην Ευρώπη.

Ενώ για τους τρεις προηγούμενους μήνες, από Φεβρουάριο

έως και Απρίλιο, το HTML/ScrInject.B είχε καταταγεί

στην πρώτη θέση της λίστας των ηλεκτρονικών απειλών.

Το INF/Autorun αποτελεί μια ποικιλία malware που

χρησιμοποιεί το αρχείο autorun.inf ως έναν τρόπο να θέσει

έναν υπολογιστή σε κίνδυνο. Αυτό το αρχείο περιέχει

πληροφορίες σχετικά με προγράμματα που προορίζονται

να λειτουργήσουν αυτόματα, όταν αφαιρούμενα μέσα (συνήθως

USB flash drives) συνδεθούν σε έναν υπολογιστή με

λειτουργικό σύστημα Windows. Το HTML/Iframe.B υποδηλώνει

κακόβουλες ετικέτες IFRAME ενσωματωμένες σε

σελίδες HTML, που ανακατευθύνουν το πρόγραμμα περιήγησης

του διαδικτύου σε μια συγκεκριμένη τοποθεσία

URL με κακόβουλο λογισμικό. Το HTML/ScrInject.B αποτελεί

HTML αρχείο που περιέχει ασαφές περιεχόμενο ή

iframe ετικέτες που πραγματοποιούν αυτόματη λήψη κακόβουλου

λογισμικού.«Είναι πολύ σημαντικό και πρέπει να

τονιστεί, ότι οι Οργανισμοί που ακολουθούν πρακτικές για

την ασφάλεια των πληροφοριών, όπως είναι η χρήση λογισμικού

ασφαλείας για έλεγχο των συσκευών για πρόληψη

της μόλυνσης από malware που εξαπλώνεται μέσω USB

flash drives, προστατεύονται κατά το πλείστον από το μεγαλύτερο

μέρος του κακόβουλου λογισμικού που επιτίθεται

σήμερα», δήλωσε ο Stephen Cobb, Security Evangelist

της ESET.

4| security


Η APC by Schneider Electric παρουσιάζει νέες υπηρεσίες

ενεργειακής επιθεώρησης Data Centres που

προσαρμόζονται στις ανάγκες του πελάτη

Η APC by Schneider Electric, κορυφαία εταιρεία

παροχής υπηρεσιών ισχύος και ψύξης

παγκοσμίως, παρουσιάζει την υπηρεσία Ενεργειακής

Επιθεώρησης Data Centres EnergyS-

TEP, στο πλαίσιο της διαρκώς διευρυνόμενης

σειράς Υπηρεσιών Διαχείρισης Ενέργειας που προσφέρει

για κέντρα δεδομένων. Η υπηρεσία Ενεργειακής Επιθεώρησης

Data Centres EnergySTEP αφορά στην αναλυτική

και προσαρμόσιμη επιθεώρηση της ενεργειακής και

ψυκτικής απόδοσης ενός κέντρου δεδομένων, της απόδοσης

των φυσικών υποδομών και της απόδοσης λειτουργίας

του. Η επιθεώρηση αυτή επιτρέπει στους διαχειριστές κέντρων

δεδομένων να ελέγχουν την απόδοση της εγκατάστασής

τους και να τη συγκρίνουν με τα καθιερωμένα πρότυπα

του κλάδου, όπως το Green Grid Data Center Maturity

Model. Η αξιολόγηση αποσκοπεί σε βελτιώσεις που θα

βοηθήσουν το διαχειριστή του κέντρου δεδομένων να μειώσει

το ταχύτατα αυξανόμενο κόστος της

ενέργειας και ταυτόχρονα να εξασφαλίσει τη

μέγιστη δυνατή διαθεσιμότητα. Η υπηρεσία

Ενεργειακής Επιθεώρησης EnergySTEP δίνει

τη δυνατότητα στους υπευθύνους κέντρων

δεδομένων να προσαρμόσουν την υπηρεσία επιθεώρησης

στις ανάγκες τους, ώστε να επιτύχουν τους στόχους τους

όσον αφορά στην κατανάλωση ενέργειας, στις επιχειρηματικές

ανάγκες και στους οικονομικούς στόχους. Η πλήρης

σειρά υπηρεσιών επιθεώρησης, στις οποίες συγκαταλέγονται

η υπηρεσία Επιθεώρησης Data Centres EnergySTEP αλλά

και η αξιολόγηση εισαγωγικού επιπέδου EnergySTEP1,

επιτρέπουν τη μέτρηση των επιδόσεων των κέντρων δεδομένων,

κάτι που αποτελεί σημαντικό βήμα προς την κατεύθυνση

της αποτελεσματικής διαχείρισης της ενέργειας. Για

περισσότερες πληροφορίες επισκεφθείτε τον ιστότοπο

www.schneider-electric.com.


NEWS

Kaspersky Lab: To 55% των επιχειρήσεων στην Ευρώπη

δεν προστατεύει τις εικονικές υποδομές τους

Πάνω από τις μισές επιχειρήσεις που έχουν ήδη υιοθετήσει

ή σκοπεύουν να υιοθετήσουν τεχνολογίες virtualization,

δεν προτίθενται να υλοποιήσουν λύσεις για την ασφάλεια

των εικονικών τους περιβαλλόντων. Αυτό το ανησυχητικό

στοιχείο προέκυψε από πρόσφατη έρευνα της O+K Research

σχετικά με τις τεχνολογίες virtualization. Στην έρευνα

συμμετείχαν επαγγελματίες της πληροφορικής που εργάζονται

σε μεσαίου και μεγάλου μεγέθους επιχειρήσεις,

οι οποίες διαθέτουν ήδη εικονικές υποδομές ή σχεδιάζουν

να αποκτήσουν το επόμενο διάστημα.

Η έρευνα, η οποία ολοκληρώθηκε το

Μάρτιο του 2012, αποκαλύπτει ότι υιοθέτηση

εικονικών υποδομών είναι ιδιαίτερα

υψηλή. Συγκεκριμένα, το 62%

των Ευρωπαϊκών επιχειρήσεων υλοποιεί

ή έχει ήδη υλοποιήσει λύσεις server

virtualization, το 35% σχεδιάζει να

υλοποιήσει virtual desktop υποδομές

και το 33% σχεδιάζει να αξιοποιήσει

λύσεις virtualization για την αποθήκευση δεδομένων. Η

έρευνα αναδεικνύει επίσης ότι η εμπειρία χρήσης τεχνολογιών

virtualization είναι σε σημαντικά επίπεδα. Στην Ευρώπη,

η μέση εμπειρία χρήσης βρίσκεται μόλις κάτω από

τα δύο προηγούμενα χρόνια. Το 42% των Ευρωπαίων

επαγγελματιών της πληροφορικής πιστεύουν ότι οι κίνδυνοι

για την ασφάλεία των συστημάτων είναι λιγότεροι ή σημαντικά

λιγότεροι σε ένα εικονικό περιβάλλον, σε σχέση

με τις φυσικές υποδομές. Μόλις το 36% πιστεύει ότι οι

κίνδυνοι ασφάλειας είναι τουλάχιστον ίδιοι, μια αντίληψη

που πλησιάζει περισσότερο στην πραγματικότητα.

Το ποσοστό υιοθέτησης της εξειδικευμένης τεχνολογίας

ασφάλειας στα εικονικά περιβάλλοντα είναι ανησυχητικά

χαμηλό. Το 55% των Ευρωπαϊκών εταιρειών είτε δεν ενδιαφέρεται

καθόλου για λύσεις ασφαλείας εικονικών υποδομών

που δεν απαιτούν την εγκατάσταση agents ή ενδιαφέρονται,

αλλά δεν σχεδιάζουν να τις υιοθετήσουν.

Μόλις το 18% των Ευρωπαϊκών εταιρειών απάντησαν ότι

έχουν ήδη υλοποιήσει τέτοιου είδους λύσεις.

Το χαμηλό ποσοστό υιοθέτησης αυτών των λύσεων

ασφαλείας δεν μπορεί να εξηγηθεί από πιθανές ανησυχίες

για την περιπλοκότητά τους. Για παράδειγμα, η λύση

Kaspersky Security for Virtualization είναι άκρως συμβατή

με την πλατφόρμα VMware, ενώ είναι εύκολη στη χρήση,

καθώς δεν απαιτεί την εγκατάσταση agents. Η λύση

εγκαθίσταται με τη μορφή μιας συσκευής ασφαλείας σε

όλα τα φυσικά περιβάλλοντα και προστατεύει αυτόματα

όλες τις εικονικές μηχανές που «τρέχουν» σε αυτά. Παράλληλα,

η λύση Kaspersky Security

for Virtualization μπορεί να ενσωματωθεί

στις ευρύτερες υποδομές

ασφάλειας, συμβάλλοντας – μαζί με

άλλες λύσεις της Kaspersky Lab –

στην κεντρική προστασία και διαχείριση

φυσικών και εικονικών περιβαλλόντων,

αλλά και φορητών συσκευών.

«Η έρευνα αναδεικνύει ότι η αντίληψη

για τους κινδύνους που διατρέχουν

τα εικονικά περιβάλλοντα βρίσκεται σε ανησυχητικά

επισφαλή επίπεδα. Πιστεύουμε ότι πρέπει να δίνεται η

μεγαλύτερη δυνατή προσοχή στην ασφάλεια των εικονικών

υποδομών, καθώς πιθανή αποτυχία σε αυτόν τον τομέα

μπορεί να προκαλέσει σημαντικές ζημιές σε μια επιχείρηση»,

σημείωσε ο Konstantin Voronkov, Senior Product

Manager of Virtualization Solutions της Kaspersky Lab.

«Επίσης, παρατηρούμε ότι οι περισσότερες εταιρείες αντιμετωπίζουν

ταυτόχρονα ζητήματα ασφάλειας τόσο στα

εικονικά, όσο και στα φυσικά τους περιβάλλοντα. Αυτός

είναι και ο λόγος που η λύση Kaspersky Security for Virtualization

βασίζεται σε μια προσέγγιση που δεν απαιτεί

την εγκατάσταση agents και ενσωματώνεται στο Kaspersky

Security Center, την κονσόλα διαχείρισης που σχεδιάστηκε

για να διαχειρίζεται τις προκλήσεις ασφάλειας

σε όλο το εύρος μιας εταιρικής υποδομής», συμπλήρωσε.

Περισσότερες πληροφορίες για τη λύση Kaspersky

Security for Virtualization είναι διαθέσιμες στη διεύθυνση:

http://www.kaspersky.com/security-virtualization

6| security


Η Symantec Ενισχύει τη Δέσμευσή της σε SMB Πελάτες

και Συνεργάτες

Η εταιρεία Symantec Corp. (Nasdaq:

SYMC) ανακοίνωσε πρόσφατα

ότι ολοκλήρωσε τη δημιουργία ενός

Οργανισμού, ο οποίος θα είναι καθ’

ολοκληρίαν αφοσιωμένος στις μικρές

και μεσαίες επιχειρήσεις (SMBs) και τους συνεργάτες

που τις εξυπηρετούν, εστιάζοντας στη διευκόλυνση των SMBs

στο να προστατεύσουν τα δεδομένα τους και να προχωρήσουν

με αυτοπεποίθηση στο μέλλον. Oι SMBs αντιμετωπίζουν

μία σειρά προκλήσεων που πιθανά τις αποτρέπουν

στο να αποτελέσουν τις ανεξάρτητες μονάδες ανάπτυξης,

καινοτομίας και ευημερίας. Η αφθονία της τεχνολογίας και

ο καταιγισμός της πληροφορίας μπορούν να δημιουργήσουν

μεγάλες ευκαιρίες, ενώ την ίδια στιγμή μπορούν να

προκαλέσουν τεράστια πολυπλοκότητα και μεγάλο ρίσκο.

Πράγματι, το 71% των SMBs που υπέστησαν μία κυβερνοεπίθεση

δεν κατάφεραν ποτέ να ανακάμψουν – ήταν ολέθρια

η επίθεση για εκείνες. Παρά το αυξημένο ρίσκο, ορισμένες

SMBs θεωρούν την αγορά, ανάπτυξη και υλοποίηση λύσεων

ασφάλειας, αποθήκευσης και

backup ιδιαίτερα πολύπλοκη για να

αφιερώσουν τον απαραίτητο χρόνο,

χρήματα και ενέργεια. Η Symantec

ξεκίνησε μία σειρά πρωτοβουλιών ειδικά

για τις SMBs, ενώ παράλληλα ολοκλήρωσε τη σύσταση

μίας ειδικής SMB ομάδας, της οποίας αποστολή είναι να

επαναπροσδιορίσει τον τρόπο που οι SMBs διασφαλίζουν

τα δεδομένα τους, παρέχοντάς τους προστασία σε όλα τα

επίπεδα – από την περιήγηση στο διαδίκτυο και τις online

συναλλαγές, μέχρι το email, τις διαδικασίες backup και ανάκτηση

– με εύχρηστο τρόπο αγοράς, ανάπτυξης, διαχείρισης

και υποστήριξης. Ο νέος Οργανισμός, με πρόεδρο του

τμήματος τον κο Rowan Trollope, έχει στελεχωθεί από ειδικούς

στον τομέα του SMB, που όχι μόνο κατανοούν τις

ιδιαίτερες ανάγκες των συγκεκριμένων επιχειρήσεων και των

συνεργατών που τους εξυπηρετούν, αλλά είναι αφοσιωμένοι

στην εξυπηρέτηση, στην ενεργοποίηση, στη βοήθεια και

στην προστασία του συγκεκριμένου κλάδου παγκοσμίως.

Η HP ενισχύει τις δυνατότητες των

μικρομεσαίων επιχειρήσεων στη mobile εποχή

Η HP παρουσιάζει νέες λύσεις που βοηθούν τις μικρομεσαίες

επιχειρήσεις να προετοιμάσουν τις τεχνολογικές υποδομές

τους, ώστε να ανταποκριθούν στο ολοένα και αυξανόμενο

ανθρώπινο δυναμικό που χρησιμοποιεί φορητές συσκευές.

Σήμερα περισσότερες από 1,1 δισ. κινητές συσκευές χρησιμοποιούνται

σε παγκόσμιο επίπεδο. Έτσι, μία από τις βασικές

προκλήσεις για όλους τους Οργανισμούς – ανεξαρτήτως μεγέθους

– είναι η ανάγκη για την πρόσβαση, τη διαχείριση και

την προστασία των φορητών συσκευών και των δεδομένων

τους. Το χαρτοφυλάκιο HP Converged Infrastructure προσφέρει

μια ιδανική πλατφόρμα για ασφαλή και συνεχή πρόσβαση

σε δεδομένα και εφαρμογές. Επιπλέον, αξιοποιώντας

λύσεις συνεργατών όπως η Citrix, η Microsoft και η VMware,

η HP προσφέρει βελτιωμένη προσβασιμότητα και παραγωγικότητα,

καθώς οι απαιτήσεις για την αξιοποίηση mobile τεχνολογιών

συνεχίζουν να αυξάνονται. Τα νέα προϊόντα της HP

περιλαμβάνουν τεχνολογικές λύσεις και υπηρεσίες, καθώς και

χρηματοδοτικά και εκπαιδευτικά προγράμματα που επιτρέπουν

σε μικρομεσαίες επιχειρήσεις με περιορισμένους πόρους

να απλοποιήσουν τις

υποδομές πληροφορικής, ενισχύοντας

τη συνεργασία σε μια εποχή όπου οι mobile τεχνολογίες

κερδίζουν έδαφος συνεχώς. Σύμφωνα με έρευνα της Gartner,

μέχρι το 2016 τουλάχιστον το 50% των χρηστών εταιρικών e-

mail θα αξιοποιεί κυρίως tablets ή φορητές συσκευές, αντί για

τους παραδοσιακούς desktop υπολογιστές . Η τάση χρήσης

κινητών συσκευών για πρόσβαση στα email και σε άλλα εταιρικά

δεδομένα απαιτεί από τις μικρομεσαίες επιχειρήσεις να

προετοιμάσουν τις υποδομές τους για να υποστηρίξουν την

αυξανόμενη απήχηση των mobile τεχνολογιών. Οι νέες λύσεις

και υπηρεσίες της HP επιτρέπουν στους Οργανισμούς μεταξύ

άλλων να βελτιώσουν τα επίπεδα ασφάλειας με τη λύση

HP Client Virtualization SMB, να μειώσουν τους κινδύνους και

την πολυπλοκότητα των έργων client virtualization με την προπαραμετροποιημένη

υπηρεσία HP Client Virtualization, Analysis

and Modeling και να απλοποιήσουν την υιοθέτηση mobile

τεχνολογιών με την υπηρεσία HP Transformation Experience

Workshop for Mobility


C OVER ISSUE

Του Νότη Ηλιόπουλου

Msc Infosec, ISO 27001 LA, CISA, CISM

niliopoulos@intellisolutions.gr

Mobile Payments

Ακόμα μία πρόκληση

για την Ασφάλεια Πληροφοριών

Ένας απλός ορισμός προσδιορίζει την έννοια των mobile payments, ως τη διαχείριση πληρωμών

μέσω φορητών συσκευών που κάνουν χρήση δικτύων κινητής τηλεφωνίας.

Σύμφωνα με τον οίκο Forrester Research, τα mobile payments

διαχωρίζονται σε δύο μεγάλου εύρους κατηγορίες:

3 Συστήματα τύπου contactless (χωρίς επαφή), τα οποία

χρησιμοποιούν το κινητό τηλέφωνο αντί μιας παραδοσιακής πιστωτικής/

χρεωστικής κάρτας και μεταδίδουν τα στοιχεία που

χρειάζονται για τη συναλλαγή, χωρίς το κινητό τηλέφωνο να

έρθει σε επαφή με κάποιο άλλο μέσο.

3 Τα συστήματα πληρωμών που χρησιμοποιούν ένα δίκτυο

κινητής τηλεφωνίας προκειμένου να διαχειριστούν ή να

επιτρέψουν τη διενέργεια μιας συναλλαγής.

Στις επόμενες παραγράφους αναλύονται το οικοσύστημα και

τα βασικά τεχνικά χαρακτηριστικά της κάθε τεχνολογίας.

Τεχνολογίες mobile payments

Τεχνολογία contactless: Τα στοιχεία που πιστοποιούν την ε-

γκυρότητα της πληρωμής αποθηκεύονται στη φορητή συσκευή

και μεταδίδονται χωρίς επαφή (over the air) σε ένα ειδικό και

συμβατό τερματικό πληρωμής, κάνοντας χρήση της τεχνολογίας

NFC (near field communication). Η φορητή συσκευή

λειτουργεί ως μία contactless κάρτα πληρωμών, αποτελώντας

8| security


μια νέα μορφή πληρωμής.

Η ίδια τεχνολογία χρησιμοποιείται και για πληρωμές εξ αποστάσεως

(remote payments). Για παράδειγμα, μπορεί να γίνει

μία online αγορά, περνώντας τη συσκευή κινητού τηλεφώνου

από ένα μηχανισμό ανάγνωσης, τεχνολογίας NFC, ο ο-

ποίος είναι προσαρμοσμένος σε έναν προσωπικό υπολογιστή

ή ένα tablet.

Το κινητό τηλέφωνο χρησιμοποιείται από τον καταναλωτή ως

το μέσο για να πληρώσει αγαθά ή υπηρεσίες, μέσω ενός

contactless αναγνώστη ή μέσω ενός συνοπτικού μηνύματος

(SMS) ή μέσω πιστοποίησης της ταυτότητάς του, βάσει του α-

ριθμού PIN. Το όλο σχήμα χρησιμοποιεί τεχνολογία Near Field

Communication (NFC) για την επικοινωνία μεταξύ της φορητής

συσκευής του καταναλωτή, του φορέα διαχείρισης του δικτύου

πληρωμών και του εμπόρου.

Τα NFC συστήματα πληρωμών έχουν αρχίσει να χρησιμοποιούνται

σε Δυτική Ευρώπη, Ηνωμένες Πολιτείες, Καναδά και Ιαπωνία.

Η τεχνολογία κερδίζει την αποδοχή των αναπτυσσόμενων

χωρών, ιδίως υπό τη μορφή των contactless συναλλαγών.

Εγκαταστάσεις αυτού του τύπου είναι: ExpressPay από

την American Express, Discover ® Network ZipSM, η

MasterCard ® PayPass , και η Visa ® και payWaveTM

SpeedpassTM. Τον Ιούλιο του 2011 η PayPal εισήγαγε ένα νέο

μοντέλο πληρωμής με τεχνολογία NFC. Πρόκειται για μια παραλλαγή

του μοντέλου eWallet ® PayPal, η οποία λειτουργεί

ως ένας διαφανής ενδιάμεσος για πληρωμές πρόσωπο-μεπρόσωπο

(P2P) που επιτρέπει στους χρήστες να πληρώσει ο

ένας τον άλλον κάνοντας χρήση δυο συσκευών με τεχνολογία

NFC.

Τεχνολογία πληρωμών εξ αποστάσεως: Η συγκεκριμένη

τεχνολογία αφορά στις πληρωμές που πραγματοποιούνται είτε

μέσω web browser ή μέσω εφαρμογής που λειτουργεί στη

φορητή συσκευή. Η φορητή συσκευή χρησιμοποιείται ως μέσο

για την επικύρωση των προσωπικών πληροφοριών που είναι

αποθηκευμένες απομακρυσμένα. Η τεχνολογία μπορεί να

χρησιμοποιηθεί και για συναλλαγές μεταξύ φυσικών προσώπων,

αλλά και για συναλλαγές με μηχανές αυτόματης πώλησης.

Η φορητή συσκευή χρησιμοποιείται από τον καταναλωτή σε

συνδυασμό με τις υπηρεσίες μηνυμάτων των δικτύων κινητής

τηλεφωνίας (SMS ή USSD) προκειμένου να πληρωθεί το κόστος

των υπηρεσιών ή η αγορά ψηφιακού περιεχομένου. Τα

μηνύματα χρησιμοποιούνται είτε ως μέσο για την εκκίνηση ή

για την εξουσιοδότηση της πληρωμής. Σε ορισμένες περιπτώσεις

λειτουργεί ως νομισματική μονάδα για την ανταλλαγή.

Για συναλλαγές χαμηλής χρηματικής αξίας, όπως η αγορά

ringtones, η πιστοποίηση της ταυτότητας του αγοραστή γίνεται

με βάση τον αριθμό που αποτελεί την ταυτότητα του συνδρομητή

(MSIDN), ενώ η τιμολόγηση γίνεται μέσω του λογαριασμού

τηλεφώνου του χρήστη. Για υψηλότερης αξίας συναλλαγές

χρησιμοποιούνται διαφορετικές τεχνικές προσεγγίσεις,

όπως:

3 Πιστωτική/ χρεωστική κάρτα πληρωμής, που βασίζεται

στην εισαγωγή των πληροφοριών από το χρήστη μέσω μιας α-

σφαλούς διεπαφής τύπου Wireless Application Protocol

(WAP).

3 eWallet (ηλεκτρονικό πορτοφόλι) αποθηκευμένη χρηματική

αξία σε λογαριασμό. Η πληρωμή δρομολογείται μέσω

μιας ασφαλούς διεπαφής τύπου WAP. Σε αυτή την περίπτωση,

η τραπεζική κάρτα του χρήστη και οι πληροφορίες του

τραπεζικού του λογαριασμού αποθηκεύονται με ασφαλή τρόπο

στη φορητή συσκευή. Η πιστοποίηση της ταυτότητας του

χρήστη γίνεται βάσει του αριθμού PIN και η μεταφορά των δεδομένων

της πληρωμής γίνεται μέσω καναλιών επικοινωνίας

τύπου WAP, SMS και USSD.

Απαραίτητη διαδικασία αποτελεί η ασφαλής ενεργοποίηση του

πελάτη από το φορέα παροχής υπηρεσιών, καθώς και η αξιοπιστία

της διασύνδεσης του αριθμού MSIDN κάθε συνδρομητή

και του αριθμού της τραπεζικής του κάρτας.

Οι τεχνολογίες με χρήση μηνυμάτων SMS και USSD βρίσκουν

ευρεία εφαρμογή σε χώρες όπως η Αφρική και σε περιοχές

της Μέσης Ανατολής, όπου υπάρχει υψηλό ποσοστό χρήσης

και κατοχής φορητών συσκευών, μεγάλες κοινότητες μεταναστών

και χαμηλή διείσδυση σε Τραπεζικές υπηρεσίες.

Το Οικοσύστημα των πληρωμών μέσω φορητών

συσκευών

Προς το παρόν, δεν υπάρχει σαφής προσδιορισμός των ρόλων

που συμμετέχουν στο οικοσύστημα των πληρωμών μέσω

φορητών συσκευών. Τα χρηματοπιστωτικά ιδρύματα και οι πάροχοι

των δικτύων κινητής τηλεφωνίας, ανταγωνίζονται για το

ποιος θα διαχειρίζεται τα στοιχεία λογαριασμού του καταναsecurity

| 9


COVER ISSUE

Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών

λωτή και αντίστοιχα θα λαμβάνουν το μεγαλύτερο μέρος των

τελών χρήσης της υπηρεσίας. Αυτό το ασαφές περιβάλλον έ-

χει δημιουργήσει ένα άλλο είδος κατηγοριοποίησης των εν λόγω

υπηρεσιών, με βάση την οντότητα που διαχειρίζεται το λογαριασμό

του πελάτη, Αναφερόμαστε στο τραπεζο-κεντρικό

και μη τραπεζο-κεντρικό σύστημα πληρωμών μέσω φορητών

συσκευών.

Στο τράπεζο-κεντρικό μοντέλο, ο λογαριασμός του πελάτη

διαχειρίζεται από την Τράπεζα. Όταν γίνεται μια πληρωμή, η

τράπεζα του καταναλωτή είναι αυτή που πρέπει να εγκρίνει τη

συναλλαγή.

Στο μη τραπεζο-κεντρικό μοντέλο, ο λογαριασμός του πελάτη

διαχειρίζεται από μη χρηματοπιστωτικά ιδρύματα, δηλαδή

από τις εταιρείες κινητής τηλεφωνίας ή από τρίτες εταιρείες

που παρέχουν υπηρεσίες πληρωμών, όπως το PayPal. Το παραπάνω

μοντέλο μπορεί να χρησιμοποιηθεί για υπηρεσίες ό-

πως καταθέσεις μετρητών, αναλήψεις μετρητών, άμεσες χρεώσεις,

μεταφορές πιστώσεων, πληρωμές που έχουν ενεργοποιηθεί

από μια κάρτα ή μια φορητή συσκευή.

Στο νέο τοπίο που διαμορφώνεται, οι κύριοι ενδιαφερόμενοι

που θέλουν μερίδιο από τα έσοδα του νέου οικοσυστήματος

είναι τα χρηματοπιστωτικά ιδρύματα, τα δίκτυα πιστωτικών/ χρεωστικών

καρτών (Visa, Mastercard) και οι πάροχοι δικτύων κινητής

τηλεφωνίας. Όλοι οι παραπάνω ανταγωνίζονται για το

ποιος θα έχει το ρόλο του πάροχου χρηματοπιστωτικών υπηρεσιών

και του πάροχου δικτύου, πάνω από το οποίο θα διεκπεραιώνονται

οι συναλλαγές και ταυτόχρονα θα λαμβάνει τη

σχετική οικονομική αποζημίωση ανά συναλλαγή.

Οι ανησυχίες για την ασφάλεια των συναλλαγών

μέσω φορητών συσκευών

Η κάθε συναλλαγή που γίνεται στο πλαίσιο των πληρωμών μέσω

φορητών συσκευών, είναι περισσότερο εκτεθειμένη στον

κίνδυνο λόγω της συμμετοχής περισσότερων της μιας οντοτήτων

προκειμένου να διεκπεραιωθεί η πληρωμή.

Το εν λόγω περιβάλλον είναι ευνοϊκό για την εκμετάλλευση

των αδυναμιών ασφάλειας από τρίτους (περισσότερα του ενός

σημεία με πιθανές αδυναμίες ασφάλειας), που θα χρησιμοποιήσουν

τόσο τεχνολογικά όσο και κοινωνιολογικά τεχνάσματα

παρείσδυσης, εάν δεν υπάρχουν οι αναγκαίοι μηχανισμοί

προστασίας και ελέγχου σε όλο το οικοσύστημα των πληρωμών

μέσω φορητών συσκευών.

Ένα βασικό μέλημα είναι η διασφάλιση ότι η κάθε συναλλαγή

πραγματοποιείται από το άτομο που δικαιούται να την πραγματοποιήσει.

Η χρήση τεχνικών two-factor authentication θα

συμβάλει στην αποτελεσματική προστασία της ταυτότητας του

καταναλωτή, αλλά και στη διασφάλιση από τη πλευρά του ε-

μπόρου ως προς την ταυτότητα του συναλλασσόμενου.

Η πιο εμφανής ανησυχία αφορά στην ασφάλεια και προστασία

των προσωπικών δεδομένων, που είτε είναι αποθηκευμένα

είτε διακινούνται από μια φορητή συσκευή, όπως αριθμός

λογαριασμού πληρωμών, PIN, κωδικοί εισόδου, κωδικοί πρόσβασης

κ.λπ.

Μέχρι τώρα η διαχείριση των καρτών πληρωμών (χρεωστικών,

πιστωτικών) γινόταν από ένα χρηματοπιστωτικό Οργανισμό.

Στο περιβάλλον των πληρωμών μέσω φορητών συσκευών, τα

στοιχεία της κάρτας αποθηκεύονται σε ολοκληρωμένα κυ-

10 | security


κλώματα chips, π.χ. κάρτες SIM, που μπορούν να μεταφερθούν

από συσκευή σε συσκευή. Το δεδομένο αυτό απαιτεί τη λειτουργία

μιας νέας οντότητας που θα διασφαλίσει την αξιόπιστη

μετακίνηση των στοιχείων της πληρωμής και θα ελέγχει

την ανεξέλεγκτη χρήση των chips των φορητών συσκευών.

Από τη πλευρά τους οι πάροχοι των δικτύων κινητής τηλεφωνίας,

από τη στιγμή που συμμετέχουν στο εν λόγω οικοσύστημα,

θα πρέπει να φροντίσουν για τα ακόλουθα:

3 Να συμπεριλάβουν λογισμικό ασφαλείας (π.χ. mobile

anivirus), ως μέρος των εφαρμογών που φορτώνονται σε νέες

κινητές συσκευές.

3 Να βεβαιώνονται ότι τα κινητά τηλέφωνα που χρησιμοποιούνται

για πληρωμές τύπου contactless, είναι πιστοποιημένα

και πληρούν τις απαιτήσεις των εταιρειών διαχείρισης πληρωμών.

Τα χρηματοπιστωτικά ιδρύματα έχουν καθοριστικό ρόλο στη

διαδικασία της ασφάλειας, ιδίως όσον αφορά στην ανίχνευση

της απάτης και την πρόληψη. Για να εξασφαλιστεί η ασφάλεια

των πελατών τους, τα χρηματοπιστωτικά ιδρύματα θα πρέπει:

3 Να προσαρμόσουν τις υπάρχουσες μεθόδους ασφάλειας,

πρόληψης της απάτης και την παρακολούθηση των τάσεων

δαπανών κάθε πελάτη, έτσι ώστε να μπορούν να εντοπίσουν

αλλά και να δράσουν σε περίπτωση απάτης στο νέο οικοσύστημα.

3 Να επανεξετάσουν τις υφιστάμενες διαδικασίες των

τμημάτων back-office για την υποστήριξη του νέου καναλιού

πληρωμών μέσω φορητών συσκευών.

3 Οι εφαρμογές λογισμικού που χρησιμοποιούνται, να είναι

πιστοποιημένες και να ανταποκρίνονται στις απαιτήσεις των

εταιρειών πληρωμής.

Ασφάλεια πληρωμών που πραγματοποιούνται

είτε μέσω web browser ή μέσω εφαρμογών

που λειτουργούν στη φορητή συσκευή

Οι συναλλαγές του συγκεκριμένου τύπου συνήθως βασίζονται

στη χρήση λογισμικού και ως εκ τούτου είναι εκτεθειμένες σε

πολλές απειλές λόγω του ανοικτού χαρακτήρα του λογισμικού

των φορητών πλατφορμών. Το κινητό τηλέφωνο και κατ’ επέκταση

οι φορητές συσκευές που μπορούν να κάνουν χρήση τηλεπικοινωνιακών

δικτύων, σήμερα έχουν τη δυνατότητα να λειτουργούν

ως ένας ηλεκτρονικός υπολογιστής και να μπορούν

να φιλοξενούν λειτουργικά, όλα σχεδόν τα είδη των εφαρμογών,

που κυμαίνονται από instant messaging και social media, έως

παιχνίδια, ακόμα και online τραπεζικές και εμπορικές συναλλαγές.

Επιπρόσθετα, είναι μία συσκευή που συνήθως διατηρείται

σε λειτουργία ακόμα και όταν ... κοιμόμαστε. Πρακτικά, ο κίνδυνος

έκθεσης σε αδυναμίες ασφάλειας έχει αυξηθεί. Οι αδυναμίες

ασφάλειας λογισμικού που αφορούν στους παραδοσιακούς

ηλεκτρονικούς υπολογιστές κληρονομούνται και μεταλλάσσονται

έχοντας εφαρμογή και στις φορητές συσκευές. Το

ίδιο ισχύει και για τους ιούς και κάθε τύπου κακόβουλο λογισμικό.

Ασφάλεια πληρωμών που πραγματοποιούνται

από συστήματα τεχνολογίας NFC

Στην περίπτωση των τραπεζο-κεντρικών πληρωμών με χρήση

της τεχνολογίας NFC, υπάρχει ανάγκη για την πιστοποίηση της

ταυτότητας του συναλλασσόμενου, αλλά και την πιστοποίηση

ότι πρόκειται για φορητή συσκευή και όχι για κάτι που προσποιείται

ότι είναι φορητή συσκευή. Η εν λόγω πιστοποίηση

ταυτότητας μπορεί να επιτευχθεί με τη χρήση δυναμικών τιμών

επαλήθευσης της κάρτας (CVVs). Οι φορητές συσκευές με τεχνολογία

NFC, οι οποίες κάνουν και χρήση ολοκληρωμένων κυκλωμάτων

chip (i.e. κινητά τηλέφωνα) υποστηρίζουν δυναμικά

CVVs, σε αντιδιαστολή με τα στατικά CVVs που χρησιμοποιούνται

στη μαγνητική ταινία των Τραπεζικών καρτών.

Η τεχνολογία NFC χρησιμοποιεί κρυπτογράφηση για τη διαβίβαση

των δεδομένων από τη φορητή συσκευή προς τη συσκευή

ανάγνωσης που βρίσκεται στο σημείο πώλησης. Μερικοί

από τους κατασκευαστές συστημάτων δεν αποθηκεύουν

στοιχεία λογαριασμών και καρτών στη φορητή συσκευή. Αντί

για αυτό, οι ευαίσθητες πληροφορίες αποθηκεύονται με α-

σφάλεια σε ένα chip.

Ακόμα μία ανάγκη που προκύπτει είναι ότι χρειάζονται μέθοδοι

για να διασφαλιστεί ότι μόνο νόμιμα σημεία πώλησης ή

παροχής υπηρεσιών μπορούν να δεχθούν πληρωμές από φορητές

συσκευές με τεχνολογία NFC.


COVER ISSUE

Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών

Από τα παραπάνω προκύπτει ότι μία από τις προκλήσεις που

αφορούν στην ασφάλεια των συναλλαγών μέσω φορητών συσκευών,

είναι η τυποποίηση και η ευκολία ολοκλήρωσης με τις

υφιστάμενες τεχνολογίες.

Τάσεις και σκέψεις για το αύριο, που είναι εδώ

Τα τελευταία δύο χρόνια παρατηρείται έκρηξη των πληρωμών

μέσω φορητών συσκευών (κινητά τηλέφωνα και tablets) η α-

ξία των οποίων αναμένεται να αυξηθεί κατά 76% μέσα στο

2012 και να φτάσει τα 86 δισ. δολάρια, σύμφωνα με τη Gartner.

Πρακτικά, αυτό σηματοδοτεί προετοιμασία για ένα μέλλον συναλλαγών

δίχως τη χρήση πλαστικών καρτών.

Περίπου το 85% των συναλλαγών σε όλο τον κόσμο σήμερα

γίνεται με μετρητά. Ήδη η χρήση μετρητών για τις συναλλαγές

μας αρχίζει να φθίνει παγκοσμίως. Το κινητό τηλέφωνο

πρόκειται να γίνει γρήγορα όχι μόνο το μέσο για τη διενέργεια

μιας συναλλαγής, αλλά ταυτόχρονα θα δίνει πληροφορίες για

το προϊόν που μας ενδιαφέρει, καθώς και πληροφορίες για το

πού θα βρούμε το προϊόν και σε ποια τιμή. Ο τρόπος πληρωμής

αλλάζει, θα μπορούμε να πληρώνουμε άμεσα, ίσως αργότερα

θα μπορούμε να χρησιμοποιήσουμε εικονικά νομίσματα,

ακόμα και το σύνολο πόντων από προγράμματα τύπου loyalty.

Όλα τα παραπάνω θα προσφέρονται πλέον μέσα από την ί-

δια υποδομή ηλεκτρονικού εμπορίου και όχι μέσα από μια υ-

ποδομή μόνο πληρωμών.

Οι πληρωμές μέσω κινητού τηλεφώνου εξακολουθούν να φαίνονται

σε πολλούς ως μία περιττή και περίπλοκη διαδικασία. Ό-

μως η δυνατότητα να είμαστε σε συνεχή επαφή με τη διαχείριση

των χρημάτων μας και να έχουμε τις όποιες σχετικές πληροφορίες

χρειαζόμαστε άμεσα, αποτελεί άκρως ελκυστικό παράγοντα.

Στο πρόσφατο παρελθόν όπου το κόστος των ηλεκτρονικών

συσκευών ήταν υψηλό, κάποιος είχε την έξυπνη ι-

δέα να μοιράσουν οι Τράπεζες πλαστικές κάρτες σε όλους

τους καταναλωτές και το κόστος των πιο ακριβών στοιχείων της

συναλλαγής, αυτό των ηλεκτρονικών αναγνωστών καρτών, να

το επωμιστούν οι έμποροι. Σήμερα μπορούμε να έχουμε μια

εικονική τραπεζική κάρτα και ένα αναγνώστη κάρτας στην τσέπη

μας, με τη μορφή ενός έξυπνου κινητού τηλεφώνου.

Η τεχνολογία έχει καταστήσει ταχύτερη και ευκολότερη τη διακίνηση

χρημάτων, αλλά δεν έχει αλλάξει ριζικά τον τρόπο που

σκεφτόμαστε ή τα χρησιμοποιούμε. Επειδή το χρήμα και τα

Χρηματοπιστωτικά ιδρύματα διέπονται από αυστηρό θεσμικό

πλαίσιο, ίσως να είναι το τελευταίο οχυρό που η λειτουργία

του δεν έχει αλλάξει δραματικά με τη χρήση του internet.

Οι περίπλοκες θεσμικές απαιτήσεις και το κανονιστικό πλαίσιο

καθιστούν δύσκολο για τις τράπεζες να είναι πραγματικά πελατοκεντρικές.

Όμως η κατεύθυνση της τεχνολογικής καινοτομίας

είναι σαφής. Σε πολύ λίγο χρονικό διάστημα δεν θα υ-

πάρχει τίποτα ανάμεσα στον καταναλωτή, τα χρήματά του και

τις φορητές συσκευές του. Η αδυναμία των τραπεζών να δράσουν

γρήγορα και με φαντασία, έδωσε τη δυνατότητα εισόδου

στον κόσμο των χρηματικών συναλλαγών σε παίκτες που ειδικεύονται

στη διαχείριση των πελατών και στο σχεδιασμό εύχρηστων

τρόπων επικοινωνίας με τον τελικό χρήστη. Έτσι δημιουργείται

ένα νέο οικοσύστημα, στο οποίο οι πάροχοι α-

σύρματης επικοινωνίας, οι έμποροι και οι Τράπεζες συναγωνίζονται

για ένα μέρος των κερδών που προέρχεται από τη διαχείριση

πληρωμών. iTSecurity

12 | security


I SSUE

Mobility; Ασφαλώς

Η ανάπτυξη, οι κίνδυνοι & οι τρόποι αντιμετώπισης

Αν θέλαμε να ιεραρχήσουμε τα Megatrends της εποχής στο ΙΤ σε επαγγελματικό περιβάλλον,

αναμφισβήτητα το Mobility θα διεκδικούσε με σημαντικές αξιώσεις την πρώτη θέση.

Στο παρακάτω ανοιχτό Forum διαλόγου μέσα από τις σελίδες του περιοδικού, απευθυνθήκαμε

σε στελέχη εταιρειών σχετικών με το Mobility στο επίπεδο της ασφάλειας και όχι μόνο,

προκειμένου να μας αναπτύξουν τη δική τους προσέγγιση για την εξέλιξη της τάσης και,

φυσικά, την πτυχή της ασφάλειας των δεδομένων και των συσκευών.

1. Ποιες οι τεχνολογικές τάσεις που

αφορούν στο mobility θα μας α-

πασχολήσουν τα επόμενα χρόνια;

2. Ποιες οι απαιτήσεις ασφάλειας

που χρειάζεται να λαμβάνουμε

υπόψη μας όταν σχεδιάζουμε ή

υλοποιούμε λύσεις για mobility;

3. Με ποιους τομείς της ασφάλειας

πληροφοριών που αφορούν στο

mobility ασχολείται η εταιρεία

σας; Ποιες οι προτάσεις σας για

την ασφάλεια των πληροφοριών

σε περιβάλλοντα mobile;

14 | security


Δημήτρης Τηλιγάδας

Security and Cloud Architect

CA South Eastern Europe

1. Το mobility της πληροφορικής είναι μία από τις πιο σημαντικές

τάσεις που έχει αρχίσει ήδη και απασχολεί τις επιχειρήσεις

πληροφορικής τον τελευταίο καιρό και θα συνεχίσει να

τις απασχολεί τα επόμενα χρόνια με την αύξηση χρήσης νέων

έξυπνων συσκευών και καθώς οι εργαζόμενοι έχουν αρχίσει

και τις χρησιμοποιούν εκτενώς. Η σημαντική αυτή εξέλιξη

δεν αφορά μόνο στις νέες συσκευές, αλλά ολόκληρη τη σχέση

μεταξύ του ΙΤ και της κοινωνίας των χρηστών. Επιπλέον,

εισάγει σημαντικά ζητήματα, διότι κρίσιμα πληροφοριακά στοιχεία

πρέπει να είναι διαθέσιμα με ασφάλεια σε μια ευρεία βάση

χρηστών που χρησιμοποιούν κινητές, έξυπνες συσκευές της

επιλογής τους.

2. Καθώς οι επιχειρήσεις προσαρμόζονται σε αυτό το νέο

μοντέλο της πρόσβασης των χρηστών, θα πρέπει να εξασφαλίσουν

ότι έχουν αποτελεσματικούς ελέγχους προκειμένου

να διασφαλιστεί ότι κάθε χρήστης έχει αυθεντικοποιηθεί,

ότι η πρόσβασή του σε κρίσιμους πόρους είναι ελεγχόμενη

και ότι η χρήση των πληροφοριών στις οποίες έχει πρόσβαση

είναι σύμφωνη με την εταιρική πολιτική. Οι δυνατότητες αυτές

είναι σημαντικές όχι μόνο σε ένα κεντρικοποιημένο ΙΤ μοντέλο,

αλλά και σε mobile περιβάλλοντα, όπου η χρήση έξυπνων

συσκευών κυριαρχεί.

3. Αναφορικά με τις λύσεις πάνω σε mobile περιβάλλοντα, η

CA Technologies διαθέτει μια μεγάλη γκάμα από λύσεις οι ο-

ποίες καλύπτουν τόσο το κομμάτι της αυθεντικοποίησης των

χρηστών με χρήση mobile συσκευών, όσο και το κομμάτι της

διαχείρισης της πρόσβασης WEB εφαρμογών, αλλά και του

ελέγχου της χρήσης των πληροφοριών στις οποίες έχουν

πρόσβαση οι χρήστες. Πιο συγκεκριμένα: Η CA Technologies

παρέχει μία ισχυρή Risk-Based Authentication λύση για τους

χρήστες κινητών και έξυπνων συσκευών. Η σουίτα CA Arcot

περιλαμβάνει ένα ευρύ φάσμα ανίχνευσης απάτης (fraud

detection and multifactor authentication) έτσι ώστε να γίνεται

αποτελεσματικά ο έλεγχος της ταυτότητας των χρηστών και

να μειώνεται ο κίνδυνος για διαδικτυακές απάτες (online fraud)

τόσο σε συναλλαγές ηλεκτρονικού εμπορίου, όσο και τραπεζικές

συναλλαγές ή ακόμη και στη διαδικασία απομακρυσμένης

πρόσβασης εταιρικών δικτύων. Επίσης το CA ArcotOTP

είναι μία εφαρμογή λογισμικού που τρέχει πάνω σε κινητά τηλέφωνα

και δημιουργεί έναν κωδικό πρόσβασης μιας χρήσης

(One Time Password) που χρησιμοποιείται για τον έλεγχο

ταυτότητας σε online εφαρμογές και τον έλεγχο του χρήστη

όταν πρόκειται να πραγματοποιήσει μία online αγορά. Επίσης,

το CA SiteMinder® παρέχει ένα σημαντικό θεμελιώδες

framework για την ταυτοποίηση των χρηστών, το single signon

μεταξύ όλων των web εφαρμογών ενός Οργανισμού, το

authorization, καθώς και τη δημιουργία αναλυτικών αναφορών

πρόσβασης. Επιτρέπει τη δημιουργία λεπτομερών πολιτικών

που μπορούν να βοηθήσουν στον έλεγχο πρόσβασης

σε κρίσιμες εφαρμογές, βάσει στατικών ή δυναμικών κριτηρίων.

Η ευελιξία αυτή διευκολύνει τον έλεγχο και την πρόσβαση

των χρηστών στις online εφαρμογές, χωρίς οι εφαρμογές

αυτές να χρειάζεται να έχουν οι ίδιες ενσωματωμένους

μηχανισμούς ασφάλειας. Με αυτόν τον τρόπο επιτυγχάνουμε

την ταχύτερη ανάπτυξη online εφαρμογών με μεγαλύτερη

ευκολία και λιγότερο διαχειριστικό κόστος. To CA DLP είναι

μία κορυφαία λύση προστασίας πληροφοριών, που προστατεύει

τα ευαίσθητα δεδομένα μιας επιχείρησης ή ενός Οργανισμού

από ακατάλληλη χρήση. Βοηθά στην προστασία των

δεδομένων κατά τη χρήση, τόσο όσον αφορά σε δεδομένα

που βρίσκονται εν κινήσει μέσα στο δίκτυο, email κ.λπ., όσο

και δεδομένα που βρίσκονται αποθηκευμένα σε fileservers,

Storage Area Networks κ.λπ. Παρέχει τη δυνατότητα δημιουργίας

πολιτικών που καθορίζουν ποια μέτρα πρέπει να ληφθούν

εάν γίνει ή ανιχνευθεί ακατάλληλη χρήση των δεδομένων.

Έτσι, για παράδειγμα, μπορούμε να εμποδίσουμε ευαίσθητες

πληροφορίες από το να αποσταλούν, να αντιγραφούν

σε μια συσκευή USB, να δημοσιευτούν σε δικτυακούς τόπους

κοινωνικής ενημέρωσης, blogs, portals κ.λπ.

Αντώνης Τσιμπούκης

Γενικός Διευθυντής,

Ελλάδα, Κύπρος & Μάλτα

1. Ο τρόπος με τον οποίο οι εταιρείες χρησιμοποιούν τους

υπολογιστικούς πόρους τους και παρέχουν πρόσβαση σε πληροφορίες

έχει αλλάξει και θα συνεχίσει να αλλάζει τα επόμενα

χρόνια. Σύμφωνα με την τελευταία έρευνα, Cisco Visual

Networking Index (VNI) Forecast (2011-2016), οι συσκευές

(smartphones, tablets κ.λπ.) που θα συνδέονται δικτυακά, α-

security | 15


I SSUE

Mobility; Ασφαλώς

ναμένεται να είναι 19 δις έως το 2016, ενώ ήταν ήδη πάνω α-

πό 11 δις το 2011. Οι νέες γενιές συσκευών smartphone και

tablets γίνονται λοιπόν σημαντικός παράγοντας ανάπτυξης

της εργασίας εκτός γραφείου.

Το θέμα της ασφάλειας στη διασύνδεση των κινητών συσκευών

στο εταιρικό δίκτυο, είτε με τη χρήση LAN είτε WLAN είτε

VPN, γίνεται πολύπλοκο και απαιτεί νέο τρόπο αντιμετώπισης,

που είναι το αντικείμενο της τεχνολογικής λύσης «Bring Your

Own Device –BYOD».

Η Cisco επενδύει εδώ και χρόνια σε καινοτόμες αρχιτεκτονικές

και τεχνολογίες που επιτρέπουν να επικοινωνούμε πιο φυσικά,

οποτεδήποτε και από οπουδήποτε, υποστηρίζοντας την

ευελιξία και την αύξηση της παραγωγικότητας των εργαζομένων.

Πρόκειται για βασική προτεραιότητα της εταιρείας μας,

η οποία συγχρονίζεται με μία από τις σημαντικότερες τάσεις

της αγοράς.

2. Τα τμήματα πληροφορικής καλούνται να προστατέψουν τα

εταιρικά δεδομένα και το δίκτυο σε ένα περιβάλλον με συνεχείς

αλλαγές και προκλήσεις. Η ασφάλεια των εταιρικών δικτύων

είναι απαίτηση αδιαπραγμάτευτη, οπότε όταν σχεδιάζουμε

ή υλοποιούμε λύσεις για mobility θα πρέπει να λαμβάνουμε

υπόψη μας παραμέτρους σχετικές με την πρόσβαση στο

δίκτυο, τον έλεγχο και την προστασία από απειλές, όπως:

Τα άτομα που προσπαθούν να συνδεθούν στο δίκτυο και

ο ρόλος τους στην εταιρεία.

Τους πόρους στους οποίους προσπαθούν να αποκτήσουν

πρόσβαση.

Τη θέση των ατόμων αυτών την ώρα της σύνδεσης.

Τη συσκευή που χρησιμοποιείται και τον τρόπο πρόσβασης

στο δίκτυο.

Οι τεχνολογικές λύσεις για mobility πρέπει να έχουν επίκεντρο

την καλύτερη δυνατή εμπειρία για το χρήστη, με απεριόριστες

δυνατότητες, χωρίς να θυσιάζεται η ασφάλεια, η διαχείριση και

ο έλεγχος για το τμήμα ΙΤ.

3. Η Cisco έχει παρουσιάσει την ολοκληρωμένη λύση «Bring

Your Own Device Smart Solution», που απαντά συνολικά

στα θέματα ασφάλειας του mobility και βασίζεται στην αρχιτεκτονική

Cisco SecureX, τη λύση Identity Services Engine,

τα Cisco ASA firewall/vpn/IPS appliances και τις διαθέσιμες

λύσεις LAN/WLAN.

Η αρχιτεκτονική Cisco SecureX επιτρέπει την εύρεση σημαντικών

πληροφοριών βάσει των οποίων μπορούν να ληφθούν

δυναμικές και συγκεκριμένες αποφάσεις σχετικά με την πρόσβαση

στο δίκτυο. Συγκεκριμένα:

Συλλέγει πληροφορίες από χρήστες, συσκευές, και υπηρεσίες

υποδομών και δικτύων για την επιβολή πολιτικών

με βάση τις συνθήκες λειτουργίας σε κάθε σημείο του δικτύου.

Παρέχει ενημέρωση σχετικά με το ποιος χρήστης και ποιες

συσκευές είναι συνδεδεμένες στο εταιρικό δίκτυο, καθώς

και ποιες εφαρμογές χρησιμοποιούνται, για καλύτερο

εντοπισμό και αντιμετώπιση προβλημάτων.

Επιβάλλει πολιτικές ασφαλείας σε όλες τις συσκευές και

τους χρήστες που δοκιμάζουν να αποκτήσουν πρόσβαση

στο δίκτυο.

Συνδυάζει λειτουργίες ελέγχου ταυτότητας, εξουσιοδότησης

και λογιστικής καταγραφής (πρωτόκολλο AAA), ε-

κτίμησης κατάστασης, δημιουργίας προφίλ και διαχείρισης

φιλοξενούμενων χρηστών.

Επίσης, η αρχιτεκτονική Cisco SecureX είναι σχεδιασμένη έ-

τσι ώστε να συνεργάζεται στενά με τις πολιτικές της κάθε ε-

πιχείρησης. Με τον τρόπο αυτό, απλοποιείται η διαχείριση και

ο έλεγχος των πολιτικών ασφαλείας και βελτιστοποιείται η α-

ποτελεσματικότητα και η ευελιξία των επιχειρήσεων.

Μιχάλης Σιγκλ

Presales & Support Manager

1. Σημαντικές αλλαγές αναμένονται τα επόμενα χρόνια στον

τρόπο λειτουργίας των επιχειρήσεων. Η εμφάνιση του Internet

πριν από δύο δεκαετίες δημιούργησε νέους τρόπους επικοινωνίας

και απελευθέρωσε τη ροή των πληροφοριών. Οι σύγχρονες

ανάγκες για συνεχή διεκπεραίωση επαγγελματικών εργασιών

- και όχι μόνο - δημιούργησε την τάση του “mobility”.

Μία τάση που αποτελεί αναμφισβήτητα τη νέα εποχή στον τρόπο

διεκπεραίωσης εργασιών. Η νέα αυτή εποχή χαρακτηρίζεται

από την ανάγκη για ελευθερία κινήσεων και αυτός είναι ο βασικός

λόγος της άμεσης εδραίωσης τεχνολογιών όπως αυτής

των “έξυπνων συσκευών” (laptops, tablets, smartphones κτλ.).

16 | security


Στη σύγχρονη εποχή οι εταιρείες εντάσσουν ολοένα και περισσότερες

“έξυπνες συσκευές” στο δίκτυό τους, οι οποίες κατά

κύριο λόγο είναι ετερογενούς μορφής, κάτι που ενώ παρέχει

ελευθερία και ευελιξία στους χρήστες, ανοίγει νέα κενά α-

σφαλείας στο δίκτυο, τα οποία ο διαχειριστής καλείται να καλύψει.

Οι απαραίτητες γνώσεις για την ασφαλή υλοποίηση, α-

νάπτυξη και διαχείριση των νέων αυτών τεχνολογιών προϋποθέτουν

τη συνεχή ενημέρωση του διαχειριστή πάνω σε νέες

τεχνολογίες, καθώς και τη χρήση εξειδικευμένου λογισμικού

για την προστασία του δικτύου της εταιρείας.

2. Οι πολιτικές ασφαλείας που οφείλουν οι εταιρείες να λάβουν

υπόψη τους για τη σχεδίαση, υλοποίηση και ομαλή διατήρηση

του δικτύου τους που διατηρεί το χαρακτήρα του

“mobile” δεν πρέπει να αποτελούνται μόνο από κάποιο διεθνές

ISO πρότυπο (π.χ. ISO/IEC 27000) αλλά θα πρέπει να

εστιάζουν και στα παρακάτω:

Εστίαση στην εφαρμογή πολιτικής χρηστών με γνώμονα

“Λιγότερα Προνόμια, Μικρότερο Ρίσκο”.

Περιορισμός στις ασύρματες συνδέσεις εντός και εκτός

γραφείου, βάσει εφαρμοσμένης πολιτικής.

Εφαρμογή τείχους προστασίας (Firewall & IDS / HIPS) με

αντίστοιχα προφίλ για εσωτερική αλλά και εξωτερική χρήση

από “mobile” χρήστες.

Εφαρμογή λογισμικού ασφαλείας (Antivirus/ Antispyware/

Antispam) πλήρως ενημερωμένου.

Διατήρηση λίστας όλων των εφαρμογών/ υπηρεσιών και

εφαρμογή τελευταίων ενημερώσεων.

Περιορισμός πρόσβασης σε μη εγκεκριμένα websites με

τεχνολογία Web filtering.

Περιορισμός πρόσβασης αφαιρούμενων μέσων, όπου αυτό

κρίνεται απαραίτητο.

Εφαρμογή SSL VPN ή αντίστοιχης ασφάλειας για τους

“road warrior” χρήστες.

Εφαρμογή αυστηρών ρυθμίσεων ασφαλείας σε περιηγητές/internet

browsers.

Κρυπτογράφηση απόρρητων δεδομένων και υιοθέτηση

διαδικασιών “backup”.

Επιβολή χρήσης ισχυρών κωδικών πρόσβασης και τακτική

αλλαγή τους.

Εκπαίδευση των χρηστών για τις αποδεκτές μεθόδους

χρήσης και ενημέρωση για τις πολιτικές ασφαλείας.

3. Η εταιρεία μας, ESET Hellas, μπορεί και σας παρέχει μια ε-

κτεταμένη γκάμα λύσεων, που προστατεύει όλων των ειδών τα

περιβάλλοντα και τις πλατφόρμες, από σταθμούς εργασίας

και servers μέχρι και φορητές συσκευές, βοηθώντας να έχετε

συνεχώς τη μέγιστη προστασία σε όλες τις συνθήκες. Ειδικευόμαστε

στον τομέα λογισμικού προστασίας από κακόβουλο

κώδικα, όπου τα προϊόντα της ESET έχουν τη δυνατότητα

να παρέχουν στους πελάτες μας τις κορυφαίες δυνατότητες

εντοπισμού ιών, worms, trojans, rootkits, malware, έχοντας

πάντα χαμηλές απαιτήσεις σε πόρους συστήματος με τα

πιο προηγμένα χαρακτηριστικά της αγοράς.

Πρόσφατα, η ESET κυκλοφόρησε τις νέες εκδόσεις των λογισμικών

της για εταιρική χρήση, γνωστές και ως ESET Endpoint

Solutions. Πιο συγκεκριμένα, το ESET Endpoint Security και το

ESET Endpoint Antivirus αποτελούν τη ναυαρχίδα των προϊόντων

μας, όπου συμπεριλάβαμε τεχνολογίες όπως το “Web

Control, Advanced Management of Removable Media, HIPS”

καθώς και το βασισμένο στο cloud χαρακτηριστικό “ESET

Live Grid”. Και οι δύο προαναφερθείσες λύσεις έχουν δυνατότητα

κάλυψης mobile περιβάλλοντος, ενώ το πιο ειδικευμένο

λογισμικό, ESET Mobile Security εστιάζει σε mobile πλατφόρμες,

όπως Smartphones και Android tablets. Σε αυτήν την

πλατφόρμα συμπεριλάβαμε εξελιγμένα χαρακτηριστικά, όπως

Advanced Firewall και Anti-Theft, ενώ παρέχουμε και δυνατότητα

εντοπισμού χαμένης συσκευής σε περίπτωση κλοπής,

μέσω GPS. Οι λύσεις της ESET καθίστανται ιδανικές διότι παρέχουν

την απαιτούμενη ασφάλεια σε οποιοδήποτε δίκτυο,

διατηρώντας ασφαλή τα δεδομένα κάθε εταιρείας. Για περισσότερες

πληροφορίες μπορείτε να επισκεφθείτε το:

www.eset.com/gr

Γιάννης Αγγελόπουλος

Διευθυντής Τεχνικού Τμήματος

TALOS SOFTWARE & IT Ltd

Η εταιρεία μας, Talos Software and IT, μέλος του Ομίλου Ν.

Κ. Μαρκόπουλος, ειδικεύεται στην εμπορία και διάθεση προϊόντων

που αφορούν στο χώρο της πληροφορικής, τόσο με

software όσο και με hardware προϊόντα. Επίσης και στα θέματα

ασφάλειας πληροφοριών που αφορούν στο mobility,

παρέχει προστασία με το Kaspersky Mobile Security (Προστασία

του κινητού – Blackberry, Android, Tablet & Windows).

Πραγματοποίηση κλήσεων, SMS, περιήγηση στο διαδίκτυο και

την επικοινωνία μέσω των κοινωνικών δικτύων κάθε μέρα. Το

Kaspersky Mobile Security διατηρεί την ιδιωτική σας ζωή, πραγματικά

ιδιωτική! Η ασφάλεια που παρέχει το συγκεκριμένο

προϊόν στους χρήστες, περιλαμβάνει τα ακόλουθα:

security | 17


I SSUE

Mobility; Ασφαλώς

Προστασία Προσωπικών Δεδομένων

Κρυπτογράφηση: Ο κάθε χρήστης μπορεί να επιλέξει

τους φακέλους που θέλει, να κρυπτογραφήσει και να τους

ασφαλίσει με κωδικό πρόσβασης-προστασίας. Ακόμα και

αν ο φάκελος βρίσκεται σε μια κάρτα μνήμης, δεν μπορεί

να προσεγγιστεί από ένα άλλο τηλέφωνο ή υπολογιστή,

χωρίς τον κωδικό πρόσβασης

Anti-Spam: Ο κάθε χρήστης μπορεί να επιλέξει από

ποιες επαφές θέλει να δέχεται κλήσεις ή μηνύματα. Το

Anti-Spam μπορεί να τρέξει σε λειτουργία Whitelist (την

αποδοχή μόνο σε κλήσεις και μηνύματα από τις καθορισμένες

επαφές) ή μαύρη λίστα (αποδοχή κλήσεων και μηνυμάτων

από όλους τους αριθμούς, εκτός εκείνων που

περιλαμβάνονται στον κατάλογο).

Γονικός Έλεγχος: Μπορεί να μπλοκάρει τις εξερχόμενες

κλήσεις ή τα γραπτά μηνύματα από ανεπιθύμητους α-

ριθμούς. Ακόμα, του παρέχεται η δυνατότητα να εντοπίσει

το χαμένο κινητό του, αν διαθέτει το κινητό υπηρεσία

GPS.

Πιο αναλυτικά, το Kaspersky Mobile Security προσφέρει:

Προστασία Anti-Virus. Με τον ολοένα αυξανόμενο αριθμό

και ποικιλία απειλών που στοχεύουν τα smartphones, είναι

αναμενόμενο να πρέπει να προστατευθούν τα προσωπικά σας

δεδομένα που είναι αποθηκευμένα σε αυτό. Το Kaspersky

Mobile Security συνδυάζει τις παραδοσιακές λειτουργίες

(signature-based, proactive, heuristic) για προστασία ενάντια

σε ιούς, spyware, Trojans, worms, bots και άλλα. Επιπροσθέτως,

η τεχνολογία cloud security σας διασφαλίζει προστασία

πραγματικού χρόνου σε νέες απειλές.

Κλείδωμα συσκευής. Στέλνοντας ένα SMS στο απολεσθέν

κινητό σας, μπορείτε εξ αποστάσεως να το κλειδώσετε και να

το μπλοκάρετε, ώστε κανένας να μη μπορεί να έχει πρόσβαση

στα προσωπικά σας δεδομένα.

Απαλοιφή δεδομένων. Εάν δεν είστε σίγουροι ότι μπορείτε

να ξαναβρείτε το κινητό σας, μπορείτε να επιλέξετε να διαγράψετε

όλα τα δεδομένα σας από απόσταση.

Διαχειριστής συσκευής. Με αυτή την επιλογή μπορείτε να

διασφαλίσετε ότι δεν θα μπορεί να απεγκατασταθεί το

Kaspersky Mobile Security.

Προστασία Web. Τα Smartphones χρησιμοποιούνται ολοένα

και περισσότερο για πρόσβαση στο Internet. Όταν είστε

online, το Kaspersky Mobile Security σας βοηθάει να προστατεύετε

την ταυτότητά σας και μπλοκάρει ύποπτες ιστοσελίδες

Filtering κλήσεων & SMS. Το Call & SMS Filtering σας βοηθάει

να αποφεύγετε ανεπιθύμητες κλήσεις και μηνύματα.

Γιώργος Καπανίρης

Business Development Director,

NSS Corp

1. Η επανάσταση των κινητών συσκευών είναι πιθανότατα η πιο

σημαντική αλλαγή στην επιστήμη των υπολογιστών από την ε-

ποχή των υπερ-υπολογιστών mainframes, εδώ και 20 χρόνια.

Η κινητή σας συσκευή γνωρίζει πού βρίσκεστε, πού υποτίθεται

ότι θα έπρεπε να βρίσκεστε και σε ποιον θα έπρεπε να μιλάτε.

Πλέον, η ζωή σας είναι καθημερινά συνδεδεμένη με ψηφιακές

πληροφορίες, όπως την αγορά εισιτηρίων, το μοίρασμα

εταιρικών δεδομένων μεταξύ στελεχών ή την επικοινωνία

με φίλους που βρίσκονται τριγύρω. Οι φορητές συσκευές και

η ταχύτατη εξέλιξη και ανάπτυξη που έχουν, επιτρέπουν σε πολυάσχολους

επαγγελματίες και οικιακούς χρήστες να διευθύνουν

τις επιχειρήσεις τους και να διαχειρίζονται τη ζωή τους

που βρίσκεται σε διαρκή κίνηση.

2. Οι φορητές συσκευές - είτε είναι ιδιοκτησία της εταιρείας

ή ενός υπαλλήλου, αποτελούν απειλή για την ασφάλεια των δεδομένων.

Για την προστασία των αποθηκευμένων δεδομένων

σε συσκευές έτσι ώστε να είναι ασφαλείς, χρειάζεται ένα συγκεκριμένο

πλάνο δράσης. Αυτό μπορεί να επιτευχθεί λαμβάνοντας

υπόψη τις παρακάτω κατευθύνσεις:

Αναπτύξτε ενιαία εταιρική στρατηγική για την ασφάλεια

των φορητών συσκευών. Η στρατηγική αυτή περιλαμβάνει

κατηγοριοποίηση των δεδομένων των φορητών συσκευών,

σε δεδομένα που εμπίπτουν ή όχι σε ειδικούς κανονισμούς.

Δημιουργήστε μια κατανοητή πολιτική και δώστε οδηγίες

για το σύνολο του προσωπικού που χρησιμοποιεί φορητές

συσκευές στο χώρο της εργασίας του.

Πραγματοποιήστε σεμινάρια εκπαίδευσης για τους τελικούς

χρήστες, με σκοπό την ελάττωση των λαθών των υ-

18 | security


παλλήλων.

Όταν είναι εφικτό, χρησιμοποιήστε απομακρυσμένη διαγραφή

δεδομένων, κρυπτογράφηση δεδομένων σε φορητές

συσκευές και αντικλεπτικές τεχνολογίες, για να μειώσετε

το ρίσκο της παραβίασης δεδομένων.

Προνοήστε για τη διασφάλιση των προσωπικών δεδομένων

σχετικά με τη χρήση των φορητών συσκευών.

3. Το σύστημα Sophos Mobile Control (http://www.

sophos.com/en-us/products/mobile/sophos-mobile-control.aspx)

παρέχει στους χρήστες την τελευταία λέξη της τεχνολογίας

για φορητές συσκευές, ενώ παράλληλα διασφαλίζει τα δεδομένα

της επιχείρησής σας. Ακολουθώντας τους κανονισμούς

ασφαλείας που εσείς επιλέγετε, είμαστε στη θέση να

ελέγχουμε διαρκώς, να προστατεύσουμε και να διαχειριστούμε

όλες τις φορητές συσκευές που βρίσκονται στο δίκτυό

σας με τη χρήση καινοτόμων τεχνολογιών, εύκολα, γρήγορα

και αποτελεσματικά. Αυτό καθιστά εφικτό το διαρκή έ-

λεγχο όσον αφορά στη συμμόρφωση σε πρότυπα ποιότητας

και τον έλεγχο εφαρμογών, ώστε να είστε σίγουροι ότι

οι χρήστες σας ακολουθούν την εν λόγω πολιτική. Η λύση

της Sophos συνδυάζει αποτελεσματικά τα νέα χαρακτηριστικά

των φορητών συσκευών με τις σύγχρονες τεχνικές

προστασίας. Τα κύρια γνωρίσματα του Sophos Mobile

Control είναι τα ακόλουθα:

Προστασία για συσκευές iPhone, Τablets, Android,

Blackberry και Windows Mobile.

Κεντρική διαχείριση των πολιτικών ασφαλείας μέσω διαδικτυακής

πλατφόρμας στην οποία συμμετέχει και ο τελικός

χρήστης.

Έλεγχος των συσκευών που επιτρέπεται να έχουν πρόσβαση

στην εταιρική ηλεκτρονική αλληλογραφία.

Απομακρυσμένο κλείδωμα και διαγραφή συσκευών σε περίπτωση

κλοπής.

Έλεγχος και προσθαφαίρεση εφαρμογών σε μία συσκευή,

από μία κεντρική κονσόλα διαχείρισης.

Μάνος Φθενός

Managing Director

1. Η αυξανόμενη χρήση των φορητών συσκευών έχει πλήθος

πλεονεκτημάτων και σε ατομικό επίπεδο και σε επιχειρηματικό.

Η άνοδος του mobility μόνο τυχαία δεν μπορεί να χαρακτηριστεί,

αφού παρέχει μείωση κόστους, εξοικονόμηση χρόνου

και ταχύτητα επικοινωνίας σε ένα εύχρηστο περιβάλλον.

Οι φορητές συσκευές έχουν γίνει τα νέα πολυ-εργαλεία. Η

γρήγορη διανομή της πληροφορίας πιέζει όλο και περισσότερες

εταιρείες να ενσωματώσουν το mobility στις υπηρεσίες

τους. Ο κόσμος ανταποκρίνεται ολοένα και πιο θετικά στη

χρήση των φορητών συσκευών, με αποτέλεσμα οι εταιρείες να

φτιάχνουν εφαρμογές που βοηθούν στην άνοδο των πωλήσεων,

βελτιώνουν τις σχέσεις με τους πελάτες τους και δημιουργούν

ανταγωνιστικά πλεονεκτήματα. Μια νέα αγορά έχει

δημιουργηθεί, που εκμεταλλεύεται αυτήν την τάση. Η τάση

δεν έχει μόνο εμπορικά οφέλη, βοηθάει στην υγεία, τις μεταφορές,

τις έρευνες, την ενέργεια και την εκπαίδευση.

2. Το επίπεδο ασφαλείας έχει βελτιωθεί. Χρειάζεται όμως συνεχή

αναβάθμιση και προσαρμογή. Στις νέες λύσεις που υλοποιούνται,

χρειάζεται να είναι ενσωματωμένη η ασφάλεια, να

υπάρχει ασφάλιση των δεδομένων και προστασία διαρροής

των πληροφοριών. Αυτό μπορεί να γίνει με certificates, με

applications που διασφαλίζουν την προστασία των δεδομένων.

Η χρήση firewall, ο έλεγχος του email και γενικά η αποτροπή

εισόδου στη συσκευή κακόβουλου λογισμικού.

3. Η εταιρεία μας σε συνεργασία με την WEBROOT

SECUREANYWHERE παρέχει Enterprise Mobility

Management & Mobile Security. Οι πελάτες μας έχουν τη δυνατότητα

να μεταφέρουν έναν τεράστιο όγκο προσωπικών

δεδομένων σε κινητά και tablet, όπως επαφές, μηνύματα ηλεκτρονικού

ταχυδρομείου, κωδικoύς πρόσβασης, φωτογραφίες,

ακόμα και οικονομικές πληροφορίες. Οι εγκληματίες του

κυβερνοχώρου στοχεύουν όλα τα δεδομένα μέσα από κακόβουλο

λογισμικό, ηλεκτρονικές απάτες και κλοπή, βάζοντας

ταυτόχρονα τη συσκευή σας και τα προσωπικά δεδομένα σας

σε κίνδυνο. Το Webroot Secure Mobile Premier παρέχει την

απόλυτη προστασία για Android και IOS συσκευές, καθώς

προστατεύει την ταυτότητά σας και τις προσωπικές πληροφορίες,

το κινητό από ιούς, μπλοκάρει τις απειλές πριν μολύνουν

το τηλέφωνό σας, έχει τη δυνατότητα να σας εντοπίζει

το Android. Παρέχει ένα πλούσιο σε χαρακτηριστικά πρόγραμμα

περιήγησης στο Web, που σας επιτρέπει να περιηγηθείτε

με σιγουριά στα online καταστήματα και τις διαδικτυακές

τραπεζικές υπηρεσίες.

Σε εταιρικό επίπεδο, μέσω των λύσεων web security service,

η Webroot επιτρέπει στους χρήστες αυτών των συσκευών να

συνδεθούν σε εταιρικές εφαρμογές ή στο Internet, από ο-

ποιαδήποτε συσκευή της επιλογής τους, χωρίς το φόβο κακόβουλης

απειλής και πιθανής απάτης.

security | 19


I SSUE

Mobility; Ασφαλώς

Χρήστος Βεντούρης

Technical Manager,

Symantec Hellas

1. Το concept της εταιρικής φορητότητας δεν είναι κάτι

νέο. Ωστόσο, οι βελτιώσεις στις φορητές συσκευές και στα

δίκτυα επικοινωνιών, μας έχουν φέρει σε ένα σημείο όπου

η τεχνολογία φορητότητας έχει καλύψει - και ίσως έχει ξεπεράσει

την παραδοσιακή τεχνολογία όσον αφορά στη

χρησιμότητα – ίσως επίσης και στη λειτουργικότητα. Τα

smartphones και tablets, κάποτε ήταν ο φόβος των CIOs

και των τμημάτων ΙΤ, ενώ τώρα χρησιμοποιούνται από ε-

κατοντάδες εκατομμύρια υπαλλήλων για να έχουν πρόσβαση

σε εταιρικές πληροφορίες στο σημερινό επιχειρηματικό

κόσμο.

Για να ανακαλύψει το φάσμα της φορητότητας σε μία επιχείρηση

και την αντίληψη του Οργανισμού σχετικά με τα

πλεονεκτήματα και τις προκλήσεις, η Symantec διενήργησε

μελέτη σε 6.275 επιχειρήσεις όλων των μεγεθών, σε 43 χώρες.

Τα αποτελέσματα της μελέτης καταδεικνύουν ότι η ε-

πανάσταση της φορητήτητας αποτελεί μία πραγματικότητα.

Για παράδειγμα, 59%των ερωτηθέντων είπαν ότι οι εταιρείες

τους προχωρούν σε εφαρμογές που είναι προσβάσιμες

μέσω φορητών συσκευών, ενώ περίπου τα τρία τέταρτα των

επιχειρήσεων αναζητούν να υλοποιήσουν ένα εταιρικό “app

store” έτσι ώστε οι υπάλληλοι να μπορούν να έχουν πρόσβαση

σε εταιρικές εφαρμογές από τις φορητές τους συσκευές.

Η μελέτη επιβεβαιώνει ότι τα κυριότερα επιχειρηματικά

οφέλη που οι εταιρείες ευελπιστούν να επιτύχουν από

τη φορητότητα, είναι η αυξημένη αποδοτικότητα, η αυξημένη

αποτελεσματικότητα στο χώρο εργασίας και ο μειωμένος

απαιτούμενος χρόνος για την ολοκλήρωση των εργασιών.

Επιπλέον απόδειξη ότι η επανάσταση της φορητότητας είναι

σε πλήρη εξέλιξη, αποτελεί η απάντηση των ερωτηθέντων

ότι το 31% του προσωπικού των τμημάτων ΙΤ ασχολούνται

με διαχείριση λύσεων φορητότητας. Αυτή η σημαντική

επένδυση πόρων αποτελεί μία ακόμη ένδειξη των προκλήσεων

που αντιμετωπίζουν τα τμήματα ΙΤ των επιχειρήσεων,

καθώς προσπαθούν να εξισορροπήσουν τη φορητότητα

με άλλους κρίσιμους τομείς. Περισσότεροι από το 40%

των ερωτηθέντων ανέφεραν ότι η φορητότητα αποτελεί ένα

από τα 3 κυριότερα ΙΤ ρίσκα.

2. Παρά τα πλεονεκτήματα, μικρές και μεγάλες επιχειρήσεις

βλέπουν ζημιές να συσσωρεύονται λόγω των θεμάτων α-

σφάλειας της φορητότητας. Εντός των τελευταίων 12 μηνών,

ο μέσος όρος κόστους των ζημιών λόγω ρίσκων που σχετίζονται

με τη φορητότητα, έφθασαν το ποσό έκπληξη των

$247.000 στις επιχειρήσεις, μετρούμενο από άμεσα έξοδα,

χάσιμο δεδομένων και ζημιά σε brands ή απώλεια εμπιστοσύνης

του πελάτη. Παρόλα αυτά, οι Οργανισμοί πιστεύουν

ότι η φορητότητα αξίζει τυχόν ρίσκα και σχετιζόμενα κόστη.

Πράγματι, το 71% των ερωτηθέντων στη μελέτη θεωρούν ό-

τι τουλάχιστον ισοσκελίζουν τυχόν ρίσκα με τα οφέλη της

φορητότητας.

3. Υπάρχουν πολλά best practices που μπορούν να βοηθήσουν

τους Οργανισμούς να συνειδητοποιήσουν τα οφέλη της

επανάστασης της φορητότητας, ενώ παράλληλα μπορούν

να ελαχιστοποιήσουν τα ρίσκα. Πρώτον, οι εταιρείες πρέπει

να διερευνήσουν πώς μπορούν να επωφεληθούν τη φορητότητα

και να αναπτύξουν μία σταδιακή προσέγγιση ώστε

να δημιουργήσουν ένα οικοσύστημα που θα υποστηρίζει το

πλάνο τους. Σε επόμενη φάση, οι εταιρείες πρέπει να δημιουργήσουν

μία ρεαλιστική αξιολόγηση της υψηλότερης κλίμακας

του business plan φορητότητας που δημιούργησαν

και τις επιπτώσεις αυτού στην υποδομή τους. Πρέπει να σκεφτούν

πέρα από το email και να διερευνήσουν όλες τις δυνατότητες

φορητότητας που τους δίνονται και να κατανοήσουν

τα ρίσκα και τις απειλές που πρέπει να εξαλείψουν. Τέλος,

τα ΙΤ τμήματα πρέπει να δεχθούν ότι οι φορητές συσκευές

αποτελούν νόμιμα εταιρικά endpoints και χρειάζονται

την ίδια προσοχή, όπως οι παραδοσιακές πλατφόρμες τεχνολογίας.

Τη στιγμή που οι εταιρείες ενστερνίζονται την επανάσταση

της φορητότητας προσβλέποντας σε βελτιωμένη εταιρική

ευελιξία, παράλληλα πρέπει να εξετάζουν την επίπτωσή της

στη χρήση πόρων και σε ενδεχόμενα ρίσκα. Η πραγματικότητα

αυτής της εξίσωσης εξαρτάται από τις ίδιες τις εταιρείες,

κατά πόσο αυτές επιβάλλουν τις κατάλληλες πολιτικές

συμμόρφωσης, διαχείρισης και προστασίας των συσκευών και

των δεδομένων, αποτελεσματικά και ολοκληρωτικά.

20 | security


Δημήτρης Ασημάκης

CMS Sales manager

Greece, Cyprus, Israel

1. Την τελευταία δεκαετία οι επιχειρήσεις θεώρησαν το

mobility σαν εξειδικευμένη δυνατότητα για συγκεκριμένες

κατηγορίες εφαρμογών όπως πρόσβαση σε βάσεις δεδομένων

για υπηρεσίες πεδίου ή απομακρυσμένη χρήση e-

mail. Η τεράστια υιοθέτηση των smartphones / tablets και

των σχετικών εφαρμογών από τους απλούς χρήστες αναπόφευκτα

επηρεάζει και τον κόσμο των επιχειρήσεων. Οι

επιχειρήσεις θα χρειαστεί να παρέχουν στο προσωπικό

τους εφαρμογές που θα τους επιτρέψουν να εργάζονται

πιο αποδοτικά, αλλά και να αναπτύξουν την επιχείρηση α-

πευθυνόμενοι σε περισσότερους πελάτες μέσω νέων mobile

εφαρμογών. Χαρακτηριστικά παραδείγματα enterprise

mobile εφαρμογών είναι εφαρμογές CRM, ERP, travel

management, HR applications κ.α.

2. Για να καλύψουν αυτή την ανάγκη οι επιχειρήσεις πρέπει

να μετασχηματίσουν τις κεντρικές υποδομές τους έτσι

ώστε να επιτρέψουν ασφαλή πρόσβαση από mobile συσκευές

σε δεδομένα και υπηρεσίες, καθώς και να εκτελέσουν

ένα στρατηγικό πλάνο που θα επιτρέψει την πρόσβαση

διαφόρων τύπων mobile devices σε συγκεκριμένες

εφαρμογές εξασφαλίζοντας ότι οι χρήστες θα έχουν πρόσβαση

μόνο στα δεδομένα και τις υπηρεσίες για τα οποία

είναι σε εξουσιοδοτημένοι. Ο μετασχηματισμός των επιχειρήσεων

προς την νέα mobile οικονομία επιβάλει την α-

ντιμετώπιση διαφόρων προκλήσεων όπως ασφάλεια, ταχύτητα

και “end user experience”. Η ασφάλεια των τερματικών

αποτελεί πρόκληση επειδή οι χρήστες πιθανόν να

χρησιμοποιούν προσωπικά smartphones και tablets θέτοντας

σε κίνδυνο την ασφάλεια επιχειρησιακών πληροφοριών.

Οι υποδομές πρέπει να υποστηρίζουν πολλαπλές

mobile συσκευές και η διαχείριση τους πρέπει να είναι

αποδοτική και εύκολη. Η εμπειρία των χρηστών από την

χρήση των εφαρμογών πρέπει να είναι και πλούσια και ε-

ξατομικευμένη. Αυτό αποτελεί πρόκληση καθώς η χρήση

ξεχωριστών πλατφορμών ανάπτυξης για κάθε συσκευή είναι

χρονοβόρα και μη αποδοτική οικονομικά.

Τα στοιχεία για μια πλήρη λύση mobility περιλαμβάνουν

πλατφόρμα διαχείρισης και storefront-portal, Mobility gateway

για πρόσβαση σε «legacy” εφαρμογές, περιβάλλον α-

νάπτυξης εφαρμογών, service orchestration, device testing

και device management. Κατά την υλοποίηση μιας λύσης

mobility ληφθούν υπόψη παράγοντες που θα εξασφαλίσουν

μια βιώσιμη λύση και όχι μια ασύνδετη απόπειρα

προς το mobility. Κατ αρχήν η επιλεγμένη αρχική υ-

λοποίηση πρέπει να είναι μικρού μεγέθους και να επιτρέπει

την σταδιακή πρόσθεση στοιχείων υλικού και λογισμικού

χωρίς να απαιτείται επανασχεδιασμός και σημαντική

επένδυση.

Η υλοποίηση πρέπει να υποστηρίζει πολλαπλές τερματικές

συσκευές, πλατφόρμες και εφαρμογές. Τέλος η ανάπτυξη

μιας mobility platform πρέπει να παρέχει την ευελιξία ε-

γκατάστασης είτε ως in-house είτε ως cloud solution.

3. Η Hewlett Packard παρέχει μια πλήρη πρόταση στο enterprise

mobility για επιχειρήσεις που η στρατηγική τους

επιτάσσει παρουσία σε αυτό τον χώρο. Η HP Enterprise

Mobility Platform περιλαμβάνει pre-integrated προϊόντα

hp και συνεργατών, και επιτρέπει την εκμετάλλευση των

υπαρχουσών επενδύσεων προσθέτοντας δυνατότητες application

mobility. Η λύση συνδυασμένη με HP Hardware

και πολλά μοντέλα υλοποίησης παρέχει την δυνατότητα

στις επιχειρήσεις να κτίσουν μια υποδομή που υποστηρίζει

την ιδέα του enterprise mobility για τους εργαζομένους

και τους πελάτες τους. iTSecurity

security | 21


REFERENCE

Mobile applications

penetration testing

Χρήστος Βιδάκης

CISA, CISSP, CISM, ISO 27001 LA

Senior Manager, Management

and Risk Consulting

IT Advisory

KPMG Advisors AE

cvidakis@kpmg.gr

Προλαμβάνοντας τις εξελίξεις για τη διασφάλιση

ασφάλειας εφαρμογών φορητών συσκευών από

επιθέσεις παρείσδυσης.

Οι επαγγελματίες της ασφάλειας καλούνται να εφαρμόσουν μηχανισμούς ασφάλειας σε

ραγδαία αναπτυσσόμενα περιβάλλοντα (φορητές συσκευές) που δεν μπορούν να ελέγξουν

και επιπρόσθετα ελλοχεύει ο κίνδυνος υποκλοπής αυτών και κατ’ επέκταση η χρήση

τους με κακόβουλο τρόπο.

22 | security


H

αυξανόμενη ανάγκη για ανάπτυξη εφαρμογών φορητών

συσκευών μπορεί να συγκριθεί με την ταχεία

χρήση των ιστότοπων στα τέλη της δεκαετίας

του ’90. Τότε οι Oργανισμοί είδαν τους ιστότοπους

ως μέσο αύξησης της παρουσίας τους και νέων προοπτικών

προώθησης προϊόντων και υπηρεσιών. Σήμερα οι Oργανισμοί

βλέπουν τις εφαρμογές φορητών συσκευών να παρέχουν παρόμοιες

προοπτικές. Επιπλέον λειτουργούν ως εργαλεία αύξησης

της παραγωγικότητας των εργαζομένων, υιοθετώντας για

παράδειγμα μοντέλα τύπου «Φέρε τη Δική Σου Συσκευή»

(Bring Your Own Device).

Παρακάτω θα προσπαθήσω να αναλύσω τις νέες προκλήσεις

ασφάλειας και να αναδείξω τη σημαντικότητα αυτών στις εφαρμογές

φορητών συσκευών. Για λόγους συντομίας δεν γίνεται

αναφορά σε κινδύνους και πρακτικές που σχετίζονται με τη

διαχείριση των φορητών συσκευών και σε αδυναμίες των λειτουργικών

συστημάτων τους, όπως κενά ασφάλειας, προστασία

από κακόβουλο λογισμικό, μη ασφαλή πρωτόκολλα επικοινωνίας

κ.τ.λ. (εικόνα 1)

Εικόνα 1. Application layer

Νέες τεχνολογίες, νέοι ορίζοντες, συνεπώς νέες

προκλήσεις ασφάλειας

Οι εφαρμογές φορητών συσκευών αντιπροσωπεύουν κάτι περισσότερο

από το επόμενο βήμα στην τεχνολογία πληροφορικής.

Στο προσεχές μέλλον θα διαμορφωθούν ως η κύρια μέθοδος

πολλών δραστηριοτήτων, όπως ηλεκτρονικό εμπόριο,

κοινωνική δικτύωση, εξ αποστάσεως εργασία, ακόμα και ψυχαγωγία.

Συνεπώς δημιουργείται ένα νέο πεδίο δράσης για τις

κακόβουλες οντότητες, θέτοντας σε κίνδυνο την ασφάλεια

πληροφοριών των Oργανισμών και των χρηστών.

Παρατηρούμε ότι σημαντικό αποτρεπτικό παράγοντα για την

ανάπτυξη και χρήση εφαρμογών φορητών συσκευών αποτέλεσε

η ραγδαία αύξηση των περιστατικών παραβίασης ασφάλειας

που έλαβαν χώρα το 2011. Συνεπώς, η πλειοψηφία των

χρηστών και των Oργανισμών θεώρησε ότι εάν δεν μπορούν

να προστατευτούν από παραβιάσεις ασφάλειας σε παραδοσιακές

εφαρμογές στις οποίες έχουν επενδύσει σε συστήματα

ασφάλειας και υπάρχει συσσωρευμένη τεχνογνωσία, ο κίνδυνος

παραβίασης της ασφάλειας στις φορητές συσκευές είναι

σαφώς υψηλότερος.

Οι επαγγελματίες της ασφάλειας καλούνται να εφαρμόσουν

μηχανισμούς ασφάλειας σε ραγδαία αναπτυσσόμενα περιβάλλοντα

(φορητές συσκευές) που δεν μπορούν να ελέγξουν

και επιπρόσθετα ελλοχεύει ο κίνδυνος υποκλοπής αυτών και

κατ’ επέκταση η χρήση τους με κακόβουλο τρόπο.

Απαιτείται αναπροσδιορισμός των κινδύνων;

Σαφώς ναι.

Οι κίνδυνοι ασφάλειας δικτυακών εφαρμογών έχουν πεδίο

δράσης και στις εφαρμογές φορητών συσκευών. Παρ’ όλα αυτά,

οι φορητές συσκευές σχεδιάζονται με γνώμονα την προσωπική

και επικοινωνιακή λειτουργικότητα, οπότε οι κίνδυνοι και

οι μηχανισμοί ασφάλειας διαφοροποιούνται σε σημαντικό βαθμό

σε σχέση με τις παραδοσιακές εφαρμογές.

Μέσω της εμπειρίας της KPMG σε έργα δοκιμών παρείσδυσης

εφαρμογών φορητών συσκευών στην Ελλάδα και σε πανευρωπαϊκό

επίπεδο, έχουν αναδειχθεί οι παρακάτω προκλήσεις:

Φυσική ασφάλεια: Η πιθανότητα κλοπής είναι πολύ υψηλή,

θέτοντας σε κίνδυνο την εμπιστευτικότητα των προσωπικών δεδομένων

καθώς και την πνευματική ιδιοκτησία των εφαρμογών.

Λογική πρόσβαση: Λόγω της έλλειψης επιπέδων πρόσβασης,

ένας κακόβουλος χρήστης δύναται με σχετικά μη εξειδικευμένο

τρόπο, να λάβει πρόσβαση με δικαιώματα διαχειριστή

στη συσκευή (jail breaking, rooting) και κατ’ επέκταση στην

εφαρμογή. Οι υφιστάμενοι μηχανισμοί λογικής πρόσβασης περιορίζονται

σε επίπεδο συσκευής, μέσω των μηχανισμών application

isolation των λειτουργικών συστημάτων.

Μηχανισμοί πιστοποίησης και αυθεντικοποίησης: Η

εφαρμογή αυστηρών πολιτικών κωδικών πρόσβασης (ελάχιστο

μήκος, σύμβολα, κλείδωμα μετά το πέρας προκαθορισμένου

αριθμού αποτυχημένων προσπαθειών) σε φορητές συσκευές,

παρουσιάζει αυξημένο κίνδυνο μη εφαρμογής αυτών,

λόγω δυσλειτουργικότητας που παρέχουν οι συσκευές.

Εμπιστευτικότητα προσωπικών δεδομένων: Tα λειτουργικά

συστήματα παρέχουν μη επαρκείς μηχανισμούς κρυπτογράφησης,

δεδομένου ότι συνήθως το ιδιωτικό κλειδί κρυπτογράφησης

βασίζεται στον κωδικό κλειδώματος της συσκευής

(device unlock code) ή/και προκαθορισμένου κωδικού

πρόσβασης του κατασκευαστή. Επιπρόσθετα, είναι δυνατή η

security | 23


REFERENCE

Mobile applications penetration testing

υποκλοπή δεδομένων που δεν προστατεύονται από το περιβάλλον

εφαρμογών (sandbox), όπως shared resources, OS

caches κτλ.

Υποκλοπή συνδέσεων: Η διασύνδεση της εφαρμογής με

το διαδίκτυο και κατ’ επέκταση με τους διακομιστές της εφαρμογής,

ελλοχεύει τον κίνδυνο επιθέσεων τύπου υποκλοπής και

παραποίησης συνδέσεων (man-in-the-middle attack), λαμβάνοντας

υπόψη ότι το ενδιάμεσο δίκτυο - όπως τα κοινόχρηστα

ασύρματα δίκτυα - ενδέχεται να μην πληροί αυστηρούς κανόνες

ασφάλειας. (εικόνα 2)

Οι υφιστάμενοι μηχανισμοί ασφάλειας επαρκούν;

Έχουν γίνει βήματα προς τη σωστή κατεύθυνση,

υπάρχουν όμως σημαντικά περιθώρια

βελτίωσης.

Η φορητότητα δεν έχει διαφοροποιήσει τις βασικές αρχές

ασφάλειας πληροφοριών. Όμως οι επαγγελματίες ασφάλειας

θα πρέπει να αντιμετωπίσουν νέες προκλήσεις που σχετίζονται

με την κλοπή, ανομοιομορφία λειτουργικών συστημάτων, μικρό

χρονικό διάστημα ζωής συσκευών κτλ.

Η κοινότητα ασφάλειας αναγνωρίζοντας τις προαναφερόμενες

προκλήσεις και κινδύνους έχει προβεί στην υλοποίηση προϊόντων

διαχείρισης φορητών συσκευών (Mobile Device Management).

Επίσης o μη κερδοσκοπικός Oργανισμός για την

ασφάλεια των διαδικτυακών εφαρμογών OWASP, έχει δημιουργήσει

σχετικές δράσεις που περιλαμβάνουν βέλτιστες πρακτικές

ασφάλειας και εργαλειοθήκες για τον έλεγχο τρωτότητας.

(εικόνα 3). Επίσης οι κατασκευαστές φορητών συσκευών

έχουν προβεί στην υιοθέτηση προ-εγκατεστημένων μηχανισμών

ασφάλειας.

Εικόνα 3. MobiSec

Εικόνα 2. Man in the middle

Υποκλοπή πηγαίου κώδικα: Έχει παρατηρηθεί αυξημένος

κίνδυνος στην εκτέλεση τεχνικών reverse engineering, με σκοπό

τον εντοπισμό αδυναμιών (που δεν δύναται να εντοπιστούν

μέσω του γραφικού περιβάλλοντος ή των μηνυμάτων λάθους

της συσκευής) ή/και τεχνικών πληροφοριών που ενδέχεται να

χρησιμοποιηθούν για την περαιτέρω παρείσδυση.

Παρ’ όλα’ αυτά, διαπιστώνουμε ότι εξακολουθούν να παραγκωνίζονται

βασικοί μηχανισμοί ασφάλειας, η έλλειψη των οποίων έχει

οδηγήσει ιστορικά σε σημαντικές παραβιάσεις ασφάλειας.

Ενεργή συμμετοχή της ασφάλειας κατά τη διαδικασία ανάπτυξης.

Αποτελεί πλέον κοινοτοπία ότι οι Oργανισμοί αναγνωρίζουν

την αξία της ασφάλειας μόνο μετά από περιστατικά παραβιάσεων

ασφάλειας. Ο έγκαιρος σχεδιασμός των μηχανισμών

ασφάλειας και ο έλεγχος αυτών σε κάθε στάδιο του κύκλου

ζωής των εφαρμογών είναι όμως πολύ σημαντικός, κυρίως υπό

το «φώς» νέων απαιτήσεων, όπως:

Η ελαχιστοποίηση του κώδικα (π.χ. μέθοδοι, δομή κ.λπ.)

και της λειτουργικότητας σε επίπεδο εφαρμογής χρήστη, υλοποίησης

των μηχανισμών ελέγχου δεδομένων και στοιχείων

φορμών (input validation) σε επίπεδο διακομιστή.

Η υιοθέτηση αυστηρών κανόνων ανάπτυξης (coding standards).

Έμφαση θα πρέπει να δοθεί σε αδυναμίες των C/C++

από επιθέσεις τύπου buffer, format string και double-frees overflows.

Επίσης, απενεργοποίηση του μηχανισμού εμφάνισης

σφαλμάτων.

24 | security


Προστασία από τον πιο αδύναμο κρίκο της

ασφάλειας

Η υλοποίηση αυστηρών μηχανισμών ασφάλειας σε επίπεδο

φορητής συσκευής για τον περιορισμό των λανθασμένων ή/και

εσκεμμένων ενεργειών από τους χρήστες των εφαρμογών, κρίνεται

αναγκαία. Αρωγό στις περιπτώσεις των εταιρικών δικτύων

αποτελεί η ύπαρξη μηχανισμών περιορισμού φυσικής και λογικής

πρόσβασης σε επίπεδο σταθμού εργασίας. Λαμβάνοντας

υπόψη ότι τα παραπάνω δεν είναι εφαρμόσιμα στις φορητές

συσκευές, θα πρέπει να ληφθούν επιπρόσθετα μέτρα προστασίας

(εικόνα 4):

Υλοποίηση μηχανισμών εντοπισμού, κλειδώματος ή/και διαγραφής

εμπιστευτικών πληροφοριών σε περίπτωση απώλειας

της συσκευής (wipe out).

Εγκατάσταση προκαθορισμένων ρυθμίσεων ασφάλειας σε

επίπεδο εφαρμογής (application security permissions model)

και έλεγχος παραποίησης αυτών κατά τη διαδικασία ενεργοποίησης

της εφαρμογής.

Χρήση των μηχανισμών application isolation/sandbox των

λειτουργικών συστημάτων και χρήση των κρυπτογραφημένων

βιβλιοθηκών σε περίπτωση προσπέλασης της εφαρμογής σε

τρίτες εφαρμογές (π.χ. πρόγραμμα πλοήγησης) ή/και πόρους

(π.χ. drivers) του λειτουργικού συστήματος.

Εφαρμογή ισχυρών μηχανισμών πιστοποίησης/αυθεντικοποίησης

(multifactor authentication)

με τη χρήση μοναδικών κωδικών

πρόσβασης (one-time passwords).

Επανέκδοση των στοιχείων

αυθεντικοποίησης μετά το πέρας

προκαθορισμένου χρονικού

διαστήματος.

Προστασία από κακόβουλες

οντότητες

Το προφίλ κινδύνου κάθε εφαρμογής

προσδιορίζεται και από το

βαθμό εστίασης που δίνουν οι

κακόβουλες οντότητες. Στην περίπτωση

των φορητών συσκευών

ο κίνδυνος κρίνεται αυξημένος,

λαμβάνοντας υπόψη τις τεχνολογικές

ιδιαιτερότητες και το επίπεδο

ευκολίας στην προσέγγιση ανυποψίαστων χρηστών.

Στο πλαίσιο αυτό κρίνεται αναγκαία η εφαρμογή ενεργειών

όπως οι παρακάτω:

Η υλοποίηση επιπρόσθετων μηχανισμών κρυπτογράφησης

σε επίπεδο εφαρμογής με τη χρήση αλγόριθμου κρυπτογράφησης

σχεδιασμένου βάσει μοναδικών χαρακτηριστικών (π.χ.

κωδικός χρήστη, serial number συσκευής, τυχαίος αριθμός,

κτλ). Επίσης, υλοποίηση τεχνολογιών tokenization σε ευαίσθητα

δεδομένα που σχετίζονται με την πιστοποίηση/ αυθεντικοποίηση,

ηλεκτρονικές συναλλαγές, PII κτλ.

Η υλοποίηση ανιχνευτικών μηχανισμών για τον περιορισμό

αποστολής κακόβουλων πακέτων (fuzzing) στα στοιχεία εισόδου-εξόδου

της εφαρμογής, όπως application framework APIs,

inter-component communication (ICC) και interprocess communication

(IPC) και εφαρμογή μηχανισμών wipe out.

Η χρήση μηχανισμών κρυπτογράφησης TLS/SSL που να

καλύπτουν το σύνολο της επικοινωνίας μεταξύ εφαρμογής και

διακομιστή. Εφαρμογή ισχυρών αλγόριθμων και κλειδιών κρυπτογράφησης.

Έλεγχος για επιθέσεις παραποίησης της αλυσίδας

κρυπτογράφησης (SSL chain validation) σε επίπεδο διακομιστή,

καθώς και σε επίπεδο εφαρμογής χρήστη μέσω της

εμφάνισης σχετικού μηνύματος.

Η ανάπτυξη ασφαλούς προγράμματος πλοήγησης και κατάργησης

των προ-εγκατεστημένων αντίστοιχων προγραμμάτων.

Εικόνα 4 Vendors security controls

security | 25


REFERENCE

Mobile applications penetration testing

Έλεγχος της χρήσης αυτού μέσω των παραμέτρων user-agent.

Η πιστοποίηση εφαρμογών (application signing) και χρήση

πιστοποιητικών συσκευής (client certificates). Έλεγχος της ακεραιότητας

τρίτων εφαρμογών και πόρων του λειτουργικού συστήματος,

που ενδέχεται να χρησιμοποιεί η εφαρμογή.

Σε περιπτώσεις όπου κρίνεται αναγκαία η χρήση προσωρινών

δεδομένων, η αποθήκευση αυτών θα πρέπει να γίνεται

μόνο σε επίπεδο μνήμης, εντός του sandbox της εφαρμογής

και σε κρυπτογραφημένη μορφή.

Η ασφάλεια αποτελεί μια συνεχή διαδικασία

Φαντάζει στοιχειώδες, αλλά η παραπάνω αρχή ασφάλειας κρίνεται

ακόμα πιο αναγκαία στις φορητές συσκευές, λόγω των

ραγδαίων τεχνολογικών εξελίξεων που διέπουν τον χώρο αυτό.

Πιο συγκεκριμένα, ο συνήθης κύκλος ζωής των συσκευών

και των λειτουργικών συστημάτων τους κυμαίνεται από 2 έως 4

μήνες, συνεπώς η ασφάλεια εφαρμογών φορητών συσκευών

και οι σχετικές δράσεις θα πρέπει να περιλαμβάνουν

πρακτικές:

Εναρμόνισης με τη γενικότερη διαδικασία

διαχείρισης αλλαγών λογισμικού.

Περιοδικής (ή έπειτα από κρίσιμες αλλαγές)

διεξαγωγής ανάλυσης κινδύνων και ευπαθειών,

μέσω της οποίας θα αναπροσαρμόζεται

το προφίλ κινδύνου της εφαρμογής.

Ο τρόπος και το επίπεδο υλοποίησης των

προαναφερόμενων τεχνικών ασφάλειας θα

πρέπει ως συνήθως να εναρμονίζεται με το

προφίλ κινδύνου της εφαρμογής.

KPMG - Information Security Consultancy

of the Year - SC Magazine Europe Awards

2011 and 2012 - learn more at

www.kpmg.co.uk/security

Ανάδειξη της ασφάλειας ως στρατηγικού συμμάχου

Όπως κάθε καινοτόμα τεχνολογία, η ασφάλεια των εφαρμογών

φορητών συσκευών (κίνδυνοι, προδιαγραφές, μηχανισμοί

κτλ.) έχει κληρονομήσει τις παραδοσιακές αδυναμίες ασφάλειας

που σχετίζονται με την αρχή «productivity first, security

later». Επιπρόσθετα, η επίτευξη ασφάλειας στις εν λόγω εφαρμογές

απαιτεί καινοτόμες λύσεις σε σχέση με τους παραδοσιακούς

μηχανισμούς ασφάλειας.

Ενδεχομένως για πρώτη φορά στην ιστορία της ασφάλειας

πληροφοριών παρέχονται τα μέσα (τεχνολογίες, εμπειρία)

για τη λειτουργία ασφαλών εφαρμογών φορητών συσκευών.

Οι διοικήσεις των Οργανισμών θα πρέπει να αξιοποιήσουν

τα παραπάνω, κατανοώντας τις νέες προκλήσεις και προχωρώντας

σε σημαντικές επενδύσεις ασφάλειας. Από την

πλευρά τους, οι ομάδες ανάπτυξης εφαρμογών και οι επαγγελματίες

ασφάλειας, λόγω των προαναφερόμενων προκλήσεων

θα πρέπει να υιοθετήσουν κουλτούρα

“hacker”, αφού είναι de-facto ότι

το περιβάλλον λειτουργίας της εφαρμογής

θα χρησιμοποιείται από κακόβουλες

οντότητες με σκοπό την παραβίαση της

ασφάλειας.

Λόγω του γεγονότος ότι η βιωσιμότητα

της νέας τεχνολογίας εξαρτάται από το

βαθμό εμπιστοσύνης από τον τελικό

χρήστη, ενδεχόμενη αποτυχία της ασφάλειας

θα επιφέρει σημαντικές επιπτώσεις

στη μη αξιοποίηση αυτής της τεχνολογίας.

iTSecurity

26 | security


I SSUE

Της Παναγιώτας Τσώνη

SSL Πιστοποίηση

Πυλώνας εμπιστοσύνης και προστασίας

Τα SSL πιστοποιητικά επιτρέπουν την κρυπτογράφηση και αυθεντικοποίηση των επικοινωνιών

μιας επιχείρησης με τους πελάτες και συνεργάτες της, αποτελώντας πυλώνα της απαιτούμενης

εμπιστοσύνης μεταξύ τους, καθώς και ένα ισχυρό μέσο προστασίας των web ε-

φαρμογών της.

O

ι επιχειρήσεις και Οργανισμοί, αντιμετωπίζουν ένα διαρκώς αυξανόμενο μέτωπο επιθέσεων εναντίον των Web

εφαρμογών τους, από την εισαγωγή κακόβουλου λογισμικού και τις εξελιγμένες επίμονες απειλές (APT =

Advanced Persistent Threats), έως τους απρόσεκτους υπαλλήλους και τις διαρροές πληροφοριών. Τα πράγματα

επιδεινώνονται με τις αλλαγές που υφίστανται οι υπηρεσίες και ο τρόπος που υλοποιούνται, με την αυξανόμενη

χρήση των φορητών συσκευών και την υιοθέτηση του cloud και παράλληλα με τη διαρκή εξέλιξη των μεθόδων

επίθεσης. Αν και δεν υπάρχει μία μέθοδος προστασίας εναντίον όλου του φάσματος επιθέσεων, ορισμένες είναι καίριες και

αναγκαίες. Μία από αυτές είναι η SSL κωδικοποίηση και αυθεντικοποίηση μέσω των ψηφιακών πιστοποιητικών. Η SSL κωδικοποίηση

μπορεί να προστατέψει τη server – to – server επικοινωνία, τις συσκευές των πελατών, τους cloud πόρους κ.ά.,

ώστε να περιοριστεί ο κίνδυνος απώλειας δεδομένων.

security | 27


I SSUE

SSL Πιστοποίηση

Τι είναι το SSL;

Το SSL (Secure Sockets Layer) πρωτόκολλο επικοινωνίας α-

ναπτύχθηκε από τη Netscape το 1995 και έγινε γρήγορα η

προτιμώμενη μέθοδος διασφάλισης της διαδικτυακής επικοινωνίας,

λαμβάνοντας θέση σε κάθε μεγάλο Web server

και browser. Για να υλοποιηθεί μία SSL επικοινωνία, ο Web

server πρέπει να διαθέτει ένα ψηφιακό πιστοποιητικό το ο-

ποίο φέρει το δημόσιο και ιδιωτικό κλειδί που απαιτούνται

για την κωδικοποίηση. Το εκάστοτε ψηφιακό πιστοποιητικό

είναι μοναδικό για κάθε κάτοχό του και είναι αυτό που επιβεβαιώνει

την εγκυρότητα του φερόμενου.

Τυπικά, τα ψηφιακά πιστοποιητικά διανέμονται από μία τρίτη

ανεξάρτητη αρχή, η οποία εξασφαλίζει την εγκυρότητά

τους και την καθολική αποδοχή τους από τους ενδιαφερομένους.

Οι Οργανισμοί αυτοί ονομάζονται Αρχές Πιστοποίησης

(CA = Certification Authority).

Χαρακτηριστικά του SSL

Η SSL πιστοποίηση προσφέρει τέσσερα διακριτά χαρακτηριστικά

που είναι κρίσιμα για την προστασία της ιδιωτικότητας

και της ασφάλειας, αλλά και των απαιτήσεων των χρηστών,

κατά τη διάρκεια μιας διαδικτυακής επικοινωνίας ή

συναλλαγής:

1. Κωδικοποίηση: το πρωτόκολλο χρησιμοποιεί μαθηματικούς

αλγόριθμους για να μετατρέψει τα δεδομένα

σε τέτοια μορφή, ώστε να μπορούν να αναγνωσθούν

μόνο από τους εξουσιοδοτημένους χρήστες. Τα ιδιωτικά

και δημόσια κλειδιά που διατίθενται ως μέρος του

ψηφιακού πιστοποιητικού του server, διαδραματίζουν

σημαντικό ρόλο για την ασφάλεια των δεδομένων που

λαμβάνονται ή αποστέλλονται από το browser.

2. Ακεραιότητα: η κωδικοποίηση των δεδομένων επίσης

διασφαλίζει και την ακεραιότητά τους. Εφόσον μόνο ο

εξουσιοδοτημένος χρήστης μπορεί να διαβάσει την πληροφορία,

αυτή δεν γίνεται να αλλαχθεί κατά τη μετάδοση,

μιας και η μεταβολή κωδικοποιημένων δεδομένων τα

καθιστά άχρηστα κατά την αντίστροφη διαδικασία της

αποκωδικοποίησης. Επιπρόσθετα, ο τελικός χρήστης

που θα λάβει διαβρωμένα δεδομένα, θα γνωρίζει ότι έ-

γινε προσπάθεια υποκλοπής κατά τη συγκεκριμένη επικοινωνία.

3. Αυθεντικοποίηση: μία από τις σημαντικότερες ευθύνες

των CA κατά την παροχή ψηφιακών πιστοποιητικών,

είναι να επικυρώσουν την αληθινή ταυτότητα του Οργανισμού

ή του ατόμου που αιτείται για πιστοποιητικό.

Τα SSL πιστοποιητικά βρίσκονται στο διαδίκτυο σε καθορισμένη

περιοχή και εκεί υποδηλώνεται σε ποιον α-

νήκουν, ώστε ο τελικός χρήστης να γνωρίζει σε βασικό

επίπεδο με ποιον συναλλάσσεται.

4. Μη- άρνησης ευθύνης: τα τρία προαναφερόμενα χαρακτηριστικά

συνδυάζονται ώστε να εφαρμόζεται η λεγόμενη

πολιτική μη-άρνησης ευθύνης, με την οποία κανένα

μέλος μιας ασφαλούς συναλλαγής δεν μπορεί να

ισχυριστεί εκ των υστέρων ότι δεν μετείχε σε αυτή. Έτσι

δεσμεύονται τα μέλη μιας επικοινωνίας να μην αποποιηθούν

τις πληροφορίες που επικοινώνησαν διαδικτυακά.

SSL εφαρμογές

Η SSL επικοινωνία χρησιμοποιείται ποικιλοτρόπως και εξυπηρετεί

διαφορετικούς σκοπούς κάθε φορά:

Επικοινωνία browser - to - server: χρησιμοποιείται όταν

μεταδίδονται ευαίσθητες πληροφορίες μεταξύ browser

και server, όπως συμβαίνει στις αγοραπωλησίες, στη μετάδοση

ιατρικών δεδομένων κ.ά. Η SSL εξυπηρετεί το

χρήστη, ώστε να επιβεβαιώσει σε ποιον στέλνει τις πληροφορίες

αυτές και ότι μόνο οι εξουσιοδοτημένοι παραλήπτες

θα έχουν πρόσβαση.

Επικοινωνία server – to - server: αφορά συνήθως στην

επικοινωνία μεταξύ επιχειρήσεων ή Οργανισμών, κατά

την οποία και οι δύο servers φέρουν ψηφιακά πιστοποιητικά,

αυθεντικοποιούνται αμοιβαία και διασφαλίζουν τις

ανταλλασσόμενες πληροφορίες.

28 | security


Συμμόρφωση με τους κανονισμούς ασφαλείας: πολλές

νομικές και βιομηχανικές απαιτήσεις και πρότυπα α-

σφαλείας όπως είναι το PCI DSS, απαιτούν υψηλά επίπεδα

αυθεντικοποίησης και ιδιωτικότητας, κάτι που το

SSL παρέχει.

Πώς λειτουργεί το SSL πιστοποιητικό και από

τι αποτελείται;

Ουσιαστικά, το SSL πιστοποιητικό είναι ένα αρχείο το ο-

ποίο χρησιμοποιείται ως σημαντικό μέρος σε μία σειρά α-

πό πολύπλοκες μετατροπές και πρωτόκολλα, ώστε να παρέχονται

εντέλει υπηρεσίες αυθεντικοποίησης και κωδικοποίησης.

Η χρηστικότητα ενός αυθύπαρκτου SSL πιστοποιητικού

είναι ελάχιστη, αν δεν συνδυαστεί με τις προαναφερόμενες

μεθόδους, που θα αντλήσουν την αποθηκευμένη

σε αυτό πληροφορία και θα παράγουν το επιθυμητό α-

ποτέλεσμα.

Το σχήμα 1 δείχνει τα μέρη από τα οποία απαρτίζεται ένα

SSL πιστοποιητικό.

Χρησιμοποιείται η δομή Χ.509, η οποία περιλαμβάνει πληροφορίες

για τον κάτοχο, το domain που ανήκει και τον

αλγόριθμο κωδικοποίησης. Διακρίνουμε τα εξής:

1. Version: ο αριθμός έκδοσης υποδηλώνει ποια έκδοση του

Χ.509 χρησιμοποιήθηκε. Οι νεότερες εκδόσεις υποστηρίζουν

επιπρόσθετες επεκτάσεις και μοναδικά αναγνωριστικά.

2. Serial Number: ο σειριακός αριθμός είναι ένας μοναδικός

αριθμός που παρέχεται από τη CA, η οποία είναι υ-

πεύθυνη ώστε για όλα τα πιστοποιητικά Χ.509 να μην υ-

πάρχει άλλος τέτοιος συνδυασμός εκδότη

και αριθμού.

3. Algorithm ID: το αναγνωριστικό του αλγορίθμου

ή αλλιώς η υπογραφή του, χρησιμοποιείται

για να υποδηλώσει με ποια

μαθηματική σχέση παράχθηκε το πιστοποιητικό

από τη CA.

4. Issuer: ως εκδότης ορίζεται η CA που ε-

ξέδωσε το πιστοποιητικό και εκτός από

την επωνυμία της μπορεί να παρέχονται

επιπρόσθετες πληροφορίες όπως είναι

η τοποθεσία της, το παράρτημα που το

εξέδωσε και η υπεύθυνη αρχή έκδοσης.

5. Validity: ο τομέας της εγκυρότητας περιλαμβάνει

δύο ημερομηνίες, μία που ορίζει

την περίοδο έναρξης, από την οποία

το πιστοποιητικό είναι έγκυρο και μία

που υποδηλώνει την ημερομηνία λήξης

Σχήμα 1: Η δομή ενός SSL

πιστοποιητικού

του.

6. Subject: ως «υποκείμενο» ορίζεται το όνομα της οντότητας

στην οποία καταλήγει το πιστοποιητικό και είναι

μοναδικό όσον αφορά στη CA. Παρόμοια, περιέχει πληροφορίες

για τη διεύθυνση της οντότητας και τον Οργανισμό

στον οποίο ανήκει.

7. Public Key info: ο τομέας του δημόσιου κλειδιού περιέχει

μία συμβολοσειρά, που αποτελεί το δημόσιο κλειδί και

το όνομα του αλγορίθμου με τον οποίο θα χρησιμοποιηθεί.

Όταν κάποιος επιθυμεί να αποστείλει κρυπτογραφημένα

δεδομένα προς μία κατεύθυνση, οφείλει να

γνωρίζει το δημόσιο κλειδί του παραλήπτη και να τελέσει

με αυτό την κρυπτογράφηση. Το δημόσιο κλειδί α-

ντλείται από το ψηφιακό πιστοποιητικό του παραλήπτη

με τη βοήθεια λογισμικού, καθώς και ο αλγόριθμος που

θα χρησιμοποιηθεί. Το δημόσιο κλειδί χρησιμοποιείται

μονόδρομα, δηλαδή βοηθά στην κρυπτογράφηση των

δεδομένων αλλά όχι στην αποκρυπτογράφηση,

μιας και γι’ αυτό απαιτείται το ιδιωτικό

κλειδί.

8. Unique Identifier: το ιδιωτικό κλειδί δημιουργείται

ταυτόχρονα με το δημόσιο. Ε-

νώ το δημόσιο κλειδί διαμοιράζεται με ό-

λους όσοι επιθυμούν να αποστείλουν

κρυπτογραφημένα δεδομένα προς τον

κάτοχο του πιστοποιητικού, το ιδιωτικό

εξασφαλίζει ότι μόνο ο νόμιμος κάτοχος

του πιστοποιητικού μπορεί να τα διαβάσει

και όχι όλοι όσοι γνωρίζουν το δημόσιο

κλειδί του.

Ουσιαστικά και με βάση τα προαναφερόμενα,

το SSL πιστοποιητικό περιέχει τρεις

διαφορετικούς τύπους δεδομένων:

i. Πληροφορίες για την οντότητα στην ο-

ποία ανήκει το πιστοποιητικό και το όνοsecurity

| 29


I SSUE

SSL Πιστοποίηση

μα με το οποίο αναγνωρίζεται.

ii. Πληροφορίες για τη CA που το εξέδωσε.

iii. Πληροφορίες κρυπτογράφησης, όπως είναι το ιδιωτικό

και δημόσιο κλειδί και ο αλγόριθμος κωδικοποίησης.

Πώς όμως χρησιμοποιούνται αυτές οι πληροφορίες;

30 | security

SSL διασφάλιση επικοινωνίας

Μία επικοινωνία θεωρείται ασφαλής όταν και τα δύο μέλη

που μετέχουν σε αυτήν είναι αξιόπιστα και κανένας άλλος

εκτός των ενδιαφερομένων δεν μπορεί να παρεισφρήσει σε

αυτήν. Τα SSL πιστοποιητικά εξασφαλίζουν αυτές τις απαιτήσεις,

μιας και εγγυώνται για τους κατόχους τους και επιτρέπουν

την κρυπτογράφηση της ανταλλασσόμενης πληροφορίας.

Κατά την πλοήγηση σε ένα server, χρησιμοποιώντας ένα

πρωτόκολλο ασφαλείας όπως είναι το HTTPS, ο υπολογιστής

του χρήστη ή αλλιώς ο client θα πραγματοποιήσει μία

διαδικασία χειραψίας, ώστε να ορίσει ένα ασφαλές κανάλι

επικοινωνίας. Τα βήματα που θα τελεστούν έχουν ως εξής:

ο client ζητά ασφαλή ε-

πικοινωνία με το server

και παρουσιάζει τη λίστα

μηχανισμών ασφαλείας

ή κρυπτογράφησης

που υποστηρίζει.

Από αυτή τη λίστα ο

server επιλέγει την πιο

ασφαλή μέθοδο και

στέλνει στον client την

επιλογή του. Ακολούθως

ο server στέλνει το

SSL πιστοποιητικό του

στον client, ο οποίος

με τη σειρά του μπορεί

να αιτηθεί στη CA του

πιστοποιητικού, για να

επιβεβαιώσει ότι το πιστοποιητικό

είναι ακόμα

έγκυρο (προαιρετική

διαδικασία). Η επιλογή

αυτή διατίθεται

μιας και μπορεί το πιστοποιητικό

να έχει ανακληθεί, πριν την ημερομηνία λήξης

του. Τα ανακληθέντα πιστοποιητικά αναρτώνται στο διαδίκτυο

και ελέγχονται με τη χρήση του πρωτοκόλλου OCSP

(Online Certificate Status Protocol) ή με τη χρήση λιστών

ανάκλησης (CLR= Certificate Revocation List).

Σ’ αυτό το σημείο ο client έχει αυθεντικοποιήσει το server και

έχει συμφωνηθεί η μέθοδος κρυπτογράφησης. Ο server προαιρετικά

μπορεί να ζητήσει

το ψηφιακό πιστοποιητικό

του client για να ε-

πιτευχθεί αμοιβαία αυθεντικοποίηση.

Κάτι τέτοιο

είναι πιθανό σε περιπτώσεις

όπου ο client πρέπει

να αναγνωριστεί - όπως

κατά τη χρήση VPN - και

λιγότερο πιθανό όταν ο

client επικοινωνεί με δημόσιους

ιστότοπους γενικού

εμπορίου (σχήμα 2).

Αφού δημιουργηθεί ένα

ασφαλές κανάλι επικοινωνίας,

οι πληροφορίες

μπορούν να αποσταλούν

με αποτελεσματικές και

γρήγορες μεθόδους.

Πιο αποτελεσματική θεωρείται

η κρυπτογράφηση

συμμετρικού κλειδιού,

Σχήμα 2: Bήματα καθορισμού μιας ασφαλούς επικοινωνίας με τη χρήση

SSL

στην οποία όμως ο

πιστοποιητικών


client και ο server πρέπει να διαμοιραστούν ένα κοινό κλειδί.

Η ανταλλαγή ενός τέτοιου κλειδιού με ασφάλεια, προϋποθέτει

τα ακόλουθα βήματα:

Ο client παράγει έναν τυχαίο αριθμό και τον κρυπτογραφεί

με τη βοήθεια του δημόσιου κλειδιού του server.

Ο server αποκρυπτογραφεί τον αριθμό και το χρησιμοποιεί

ως ιδιωτικό κλειδί.

Η επικοινωνία client-server γίνεται με τη βοήθεια του

κοινού τους κλειδιού και έτσι όλες οι κρυπτογραφημένες

πληροφορίες απαιτούν ένα κλειδί για να μεταδοθούν και

να αποκρυπτογραφηθούν. Έτσι, η ανταλλαγή της πληροφορίας

τελείται με ασφάλεια αλλά και με ταχύτητα.

Αυθεντικοποίηση μέσω SSL πιστοποιητικών

Κατά την επικοινωνία με μία άγνωστη οντότητα, η εμπιστοσύνη

είναι το πρώτο θέμα που εγείρεται μιας και εκ προοιμίου

κανείς δεν εμπιστεύεται κάτι που δεν γνωρίζει. Οποιοσδήποτε

μπορεί να εγκαταστήσει ένα server και να δημιουργήσει

μια ιστοσελίδα και κατόπιν να ισχυριστεί ότι είναι

μία τράπεζα. Πώς λοιπόν ο χρήστης γνωρίζει πραγματικά με

ποιον συναλλάσσεται; Η πληροφορία προέρχεται από το γεγονός

ότι η κάλπικη τράπεζα δεν θα διαθέτει ένα ψηφιακό

πιστοποιητικό από μία έμπιστη CA που θα εγγυάται για την

ταυτότητά της.

Στους διαδεδομένους browsers η μπάρα πλοήγησης αλλάζει

τη μορφή της όταν ο χρήστης βρίσκεται σε ιστότοπο που

διαθέτει SSL πιστοποιητικό. Το εικονίδιο της κλειδαριάς χρησιμοποιείται

για να υποδηλώσει κρυπτογραφημένη επικοινωνία,

ενώ η αλλαγή του χρώματος της μπάρας σε πράσινο

δείχνει τη χρήση ειδικού τύπου SSL πιστοποιητικού με ε-

πιπρόσθετη επικύρωση (EV= Extended Validation). Αυτές

οι αλλαγές αποτελούν ένα οπτικό ερέθισμα για το χρήστη,

ώστε γρήγορα να διαπιστώνει ότι βρίσκεται σε ασφαλή ι-

στότοπο που έχει επιβεβαιωθεί από μία έμπιστη CA.

Η διαπίστωση είναι εφικτή μιας και οι browsers είναι προδιαμορφωμένοι

ώστε να περιέχουν μια λίστα από έμπιστες

CA. Κατά τη σύνδεση με ένα server, ο browser λαμβάνει το

SSL πιστοποιητικό του και πραγματοποιεί τους ακόλουθους

ελέγχους:

Επιβεβαιώνει ότι το όνομα του ιστότοπου ταυτίζεται με

το όνομα που υπάρχει στο SSL πιστοποιητικό.

Επιβεβαιώνει ότι το πιστοποιητικό δεν έχει λήξει.

Ελέγχει ότι ο εκδότης ανήκει στη λίστα έμπιστων CA

που διαθέτει.

Αν οποιοσδήποτε έλεγχος αποτύχει, προβάλλεται ένα

προειδοποιητικό μήνυμα στο χρήστη.

Εν κατακλείδι, τα SSL πιστοποιητικά επιτρέπουν την κρυπτογράφηση

και την αυθεντικοποίηση. Οι δύο αυτές έννοιες

είναι βασικές γα τη διασφάλιση των web εφαρμογών και

για την προστασία των καταναλωτών και των δεδομένων

τους. Επίσης είναι σημαντικές για τη σύναψη επικοινωνίας και

την ανάπτυξη εμπιστοσύνης μεταξύ εταιρικών συνεργατών

που δεν είχαν προγενέστερη σχέση, αλλά και μεταξύ καταναλωτών

και επιχειρήσεων, μιας και οι πρώτοι δεν θα χρησιμοποιούσαν

μία υπηρεσία που δεν θα εμπιστευόντουσαν,

όσο δελεαστική και να παρουσιαζόταν. iTSecurity


I SSUE

Της Παναγιώτας Τσώνη

Unified Threat Management

6 κριτήρια επιλογής

Μια συσκευή UTM δίνει λύση στα σύγχρονα προβλήματα των IT Managers, ως ολοκληρωμένο

περιβάλλον που προσφέρει πολλές επιλογές και παραμετροποιήσεις σε μόνο

μία συσκευή

H

συνολική προστασία ενός εταιρικού δικτύου έχει αναδειχθεί με την πάροδο των ετών σε μία πολύπλοκη και

χρονοβόρα διαδικασία, που ορισμένες φορές αφήνει ασάφειες, σε σχέση με το αν επετεύχθησαν τα προσδοκώμενα

αποτελέσματα. Η πολυπλοκότητα είναι αποτέλεσμα των διαρκώς αυξανόμενων και διαφορετικού

τύπου επιθέσεων που έκαναν την εμφάνισή τους και της υιοθέτησης διαφορετικών λύσεων είτε σε επίπεδο υ-

λικού είτε λογισμικού, για να τις αντιμετωπίσουν. Έτσι, οι IT Managers βρέθηκαν να διαχειρίζονται πληθώρα συσκευών και προγραμμάτων,

συνήθως από διαφορετικούς κατασκευαστές το καθένα, τα οποία πρέπει να αναβαθμίζουν, να παραμετροποιούν

και να εξασφαλίζουν ότι συνεργάζονται αποδοτικά για την ασφάλεια του δικτύου. Όλα αυτά χωρίς να καθυστερούν χρονικά

τις εκτελούμενες διεργασίες της παραγωγής και με δυνατότητα άμεσης προσαρμογής στα νέα τεχνολογικά δεδομένα.

32 | security


Μία συσκευή Unified Threat Management (UTM) δίνει

λύση στα σύγχρονα προβλήματα των IT Managers, ως ο-

λοκληρωμένο περιβάλλον που προσφέρει πολλές επιλογές

και παραμετροποιήσεις σε μόνο μία συσκευή. Οι UTM

λύσεις πλεονεκτούν, μιας και η αναβάθμιση και η διαχείριση

περιορίζονται σε μία και μόνο πλατφόρμα. Επιπρόσθετα,

απλοποιούν την παραμετροποίηση και τη διαχείριση

των σφαλμάτων, ενώ παράλληλα βοηθούν στην κατανόηση

των διαχειριστικών προβλημάτων και στην άμεση α-

ντιμετώπισή τους. Οι συσκευές UTM έχουν χαμηλό σχετικά

κόστος κτήσης, απλοποιούν την παρακολούθηση των

χρηστών και των κινδύνων του δικτύου και η επιλογή τους

πρέπει να γίνει βάσει των αναγκών της εκάστοτε εταιρείας

και να μη ληφθεί η απόφαση υιοθέτησής τους, χωρίς

πρώτα να υπάρξει εκτενής μελέτη. Σε αυτή τη βάση ακολούθως

θα αναλυθούν τα σημεία εκείνα που πρέπει να

προσεχθούν ιδιαίτερα κατά την επιλογή μιας λύσης UTM.

Πώς θα επιλέξουμε μια UTM λύση;

Με μια πρώτη ματιά όλες οι UTM λύσεις που κυκλοφορούν

στην αγορά φαντάζουν παρόμοιες και η κατηγοριοποίησή

τους απαιτεί μελέτη των χαρακτηριστικών τους. Σαφώς, αν

ο αγοραστής δεν ξέρει τι ακριβώς αναζητά, τότε όλα μοιάζουν

ικανοποιητικά και ο εντοπισμός των ιδιοτήτων εκείνων

που του είναι απαραίτητες, δεν είναι εύκολη υπόθεση.

Οι διαφορές που παρουσιάζουν οι UTM λύσεις είναι στον

τρόπο διαχείρισης αλλά και στο “βάθος πεδίου” που υιοθετούν.

Με τον όρο βάθος πεδίου εννοούμε τόσο τα διαφορετικά

χαρακτηριστικά που περιλαμβάνει η πλατφόρμα, όσο

και το πόσο άρτιο και αποτελεσματικό είναι κάθε χαρακτηριστικό

κατά την επίλυση των καθημερινών θεμάτων που α-

νακύπτουν. Επιπρόσθετα κριτήρια όπως η αδειοδότηση που

παρέχεται, η απόδοση, η ευελιξία κ.ά., διαδραματίζουν εξίσου

σημαντικό ρόλο στην επιλογή του τελικού προϊόντος.

6 κριτήρια επιλογής

1. Ενοποιημένη διαχείριση: η επιλογή μιας UTM λύσης

πρέπει να έχει ως γνώμονα την ευκολία διαχείρισής της.

Σαφώς για τον καθένα ο βαθμός εξοικείωσης ή όχι με μια

νέα πλατφόρμα, είναι διαφορετικός. Αλλά αν η επίτευξη

των τελικών στόχων είναι μια εξαντλητική και επίπονη διαδικασία,

τότε ίσως να μην έχει επιλεγεί το καταλληλότερο

εργαλείο. Έτσι πρέπει οι στόχοι της πολιτικής ασφαλείας

κάθε εταιρείας να επιτυγχάνονται εύκολα μέσω του UTM,

με τρόπο που να είναι κατανοητός και προσιτός στο χρήστη,

για να διαπιστώνει και ενδεχόμενα σφάλματα που ο

ίδιος εισήγαγε. Η παραμετροποίηση πρέπει να τελείται α-

πλά και ξεκάθαρα σε σχέση με τις διεργασίες που αφορά

και η διαχείριση των θεμάτων που ανακύπτουν να επιτυγχάνεται

σε πραγματικό χρόνο.

Αυτό που πρέπει να προσεχθεί ιδιαίτερα είναι η λύση που

θα επιλέγει να ανήκει στην κατηγορία των ενοποιημένων

και όχι των αθροιστικών UTM. Οι αθροιστικές λύσεις, που

ουσιαστικά συγκεντρώνουν ετερόκλητα χαρακτηριστικά και

τα ενώνουν υπό ένα καθεστώς συνεργασίας, αποδεικνύονται

περιπλοκότερες στη διαχείριση και χρονοβόρες στην

εφαρμογή. Τέλος, σημειώνεται ότι εξαιρετικά απλοϊκά περιβάλλοντα

διαχείρισης δεν είναι αυτό που θα πρέπει κάποιος

να αναζητήσει, μιας και αποτελούν ένδειξη ότι δεν

διαθέτουν επαρκές βάθος, δηλαδή υπολείπονται σημαντικών

χαρακτηριστικών και επιλογών και ουσιαστικά επικεντρώνονται

στην ευκολία χρήσης.

security | 33


I SSUE

Unified Threat Management

2. Βάθος πεδίου: προσεκτική μελέτη απαιτείται ως προς

το βάθος των χαρακτηριστικών και της παρεχόμενης ποιότητας

που προσφέρει η UTM λύση - και αν αυτή είναι η

απαιτούμενη από τις ανάγκες της εταιρείας. Ακόμα και αν

ένα χαρακτηριστικό υπάρχει στη λίστα των παρεχόμενων

δυνατοτήτων, μπορεί να υλοποιείται απλοϊκά και έτσι να καθίσταται

αναποτελεσματικό. Για παράδειγμα, ακόμα και αν

υπάρχει το φίλτρο spam ή η σάρωση emails, είναι πιθανό

η spam τεχνολογία να βασίζεται σε στατικές λίστες ή σε

αναξιόπιστες email πηγές και ουσιαστικά να μην προλαμβάνεται

η συμπεριφορά των spammer.

Παρόμοιες αδυναμίες εντοπίζονται στα φίλτρα URL, τα ο-

ποία υλοποιούνται ποικιλοτρόπως. Πολλοί κατασκευαστές

πωλούν web/url φίλτρα βάσει συγκεκριμένων πολιτικών

πλοήγησης που εφαρμόζει η εκάστοτε εταιρεία (surfing

policy), ενώ άλλοι εισάγουν τέτοιο βαθμό περιπλοκότητας

στην παραμετροποίησή τους, που απαιτείται εκτενής εκπαίδευση

του διαχειριστή ή ακόμα και ανακατασκευή του

υπάρχοντος δικτύου.

Σωστότερη λοιπόν προσέγγιση είναι να οριστούν από την

εταιρεία τα επιθυμητά χαρακτηριστικά του UTM, όχι ως

λίστα που αναμένεται να ικανοποιηθεί, αλλά ως δυνατότητες

που πρέπει να υφίστανται με συγκεκριμένο τρόπο. Α-

φού τα χαρακτηριστικά εντοπιστούν στην UTM λύση, να

εξετάσει ο διαχειριστής ότι πληρούνται κατά τα προβλεπόμενα

και με τον τρόπο που επιθυμεί.

3. Υιοθέτηση νέων χαρακτηριστικών: καθώς οι απειλές

αλλάζουν και οι απαιτήσεις ασφάλειας διαφοροποιούνται,

η UTM λύση που εμπιστεύτηκε μία εταιρεία θα πρέπει να

προσαρμόζεται ανάλογα. Τόσο για τις τρέχουσες όσο και

για τις μελλοντικές απαιτήσεις, θα πρέπει να έχει προβλεφθεί

ο τρόπος εκείνος που θα δίνει περιθώρια αναβάθμισης

ή ακόμα και συνεργασίας με άλλες συσκευές - και ό-

λα αυτά διατηρώντας το χαρακτήρα της ενοποιημένης διαχείρισης.

Απαιτείται λοιπόν η παροχή «μονοπατιών» επέκτασης

των λειτουργιών και δυνατότητες αύξησης ή μείωσης

των χρηστών στο δίκτυο, κάτι που θα εξοικονομεί

χρόνο και χρήμα στην επιχείρηση.

4. Αδειοδότηση: οι επιλογές αδειοδότησης των UTM

προϊόντων είναι τόσο ποικίλες όσο και πολύπλοκες. Πολλοί

κατασκευαστές δηλώνουν ότι οι συσκευές τους είναι ε-

πεκτάσιμες, αλλά οι περισσότεροι θέτουν σημαντικά όρια

που δεν γίνονται άμεσα αντιληπτά. Τα σημεία που πρέπει

να γίνουν αντιληπτά είναι τα εξής:

a. Απεριόριστοι Χρήστες: πιθανά η UTM λύση να διαφημίζεται

ως η απόλυτη επιλογή που προσφέρει απεριόριστους

χρήστες και προστασία σε όλα τα επίπεδα.

Στην πραγματικότητα όμως μπορεί να χρεώνει τις

υπηρεσίες της ανά χρήστη, βασισμένη είτε στην IP

address, τη MAC address ή να λαμβάνει υπόψη άλλους

παράγοντες που δεν γίνονται άμεσα αντιληπτοί

από την εταιρεία. Από την άλλη μεριά μπορεί όντως να

επιτρέπει απεριόριστους χρήστες που δεν τους μετρά

κατά τη διάρκεια της μέρας, αλλά να περιορίζει τον α-

ριθμό των ταυτόχρονα συνδεδεμένων χρηστών. Έτσι

τα όρια μειώνονται άμεσα, όμως η διαφήμιση παραμένει

αληθής στους ισχυρισμούς της.

b. Όρια εύρους: ο περιορισμός χρήσης μπορεί να μην

προέρχεται από τον αριθμό των χρηστών που εξυπηρετούνται

από τη συσκευή, ορισμένο σε αριθμούς,

αλλά σε περιορισμό του εύρους, υποβιβάζοντας τις

ταχύτητες επικοινωνίας με το WAN ή internet στα

1Μbit/sec.

c. Πολλαπλές συσκευές: μία συνήθης μέθοδος που ε-

φαρμόζεται είναι τα χαρακτηριστικά υψηλής ζήτησης

από την αγορά να διατίθενται από διαφορετικές

συσκευές. Έτσι αν κάποιος έχει αγοράσει το μοντέλο

UTM 1000 πρέπει να προσέξει ότι για την επίλυση

των θεμάτων που επιθυμεί, δεν απαιτείται η επιπλέον

αγορά και του UTM 300 ή UTM 1000c.

Η κατανόηση του τρόπου αδειοδότησης του επιλεγέντος

προϊόντος αυξάνει κατά πολύ την επιλογή της καταλληλότερης

λύσης για την κάθε εταιρεία και γι’ αυτό πάντα

συνιστάται προσοχή στα ψιλά γράμματα.

5. Περιβάλλον χρήσης: λογικά όλοι οι κατασκευαστές ι-

σχυρίζονται ότι το περιβάλλον χρήσης που παρέχουν στην

UTM λύση τους, είναι το απλούστερο και αρτιότερο της

αγοράς. Μια πρώτη προσέγγιση της αλήθειας μπορεί να

γίνει μέσω της παρατήρησης κάποιων απεικονίσεων οθόνης

ή με τη χρήση της δοκιμαστικής έκδοσης.

Εν γένει ικανοποιητικό θεωρείται ένα περιβάλλον μέσα

στο οποίο ο χρήστης μπορεί να κινείται εύκολα, να ασκεί

άμεσα έλεγχο της τρέχουσας κατάστασης και να παραμετροποιεί

κατά το δοκούν, χωρίς να απαιτείται να είναι ε-

34 | security


ξειδικευμένος γνώστης της εκάστοτε τεχνολογίας. Με γνώμονα

τα ανωτέρω δεν είναι ικανοποιητική μια πλατφόρμα

που απαιτεί τη χρήση γραμμής εντολών ή φέρει επιπρόσθετα

προγράμματα διαχείρισης πελατών ή ακόμα απαιτεί

για κάθε διαφορετική δραστηριότητα (π.χ. παραμετροποίησης

και επίβλεψης) ένα ξεχωριστό γραφικό περιβάλλον

(GUI = graphical user interface). Ένα συμπαγές και

καλοσχεδιασμένο προϊόν λαμβάνει υπόψη το χρήστη εξίσου

με την τεχνολογία που παρέχει.

Παρόλα αυτά, μια τέτοια απόφαση δεν λαμβάνεται στην τύχη.

Συνιστάται η παρακολούθηση κάποιου δικτυακού σεμιναρίου,

ώστε να διαπιστωθεί ο τρόπος χειρισμού του περιβάλλοντος

στην πράξη. Επίσης πρέπει να εξεταστεί ο

βαθμός παραμετροποίησης που απαιτείται άμεσα στο

προϊόν για να καταστεί λειτουργικό. Αν λαμβάνοντας την

πλατφόρμα από τον κατασκευαστή δεν υπάρχει μια καθορισμένη

ικανοποιητική κατάσταση λειτουργίας, που συμμορφώνεται

με τις τρέχουσες και πιο κοινές πολιτικές α-

σφαλείας και επιβάλλεται διαμόρφωση σε βάθος, τότε αυξάνονται

οι πιθανότητες σφάλματος.

6. Απόδοση: κάθε κατασκευαστής είθισται να παρέχει δεδομένα

απόδοσης σύμφωνα με τα οποία παρουσιάζει μια

εικόνα λειτουργικότητας και ευστοχίας του προϊόντος του.

Τα δεδομένα αυτά έχουν ποικίλους τρόπους να ερμηνευτούν

και δεν είναι ποσοτικά καθαυτά, αλλά διαφοροποιούνται

αναλόγως με το τι μετράτε, αλλά και με τον τρόπο

που λαμβάνονται αυτές οι μετρήσεις. Για παράδειγμα, έστω

ότι δίδεται στον υποψήφιο αγοραστή ένα νούμερο απόδοσης

στο οποίο ορίζεται ότι το UTM επιτρέπει ροή μηνυμάτων

της τάξης του 120.000μνμ/ώρα. Σε αυτή την περίπτωση

επιθυμητό είναι να καθοριστούν οι παράγοντες με

τους οποίους ελήφθησαν οι μετρήσεις και ενδεχόμενα έ-

χουν αντίκτυπο στον καθορισμό αυτού του νούμερου, ό-

πως του μεγέθους κάθε μηνύματος υπό σάρωση, του χρόνο

μέσα στον οποίο τα μηνύματα αποστέλλονται και λαμβάνονται,

του σημείου μετάδοσης κατά το οποίο το μήνυμα

αποδέχεται ή απορρίπτεται από το δίκτυο. Στις εξελιγμένες

anti-spam μεθόδους, πολλά μηνύματα απορρίπτονται

προτού ακόμα φτάσουν στους σαρωτές περιεχομένου, ώ-

στε να περιοριστεί ο όγκος και ο χρόνος των σαρώσεων

που χειρίζονται οι UTM συσκευές. Άρα οι διαφημιζόμενοι

αριθμοί απόδοσης πρέπει να αντιμετωπίζονται με σκεπτικισμό,

ολικά και όχι τμηματικά.

Σημειώνεται ότι σε δύο περιπτώσεις δοκιμής της ίδιας UTM

λύσης, τα αποτελέσματα ροής μπορούν να διαφοροποιηθούν

σημαντικά, αν στην πρώτη περίπτωση είναι ενεργές

όλες οι επιλογές σάρωσης, ενώ στη δεύτερη είναι ενεργή

μόνο μία. Διαφορετικοί συνδυασμοί διαμόρφωσης της δοκιμής,

προφανώς εξάγουν και διαφορετικά αποτελέσματα

και όλα αυτά πρέπει να μελετηθούν προτού αποφασιστεί

αν η UTM συσκευή είναι κατάλληλη ή όχι για τις απαιτήσεις

της εταιρείας.

Όλα τα προαναφερόμενα καθοδηγούν ένα πιθανό αγοραστή

UTM λύσης ασφάλειας δικτύου, ώστε να προσέξει

αυτά που πραγματικά απαιτούνται και επιβάλλονται. Α-

φορμή υπήρξε η σημαντική αύξηση το 2011 στις πωλήσεις

UTM συστημάτων κατά 19,6% σε σχέση με τις πωλήσεις

του 2010. Η μετάβαση αυτή της αγοράς δείχνει ποια θα είναι

η νέα τάση στα συστήματα ασφαλείας, που από τα παραδοσιακά

firewall στρέφεται προς επιλογές νέας τεχνολογίας,

με εξελιγμένες δυνατότητες ελέγχου και ανάγκη ύ-

παρξης ενοποιημένης διαχείρισης. iTSecurity

security | 35


I SSUE

Του Παναγιώτη Κικίλια

Ελληνική Αστυνομία,

Ειδικός Συνεργάτης ΙΤ Security Professional

Zero Day Attacks

Χαρακτηριστικά και Αντιμετώπιση

Ποτέ πριν οι δικτυακές επιθέσεις δεν ήταν τόσο εύκολες όσο σήμερα, καθόσον κυκλοφορούν

πλέον εργαλεία τα οποία τις έχουν αυτοματοποιήσει και απλοποιήσει.

Θ

εωρείται πλέον δεδομένο ότι οι παροχές υπηρεσιών μέσω διαδικτύου αυξάνονται με ραγδαίους ρυθμούς τόσο ποσοτικά

(όλο και περισσότεροι χρήστες χρησιμοποιούν on line υπηρεσίες) όσο και ποιοτικά (αυξάνεται και βελτιώνεται

η γκάμα υπηρεσιών που προσφέρονται μέσα από το διαδίκτυο). Θα πρέπει να τονιστεί όμως στο σημείο

αυτό το γεγονός ότι η δραματική αυτή αύξηση συνοδεύεται και από ανάλογη αύξηση των απειλών που σχετίζονται

με την ασφάλεια των πληροφοριακών συστημάτων και δικτύων.

Προκειμένου να πραγματοποιήσει κάποιος μία επίθεση, δεν χρειάζεται πλέον να έχει άριστες γνώσεις πληροφορικής και δικτύων

ή να ειδικεύεται σε κάποιου είδους επιθέσεις (web ή network hacking). Το μόνο που χρειάζεται είναι να αφιερώσει αρκετό χρόνο

για να εξοικειωθεί με τα εργαλεία επιθέσεων που μοιράζονται ελεύθερα στο διαδίκτυο και στη συνέχεια μπορεί να πειραματιστεί

πάνω σε πραγματικούς στόχους-χρήστες του internet. Πέραν των εργαλείων που αναφέραμε παραπάνω, για τη διεξαγωγή δι-

36 | security


κτυακών επιθέσεων μπορούν να χρησιμοποιηθούν και οι πλατφόρμες

penetration testing, μετά από κάποιες τροποποιήσεις.

Το ιδιαίτερο χαρακτηριστικό που έχουν αυτές οι πλατφόρμες

είναι και εδώ η ευκολία στη χρήση τους (user friendly platforms).

Το νέο λοιπόν χαρακτηριστικό των δικτυακών επιθέσεων είναι

η αυτοματοποίησή τους μέσα από κατάλληλα εργαλεία και ειδικά

διαμορφωμένες πλατφόρμες. Αυτοματοποίηση, η οποία τις

καθιστά αρκετά προσιτές σε χρήστες οι οποίοι δεν χρειάζεται

πλέον να έχουν τις γνώσεις που είχαν στο παρελθόν. Οι γνώσεις

αλλά και τα εργαλεία που χρειάζεται κάποιος για να πραγματοποιήσει

οποιαδήποτε δικτυακή επίθεση σήμερα, διατίθενται

δωρεάν στο διαδίκτυο. Υπάρχουν σε κυκλοφορία ακόμα και

videos τα οποία καθοδηγούν βήμα βήμα τον επίδοξο hacker στο

πώς να διεξάγει τις επιθέσεις του. Έτσι, ανάλογα με το χρόνο

που θα διαθέσει, μπορεί σε σχετικά μικρό χρονικό διάστημα να

είναι σε θέση να διεξάγει δικτυακές επιθέσεις με ιδιαίτερα υψηλές

πιθανότητες επιτυχίας.

Zero Day Attacks

Η σημερινή κατάσταση στα δίκτυα πληροφοριών, έτσι όπως έ-

χει διαμορφωθεί δίνει τη δυνατότητα στους κακόβουλους χρήστες

να διεξάγουν επιθέσεις ακόμα και με εργαλεία ιδιαίτερα

περιορισμένης χρονικής διάρκειας. Οι επιθέσεις αυτού του είδους

συνήθως ονομάζονται Zero Day ή Zero Hour Attacks.

Ουσιαστικά, με τις zero day επιθέσεις, ο επιτιθέμενος προσπαθεί

να εκμεταλλευτεί συγκεκριμένα κενά ασφαλείας σε εφαρμογές

ηλεκτρονικών υπολογιστών, τα οποία προέρχονται από

λάθη των σχεδιαστών που δημιούργησαν τις εφαρμογές. Πολλές

είναι επίσης οι φορές που οι σχεδιαστές δεν γνωρίζουν καν

αυτά τα κενά ασφαλείας στις εφαρμογές τους, μέχρι και την

πραγματοποίηση των zero day επιθέσεων.

Θα μπορούσαμε να πούμε ότι ο κύκλος που ακολουθείται στις

zero day επιθέσεις είναι ο εξής:

Οι σχεδιαστές μίας συγκεκριμένης εταιρείας δημιουργούν

μία εφαρμογή και στη συνέχεια τη διαθέτουν στην αγορά.

Οι επιτιθέμενοι αναλύουν την εφαρμογή και εντοπίζουν συγκεκριμένα

κενά ασφαλείας τα οποία έχει.

Στη συνέχεια δημιουργούν ειδικά κακόβουλα λογισμικά, μέσω

των οποίων εκμεταλλεύονται τα κενά ασφαλείας της ε-

φαρμογής και αποκτούν πρόσβαση στους ηλεκτρονικούς

υπολογιστές αυτών που την χρησιμοποιούν.

Όταν οι επιθέσεις εξαπλώνονται προσβάλλοντας όλο και περισσότερους

ηλεκτρονικούς υπολογιστές και η συγκεκριμένη

τεχνική επίθεσης γίνει ευρέως γνωστή, ενεργοποιούνται

οι δημιουργοί της εφαρμογής, εντοπίζουν το κενό ασφαλείας

και το διορθώνουν, τροποποιώντας συνήθως τον κώδικα

γραφής της.

Στη συνέχεια διανέμουν το νέο κώδικα (κατά κανόνα μέσω

updates) στους χρήστες της εφαρμογής και η συγκεκριμένη

επίθεση αναχαιτίζεται.

Κατόπιν οι επιτιθέμενοι αναλύουν εκ νέου την εφαρμογή ή

άλλες διαφορετικές εφαρμογές και μόλις βρουν κενά α-

σφαλείας, φτιάχνουν νέα κακόβουλα λογισμικά και ο κύκλος

ξεκινά πάλι.

Οι επιθέσεις αυτού του είδους ονομάστηκαν zero day λόγω

του περιορισμένου χρόνου ζωής τους. Πραγματοποιούνται δηλαδή

μέχρι οι σχεδιαστές να διανέμουν το νέο κώδικα που τις

αντιμετωπίζει. Υπάρχουν όμως και περιπτώσεις όπου οι εταιρείες

είτε αργούν να εντοπίσουν το πρόβλημα είτε αργούν να

δημιουργήσουν τα αντιμετρά, με αποτέλεσμα οι επιθέσεις αυτές

να συνεχίζουν αμείωτες. Για παράδειγμα, υπάρχει εταιρεία

λογισμικού η οποία μετά από 7 έτη κατάφερε να τροποποιήσει

τον κώδικά της, προκειμένου να αντιμετωπίσει τέτοιου είδους

επίθεση. Αξίζει να αναφερθεί στο σημείο αυτό ότι αν στους υ-

πολογιστές που έχουν ήδη προσβληθεί, οι επιτιθέμενοι έχουν

εγκαταστήσει και άλλα κακόβουλα λογισμικά (όπως για παράδειγμα

backdoors) συνεχίζουν να έχουν πρόσβαση σε αυτούς,

ακόμα και μετά την εγκατάσταση του νέου κώδικα.

Τα προγράμματα στα οποία πραγματοποιούνται συνήθως οι

zero day attacks είναι σε πρώτη φάση οι browsers, καθόσον

χρησιμοποιούνται καθολικά και συνεχώς. Συνεπώς ακόμα και για

λίγες ώρες να μπορέσουν οι επιτιθέμενοι να κρατήσουν μία ε-

πίθεση, μπορούν να προσβάλουν ιδιαίτερα μεγάλο αριθμό υ-

πολογιστών. Πέραν των browsers οι επιτιθέμενοι μπορούν να

διεξάγουν επιθέσεις συνδυάζοντας και τεχνικές κοινωνικής μηχανικής

(social engineering). Αποστέλλουν για παράδειγμα μαsecurity

| 37


I SSUE

Zero Day Attacks

ζικά -μέσω email - συγκεκριμένα αρχεία (π.χ. PDF), τα οποία

προσβάλλουν τις εφαρμογές που τα ανοίγουν. Αυτού του είδους

οι επιθέσεις δίνουν συνήθως τη δυνατότητα στους επιτιθέμενους

να αποκτήσουν πρόσβαση στους ηλεκτρονικούς υπολογιστές

των θυμάτων τους και να τους αποσπάσουν προσωπικά στοιχεία

(όπως αριθμούς πιστωτικών καρτών passwords και άλλα),

τα οποία στη συνέχεια εκμεταλλεύονται αναλόγως.

Κρίνεται σκόπιμο να αναφερθεί ότι η δημιουργία των εργαλείων

για τη διεξαγωγή μίας zero day επίθεσης είναι κάτι το ιδιαίτερα

δύσκολο, καθόσον απαιτούνται ειδικές γνώσεις προκειμένου

κάποιος να αναλύσει μία εφαρμογή, να βρει τα κενά α-

σφαλείας της και στη συνέχεια να δημιουργήσει ένα λογισμικό

που να τα εκμεταλλεύεται. Αυτό που όμως κάνει τις zero day ε-

πιθέσεις τόσο δημοφιλείς, είναι το ότι οι δημιουργοί των εργαλείων

αυτών τα διαθέτουν δωρεάν στο διαδίκτυο και έχουν πλέον

την τάση να τα απλοποιούν, ώστε να μπορούν να τα χρησιμοποιούν

όλο και περισσότεροι χρήστες. Έτσι η πλειοψηφία

των επιτιθέμενων «κατεβάζει» τα συγκεκριμένα εργαλεία έτοιμα

από το διαδίκτυο και στη συνέχεια με απλοποιημένες διαδικασίες

τα χρησιμοποιεί για να διεξάγει επιθέσεις.

Τα κίνητρα τα οποία οδηγούν τους δημιουργούς τέτοιων κακόβουλων

λογισμικών να τα διανέμουν δωρεάν, ποικίλουν. Ξεκινούν

από την απόκτηση φήμης και μπορούν να φθάσουν μέχρι

τη βιομηχανική κατασκοπία και την τρομοκρατία. Για παράδειγμα,

η ομάδα anonymous διανέμει τα εύκολα στη χρήση

hacking εργαλεία της, με σκοπό όλο και περισσότεροι χρήστες

να τα χρησιμοποιούν. Αυτό καθιστά τις denial of service 1 επιθέσεις

των anonymous πιο αποτελεσματικές, καθόσον πραγματοποιούνται

ταυτόχρονα από πολλούς χρήστες.

Έτσι η συγκεκριμένη ομάδα αποκτά φήμη

και μεγιστοποιεί τα αποτελέσματα των επιθέσεών

της, οι οποίες έχουν αποκτήσει πλέον

μαζικό χαρακτήρα.

Αντιμετώπιση

Για τον περιορισμό και την αντιμετώπιση αυτού

του είδους επιθέσεων, απαιτείται μία πολυδιάστατη

προσέγγιση. Σε εταιρικό επίπεδο οι σχεδιαστές

των κάθε είδους εφαρμογών θα πρέπει

να υιοθετήσουν ένα μοντέλο σχεδίασης,

στο οποίο το ζήτημα της ασφάλειας θα παίζει σημαντικό ρόλο

και δεν θα μπαίνει σε δεύτερη μοίρα περιοριζόμενο στα βασικά.

Επίσης, πριν μία εταιρεία διαθέσει στην αγορά μία εφαρμογή,

θα πρέπει να την έχει δοκιμάσει επισταμένα προκειμένου να

διαπιστώσει κατά πόσον υπάρχουν κενά ασφαλείας σε αυτή.

Εταιρείες και Οργανισμοί οι οποίοι θα αγοράσουν μία εφαρμογή,

θα πρέπει να απαιτούν από τους δημιουργούς της να έ-

χει δοκιμαστεί και να συνοδεύεται με δεδομένα, από τα οποία

θα προκύπτει ότι είναι ασφαλής σε ένα ικανοποιητικό επίπεδο.

Επίσης σε περίπτωση όπου διαπιστωθεί από την εταιρεία - δημιουργό

ότι μία εφαρμογή της έχει στοχοποιηθεί από zero day

επιθέσεις, θα πρέπει το συντομότερο δυνατό να αναπτύξει τον

κώδικα αντιμετώπισης των επιθέσεων και στη συνέχεια να το διανείμει

άμεσα στους χρήστες της εφαρμογής, χωρίς καμία φυσικά

οικονομική επιβάρυνση.

Σε επίπεδο χρηστών, πέραν της προσοχής που πρέπει να δείχνουν

ώστε να μην πέσουν θύματα τεχνικών κοινωνικής μηχανικής

(π.χ. να μην «ανοίγουν» άγνωστα emails, να μην «τρέχουν»

εφαρμογές που δεν γνωρίζουν κ.ά.), θα πρέπει να εκτελούν

τα επίσημα updates των εφαρμογών που χρησιμοποιούν,

να είναι ιδιαίτερα προσεκτικοί στον έλεγχο των broswers και να

μην αφήνουν να εκτελεστεί κάποιο πρόγραμμα στον υπολογιστή

τους, αν δεν γνωρίζουν την προέλευσή του. Καλό είναι ε-

πίσης να «σαρώνουν» μέσω του προγράμματος προστασίας

(antivirus) που χρησιμοποιούν τον υπολογιστή τους όσο το δυνατό

συχνότερα. Σε περίπτωση που διαπιστώσουν ή έχουν υ-

ποψία ότι έχουν πέσει θύματα τέτοιου είδους επιθέσεως, προκειμένου

να είναι σίγουροι ότι θα αποκλείσουν την περαιτέρω

1

Denial-of-service attack (DoS attack): Επίθεση κατά την οποία οι εξυπηρετητές (servers) μίας εφαρμογής τίθενται εκτός λειτουργίας λόγω υπερφορτώσεως.

38 | security


Το πρώτο εξειδικευμένο

διμηνιαίο συνδρομητικό περιοδικό

στην Ελλάδα, με θεματολογία

στο χώρο της ασφάλειας.

Γραφτείτε συνδρομητές τώρα!

πρόσβαση των επιτιθέμενων στα αρχεία και δεδομένα τους, θα

πρέπει να αναδιαμορφώσουν το λειτουργικό σύστημα του υ-

πολογιστή τους (το γνωστό σε όλους μας format) και να αλλάξουν

τους κωδικούς πρόσβασης όλων των εφαρμογών που

χρησιμοποιούν, μετά φυσικά από την αναδιαμόρφωση. Επισημαίνεται

εδώ, ότι ακόμα και τα backup αρχεία που έχουν διατηρήσει

οι χρήστες πριν το format, θα πρέπει να σαρωθούν α-

πό το antivirus πρόγραμμά τους, ώστε να διαπιστωθεί ότι δεν

έχουν μολυνθεί.

Οι παραπάνω προτάσεις αποτελούν μία μικρή βάση πάνω στην

οποία θα μπορούσε να διαμορφωθεί ένα σχετικά ασφαλές περιβάλλον

- είτε σε επίπεδο απλών χρηστών είτε σε εταιρικό ε-

πίπεδο. Μέτρα σαν τα παραπάνω, ναι μεν είναι εύκολο να ε-

φαρμοστούν και, κυρίως, για τους μεν χρήστες δεν στοιχίζουν

καθόλου, ενώ για τις εταιρείες στοιχίζουν ελάχιστα, πλην όμως

δεν μπορούν να παρέχουν ασφάλεια σε υψηλό επίπεδο. Για τη

διαμόρφωση υψηλού επιπέδου ασφαλείας απαιτούνται πιο ε-

ξειδικευμένα μέσα και κατά περίπτωση έρευνα.

Αυτό που φαίνεται να λείπει από τον κόσμο των δικτύων σήμερα,

είναι η καλλιέργεια μίας γενικότερης «κουλτούρας» α-

σφαλείας, μέσω της οποίας θα διαμορφωθεί ένα minimum ε-

πίπεδο ασφαλείας για όλους τους χρήστες. Μόνο και μόνο αυτό

θα μπορούσε να μειώσει την αποτελεσματικότητα τέτοιου είδους

επιθέσεων σε πάρα πολύ μεγάλο βαθμό και να αντιμετωπίσει

το μαζικό πλέον χαρακτήρα που έχουν λάβει ακόμα και

στη χώρα μας. Η δημιουργία μιας τέτοιας νοοτροπίας ασφαλείας

στο διαδίκτυο, συνιστά μία από τις μεγαλύτερες προκλήσεις

του συνόλου των ανθρώπων που σχετίζονται με αυτό, ε-

νώ από πολλούς χαρακτηρίζεται ως το σημαντικότερο και α-

ποδοτικότερο μέτρο που θα μπορούσε να προτείνει κανείς. Άλλωστε,

σε τελική ανάλυση το πιο αδύνατο σημείο του διαδικτύου

είναι ο ίδιος ο άνθρωπος. iTSecurity

Κυκλοφόρησε το τεύχος

Ioυλίου - Αυγούστου

ΕΚΔΟΣΕΙΣ PRESS LINE

ΜΑΓΕΡ 11, 104 38 ΑΘΗΝΑ

ΤΗΛ.: 210.52.25.479, FAX: 210.52.43.345


I SSUE

Χαράλαμπος Γκιώνης

MSc Electrical Engineering (Computer Networks)

Κυβερνοπόλεμος

Χαρακτηριστικά – Στόχοι - Άμυνα

Σύμφωνα με τον Πρώσο θεωρητικό και φιλόσοφο του πολέμου, Clausewitz, κάθε εποχή

έχει το δικό της είδος πολέμου, τους δικούς της περιορισμούς και τις δικές της προκαταλήψεις.

Σήμερα, στην εποχή της πληροφορίας (Information Age) το πεδίο των μαχών δεν

είναι κάποια περιοχή ξηράς, θάλασσας ή αέρα, αλλά η ψηφιακή σπονδυλική στήλη του κράτους

- η ίδια η ομαλή λειτουργία των υπηρεσιών του.

H

Το οπλοστάσιο των εμπλεκομένων στους σημερινούς πολέμους δεν εμπεριέχει μόνο τα παραδοσιακά οπλικά συστήματα

αλλά και μερικούς υπολογιστές συνδεδεμένους στο Διαδίκτυο και εκατοντάδες «κλικ» ανά λεπτό στα πληκτρολόγια

από εξειδικευμένους χρήστες. Άριστοι γνώστες της πληροφορικής επιστήμης, οι σημερινοί «κυβερνοστρατιώτες»

μπορούν να πλήξουν (ή να αποτρέψουν) τη λειτουργία κάθε οργανωμένου και προηγμένου κράτους.

Μάλιστα, το πλήγμα το οποίο είναι ικανοί να επιφέρουν είναι μεγαλύτερο, όσο περισσότερο ανεπτυγμένο και εξελιγμένο είναι το

κράτος και όσο μεγαλύτερη διείσδυση έχει η τεχνολογία και η υπολογιστική επιστήμη στη λειτουργία και στις υπηρεσίες του.

40 | security


Ο Κυβερνοπόλεμος (Cyber Warfare) αποτελεί για τα σημερινά

κράτη το πλέον σύγχρονο είδος (πληροφοριακού) πολέμου,

ανάλογο με τις παραδοσιακές μορφές, λειτουργώντας ως

πολλαπλασιαστής ισχύος για τον επιτιθέμενο. Μέσω της διαχείρισης

της πληροφορίας συμβάλλει σε ανάλογο βαθμό με

τους υπόλοιπους τρεις εθνικούς συντελεστές ισχύος (οικονομία,

διπλωματία και στρατιωτική ισχύ) στη διαμόρφωση πολιτικής,

χωρίς όμως να αποτελεί και την επίσημη γραμμή ενός κράτους.

Όπως και στις περιπτώσεις μορφών πολέμου, η «άμυνα»

ομολογείται από όλους - σε αντίθεση με την «επίθεση» την ο-

ποία όλοι αρνούνται να αποδεχθούν. Ο Κυβερνοπόλεμος ο-

ρίζεται ως η προσπάθεια ενός έθνους, κράτους ή πολιτικής

ομάδας για την εισχώρηση στα υπολογιστικά και επικοινωνιακά

συστήματα ενός άλλου κράτους ή εθνικού Οργανισμού,

με σκοπό να υποκλέψει, να παρενοχλήσει, να

αχρηστέψει ή να κάνει μη διαθέσιμες τις πληροφορίες ή

τις υπηρεσίες του. Διεξάγεται με όλες τις κλασικές στρατηγικές,

που εμπεριέχουν την άμυνα, την προληπτική επίθεση, την

αποσόβηση μέσω αντιποίνων και τέλος την επίθεση [1] . Αποτελεί

μια πέμπτη μορφή πολέμου, μετά την ξηρά, τον αέρα, τη θάλασσα

και το διάστημα, σύμφωνα με την αξιολόγηση των αμερικανικών

στρατιωτικών αρχών [2] .

Οι οργανωμένες επιθέσεις οι οποίες εξαπολύονται προς τους

στόχους από πλήρως εξειδικευμένες ομάδες - με ελάχιστο κόστος

σε σύγκριση με τα παραδοσιακά μέσα πολέμου - δεν προκαλούν

ανθρώπινες απώλειες ή υλικές καταστροφές υπό την

έννοια την οποία γνωρίζαμε μέχρι σήμερα, καθώς δεν συνιστούν

πράξεις φυσικής βίας επί των στόχων. Επιφέρουν όμως

τελικά την επιβολή της θελήσεως στον αντίπαλο, προκαλώντας

του ανυπολόγιστη οικονομική και εθνική ζημία, επιστρέφοντάς

τον σε παρελθόντα χαμηλότερα επίπεδα ανάπτυξης και λειτουργίας

της κοινωνίας. Στην απλούστερη μορφή του, το είδος

του νέου πολέμου στον Κυβερνοχώρο συνιστά μια δυσλειτουργία

στις υπηρεσίες του κράτους για περιορισμένο χρονικό

διάστημα και στη χείριστη μορφή του μια πλήρη κατάρρευση

της υποδομής του δημόσιου, στρατιωτικού και βιομηχανικού

τομέα, μέσω της αχρήστευσης εθνικών υποδομών ζωτικής σημασίας

ή διαρροής πληροφοριών εθνικής σημασίας, με άγνωστο

χρονικό ορίζοντα επανάκτησης των συστημάτων του στη

συνήθη και καθημερινή λειτουργία του. Τελικό αποτέλεσμα είναι

η αποδυνάμωση της χώρας σε επίπεδο οικονομικό και ε-

θνικής ασφάλειας.

Η αρχή

Η πρώτη σημαντική επιθετική ενέργεια εναντίον κρατικών ηλεκτρονικών

συστημάτων η οποία περιγράφεται σ’ όλη τη βιβλιογραφία,

ήταν αυτή εναντίον της Εσθονίας. Η επίθεση αυτή προκάλεσε

αδυναμία υποστήριξης των εθνικών της κρίσιμων υπηρεσιών.

Με αφορμή την απομάκρυνση ενός μνημείου για τα

θύματα του Β’ Παγκοσμίου Πολέμου, τον Απρίλιο του 2007, η

εσθονική κυβέρνηση αντιμετώπισε πολλούς διαφωνούντες στην

ενέργεια αυτή (κυρίως ρωσικό πληθυσμό) και εκείνη την ημέρα

σημειώθηκαν πολλές διαμαρτυρίες και σοβαρές αναταραχές.

Το απόγευμα της ίδιας ημέρας οι ιστοσελίδες των κυριότερων

εφημερίδων, ραδιοφωνικών και τηλεοπτικών σταθμών, γνώρισαν

απίστευτη αύξηση των επισκέψεών τους, με αποτέλεσμα να καταρρεύσει

η ικανότητα απόκρισης των εθνικών της διακομιστών

(servers) και το διαθέσιμο εύρος ζώνης για τους χρήστες. Διάφορες

ιστοσελίδες της κυβέρνησης κατάρρευσαν, ενώ οι ιστότοποι

των μεγαλύτερων τραπεζών γνώρισαν έντονο φόρτο. Οι

ειδικοί των δικτύων διαπίστωσαν από πρόχειρες αναλύσεις ότι

οι συνδέσεις οι οποίες προξενούσαν το πρόβλημα, προέρχονταν

από μέρη όπως η Αίγυπτος, το Περού και το Βιετνάμ και

η πιο γρήγορη λύση θα ήταν η απαγόρευση πρόσβασης στον

εσωτερικό Κυβερνοχώρο, από το εξωτερικό. Μεταγενέστερη και

πληρέστερη επιστημονική έρευνα έδειξε ότι πηγή των επιθέσεων

ήταν η Ρωσία. Η Εσθονία εκείνο τον καιρό και για τρεις ε-

βδομάδες αποσυνδέθηκε από τον κόσμο και η κρατική μηχανή

και ο εμπορικός κόσμος έπαψε να λειτουργεί [3] .

Από την πλευρά του ΝΑΤΟ, η επίθεση αυτή (cyber attack) υ-

πήρξε ορόσημο στην εξέλιξη της Συμμαχίας, εφόσον αποτέλεσε

1. Εισήγηση εκπροσώπου ΣΕΕΘΑ Υποστράτηγου ε.α. Μαυρόπουλου Παναγιώτη, “Η Κυβερνοάμυνα στην υπηρεσία της Εθνικής Στρατηγικής», Ημερίδα ΓΕ-

ΕΘΑ, 8 Δκεμβρίου 2010.

2. Ταξίαρχος ε.α. Πολεμικής Αεροπορίας Γιαννακόπουλος Βασίλειος, “Κυβερνοπόλεμος: υπαρκτή παγκόσμια ασύμμετρη απειλή”, GEO Strategy, Δεκέμβριος

2010.

3. Jason Andress, Steve Winterfeld, “Cyber Warfare, Techniques, Tactics and Tools for Security Practitioners”, Syngress, 2011.

security | 41


I SSUE

Κυβερνοπόλεμος

την πρώτη περίπτωση ενός κράτους - μέλους το οποίο ζήτησε

επίσημα βοήθεια για την αντιμετώπιση αυτής της κρίσης στα η-

λεκτρονικά του συστήματα. Κατά τη διάρκεια της κρίσης αυτής,

έγινε ευδιάκριτη στους επιτελείς του ΝΑΤΟ η έλλειψη ενός συμπαγούς

δόγματος και ταυτόχρονα μιας περιεκτικής στρατηγικής

για τον Κυβερνοχώρο και την Κυβερνοάμυνα (Cyber

Defense). Άλλη σημαντική κυβερνοεπίθεση, επίσης εκτενώς α-

ναφερθείσα στη βιβλιογραφία, υλοποιήθηκε τον Αύγουστο 2008

εναντίον της Γεωργίας, με ενδεχόμενη πηγή των επιθέσεων και

πάλι τη Ρωσία και αφορμή τα γεγονότα και τις προστριβές στη

Νότια Οσετία. [3] Αξίζει να σημειωθεί ότι η κυβερνοαπειλή δεν

έχει ενταχθεί ακόμη στο διεθνές δίκαιο των ένοπλων συγκρούσεων,

παρόλα αυτά, το 2009 ο Πρόεδρος των ΗΠΑ χαρακτήρισε

την ψηφιακή υποδομή των ΗΠΑ - συμπεριλαμβανομένων

και των υπολοίπων κρίσιμων εθνικών υποδομών της χώρας - ως

ένα στρατηγικό επίπεδο αναφοράς, με ό,τι αυτό συνεπάγεται

στην άμυνα των ΗΠΑ. Ταυτόχρονα έθεσε την Κυβερνοάμυνα

ως κύρια προτεραιότητα μαζί με την Υγεία και την Οικονομία [4] .

Τα χαρακτηριστικά του Κυβερνοχώρου

Ο Κυβερνοχώρος (Cyberspace), ο οποίος επισημάνεται ως

το σύγχρονο πεδίο δράσης και η πλατφόρμα εφαρμογής, είναι

χαοτικός στη δομή και στην έκτασή του. Διακρίνεται για την

έλλειψη ανώτατης ουσιαστικής ρυθμιστικής αρχής επί της οργανώσεώς

του και επί της λειτουργίας του. Χαρακτηρίζεται ως

η πλατφόρμα όλων των πληροφοριακών συστημάτων, η οποία

συρρικνώνει και φέρνει πιο κοντά τα κράτη, τους Οργανισμούς

και τους πολίτες όλου του κόσμου. Δημιουργήθηκε περιοδικά

με την εξέλιξη της τεχνολογίας και της υπολογιστικής επιστήμης

και αποτελεί το θεωρητικό υπόβαθρο μέσα στο οποίο είναι

αποθηκευμένες και διακινούνται παντός είδους πληροφορίες

- και μέσω του οποίου διεξάγεται και ελέγχεται προοδευτικά

όλο και μεγαλύτερο μέρος της ανθρώπινης δραστηριότητας.

Επιπλέον, νοητά κάθε υπολογιστής είναι διασυνδεδεμένος

με οποιονδήποτε άλλον υπολογιστή, οπουδήποτε αλλού, εξελίσσοντας

την υπολογιστική επιστήμη με σκοπό να λειτουργεί

ως μια υπηρεσία (service) και όχι ως προϊόν (product). Αυτό

συνιστά τη λειτουργία του Κυβερνοχώρου ως μια τεράστια υ-

πηρεσία για τους χρήστες και όχι ως προϊόν (cloud computing).

Όπως ακριβώς οι χρήστες ηλεκτρικού ρεύματος δεν γνωρίζουν

τα ενδιάμεσα στάδια, αλλά απλά καταναλώνουν ηλεκτρικό ρεύμα,

έτσι και στην υπολογιστική επιστήμη προσφέρονται στους

χρήστες μεγάλες δυνατότητες στην εύρεση, αποθήκευση πληροφοριών

και δεδομένων, χωρίς να έχει σημασία γι’ αυτούς η

γνώση των ενδιάμεσων σταδίων που παρέχουν αυτήν την υπηρεσία.

Οι χρήστες απλά επιθυμούν να έχουν όσο το δυνατό μεγαλύτερη

πρόσβαση και δυνατότητες στον Κυβερνοχώρο, χωρίς

να τους ενδιαφέρει πώς ακριβώς γίνεται αυτό.

4. Σχης (ΕΠ) Παυλίδης Αριστοκλής, “Κυβερνοάμυνα”, Παρουσίαση ΔΙΚΥΒ/ΓΕΕΘΑ, http://athina.cs.unipi.gr/imerida/Documents/Presentations/geetha.pdf,

Δεκέμβριος 2010.

42 | security


Οι κρίσιμες υποδομές

Η Κυβερνοάμυνα είναι αναγκαία παράλληλα στο αμιγές στρατιωτικό

και στο πολιτικό σκέλος ενός κράτους. Στο πολιτικό

σκέλος οι κάθε μορφής ηλεκτρονικές συναλλαγές αποτελούν

καθημερινό και ουσιαστικό κομμάτι της ζωής των πολιτών και

της ανάπτυξης ενός κράτους στον επαγγελματικό, προσωπικό,

οικονομικό και οικογενειακό τομέα. Τηλεπικοινωνίες, τράπεζες,

μέσα ενημέρωσης, καταστήματα, μεταφορές, ενέργεια, ύδρευση,

δημόσιοι Οργανισμοί, ασφάλεια, συνθέτουν μέρος του ε-

θνικού μας Κυβερνοχώρου μέσα στον οποίο πραγματοποιούμε

καθημερινά διακίνηση πληροφοριών και στηρίζουμε σε ο-

λοένα και μεγαλύτερο βαθμό την καθημερινή μας δραστηριότητα

και την ασφαλή μας πρόοδο σε μία οργανωμένη κοινωνία.

Σύμφωνα με τη διεθνή βιβλιογραφία, ως εξ ορισμού κρίσιμες

υποδομές θεωρούνται η ενέργεια (π.χ. εγκαταστάσεις, συστήματα

διανομής αποθήκευσης), οι τεχνολογίες πληροφορικής

και επικοινωνιών (π.χ. τηλεπικοινωνίες, λογισμικό, δίκτυα και

Διαδίκτυο), η οικονομία (π.χ. τράπεζες, επενδύσεις), η υγεία

(π.χ. νοσοκομεία, παροχή αίματος), τα τρόφιμα (π.χ. ασφάλεια,

μέσα παραγωγής), το νερό (π.χ. φράγματα, διανομή), οι μεταφορές

(π.χ. αεροδρόμια, συστήματα ελέγχου κυκλοφορίας), τα

επικίνδυνα αγαθά (π.χ. βιολογικά, ραδιενεργά), οι κυβερνητικές

υποδομές (π.χ. κρίσιμες υπηρεσίες, δίκτυα πληροφοριών), η εκπαίδευση

και το διάστημα [5] . Ενδεικτικά παραδείγματα τέτοιων

ελληνικών εθνικών Οργανισμών που είναι ευρέως γνωστά και α-

φορούν σε ενέργεια, οικονομία, τηλεπικοινωνίες, μεταφορές,

εκπαίδευση, ασφάλεια, αντίστοιχα είναι η ΔΕΗ, η ΕΥΔΑΠ, το

ΤΑΧΙΣΝΕΤ, ο ΟΤΕ, η ΥΠΑ, η ΕΛΑΣ. Ταυτόχρονα και πολλές

άλλες υπηρεσίες, που παρόλο που δεν είναι γνωστές στο ευρύ

κοινό, αποτελούν σημαντικό παράγοντα της εύρυθμης λειτουργίας

του κρατικού μηχανισμού. Αυτές οι υπηρεσίες και Οργανισμοί

αποτελούν τις κρίσιμες υποδομές και πληροφορίες ε-

θνικής σημασίας (Critical Information Critical Infrastructures)

και διασφαλίζουν την ομαλή και οργανωμένη ροή και ανάπτυξη

της ελληνικής κοινωνίας, συνδέοντάς τη με την Ε.Ε. και τον

υπόλοιπο κόσμο.

4. Σχης (ΕΠ) Παυλίδης Αριστοκλής, “Κυβερνοάμυνα”, Παρουσίαση ΔΙΚΥΒ/ΓΕΕΘΑ, http://athina.cs.unipi.gr/imerida/Documents/Presentations/geetha.pdf,

Δεκέμβριος 2010.

5. “Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης: Στρατηγικός Σχεδιασμός”, Ομάδα Εργασίας για την Προστασία

των Κρισίμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης (CICIP)”, eGovForum,

http://athina.cs.unipi.gr/imerida/Documents/finalcicip.pdf, Σεπτέμβριος 2008.

Ο κομβικός ρόλος της Κυβερνοάμυνας

Στο αμιγές στρατιωτικό σκέλος, μετά την ανωτέρω επεξήγηση

των πιθανών πολιτικών απειλών ενός κράτους, η σημασία της

Κυβερνοάμυνας είναι αυτονόητη. Σκοπός των στρατιωτικών δυνάμεων

ενός κράτους είναι η εξασφάλιση της εθνικής κυριαρχίας

και εσωτερικής ασφάλειας των πολιτών. Διασφαλίζοντας οι

Ε.Δ. εκτός των άλλων, την αδιάλειπτη λειτουργία των ανωτέρω

κρίσιμων υποδομών κάθε κράτους, αυτό καθίσταται αυτόνομο

και “πορεύεται εν ειρήνη” και ομαλότητα. Όσο η λειτουργία και

η οργάνωση των σύγχρονων κυβερνήσεων, κοινωνιών και Οργανισμών

βασίζεται στην πληροφορική επιστήμη, τόσο μεγαλύτερη

είναι η εκ των πραγμάτων απαίτηση προφύλαξης των κρίσιμων

υποδομών αλλά και των εθνικών πληροφοριών, προκειμένου

η κοινωνία να συνεχίσει να λειτουργεί ομαλά. Ιστορικά διαπιστώσαμε

ότι πρακτικές διαφόρων ομάδων έχουν τη δυνατότητα

να προκαλέσουν την παράλυση ενός Οργανισμού ή κράτους,

μέσω μόνο μιας επίθεσης στον εθνικό Κυβερνοχώρο. Τα

αποτελέσματα μιας τέτοιας πιθανής επιτυχημένης κακόβουλης

ενέργειας μπορεί να είναι, όπως προαναφέρθηκε, εκτός από

το οικονομικό κόστος η δυσκολία και η μεγάλη χρονική διάρκεια

επαναφοράς του συστήματος στην προηγούμενη κατάσταση,

καθώς και η απώλεια απόρρητων ή πληροφοριών εθνικής

ασφαλείας. Συνοψίζοντας όλα τα παραπάνω αντιλαμβανόμαστε

ότι ο Κυβερνοπόλεμος έχει τη μορφή ασύμμετρου πολέμου.

Είναι επομένως λίαν δύσκολος ο εντοπισμός των δραστών

και της πηγής αυτών. Χρήζει εξειδικευμένης και υψηλής

εκπαίδευσης και τέλος, ενώ απαιτεί ελάχιστο σχετικά κόστος, ε-

πιφέρει τεράστιες οικονομικές επιπτώσεις.

Για τους λόγους αυτούς, οι μεγάλοι Οργανισμοί και κυβερνητικές

υπηρεσίες προετοιμάζονται για την άμυνα στο επίπεδο του

Κυβερνοχώρου (Cyber Defense). Ταυτόχρονα, οι σύγχρονες

Ε.Δ. σχεδιάζουν τη χρήση του Κυβερνοχώρου ως ένα πιθανό α-

ποκλειστικό ή παράλληλο πεδίο μάχης σε μελλοντικές συγκρούσεις.

Αυτό, όπως αναφέρει και η επίσημη ιστοθέση του ΝΑΤΟ,

έχει τεράστια σημασία αλλά χαμηλή έως τώρα κατανόηση από

την κοινότητα διασφάλισης πληροφοριών (Information Assurance

community). Ενώ λοιπόν οι αποκλειστικές και μεμονωμένες διsecurity

| 43


I SSUE

Κυβερνοπόλεμος

κτυακές επιθέσεις θεωρούνται μικρής πιθανότητας και αποτελεσματικότητας,

οι κυβερνοεπιθέσεις μεγάλης κλίμακας εκτιμάται

ότι θα αποτελούν μέρος των συνολικών συμβατικών όπλων και

επιχειρησιακών διαδικασιών στο πεδίο της μάχης στις μελλοντικές

συγκρούσεις. Η σπουδαιότητα της διακίνησης των πληροφοριών

στον Κυβερνοχώρο συνδέεται άμεσα με τους εθνικούς

στόχους και την κυριαρχία μιας χώρας, αλλά ταυτόχρονα, υπερβαίνει

αυτήν στα πλαίσια ομαλής λειτουργίας και συνεργασίας

της με άλλα κράτη και διεθνείς Οργανισμούς. Για το λόγο αυτό,

οι κυβερνήσεις των χωρών επιδιώκουν να ιδρύσουν τις κατάλληλες

υπηρεσίες, με τα απαραίτητα τεχνολογικά μέσα και δυνατότητες,

προκειμένου μέσα από τη συνεργασία και την αλληλοκάλυψή

τους, να προστατέψουν την ασφάλεια της διακίνησης των

εθνικών τους πληροφοριών στον Κυβερνοχώρο, καθώς και να διαχειριστούν

μια πιθανή Κυβερνοαπειλή. [8]

Η συνεργασία των υπηρεσιών

Μετά τον καθορισμό προτεραιοτήτων και την ιεράρχηση των

κρίσιμων υποδομών από κάθε κράτος, η λειτουργική και αποτελεσματική

προστασία αυτών θα προκύψει μέσα από μια α-

ποτελεσματική συνεργασία μεταξύ κρατικών αρχών και άλλων

ειδικών αρχών εξειδικευμένων στην πληροφορική επιστήμη

(Information Technologies). Σε κρατικό επίπεδο, μια κυβερνητική

υπηρεσία συνήθως αναλαμβάνει τον οργανωτικό και εποπτικό

ρόλο. Ένα κέντρο ανάλυσης, συνήθως κρατικού επιπέδου,

με ισχυρές διασυνδέσεις στην ανάλυση πληροφοριών, α-

ποτελεί το δεύτερο συνήθη παράγοντα συνεργασίας. Τέλος, έ-

να ή περισσότερα κέντρα ειδικών (π.χ. CERTs) αποτελούν την

πλήρη ομάδα αντιμετώπισης τέτοιων περιστατικών. Η τριάδα

αυτή, όπως παρουσιάζεται στην Εικόνα 1, αποτελεί τη βέλτιστη

τακτική Κυβερνοάμυνας σε εθνικό επίπεδο. Κάθε ένας συντελεστής

της τριάδας (Κυβερνητική Αρχή, Υπηρεσία Πληροφοριών

και Ομάδες CERT) καθιστά την Κυβερνοάμυνα αποτελεσματική

σε ελληνικό ή διεθνές επίπεδο. Η συνεργασία του α-

ντίστοιχου συντελεστή της τριάδας με την εκάστοτε αντίστοιχη

του εξωτερικού, αποτελούν σήμερα την ολοκληρωμένη α-

ντιμετώπιση επικίνδυνων καταστάσεων στον Κυβερνοχώρο σε

παγκόσμιο επίπεδο.

Εικόνα 1: Δομή οργανωτικού σχήματος συνεργασίας υπηρεσιών [6]

Οι ομάδες Computer Emergency Response Teams (CERTs) σε

συνεργασία με τους άλλους δύο πυλώνες συνεργασίας (κυβερνητικό

και πληροφοριακό) προσδίδουν στους οικιακούς

χρήστες και εταιρείες χρήσιμες τεχνικές συμβουλές, οι οποίες

αφορούν στην προσωπική τους ασφάλεια στον Κυβερνοχώρο,

συντονίζουν την αντιμετώπιση περιστατικών ασφαλείας και υ-

ποδεικνύουν τα σημεία στα οποία είναι ευάλωτα κάποια προγράμματα.

Σε αντίθεση με την κύρια κυβερνητική αρχή και την

αντίστοιχη υπηρεσία πληροφοριών, οι οποίες κυρίως παρέχουν

την υποστήριξη στους διαχειριστές (administrators) των κρίσιμων

εθνικών υποδομών, εξασφαλίζοντας πλήρη και εμπιστευτική

κάλυψη στην ασφάλεια των δικτύων τους και των υποδομών

τους.

Κανένα κράτος ή Οργανισμός δεν είναι ικανός σήμερα να α-

ντιμετωπίσει κυβερνοαπειλές στηριζόμενος αποκλειστικά στις

δικές του δυνάμεις. Η παγκόσμια αρχιτεκτονική των δικτύων, ο

μεγάλος αριθμός των απομακρυσμένων διαχειριστών αυτών

των συστημάτων, ο απομακρυσμένος έλεγχος των διακομιστών

ακόμα και σε άλλο κράτος, η μεγάλη εξέλιξη των υλικών

(hardware) και λογισμικών (software) των υπολογιστών και η κατασκευή

αυτών σε υλικό και λογισμικό από εταιρείες άλλων κρατών,

καθιστά σχεδόν ανέφικτο να τοποθετηθούν τα όρια της

Κυβερνοάμυνας εντός ενός Οργανισμού ή ακόμα και εντός ε-

νός κράτους.

Οι Ομάδες Διαχείρισης Περιστατικών Ασφαλείας σε Υπολογιστές

(Computer Emergency Response Team-CERT) οι ο-

ποίες συμμετείχαν στην επίλυση της εσθονικής περίπτωσης, α-

πέδειξαν ότι είναι ένας πολύτιμος μηχανισμός άμυνας. Με συ-

6. Suter M., “A Generic National Framework for Critical Information Infrastructure Protection”, Center for Security Studies, ETH Zurich, August 2007.

7. Γεώργιος Μαρινάκης, “Ασφάλεια Εθνικών Συστημάτων Επικοινωνιών και Πληροφοριών”, Παρουσίαση Ε’ Δνση ΕΥΠ,

http://athina.cs.unipi.gr/imerida/Documents/Presentations/eyp.pdf, Δεκέμβριος 2010.

8. “Εμπιστοσύνη και Ασφάλεια σε ένα κινητό και γρήγορο δικτυακό περιβάλλον”, ebusiness Forum, Ομάδα Εργασίας Στ-3,

http://athina.cs.unipi.gr/imerida/Documents/finalst3.doc, Αύγουστος 2004.

9. Επίσημη ιστοθέση CERT Coordination Center (CERT/CC), www.cert.org/certcc.html.

44 | security


νεργατική φιλοσοφία, οι CERT βοηθούν στην επίλυση κρίσεων

όσους το έχουν ανάγκη και βρίσκονται σε επαφή με τους υ-

πεύθυνους ασφαλείας πολλών Οργανισμών, δρώντας ως γέφυρα

ανάμεσα σε ιδρύματα και επιχειρήσεις. Σκοπός των ομάδων

αυτών, εκτός από την αντιμετώπιση των περιστατικών α-

σφάλειας, αποτελεί και η υποστήριξη της κοινότητας χρηστών

του Διαδικτύου, ώστε να αντιμετωπίζουν τις επιπτώσεις από πιθανές

παραβιάσεις ασφαλείας. Επιπλέον αυτές εξυπηρετούν

την ενημέρωση των χρηστών για νέες απειλές και περιστατικά

ασφάλειας, καθώς και για τις ευπάθειες συγκεκριμένων συστημάτων

ή εφαρμογών. Σήμερα, με την τεράστια ανάπτυξη του

Διαδικτύου, τα περιστατικά ασφαλείας ξεπερνούν τα σύνορα

μιας χώρας, με συνέπεια να υφίσταται στενή συνεργασία μεταξύ

των ομάδων CERT διαφορετικών χωρών.

Το CERT αποτελεί το όνομα που δίνεται σε εξειδικευμένες ομάδες

ειδικών, οι οποίες αντιμετωπίζουν περιστατικά ασφαλείας στους

υπολογιστές και στα υπολογιστικά συστήματα. Ο όρος CERT

μπορεί ισάξια να αντικατασταθεί από τον Computer Security

Incident Response Team (CSIRT) και αποτελεί την ομάδα αντιμετώπισης

Critical Information Infrastructure Protection (CIIP).

Παγκοσμίως υφίστανται περισσότεροι από 250 Οργανισμοί που

χρησιμοποιούν τον όρο CERT ή αντίστοιχο με αντικείμενο εγκαθίδρυση

ηλεκτρονικής ασφαλείας στον Κυβερνοχώρο.

Ο όρος CERT έχει ιστορική προέλευση από την πρώτη ομάδα

αντιμετώπισης τέτοιων περιστατικών που ιδρύθηκε στο

Carnegie Mellon University και τελικά υιοθετήθηκε από πολλούς

Οργανισμούς ανά το κόσμο. Η ιστορία αντίστοιχων ο-

μάδων ταυτίζεται με την ύπαρξη των ιών των υπολογιστών

(computer worms). Ο ιός που επέδρασε στο Internet το Νοέμβριο

1988 και ονομαζόταν Morris Worm παραλύοντας ένα

μεγάλο ποσοστό αυτού, ήταν η αφορμή για την ίδρυση της

πρώτης ομάδας CERT Coordination Center (CERT-CC) στο

Carnegie Mellon University μέσω συμβολαίου το οποίο υπογράφηκε

με την κυβέρνηση των ΗΠΑ. [9]

Στις μέρες μας, με τη μεγάλη ανάπτυξη των τεχνολογιών πληροφοριών

και επικοινωνιών (Information and Communication

Technologies) ο όρος και οι ομάδες CERT αποτελούν ένα α-

παραίτητο κομμάτι των εξελιγμένων Οργανισμών. Όταν οι υ-

πηρεσίες μεγάλων Οργανισμών παροχών υπηρεσιών Internet

(Internet Service Providers-ISP) καθίστανται ευάλωτες, για παράδειγμα,

στην ανεπιθύμητη αλληλογραφία (spam email) ή σε

ακόμα πιο κρίσιμες λειτουργίες όπως η αδυναμία παροχής υ-

πηρεσιών (Denial of Service-DoS), οι ομάδες CERT έρχονται

να καθορίσουν τις μεθόδους αντιμετώπισης τέτοιων καταστάσεων.

Ταυτόχρονα, μεγάλοι κατασκευαστές λογισμικού και υλικού

(software and hardware) καθιστούν τις πληροφορίες α-

σφαλείας των προϊόντων τους διαθέσιμες στο ευρύ κοινό. Οι

ομάδες CERT αλληλοσυνεργαζόμενες και συντονισμένες πάνω

σε μια κοινή βάση μπορούν να αντιμετωπίσουν σε εθνικό,

πανευρωπαϊκό ή παγκόσμιο επίπεδο αυτές τις ηλεκτρονικές α-

πειλές. Η στρατηγική ηλεκτρονικής ασφάλειας της χώρας θα

πρέπει να εφαρμόζεται σε όλο και μεγαλύτερα επίπεδα και φορείς

και προϋποθέτει τη συνεργασία με άλλα κράτη και Οργανισμούς.

Ταυτόχρονα όμως, όπως θα διαπιστωθεί παρακάτω,

στο στρατιωτικό σκέλος θα πρέπει να διασφαλισθούν όλες οι

ηλεκτρονικές πληροφορίες, η διαρροή των οποίων θα καταστήσει

ευάλωτο τον εθνικό Κυβερνοχώρο.

Στις ΗΠΑ, στο χώρο των πολιτικών και βιομηχανικών δραστηριοτήτων,

το US-CERT αποτελεί τον επιχειρησιακό κλάδο του

National Cyber Security Division (NCSD) και υπάγεται στο Υ-

πουργείο Εσωτερικής Ασφάλειας των ΗΠΑ - Department of

Homeland Security (DHS). Η US-CERT αποτελεί ανεξάρτητη

υπηρεσία, αν και μπορεί να συντονίζει μαζί τους όλα τα συμβάντα

που έχουν σχέση με την ηλεκτρονική ασφάλεια. Άλλοι συνεργάτες

του US-CERT είναι οι ιδιωτικές εταιρείες διαδικτυακής α-

σφαλείας, τα ακαδημαϊκά ιδρύματα, οι ομοσπονδιακές υπηρεσίες

και τα κρατικά ιδρύματα, καθώς και αντίστοιχοι Οργανισμοί

άλλων κρατών. Η US-CERT παρουσιάζεται ως συνεργατική και

ευέλικτη για να ανταποκρίνεται σε ένα πολυσύνθετο περιβάλλον,

ενώ στην αντίστοιχη ιστοσελίδα της επεξηγεί το όραμά

της ως ένας παγκόσμιος έμπιστος οδηγός στη διαδικτυακή α-

σφάλεια (cyber security).

Στο δεύτερο μέρος του άρθρου που θα ακολουθήσει, παρουσιάζονται

συνοπτικά οι υπηρεσίες του κρατικού τομέα στην ελληνική

επικράτεια, που έχουν ως κύριο ή δευτερεύον έργο την

Κυβερνοάμυνα. Παράλληλα, παρουσιάζονται οι κυριότερες υ-

πηρεσίες και οργανώσεις στην Ευρωπαϊκή Ένωση και στο

NATO, οι οποίες συνεργαζόμενες εφαρμόζουν έως σήμερα μια

αποτελεσματική άμυνα στον Κυβερνοχώρο και επί των κρίσιμων

υποδομών, σε διεθνές επίπεδο. iTSecurity

10. Επίσημη ιστοθέση Εθνικής Υπηρεσίας Πληροφοριών, Εθνικής CERT, Παρουσίαση Ημερίδας «Ασφάλεια Πληροφοριακών Συστημάτων στο Δημόσιο Τομέα»,

http://www.nis.gr/npimages/docs/cert1.pdf, 3 Φεβρουαρίου 2011.

11. Επίσημη ιστοθέση Γενικού Επιτελείου Εθνικής Άμυνας, ΔΙΚΥΒ/ΓΕΕΘΑ, www.geetha.gov.

12. Επίσημη ιστοθέση Εθνικού Δικτύου Έρευνας και Τεχνολογίας, ΕΔΕΤ ΑΕ, www.grnet.gr.

13. Επίσημη ιστοθέση Βορειο-Αντλαντικής Συμμαχίας NATO, www.nato.int.

14. International Standard ISO/IEC 27000, “Information Security Management Systems (ISMS)”, www.iso.org/iso/home.html.

15. Μ. Ηλιάδης, «Η Τουρκία συγκροτεί Διοίκηση Κυβερνοάμυνας», Ο Κόσμος του Επενδυτή, 27/08/2011, http://www.strategyreport.gr/?p=14294.

16. Επίσημη ιστοθέση ENISA, www.enisa.europa.eu.

17. “Information Operations”, Joint Publication 3-13, 13 February 2006.

18. “NATO and Cyber Defence”, Rex B. Hughes,Apr 2009.

(Η εργασία στηρίχθηκε σε πηγές και παραπομπές που δεν έχουν καμία διαβάθμιση και ταυτόχρονα όλες βρίσκονται αναρτημένες στο Διαδίκτυο προς α-

νάγνωση και χρήση).

security | 45


REVIEW

ESET Endpoint Antivirus &

Endpoint Security

Με προηγμένη λειτουργία Web Control

H

ESET, κορυφαία εταιρεία τεχνολογίας προληπτικής

προστασίας κατά των ηλεκτρονικών ιών

- η οποία φέτος γιορτάζει τα 25 χρόνια του

NOD32, ανακοινώνει τη διάθεση των νέων λύσεων

για εταιρικούς χρήστες: τα προϊόντα ESET Endpoint

Security και ESET Endpoint Antivirus, ενισχύοντας τη δυναμική

της εταιρείας στον τομέα των επαγγελματικών λύσεων.

Τα προϊόντα ESET Endpoint Antivirus και ESET Endpoint Security

διατίθενται με τη λειτουργία ESET Remote Administrator,

ενώ το ESET Endpoint Security είναι επιπλέον εμπλουτισμένο

με τα χαρακτηριστικά Web Control, Two-way Firewall και Client

Antispam. Η μικρή κατανάλωση πόρων του συστήματος, σε συνδυασμό

με την προηγμένη λειτουργία της απομακρυσμένης διαχείρισης, αποτελούν ιδανικά χαρακτηριστικά για κάθε μέγεθος

επιχείρησης. Χρησιμοποιώντας τα πολλαπλά επίπεδα ανίχνευσης της μηχανής ThreatSense της ESET και του συστήματος

ESET Live Grid, οι νέες λύσεις προστασίας ESET Endpoint Solutions προσφέρουν κορυφαία προληπτική προστασία από

τις επερχόμενες απειλές. Η νέα γενιά λύσεων ESET Endpoint Solutions συνεχίζουν μια μακρά παράδοση των προϊόντων υψηλής

ποιότητας για εταιρικούς πελάτες, διαθέτοντας πάνω από δώδεκα νέα χαρακτηριστικά. Χαρακτηριστικό παράδειγμα αποτελούν

οι νέες λειτουργίες, όπως το Web Control (περιορίζει την πρόσβαση σε δικτυακούς τόπους ανά κατηγορία), το Device

Control και οι βελτιώσεις του ESET Remote Administrator, όπως Role-Based Management, Rollback of Updates, Realtime

Web Dashboard, Randomized Task Execution, Multiple Log Formats, RSA Envision Support και Microsoft NAP Support.

Τα προϊόντα ESET Endpoint Solutions βασίζονται στη βραβευμένη τεχνολογία ESET NOD32 για την παροχή προστασίας

σε επιχειρήσεις. Τα κυριότερα χαρακτηριστικά των ESET Endpoint Antivirus και ESET Endpoint Security είναι:

Web Control (μόνο στο ESET Endpoint Security) – Περιορίζει την πρόσβαση σε ιστοσελίδες ανά κατηγορία, επιτρέποντας

στο διαχειριστή να καθορίσει συγκεκριμένους κανόνες για τις ομάδες χρηστών, που να συμβαδίζουν με τις πολιτικές της

εταιρείας, ρυθμίζοντας και ελέγχοντας ποιες ιστοσελίδες επισκέπτονται οι χρήστες, βάσει πολλαπλών κατηγοριών ιστοσελίδων

(gaming, κοινωνική δικτύωση, αγορές). Οι ιστοσελίδες ταξινομούνται αυτόματα σε κατηγορίες μέσω cloud-based υπηρεσιών.

Client Antispam (μόνο στο ESET Endpoint Security) – Φιλτράρει αποτελεσματικά τα ανεπιθύμητα μηνύματα (spam).

Two-way Firewall (μόνο στο ESET Endpoint Security) – Αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση στο δίκτυο της εταιρείας

και παρέχει προστασία anti-hacker. Device Control – Δεν επιτρέπει τη σύνδεση άγνωστων μέσων, ενώ προσφέρει τη

δυνατότητα θέσπισης κανόνων και παραμέτρων για την πρόσβαση συγκεκριμένων συσκευών ή χρηστών. Antivirus/ Antispyware

– Εξαλείφει όλους τους τύπους των απειλών, συμπεριλαμβανομένων των ιών, rootkits, worms, spyware και προσφέρει

προαιρετικά δυνατότητα ελέγχου των αρχείων, συγκρίνοντάς τα με αρχεία που βρίσκονται στο cloud και εισαγωγή τους στη

white-list. Επιτρέπει τη διαχείριση όλων των λύσεων ασφαλείας της ESET από μια κεντρική κονσόλα που διαθέτει τη λειτουργία

Role-based Management, παρέχοντας τη δυνατότητα στο διαχειριστή να εκχωρεί διαφορετικά δικαιώματα σε διαφορετικούς

χρήστες. www.eset.com/gr iTSecurity

46 | security


P RODUCTS

Firewall Appliance FW-80

Layer 7 Firewall, IDS, Multi-WAN

σε μια συσκευή

Οι κακόβουλες επιθέσεις εναντίον των υπολογιστικών συστημάτων

γίνονται όλο και πιο συχνές. Είναι μονόδρομος λοιπόν

η προστασία των συστημάτων με νέες τεχνολογίες που αποτρέπουν

τις κακόβουλες επιθέσεις. Το μέλλον ανήκει στα ισχυρά

firewall και τα συστήματα ανάλυσης και ελέγχου προτύπων

(IDS). Με τη μείωση του κόστους διασύνδεσης μέσω ADSL είναι

καιρός να εκμεταλλευτείτε τη διασύνδεση multi-WAN για

να αντικαταστήσετε ακριβές λύσεις διασύνδεσης, όπως

μισθωμένες γραμμές ή MPLS, ενώ εξασφαλίζετε μεγάλες ταχύτητες

και υψηλή διαθεσιμότητα. Παράλληλα με τη χρήση κανόνων

βασισμένων σε Layer 7, η πολιτική ασφαλείας του firewall

επικεντρώνεται στις εφαρμογές και όχι στις πόρτες που

αυτές χρησιμοποιούν. H συσκευή FW-80 καλύπτει τις παραπάνω

απαιτήσεις, παρέχει 24ωρη προστασία από επιθέσεις και λεπτομερή

έλεγχο κίνησης σε μια σειρά από εξειδικευμένες εφαρμογές

όπως: Τηλεφωνία IP (VoIP) - Multi-site connectivity over

IP - Load Balancing / Failover - Web Services / Intranets - Content

filtering / Blacklists - High Availability Communications - IP-

SEC, PPTP, L2TP, SSL VPN. Είναι μια μικρή συσκευή με χαμηλή

κατανάλωση, που παρέχει υποστήριξη πολλαπλών γραμμών

ADSL και απομακρυσμένες Υπηρεσίες Διαχείρισης. Παρέχει

ακόμα υποστήριξη 3G USB stick fail over, 1-1 NAT και υποστήριξη

ασύρματου δικτύου. Επίσης υποστηρίζει SSL VPN, συνεργασία

με Active directory, διαθέτοντας λειτουργικό QoS με

χρήση Wizards. To FW-80 είναι εύκολο να εγκατασταθεί και

οι αρχικές του ρυθμίσεις επιτρέπουν την εύκολη διασύνδεση στο

internet, με τη μέγιστη δυνατή ασφάλεια. Διάφοροι Wizard επιτρέπουν

την καλύτερη παραμετροποίηση του συστήματος. Για

περισσότερες πληροφορίες μπορείτε να απευθυνθείτε στην

PRIME TECHNOLOGIES, τηλ.: 210-9609700.

www.primetechnologies.gr

DDoS Protector

Απόλυτη Προστασία

από DDoS επιθέσεις

από την CheckPoint

και την ITWay Hellas

H Checkpoint, ηγέτιδα εταιρεία στο χώρο της

ασφάλειας, ανακοινώνει τη νέα καινοτόμο σειρά

appliances που παρέχουν υψηλή προστασία από

DDoS επιθέσεις. Επιθέσεις άρνησης εξυπηρέτησης

(Denial-of-service attack) ονομάζονται γενικά

οι επιθέσεις εναντίον ενός υπολογιστή ή μιας υπηρεσίας

που παρέχεται, οι οποίες έχουν ως σκοπό

να καταστήσουν τον υπολογιστή ή την υπηρεσία

ανίκανη να δεχτεί άλλες συνδέσεις και έτσι να μη

μπορεί να εξυπηρετήσει άλλους πιθανούς πελάτες.

Αν και ο όρος αφορά κυρίως σε δικτυακές υπηρεσίες,

δεν περιορίζεται μόνο σε αυτές αλλά αναφέρεται

και σε άλλα πεδία όπως ο μικροεπεξεργαστής,

όπου μία αντίστοιχη επίθεση καταναλώνει

τους πόρους του μικροεπεξεργαστή.

Η καινούρια λύση της Check Point για προστασία

από DDoS επιθέσεις, επιτρέπει στις επιχειρήσεις

να διατηρούν πολυεπίπεδη, προσαρμόσιμη προστασία

με έως και 12Gbps απόδοση, που αυτόματα

υπερασπίζει το δίκτυο από network flood και

application layer επιθέσεις.

Η νέα σειρά appliances DDoS Protector προσφέρει

ευέλικτες επιλογές για την προστασία κάθε επιχείρησης,

ολοκληρωμένη διαχείριση της ασφάλειας

για real-time traffic analysis και threat management

intelligence για προηγμένη προστασία ενάντια στις

DDoS επιθέσεις.

www.itway.gr

security | 47


Διμηνιαίο περιοδικό για τo Enterprise Computing

και την Ασφάλεια Πληροφοριών

Διμηνιαίο περιοδικό με θεματολογία στο χώρο της ασφάλειας

ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΚΑΙ ΣΤΑ ΔΥΟ ΠΕΡΙΟΔΙΚΑ (SECURITY MANAGER & IT SECURITY)

ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 4O€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 65€ (2 τεύχη)

ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 78€ ΛΟΙΠΕΣ ΧΩΡΕΣ 97 €

ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΣΤΟ ΠΕΡΙΟΔΙΚΟ IT SECURITY

ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 3O€ ΦΟΙΤΗΤΕΣ/ΣΠΟΥΔΑΣΤΕΣ 20€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 50€ (2 τεύχη)

ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 60€ ΛΟΙΠΕΣ ΧΩΡΕΣ 75 €

TPOΠOI ΠΛHPΩMHΣ

• Με ταχυδρομική επιταγή

• Με κατάθεση στον τραπεζικό λογαριασμό:

ΕΘΝ. ΤΡΑΠΕΖΗΣ 108-47118154

EUROBANK 0026 0251 5202 006 97497

ALPHA BANK 276002002005830

• Με πιστωτική κάρτα:

Εθνοκάρτα Mastercard Visa Diners

Aριθμός κάρτας:

Ημ. Λήξεως:

ΔΕΛΤΙΟ ΣΥΝΔΡΟΜΗΣ

Νέος συνδρομητής n Ανανέωση Συνδρομής n Συνδρομή και στα 2 περιοδικά n

(Security Manager & IT Security)

Επωνυμία επιχείρησης:.................................................................................................................................................................... ΑΦΜ:...................................................................... ΔΟΥ:...............................................................................

Δραστηριότητα (επιχείρησης): ................................................................................................................................................ E-mail:..............................................................................................................................................................................

Ονοματεπώνυμο (Υπευθύνου):.......................................................................................... Θέση στην εταιρεία: ..........................................................................

Διεύθυνση:.............................................................................................................................................................................................................................................................................. Ταχ. Κώδικας: .........................................................................

Πόλη:............................................................................................................................................................. Τηλέφωνο:.................................................................................................... Fax:..........................................................................................

Ονοματεπώνυμο παραλήπτη: ................................................................................................................................................................................................................................................................................................................................

Διεύθυνση αποστολής περιοδικού:...................................................................................................................................................................................................................................................................................................................................

Ταχ. Κώδικας:..................................................................................Πόλη:.............................................................................................................................................................................................................................................................

Σύμφωνα με το ΚΒΣ, άρθρο 13, παραγρ. 17, για τις συνδρομές εκδίδονται διπλότυπες αθεώρητες αποδείξεις ως παραστατικό δαπάνης για την επιχείρηση.

More magazines by this user