IT Professional Security - ΤΕΥΧΟΣ 30

Μάρτιος - Απρίλιος 2013 • Τεύχος 30 • Τιμή 5€
Ασφάλεια στον κυβερνοχώρο
Το περιβάλλον & οι εξελίξεις
• Mobile Device Management
• Αναδυόμενες τεχνολογίες στο Storage
• Ethical Hacking και εργαλεία ελέγχων ασφαλείας
• Οδηγός διασφάλισης VoIP Τηλεφωνικών Κέντρων
PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ
ΠΛHPΩMENO
TEΛOΣ
Tαχ. Γραφείο
KEMΠ.KΡ.
Aριθμός Άδειας
116
PRESS POST
ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.
P R
(X+7)
E S S
T
P O S
Report

E DITORIAL
Η Ασφάλεια Πληροφοριών, πυλώνας ανάπτυξης
της αγοράς του ΙΤ
Με νωπές ακόμα τις εντυπώσεις από το “Infocom Security
2013” το οποίο συνδιοργάνωσε με πολύ μεγάλη
επιτυχία για 3 η συνεχόμενη χρονιά το “IT Security Professional”
στις 10 Απριλίου γεννήθηκαν αρκετές σκέψεις
αναφορικά με την κατάσταση της αγοράς στην Πληροφορική
σε αυτό το τόσο ρευστό και δύσκολο περιβάλλον.
Το συνέδριο, για τα τεκταινόμενα του οποίου μπορείτε να
διαβάζετε στο σχετικό ρεπορτάζ, αποτέλεσε μια πολύ καλή
αφορμή για όσους παρευρέθηκαν να ενημερωθούνε
σε μεγαλύτερο βαθμό για τις τάσεις στην αγορά της
Ασφάλεια Πληροφοριών, τις εξελίξεις στην τεχνολογία,
την στρατηγική και τους στόχους των παρόχων λύσεων και
υπηρεσιών. Αποτέλεσε επίσης μια πολύ καλή ευκαιρία για
όλους εμάς να αφουγκραστούμε τις απαιτήσεις και προτεραιότητες
των ήδη υφιστάμενων αλλά και δυνητικών πελατών,
λύσεων και υπηρεσιών που σχετίζονται με την
ασφάλεια και όχι μόνο, που ως επί το πλείστον ήταν επιχειρήσεις
και οργανισμοί του ιδιωτικού και δημόσιου τομέα,
που εκπροσωπήθηκαν όπως είναι λογικό από στελέχη
των τμημάτων ΙΤ.
Ένα από τα βασικά συμπεράσματα, το σχετίζεται αλώστε
και με το σλόγκαν της φετινής διοργάνωσης, είναι ότι οι
τάσεις στο IT που αποτυπώνονται μέσα από τις έννοιες του
cloud, virtualization, mobility, BYOD, Social Media, Big Data,
αρχίζουν πλέον να υιοθετούνται ολοένα και περισσότερο
και από τις ελληνικές επιχειρήσεις, δημιουργώντας
ένα εντελώς νέο τοπίο στο οικοσύστημα του ΙΤ, στο οποίο
η παράμετρος της Ασφάλειας Πληροφοριών χαρακτηρίζεται
ως ιδιαίτερα κομβική και κρίσιμη.
Ο στόχος είναι φυσικά πάντα ίδιος. Η προστασία των επιχειρηματικών
δεδομένων και των εφαρμογών! Οι μέθοδοι
όμως πλέον αλλάζουν!
Η νέα λοιπόν κατάσταση, όπως αυτή έχει διαμορφωθεί
σήμερα, αποτελεί τη κινητήρια δύναμη για την ανάπτυξη
νέων πολιτικών και νέων τρόπων διασφάλισης των πληροφοριών
ανοίγοντας έτσι το δρόμο για την προσφορά
και ζήτηση νέων λύσεων και υπηρεσιών από την αγορά. Οι
“εντάσεις” στην ασφάλεια λοιπόν που φέρνουν οι νέες
“τάσεις” στο ΙΤ, δεν μεταφράζονται ως εμπόδιο στην ανάπτυξης
της αγοράς των νέων τάσεων του ΙΤ αλλά μια σημαντική
ευκαιρία και μια νέα πρόκληση για όλους όσους
ασχολούνται με την αγορά της ασφάλειας πληροφοριών
και γενικότερα του ΙΤ.
Βλάσης Αμανατίδης
Iδιοκτησία
Nίκος Πανδής
Eκδότης
Nίκος Πανδής
Αρχισυντάκτης
Βλάσης Αμανατίδης
info@securitymanager.gr
Συνεργάτες
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Ιωσήφ Ανδρουλιδάκης
Mίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Παναγιώτα Τσώνη
Εμπορικό Τμήμα
Νίκος Σαράφογλου
nsarafoglou@pressline.gr
Δήμητρα Αρακά
daraka@pressline.gr
Τμήμα Διαφήμισης - Marketing
Nίκη Πανδή
marketing@pressline.gr
Υπεύθυνος Συνδρομών
Γιώργος Τσιματσίδης
support@securitymanager.gr
Συνεργάτης Κύπρου
Φρίξος Μόζορας
Λογιστήριο
Xρήστος Mακρής
fin@pressline.gr
Γραμματειακή Yποστήριξη
Nικολέτα Πανδή
Διευθυντής Παραγωγής
Σάκης Γαβαλάς
Kαλλιτεχνική Eπιμέλεια
Mάρθα Τσάρου
Hλεκτρονική Σελιδοποίηση
Λευτέρης Πανδής
Σχεδιασμός Mu ltimedia
Φίλιππος Kαλογιάννης
Aτελιέ-Διαχωρισμοί-Mοντάζ
PressLine
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ
Mάγερ 11, 104 38 Αθήνα,
Τηλ.: 210-52.25.479 (6 γραμμές),
Fax: 210-52.43.345,
web: www.pressline.gr
ΚΩΔΙΚΟΣ 01-8267
2| security

McAfee Security Information and Event Management (SIEM)
Οι υψηλής απόδοσης λύσεις SIEM - Security Information and Event Management της McAfee συγκεντρώνουν μαζί
δεδομένα συμβάντων, απειλών και ρίσκων, προσφέροντας ισχυρή ασφάλεια, ταχεία ανταπόκριση στα περιστατικά,
αδιάλειπτη διαχείριση των καταγραφών και επεκτάσιμες αναφορές συμμόρφωσης. Στον πυρήνα των λύσεων SIEM
βρίσκεται το Enterprise Manager Security που ενοποιεί, συσχετίζει, αξιολογεί και παρέχει προτεραιότητες στα διάφορα
συμβάντα ασφαλείας που αφορούν τις λύσεις της McAfee αλλά και άλλων κατασκευαστών. Ως μέρος της συνολικής
προσέγγισης Security Connected της McAfee, η λύση Enterprise Security Manager ενσωματώνεται και
συνεργάζεται στενά με το λογισμικό της εταιρείας ePolicy Orchestrator(ePO), το Risk Advisor και Global Threat
Intelligence, παρέχοντας το απαραίτητο περιβάλλον για αυτόνομη και προσαρμοστική διαχείριση των κινδύνων ασφάλειας.
Το Enterprise Security Manager της McAfee προσφέρει την ταχύτητα
και τα χαρακτηριστικά που απαιτούνται για τον άμεσο εντοπισμό
των κρίσιμων απειλών και παράλληλα καλύπτει με επιτυχία τις απαιτήσεις
συμμόρφωσης. Με δυνατότητα συνεχούς τροφοδότησης από
τα δεδομένα των απειλών και των κινδύνων παγκοσμίως, η συγκεκριμένη
λύση προσφέρει προσαρμόσιμη και αυτόνομη διαχείριση
ρίσκου, επιτρέποντας την αντιμετώπιση των απειλών και τη δημιουργία
αναφορών συμμόρφωσης σε λίγα μόνο λεπτά αντί για ώρες.
Το McAfee Advanced Correlation Engine παρακολουθεί σε realtime
δεδομένα, επιτρέποντας την ταυτόχρονη χρήση δύο μηχανών
συσχέτισης (rule-based και rule-less) για τον εντοπισμό των ρίσκων
και των απειλών, προτού αυτές εμφανιστούν.
Σχεδιασμένο για μεγάλο όγκο δεδομένων, το McAfee Global Threat
Intelligence for Enterprise Security Manager (ESM) θέτει τη δυναμική
των McAfee Labs απευθείας στη ροή της παρακολούθησης
ασφάλειας, αξιοποιώντας την ταχύτατη και «έξυπνη» προσέγγιση
του Security Information and Event Management (SIEM).
Το McAfee Application Data Monitor αποκωδικοποιεί ένα ολοκληρωμένο
κοινό σύνολο εφαρμογών στο Layer 7, παρέχοντας πλήρη
ανάλυση των πάντων. Από τα πρωτόκολλα και την ακεραιότητα των
εφαρμογών μέχρι και το πραγματικό περιεχόμενό τους (όπως για
παράδειγμα το κείμενο ή τα επισυναπτόμενα ενός email). Το υψηλό
επίπεδο των λεπτομερειών που παρέχει, επιτρέπει την ανάλυση χρήσης
των πραγματικών εφαρμογών με πολύ μεγάλη ακρίβεια και ταυτόχρονα
επιτρέπει την επιβολή πολιτικών χρήσης των εφαρμογών,
εντοπίζοντας κακόβουλα λογισμικά ή κάποια συγκαλυμμένη κίνηση.
Ο McAfee Enterprise Log Manager αυτοματοποιεί τη διαχείριση
και ανάλυση των καταγραφών όλων των τύπων, συμπεριλαμβανομένων
των Windows Event logs, Database logs, Application logs
και Syslogs. Οι καταγραφές υπογράφονται και επικυρώνονται εξασφαλίζοντας
την αυθεντικότητα και ακεραιότητα των αρχείων, κάτι
που είναι απαραίτητο για την κανονιστική συμμόρφωση αλλά και για
να χρησιμοποιηθούν ως ψηφιακά πειστήρια. Η συγκεκριμένη λύση
διευκολύνει τους Οργανισμούς να αποδείξουν ότι συμμορφώνονται
πλήρως με το κανονιστικό πλαίσιο και τις εσωτερικές πολιτικές, παρέχοντας
τις απαραίτητες αναφορές.
Το McAfee Database Event Monitor for SIEM προσφέρει λεπτομερή
καταγραφή των διαδικασιών ασφάλειας των συναλλαγών στις βάσεις
δεδομένων, με την παρακολούθηση των προσβάσεων στις ρυθμίσεις
των databases και των δεδομένων. Η δυνατότητα αυτή όχι μόνο ενοποιεί
τη δραστηριότητα στις βάσεις δεδομένων σε ένα τομέα κεντρικού
ελέγχου, αλλά παράλληλα ενσωματώνεται με το McAfee
Enterprise Security Manager για την «έξυπνη» ανάλυση και τον
εντοπισμό ύποπτης δραστηριότητας.
Το McAfee Event Receiver συλλέγει συμβάντα και καταγραφές τρίτων,
πιο γρήγορα και πιο αξιόπιστα από οποιαδήποτε άλλη λύση.
Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την ITWAY Hellas (εξουσιοδοτημένος διανομέας):
Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr

CONTENTS
14 26 30
2|EDITORIAL
6|NEWS
REFERENCE
11|Λύσεις Storage για εύκολη
διαχείριση και οικονομία
κλίμακας
COVER ISSUE
14|Ασφάλεια στον
κυβερνοχώρο
Το περιβάλλον & οι εξελίξεις
REPORT
19|3ο Infocom Security
Οι νέες τάσεις στο IT… και οι
“εντάσεις” στην Ασφάλεια!
PRACTICAL
35|Σύστημα Εντοπισμού και
Ενημέρωσης Χρηστών
Κινητών Τηλεφώνων με
Χαμηλό Επίπεδο
Ασφάλειας
40|Ethical Hacking και
εργαλεία ελέγχων
ασφαλείας
44|Οδηγός διασφάλισης VoIP
Τηλεφωνικών Κέντρων
12|CyberSecurity
Απλά μια νέα πρόκληση ή μία
πραγματική απειλή για την
επιχειρησιακή λειτουργία ενός
Οργανισμού;
ISSUE
26|Mobile Device Management
H αναγκαιότητα και οι
απαιτήσεις
30|Αναδυόμενες τεχνολογίες
στο Storage
4| security

NEWS
Η ESET κυκλοφόρησε την νέα έκδοση του ESET Mail Security
for Microsoft Exchange Server
Τη διάθεση της νέας έκδοσης του ESET Mail Security for
Microsoft Exchange Server version 4.5, ανακοίνωσε η ESET,
που θωρακίζει την επικοινωνία των εταιρικών mailboxes και
προσφέρει πλήρη προστασία του server.
Το ESET Mail Security for Microsoft Exchange Server 4.5
προσφέρει συνολική προστασία σε επίπεδο mail-gateway
ενάντια σε όλες τις απειλές που διακινούνται μέσω e-mail, και
ταυτόχρονα των αποθηκευμένων mail στη βάση δεδομένων
του Exchange με απαράμιλλη ακρίβεια. Αξίζει επίσης να σημειωθεί
η προηγμένη μηχανή Antispam με βελτιωμένα ποσοστά
ανίχνευσης, καθώς και η δυνατότητα παραμετροποίησης
των ρυθμίσεων μέσα απο το γραφικό περιβάλλον του
λογισμικού. Υπενθυμίζεται ότι τον Ιανουάριο του 2013, η λύση
ESET Mail Security for Microsoft Exchange Server διακρίθηκε
με το βραβείο «VBSpam+» του Virus Bulletin. Η
ESET κατατάχτηκε μεταξύ των κορυφαίων προϊόντων στις
κατηγορίες «Lowest Rate of False Positives» και «Best Spam
Catch Rate» (ποσοστό 99.83%), γεγονός που αποδεικνύει
τη δύναμη και την αξιοπιστία της μηχανής Antispam.
Στα χαρακτηριστικά του προϊόντος συμπεριλαμβάνονται η ενσωματωμένη
λειτουργία ανίχνευσης «real file type detection»,
που επιτρέπει την εφαρμογή πολιτικών για συγκεκριμένου
τύπου περιεχόμενο στα συνημμένα των e-mails, καθώς
και οι βελτιωμένες διαδικασίες εγκατάστασης, που διευκολύνουν
την αναβάθμιση από παλιότερες (v4.2 ή v4.3) σε νεότερες
εκδόσεις. Παράλληλα, η λειτουργία eShell αποτελεί
μια ολοκληρωμένη γραμμή εντολών διαχείρισης, που επιτρέπει
την αυτοματοποίηση διαδικασιών και διαχείρισης του
συστήματος. Επίσης υπάρχει η δυνατότητα παρακολούθησης
της απόδοσης του server σε πραγματικό χρόνο. Με το ESET
Remote Administrator, διαθέσιμο σε 12 γλώσσες, η λύση είναι
ιδανική για επιχειρήσεις με διεθνή παρουσία, καθώς προσφέρει
τη δυνατότητα απομακρυσμένης διαχείρισης και συντονισμού
όλων των απαραίτητων ρυθμίσεων.
«Η νέα έκδοση του ESET Mail Security για τη δημοφιλή
πλατφόρμα Microsoft Exchange Server έχει σχεδιαστεί για
να αποτρέπει τις επιθέσεις που διακινούνται μέσω ηλεκτρονικού
ταχυδρομείου στους εταιρικούς λογαριασμούς
ενώ παράλληλα προστατεύει απόλυτα το server και το file
system», σημειώνει ο Michal Jankech, Product Manager for
Server Security στην ESET, συμπληρώνοντας ότι: «Παράλληλα,
η νέα αυτή έκδοση υποστηρίζει τις πρόσφατες πλατφόρμες
– Windows Server 2012 και Mail Server 2013».
Με τη λύση ασφαλείας ESET Security for Microsoft Share-
Point Server, την οποία η εταιρία διαθέτει στην παρούσα
φάση σε έκδοση «Release Candidate», η ESET αποτελεί τη
μοναδική εταιρία λογισμικού antivirus που προσφέρει λύση
προστασίας στους χρήστες του νέου Microsoft SharePoint
Server 2013.
Η νέα λύση αποτελεί μία ακόμη προσθήκη στη σειρά προϊόντων
ασφαλείας για server που επιτρέπουν στις επιχειρήσεις,
που χρησιμοποιούν το δημοφιλέστερο λογισμικό για Intranet
content και document management, να προστατεύσουν
τα ευαίσθητα εταιρικά δεδομένα και τα αρχεία που
έχουν αποθηκευμένα στις βάσεις δεδομένων τους.
«Σχεδιασμένο με την ίδια φιλοσοφία με το ESET File Security
for Microsoft Windows Server και με την προσθήκη ενός ειδικού
στοιχείου για την προστασία του SharePoint, η έκδοση
αυτή καθιστά την ESET την πρώτη εταιρία λογισμικού ασφαλείας
που προσφέρει προστασία antivirus protection για το
Microsoft SharePoint Server 2013,» δηλώνει ο Chief Sales and
Marketing Officer της ESET, Ignacio Sbampato.

Συνεργασία της PhoenixPro με την Balabit IT Security
Η PhoenixPro, www.phoenixpro.com, εξειδικευμένη εταιρεία
παροχής ηλεκτρονικής προστασίας και ασφάλειας, ανακοινώνει
την επίσημη έναρξη της συνεργασίας της με την
Balabit IT Security. Η Balabit παρέχει λύσεις προστασίας
των οργανισμών από τους διαχειριστές των συστημάτων και
τεχνολογιών φύλαξης, επεξεργασίας και διακίνησης δεδομένων
και πληροφοριών. Σχολιάζοντας τους στόχους της
συγκεκριμένης συνεργασίας, ο CEO της PhoenixPro, Γεώργιος
Α. Κορέλλης εξήγησε: «Η διαχρονική ανάγκη των
πελατών μας για προστασία της εμπιστευτικότητας, ακεραιότητας
και διαθεσιμότητας των δεδομένων και πληροφοριών τους επεκτείνεται
και πρέπει να αντιμετωπίζει και τους κινδύνους που μπορεί
να προέλθουν από τους ιδίους τους διαχειριστές των συστημάτων
και τεχνολογιών του οργανισμού. Ιδιαίτερα στο ιδιαίτερα
διαφοροποιημένο οικονομικό και επιχειρηματικό περιβάλλον όπως
αυτό έχει διαμορφωθεί, οι διοικήσεις επιζητούν τρόπους να διασφαλίσουν
ότι έχουν την δυνατότητα να προλάβουν κακόβουλες
ενέργειες από χρήστες με ψηλά δικαιώματα πρόσβασης και να
έχουν τα εργαλεία εκείνα που ενεργούν ανιχνευτικά αλλά και εποπτικά
ώστε τέτοιες ενέργειες να καταγράφονται και να επιτρέπουν
σε βάθος διερεύνηση.»
Για να ζητήσετε πληροφορίες ή παρουσίαση της λύσης Balabit
IT Security Shell Control Box, παρακαλώ καλέστε μας στο +357
22255333 ή στείλτε email στο sales@phoenixpro.com .

NEWS
Οι νέες λύσεις Cloud της MedNautilus
διαθέσιμες τώρα και για τις ελληνικές επιχειρήσεις
H κα Elisabetta Ripa, CEO του Ομίλου Telecom Italia Sparkle, και ο κ. Arturo
Danesi, CEO της MedNautilus Ελλάδος.
Τις νέες υπηρεσίες Cloud Solutions της MedNautilus ανέδειξαν
σε πρόσφατη παρουσίαση τα στελέχη της εταιρίας.
Η MedNautilus, θυγατρική του Ομίλου TI Sparkle στην περιοχή
της Μεσογείου, ανέπτυξε ένα νέο πλέγμα ευέλικτων και
κλιμακούμενων IaaS λύσεων Cloud. Η CEO του Ομίλου Telecom
Italia Sparkle, Elisabetta Ripa, δηλώνει ότι η συγκεκριμένη
επένδυση απαντά στην ολοένα και αυξανόμενη ανάγκη των
ελληνικών επιχειρήσεων για αποδοτικές σε σχέση με το κόστος
τους και κορυφαίας ασφάλειας λύσεις IT. O CEO της Med-
Nautilus Ελλάδας, Arturo Danesi, αναφέρει: «Σχεδιάζουμε
να εμπλουτίσουμε τις υπηρεσίες μας με λύσεις PaaS και SaaS,
αναπτύσσοντας ένα οικοσύστημα συνεργατών προς όφελος
των πελατών μας από τον χώρο των ελληνικών επιχειρήσεων».
Η MedNautilus, με την υποστήριξη της τεχνογνωσίας του Ομίλου
Telecom Italia, της μεγαλύτερης εταιρείας τηλεπικοινωνιών
στην Ιταλία και κορυφαίου παρόχου υποδομής και υπηρεσιών
cloud computing, παρουσιάζει σήμερα ένα νέο πλέγμα
ευέλικτων και κλιμακούμενων IaaS λύσεων Cloud, από παραδοσιακή
συνεγκατάσταση (co-location) έως πραγματική και
εικονική φιλοξενία δεδομένων (physical and virtual hosting),
απαντώντας στην αυξανόμενη ανάγκη των ελληνικών επιχειρήσεων
για αποδοτικές σε σχέση με το κόστος τους και κορυφαίας
ασφάλειας λύσεις IT.
Η Chief Executive Officer του Ομίλου Telecom Italia Sparkle,
Elisabetta Ripa, δηλώνει: «Οι βασικές προτεραιότητες των επιχειρήσεων
για τα επόμενα δύο χρόνια θα εξακολουθήσουν να είναι η εξοικονόμηση
κόστους, ενοποίηση των data centers και η ενεργειακή
αποδοτικότητα. Σε συμφωνία με αυτό το σενάριο, οι υπηρεσίες εικονικής
φιλοξενίας δεδομένων αποτελούν μία πιθανή περιοχή για ανάπτυξη,
που οδηγείται από το αυξανόμενο marketing και τις εφαρμογές
που στοχεύουν στις ΜμΕ, την ανάπτυξη στο web hosting περιεχομένου
και την επιθυμία των πελατών να μετακινηθούν από τις κεφαλαιακές
δαπάνες στα λειτουργικά έξοδα».
Η ασφάλεια, η αξιοπιστία και ο έλεγχος του κόστους είναι οι
αξίες που θα φέρουν οι λύσεις Cloud της MedNautilus στις ελληνικές
επιχειρήσεις. Οι λύσεις Cloud της MedNautilus Ελλάδας
θα υποστηρίξουν τους πελάτες τους ώστε να προσαρμόσουν
στις ανάγκες τους και να βελτιστοποιήσουν την αρχιτεκτονική
του IT τους, μειώνοντας ταυτόχρονα το κόστος των
υπηρεσιών. Επιπλέον οφέλη περιλαμβάνουν την κορυφαία ασφάλεια
και αξιοπιστία, την εύκολη και γρήγορη υλοποίηση, το υψηλό
επίπεδο κλιμάκωσης και τη μεγάλη ευελιξία στη διαμόρφωση
των υπηρεσιών service καθώς και στους όρους της σύμβασης.
Ένα άλλο κρίσιμο όφελος θα είναι η δραστική μείωση του
συνολικού κόστους που συνεπάγεται για τους πελάτες η ιδιοκτησία
της υποδομής, περνώντας από τα έξοδα επένδυσης στα
λειτουργικά έξοδα με βάση την πραγματική χρήση της υπηρεσίας,
παρέχοντας έτσι στους πελάτες πλήρη έλεγχο των λειτουργικών
τους εξόδων.
Το πλέγμα υπηρεσιών Cloud Solutions της MedNautilus χαρακτηρίζεται
από ένα διαφοροποιημένο σύνολο σπονδυλωτών
πακέτων Υπηρεσιών Λειτουργικής Υποστήριξης, οι οποίες έχουν
σχεδιαστεί για να διασφαλίζουν τη μέγιστη αποδοτικότητα στην
ανταπόκριση σε ένα μεγάλο εύρος αναγκών των πελατών: από
το βασικό Help Desk, το οποίο παρέχει καθημερινή υποστήριξη
εξυπηρέτησης πελατών, έως υποστήριξη των υψηλότερων
βαθμίδων διαχείρισης, η οποία παρέχει συνεχή παρακολούθηση
υπηρεσιών και λύσεις πρόληψης για περιπτώσεις αποτυχίας
ή ανάγκη αναβάθμισης των υπηρεσιών.
Από τις υπηρεσίες IaaS στις PaaS και SaaS: ένα οικοσύστημα συνεργατών
Η στρατηγική ανάπτυξης της MedNautilus στην Ελλάδα βασίζεται
στη δημιουργία ενός οικοσυστήματος συνεργατών που
θα είναι ικανό να προσελκύσει ανεξάρτητους παρόχους λογισμικού,
μεταπωλητές με προστιθέμενη αξία, υπευθύνους ολο-
8| security

κλήρωσης συστημάτων και developers, καθώς και παρόχους
λύσεων niche εφαρμογών, με ελκυστικές επιχειρηματικές ευκαιρίες.
«Το μερίδιο αγοράς μας στον χώρο των υπηρεσιών Cloud θα αυξάνεται
όσο οι συνεργάτες μας θα γνωρίζουν ανάπτυξη στις δραστηριότητές
τους», δηλώνει ο Arturo Danesi. «Μέσα από το πρόγραμμα
συνεργατών μας μεταφέρουμε σε αυτούς όλη την απαραίτητη
τεχνογνωσία, ώστε να ανταποκρίνονται στις ανάγκες των πελατών
τους έγκαιρα και με μία προσέγγιση επωφελή για όλα τα μέρη του οικοσυστήματος».
Και ο Danesi συνεχίζει: «Αποτελεί ισχυρή δέσμευση
για τη MedNautilus να εμπλουτίσει μέσα από αυτό το οικοσύστημα
συνεργατών τις υπηρεσίες που προσφέρει με λύσεις PaaS και SaaS
προς όφελος των ελληνικών επιχειρήσεων. Χάρη στην προσέγγισή
μας στις υπηρεσίες data centers, που προσαρμόζεται στις ιδιαιτερότητες
οποιουδήποτε παρόχου, η MedNautilus είναι σε θέση να ‘φιλοξενεί’
τις εφαρμογές των συνεργατών της χωρίς ζητήματα συμβατότητας».
Οι νέες λύσεις Cloud αξιοποιούν την ολοκληρωμένη τεχνογνωσία
και την τοπική υποδομή στην Ελλάδα
Οι λύσεις Cloud της MedNautilus είναι ένα πλέγμα ολοκληρωμένων
υπηρεσιών IaaS υψηλής ασφάλειας και κορυφαίας ποιότητας,
που περιλαμβάνουν παραδοσιακή συνεγκατάσταση (colocation)
και πραγματική και εικονική φιλοξενία δεδομένων (physical
and virtual hosting), βασίζονται στις πλέον προηγμένες
τεχνολογίες παρόχων από όλο τον κόσμο και παρέχουν στους
πελάτες μας κορυφαία αρχιτεκτονική συστήματος. Η αρχιτεκτονική
αυτή χρησιμοποιείται και στα τρία Data Centers που διαθέτει
και λειτουργεί στην Ελλάδα η MedNautilus, τα οποία διασφαλίζουν
άριστα συστήματα παρακολούθησης και ολοκληρωμένης
υποστήριξης. Η Elisabetta Ripa προσέθεσε: «Οι νέες
λύσεις Cloud αξιοποιούν την τεχνογνωσία και τις οικονομίες
κλίμακας που έχει επιτυχώς αναπτύξει ο Όμιλος Telecom Italia,
κορυφαίος παίκτης στο χώρο των τηλεπικοινωνιών και του
cloud στην Ευρώπη και τη Νότιο Αμερική».
Μοναδικές στην Ελλάδα εγκαταστάσεις Data Centers
Η MedNautilus έχει στην ιδιοκτησία της και λειτουργεί ένα χώρο
συνολικής έκτασης 8.000 τετραγωνικών μέτρων στα τρία νέας
γενιάς Data Centers στο Κορωπί, τη Μεταμόρφωση και τα
Χανιά, που χρησιμοποιούνται αποκλειστικά για την παροχή λύσεων
συνεγκατάστασης (co-location) και πραγματικής και εικονικής
φιλοξενίας δεδομένων (physical and virtual hosting. Τα
τρία Data Centers παρέχουν επίσης μία ισχυρή τοπική υπηρεσία
Disaster Recovery, καθώς είναι διασυνδεδεμένα με τα Data
Centers του Ομίλου στην Ιταλία και την Τουρκία, μέσω του
προηγμένου υποθαλάσσιου ιδιόκτητου δικτύου οπτικών ινών
της MedNautilus.
Προαγωγές στελεχών της EMC
Ο κ. Πάνος Αδριανός Presales Sr. Manager της
EMC για τις περιοχές Medi & BeLux. Η EMC, ανακοινώσε
την προαγωγή του κυρίου Πάνου Αδριανού στη θέση
του Presales Sr. Manager για τις περιοχές Medi & BeLux
και συγκεκριμένα για τις χώρες: Ελλάδα, Ισπανία, Πορτογαλία,
Ισραήλ, Βέλγιο και Λουξεμβούργο. Ο κ. Bertrand
LaLanne, Presales Lead, Europe West, EMC δήλωσε
σχετικά με την προαγωγή του κυρίου Αδριανού: «Ο κ. Πάνος
Αδριανός αποτελεί ένα πολύτιμο στέλεχος της EMC.
Πεποίθησή μας είναι ότι με το ταλέντο αλλά και την εμπειρία
που τον διακρίνει θα μπορέσει να ισχυροποιήσει την ταυτότητα
της εταιρείας στις περιοχές της αρμοδιότητάς του
συμβάλλοντας τα μέγιστα στην αναπτυξιακή μας πορεία.
Αναλαμβάνοντας τα νέα του καθήκοντα θα βρίσκεται σε
στενή συνεργασία με τον κ. Nicolas Leblanc, Vice President,
MEDI & BeLux, EMC».
Η κα Αγάθη Γαλάνη στη θέση της Country Manager
για την Ελλάδα, την Κύπρο και τη Μάλτα. Η EMC, ανακοίνωσε
επίσης την προαγωγή της κας Αγάθης Γαλάνη στη
O κος Πάνος Αδριανός
H κα Αγαθή Γαλάνη
θέση της Country Manager για τις περιοχές της Ελλάδας,
της Κύπρου και της Μάλτας. Καλωσορίζοντας την κα. Γαλάνη
στα νέα της καθήκοντα o κ. Nicolas Leblanc, Vice
President, MEDI & BeLux, EMC δήλωσε: «Σε ένα πλήρως
ευμετάβλητο επιχειρηματικό τοπίο, επιδιώκουμε την
ικανοποίηση των στόχων μας μέσα από την αξιοποίηση της
εμπειρίας των δικών μας ανθρώπων. Ο αναβαθμισμένος
ρόλος της κας Αγάθης Γαλάνη ανταποκρίνεται πλήρως στις
δυνατότητές της αφού πάντα επιδείκνυε τεράστια σταθερότητα
και ευρηματικότητα στα εκτελεστικά της καθήκοντα.
Είμαστε σίγουροι ότι θα συμβάλει τα μέγιστα στην περαιτέρω
ανάπτυξη της εταιρείας.»
security | 9

NEWS
Πραγματοποιήθηκε το Cisco Connect Greece 2013
Περισσότεροι από 1450 επισκέπτες τίμησαν με την παρουσία
τους το συνέδριο
και είδαν από κοντά τις απεριόριστες δυνατότητες που προκύπτουν
όταν το internet συνδέει ανθρώπους, διαδικασίες,
δεδομένα και αντικείμενα
με τρόπο που ποτέ πριν δεν είχαμε πιστέψει. Οι επισκέπτες
του Cisco Connect, είχαν την ευκαιρία να επιλέξουν ανάμεσα
σε 28 παρουσιάσεις της Cisco και των Συνεργατών της,
με θεματολογία τις σύγχρονες τεχνολογίες πληροφορικής
που βελτιώνουν τον τρόπο με τον οποίο οι εταιρείες και οι
εργαζόμενοι λειτουργούν στο επιχειρηματικό περιβάλλον.
Στις κεντρικές ομιλίες των εκπροσώπων της Cisco αναλύθηκε
ο αντίκτυπος της σύνδεσης στο internet όλο και περισσότερων
στοιχείων. Πρόκειται για ένα παγκόσμιο φαινόμενο,
το οποίο η Cisco αποκαλεί "Internet of Everything"
και αποτελεί την εξέλιξη του "Internet of Things", με την προσθήκη
ανθρώπων, διαδικασιών και δεδομένων. Το βασικό
ερώτημα που τέθηκε και συζητήθηκε είναι πως αυτή η επιχειρηματική
πρόκληση - ευκαιρία, μπορεί να αποδώσει τη
μεγαλύτερη δυνατή αξία για τους οργανισμούς, τα κράτη και
κάθε έναν από εμάς. Ο εκπρόσωπος της Intel κ. Νίκος Παναγιωτίδης,
Market Development Manager, στην κεντρική
του ομιλία παρουσίασε το όραμα της εταιρείας για το "ανοικτό"
Cloud του μέλλοντος, ενώ ο Διευθυντής Marketing, Εταιρικών
& Επιχειρησιακών Πελατών Σταθερής & Κινητής Τηλεφωνίας
του Ομίλου ΟΤΕ, κ. Θάνος Φαλάγγας επικεντρώθηκε
στις κύριες τεχνολογικές τάσεις και τις υπηρεσίες
του Ομίλου.
Κατά τη διάρκεια των παράλληλων παρουσιάσεων, οι Συνεργάτες
- Χορηγοί του Cisco Connect πραγματοποίησαν
14 ομιλίες, οι οποίες κάλυψαν μεγάλο εύρος τεχνολογικών λύσεων
που αποσκοπούν στην αύξηση της παραγωγικότητας
και τη μείωση του λειτουργικού κόστους των επιχειρήσεων.
Οι τεχνολογικές αυτές λύσεις και η υλοποίησή τους σε πελάτες,
απασχόλησαν και τα δύο πάνελ συζήτησης που πραγματοποιήθηκαν
κατά τη διάρκεια του συνεδρίου. Εκπρόσωποι
των εταιριών Interamerican, Εθνική Τράπεζα, Τράπεζα
Πειραιώς, Velti, Αριστοτέλειο Πανεπιστήμιο και Intralot, οι
οποίες υλοποίησαν και λειτουργούν λύσεις Cisco, περιέγραψαν
τα επιχειρηματικά οφέλη που αποκόμισαν τόσο σε λειτουργικό
όσο και σε τεχνικό επίπεδο.
Παράλληλα στον εκθεσιακό χώρο του συνεδρίου οι επισκέπτες
είχαν την ευκαιρία να δουν Live Demos των λύσεων
της Cisco στο κεντρικό δια-δραστικό περίπτερο της εταιρείας
καθώς και τις προτάσεις του δικτύου συνεργατών της,
σε 22 ειδικά διαμορφωμένα περίπτερα. Χορηγοί του συνεδρίου
ήταν: Main Technology Sponsor: Intel, Platinum:
OTE, Gold: Byte, Citrix, EMC-VMware, HOL, Intracom,
Logicom-NetApp, MedNautilus, Samsung, SAP,
Space Hellas, Unisystems, Silver: Cosmos, Cyta, InfoQuest,
Panduit, Performance, Setel Hellas, Sieben.

REFERENCE
Λύσεις Storage
για εύκολη διαχείριση και
οικονομία κλίμακας
Του Πάνου Μητρόπουλου
General Manager
I.T. Open Solutions S.A.
Τι αντιμετωπίζει το ΙΤ σήμερα;
• Τρομερή πολυπλοκότητα και αργή ανάπτυξη: Πολλοί
κατασκευαστές και καταιγισμός πληροφοριών, δεν δίνουν
την ευκαιρία στον ΙΤ manager να ανταποκριθεί σε νέες
προκλήσεις και νέες ευκαιρίες.
• Αναποτελεσματικότητα και υψηλό κόστος: Περισσότερο
από το 70% του κόστους για τον αποθηκευτικό χώρο
ξοδεύεται σε κατανάλωση ρεύματος, ψύξης και σε φυσικό
χώρο.
• Άκαμπτη Υποδομή χωρίς καθόλου ευελιξία: Δεν μπορείτε
να βρείτε τα δεδομένα όταν τα χρειάζεστε. Δεν μπορείτε
να μετακινήσετε τα δεδομένα στο σωστό μέρος. Δεν
είναι δυνατή η ανάκτηση των δεδομένων και των εφαρμογών
αρκετά γρήγορα.
Το θέμα βέβαια είναι τι περιμένει ένας IT Manager - και κατ’
επέκταση η εταιρεία του - από ένα αποθηκευτικό σύστημα:
• Ευελιξία
• Ευκολία στη διαχείριση
• Γρήγορο deployment υπηρεσιών
• Εύκολο και γρήγορο scalability
• Ελάχιστο ρίσκο στο business continuity
• Φθηνό κόστος ανά Terabyte
Το πρωτεύον σύστημα αποθήκευσης πρέπει να υποστηρίζει
όλες τις εφαρμογές και όλους τους τύπους των δεδομένων
και φυσικά και εικονικά - και βέβαια σε cloud. Επίσης πρέπει
να προσφέρει διατήρηση και ανάλυση των πληροφοριών για
αρχειοθέτηση και αναζήτηση μέσα σε πολύ μεγάλους όγκους
δεδομένων.
Τα νέα virtual και cloud workloads έχουν συμπεριφορά που
δεν μπορεί να είναι προβλέψιμη, όπως άλλωστε είναι και οι
απαιτήσεις σε capacity. Οι παλαιές αρχιτεκτονικές storage
δεν απελευθερώνουν τα resources για να πετύχουμε κάτι τόσο
κρίσιμο. Οι λύσεις storage της ΗΡ είναι οι μόνες που
μπορούν να αποδώσουν Tier 1 storage performance από το
midrange στο enterprise.
Είναι επίσης σημαντικό το γεγονός της οικονομίας κλίμακας
όσον αφορά στο capacity και το explosion των δεδομένων.
Τεχνολογίες όπως η “thin provisioning” και η “space reclamation”
μπορούν να βοηθήσουν να απελευθερώσετε χωρητικότητα
ή ακόμα και να προμηθευτείτε λιγότερη από όση
φαινομενικά χρειάζεστε.
Το 3PAR thin guarantee πρόγραμμα μπορεί να εγγυηθεί
ακόμα και 50% μείωση της χωρητικότητάς σας. iTSecurity
security | 11

REFERENCE
Του Χρήστου Σαπουνά
InfoSec Consultant, PwC
CyberSecurity
Απλά μια νέα πρόκληση ή μία πραγματική απειλή
για την επιχειρησιακή λειτουργία ενός Οργανισμού;
Στην πρόσφατη ετήσια διάσκεψη του Παγκόσμιου Οικονομικού Φόρουμ που διεξήχθη στο
Νταβός και στο οποίο συμμετείχε η πολιτική ελίτ και ο επιχειρηματικός κόσμος, ένα από
τα θέματα που για πρώτη φορά μπήκαν στην ατζέντα ήταν το «CyberSecurity» ως ένας
από τους αναδυόμενους κινδύνους που ενδέχεται να πλήξουν την παγκόσμια οικονομία.
Τ
ο ντόμινο της οικονομικής κρίσης ανέδειξε την
ανάγκη υιοθέτησης μιας συντονισμένης προσέγγισης
στην αντιμετώπιση απειλών που ενδέχεται
να πλήξουν τον παγκόσμιο οικονομικό ιστό. Στη
σύγχρονη «διαδικτυακή πραγματικότητα» οι κίνδυνοι
που διέπουν τον κυβερνοχώρο αποτελούν απειλή για το παγκόσμιο
επιχειρηματικό οικοσύστημα.
Οι κυβερνοεπιθέσεις έχουν αυξηθεί σε εντυπωσιακό βαθμό,
επιφέροντας πολυ-επίπεδες επιπτώσεις, πλήττοντας μεταξύ άλλων
τη σταθερότητα αλλά και το προφίλ των στόχων. Αποτελεί
πλέον επιτακτική ανάγκη η αναγνώριση των κυβερνοεπιθέσεων
ως ενός «πραγματικού» κινδύνου που ενδέχεται να πλήξει
την επιχειρησιακή λειτουργία ενός Οργανισμού, ανεξαρτήτως
μεγέθους και τομέα δραστηριοποίησης.
Το νέο επιχειρησιακό περιβάλλον απαιτεί μια νέα προσέγγιση
στη διαχείριση των θεμάτων που αφορούν στην Ασφάλεια Πληροφοριών:
12 | security

Εύρος της ασφάλειας πληροφοριών
Διαχείριση και καθοδήγηση
Παρελθόν
Περιοριζόταν στα όρια της επιχείρησης.
Γινόταν κυρίως από το προσωπικό Πληροφορικής.
Σήμερα
Συμπεριλαμβάνει όλο το διασυνδεδεμένο οικοσύστημα
του Οργανισμού.
Αποτελεί συνολική ευθύνη της διοίκησης.
Συνδέεται με τους στόχους της επιχείρησης.
Τακτική προστασίας Ισοδύναμη προστασία για όλα τα συστήματα. Προτεραιότητα κρίσιμων υποδομών.
Αντιμετώπιση κινδύνων
Κινητοποίηση όταν η επίθεση έχει ήδη εξελιχθεί.
Οργανωμένο πλάνο παρακολούθησης,
άμεση απόκριση σε όλες τις επιθέσεις.
Αντίστοιχη εξέλιξη παρατηρούμε και στο προφίλ των απειλών.
Παλαιότερα ήταν μεμονωμένα άτομα που εκμεταλλεύονταν τα
ευάλωτα σημεία μιας πληροφοριακής υποδομής, με σκοπό το
προσωπικό όφελος, την πρόκληση βλάβης και την απόκτηση
φήμης. Σήμερα οι επιθέσεις είναι οργανωμένες (και πιθανότατα
χρηματοδοτούμενες), με συγκεκριμένους στόχους - πολλές φορές
με πολιτικές σκοπιμότητες. Πίσω από αυτές τις επιθέσεις
ενδέχεται να κρύβονται εκτός από το οργανωμένο έγκλημα, (χ)
ακτιβιστές, κρατικές οργανώσεις, ακόμα και οι ίδιοι οι υπάλληλοι
ενός Οργανισμού.
Μέσα σε αυτά τα πλαίσια, το παραδοσιακό μοντέλο ασφάλειας
κρίνεται ως ανεπαρκές και συνήθως επιτυγχάνει οριακά τους
στόχους που τίθενται κυρίως από τα θεσμικά, νομικά ή κανονιστικά
πλαίσια. Η ασφάλεια δεν πρέπει να αντιμετωπίζεται πλέον
ως ένα τεχνολογικό πρόβλημα, αλλά ως ζήτημα διαχείρισης επιχειρησιακού
κινδύνου. Οι διοικήσεις που θα βάλουν το θέμα
της ασφάλειας πληροφοριών στην επιχειρηματική τους ατζέντα,
όχι μόνο προστατεύουν την επιχείρηση, αλλά είναι σε θέση να
αποκομίσουν ουσιαστικά επιχειρησιακά οφέλη. Η γνώση είναι
δύναμη - και γνωρίζοντας κανείς ποιες είναι οι αδυναμίες του,
αλλά και τους κινδύνους στους οποίους είναι εκτεθειμένος, έχει
τη δυνατότητα να σχεδιάσει τη στρατηγική του για την αποτελεσματική
αντιμετώπισή τους.
Δυστυχώς, πολλές επιχειρήσεις ακόμη και σήμερα ξοδεύουν μεγάλους
προϋπολογισμούς συντηρώντας ένα παραδοσιακό μοντέλο
ασφάλειας, το οποίο κρίνεται ως αναποτελεσματικό και δεν
παρέχει διαφάνεια ως προς τη συνεισφορά του στην εκπλήρωση
των στρατηγικών επιχειρησιακών στόχων ενός Οργανισμού.
Στην PwC, αναγνωρίζουμε την επιτακτική ανάγκη υιοθέτησης
ενός νέου μοντέλου στην Ασφάλεια Πληροφοριών, που θα εναρμονίζεται
με την επιχειρησιακή στρατηγική, θα συνδέεται με συγκεκριμένους
επιχειρηματικούς στόχους και θα παρέχει απόλυτη
διαφάνεια ως προς την εκπλήρωση ενός στρατηγικού πλάνου με
βάση τις προτεραιότητες που θέτει ο εκάστοτε Οργανισμός.
Τρεις τομείς που μπορούν να εξεταστούν κατά την αξιολόγηση
της στάσης του Οργανισμού απέναντι στην Ασφάλεια Πληροφοριών
είναι οι εξής:
Α. Στρατηγική Ασφάλειας Πληροφοριών
• Υπάρχει μια ολοκληρωμένη στρατηγική ασφάλειας στο επίκεντρο
του επιχειρηματικού μοντέλου; Η στρατηγική αυτή εξετάζει
σε όλο το εύρος της θέματα τεχνολογίας, φυσικές απειλές,
διαδικασίες αλλά και ζητήματα ανθρωπίνου δυναμικού;
• Η Διοίκηση έχει ενημέρωση για σημαντικές απειλές που ενδέχεται
να συνδέονται και με την υιοθέτηση αναδυόμενων τεχνολογιών
(όπως για παράδειγμα η μετάβαση στο Cloud);
• Μπορούμε να τεκμηριώσουμε και να παρουσιάσουμε τη στρατηγική
ασφάλειας στη Διοίκηση και να τη συνδέσουμε με τους
επιχειρησιακούς στόχους του Οργανισμού;
Β. Κατανόηση και προσαρμογή
• Γνωρίζουμε ποια πληροφορία είναι πολύτιμη για την επιχείρηση;
Έχουν ληφθεί τα κατάλληλα μέτρα για την αποτελεσματική
προστασία της; Σε περίπτωση απώλειάς της, έχει ποσοστικοποιηθεί
ο αντίκτυπος που θα έχει στην επιχείρηση;
• Αντιλαμβανόμαστε τις σημαντικές αλλαγές στο προφίλ των
απειλών που αντιμετωπίζει η επιχείρηση; Ποια είναι τα κίνητρα;
Ποιες τεχνικές μπορεί να χρησιμοποιήσουν και ποιοι ενδέχεται
να είναι οι στόχοι τους;
• Ποια είναι τα μέτρα ασφάλειας που έχουμε λάβει και κατά πόσον
κρίνονται αποτελεσματικά; Υπάρχει ένα ολοκληρωμένο
πλάνο έγκαιρης αντιμετώπισης των περιστατικών ασφάλειας;
Γ. Υιοθέτηση υπεύθυνης στάσης ως προς την
Ασφάλεια Πληροφοριών μέσα από ένα κοινό
όραμα
• Αναφέρεται ο υπεύθυνος Ασφάλειας Πληροφοριών στην ανώτερη
Διοίκηση του Οργανισμού;
• Οι εργαζόμενοι αντιλαμβάνονται το ρόλο τους για την προστασία
των πληροφοριακών υποδομών; Τους παρέχονται κατάλληλα
εργαλεία και κατάρτιση;
• Τι εγγυήσεις απαιτούνται από τους προμηθευτές και τους παρόχους
υπηρεσιών;
Οι επιχειρήσεις ακόμη και μέσα στο δύσκολο οικονομικό περιβάλλον
που έχει διαμορφωθεί, δεν μπορούν να αφήνουν την
Ασφάλεια των Πληροφοριών τους «στην τύχη». Οι νέοι κανόνες
του παιχνιδιού απαιτούν σαφή στρατηγική και δεξιότητες
ασφάλειας υψηλού επιπέδου. Μόνον έτσι οι επιχειρήσεις
θα βρίσκονται σε πλεονεκτική θέση, ώστε είτε να αποφεύγουν
ή να αντιμετωπίζουν αποτελεσματικά περιστατικά ασφάλειας,
που σε αντίθετη περίπτωση ενδέχεται να επιφέρουν σοβαρές
επιπτώσεις. iTSecurity
security | 13

C OVER ISSUE
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com
Ασφάλεια στον κυβερνοχώρο
Το περιβάλλον & οι εξελίξεις
Ο κίνδυνος στον κυβερνοχώρο που είναι συνυφασμένος με την κακόβουλη χρήση της τεχνολογίας,
αφορά στην απώλεια της διαθεσιμότητας και αξιοπιστίας της τεχνολογικής υ-
ποδομής, της παραβίασης του απορρήτου των πληροφοριών και τη διαστρέβλωση ακεραιότητας
των εν λόγω πληροφοριών.
Κατά τις δύο τελευταίες δεκαετίες το Internet και γενικότερα
ο κυβερνοχώρος έχουν τεράστια επίδραση σε όλα τα
τμήματα της κοινωνίας. Η καθημερινότητά μας, οι κοινωνικές
μας συναναστροφές αλλά και μεγάλο ποσοστό της παγκόσμιας
οικονομίας, εξαρτώνται από την τεχνολογία της
πληροφορικής και των επικοινωνιών, καθώς και το συγκερασμό
αυτών.
Οι συγκεκριμένες τεχνολογίες αποτελούν τη ραχοκοκαλιά
της οικονομικής ανάπτυξης και είναι ένας κρίσιμος πόρος
στον οποίο στηρίζονται πολλοί τομείς του οικονομικού οι-
14 | security

κοσυστήματος. Βασικοί τομείς όπως οι Χρηματοπιστωτικοί Οργανισμοί,
υγεία, ενέργεια και μεταφορές, στηρίζουν τη λειτουργία
τους στην τεχνολογία της πληροφορικής και των επικοινωνιών.
Παράλληλα, πολλά από τα νέα επιχειρηματικά μοντέλα βασίζουν
την επιτυχία τους στην αδιάλειπτη διαθεσιμότητα του Διαδικτύου
και την ομαλή λειτουργία των συστημάτων πληροφορικής και ε-
πικοινωνιών.
Ο ορισμός της ασφάλειας του κυβερνοχώρου (cybersecurity)
δεν διαφέρει από αυτόν της ασφάλειας των πληροφοριών. Α-
σφάλεια στον κυβερνοχώρο σημαίνει τη διασφάλιση της απρόσκοπτης
λειτουργίας των υποδομών πληροφορικής & επικοινωνιών
και την προστασία της εν λόγω λειτουργίας από αστοχία της
τεχνολογίας ή κακόβουλη χρήση της. Αυτό που αποκαλείται α-
σφάλεια στον κυβερνοχώρο αποτελεί το 95% της ασφάλειας των
πληροφοριών. Η μόνη διαφορά μεταξύ τους είναι ότι η ασφάλεια
πληροφοριών περιλαμβάνει και την ασφάλεια των πληροφοριών
σε μη ψηφιακή μορφή, ενώ η ασφάλεια στον κυβερνοχώρο
εστιάζει μόνο σε πληροφορίες που υπάρχουν σε ψηφιακή
μορφή. Σήμερα το ποσοστό των πληροφοριών που δεν είναι σε
ψηφιοποιημένη μορφή είναι μικρότερο από το 5% των πληροφοριών
ενός Οργανισμού. Σε πολλές περιπτώσεις οι έννοιες της
ασφάλειας πληροφοριών και της ασφάλειας στον κυβερνοχώρο
χρησιμοποιούνται τόσο εναλλακτικά η μία της άλλης, όσο και
σαν συνώνυμες. Η έννοια του Κυβερνοχώρου αποτελεί προτιμώμενο
όρο στους κυβερνητικούς Οργανισμούς και στις κρίσιμες
υποδομές, ενώ η ασφάλεια των πληροφοριών χρησιμοποιείται
γενικά σε τράπεζες, Οργανισμούς υγείας και τηλεπικοινωνίες.
Η ασφάλεια στον κυβερνοχώρο έχει μια μεγάλη περιοχή ε-
πικάλυψης με την επιχειρησιακή συνέχεια, διότι ένα από τα βασικά
χαρακτηριστικά της ασφάλειας του κυβερνοχώρου είναι οι
αυξημένες απαιτήσεις διαθεσιμότητας υπηρεσιών και πληροφοριών.
Ο απώτερος σκοπός της ασφάλειας στον κυβερνοχώρο, της α-
σφάλειας των πληροφοριών και της επιχειρηματικής συνέχειας, είναι
για να μειώσει τους κινδύνους της επιχειρηματικής δραστηριότητας
και να διαχειριστεί το σχετικό κίνδυνο. Αποτελεί μέρος
της διαχείρισης του λειτουργικού κινδύνου, διότι οποιοσδήποτε
τρόπος προστασίας των πληροφοριών από μη εξουσιοδοτημένη
πρόσβαση, τροποποίηση και αποκάλυψη, στην πραγματικότητα
μειώνει τους λειτουργικούς κινδύνους μιας επιχείρησής.
Οι τεχνολογίες προστασίας των πληροφοριών αποτελούν ένα μικρό
μέρος της ασφάλειας του κυβερνοχώρου. H χρήση της σχετικής
τεχνολογίας δεν αποτελεί λύση για όλους τους κινδύνους.
Υπολογίζεται ότι μόνο η χρήση τεχνολογίας μπορεί να συνεισφέρει
κατά 50% σε ό,τι αφορά στην ασφάλεια του κυβερνοχώρου.

COVER ISSUE
Ασφάλεια στον κυβερνοχώρο
Ασφάλεια στον κυβερνοχώρο, κυβερνο-τρομοκρατία
και έγκλημα στον κυβερνοχώρο
Ως τρομοκρατία στον κυβερνοχώρο (cyberterrorism) χαρακτηρίζουμε
τις πολιτικά υποκινούμενες κακόβουλες ενέργειες
που έχουν ως στόχο την πρόκληση σοβαρής απώλειας, μη ε-
ξουσιοδοτημένης κατοχής και έκθεσης κρίσιμων πληροφοριών,
με στόχο την πρόκληση σοβαρής βλάβης και ζημίας σε
κρίσιμες υποδομές και στις πληροφορίες που διαθέτουν. Στόχος
της κυβερνο-τρομοκρατίας είναι ο εκφοβισμός ή ο κοινωνικός
διασυρμός ή ο εξαναγκασμός μιας κυβέρνησης ή συγκεκριμένων
πολιτών να ενδώσουν σε ανταλλάγματα.
Έγκλημα στον κυβερνοχώρο (cyber-crime) χαρακτηρίζονται
οι κακόβουλες ενέργειες οι οποίες είτε γίνονται με τη χρήση
τεχνολογιών πληροφορικής είτε έχουν ως στόχο υποδομές
πληροφορικής. Στις συγκεκριμένες περιπτώσεις η τεχνολογία
χρησιμοποιείται προκειμένου να διαπραχθούν εγκληματικού
τύπου ενέργειες, όπως κλοπή της πνευματικής ιδιοκτησίας, παραβίαση
διπλωμάτων ευρεσιτεχνίας, κλοπή εμπορικών πλάνων,
παραβίαση των νόμων περί πνευματικών δικαιωμάτων κ.λπ. Η
εγκληματικότητα στον κυβερνοχώρο περιλαμβάνει και τις επιθέσεις
εναντίον υποδομών πληροφορικής με σκοπό την ε-
σκεμμένη διακοπή της λειτουργίας τους, καθώς και την ε-
σκεμμένη κλοπή ή διαστρέβλωση κρίσιμων πληροφοριών.
Συνοψίζοντας, το έγκλημα στον κυβερνοχώρο χαρακτηρίζεται
από τα ακόλουθα:
Διάπραξη παραδοσιακών μορφών εγκληματικότητας, ό-
πως απάτη ή πλαστογραφία, μέσω της χρήσης δικτύων ε-
πικοινωνίας και συστημάτων πληροφορικής.
Δημοσίευση παράνομου περιεχομένου με χρήση ηλεκτρονικών
μέσων (π.χ. υλικό σεξουαλικής κακοποίησης παιδιών
ή προτροπή σε φυλετικές διακρίσεις).
Εγκλήματα που αφορούν αποκλειστικά στα δίκτυα επικοινωνιών,
π.χ. οι επιθέσεις κατά των υποδομών πληροφορικής,
μη εξουσιοδοτημένη παρείσδυση σε εταιρικά δίκτυα κ.λπ.
Όσον αφορά στο κόστος που συνεπάγεται για την εγκληματικότητα
στον κυβερνοχώρο, προκύπτουν τα ακόλουθα:
Δαπάνες για την προστασία έναντι της εγκληματικότητας
στον κυβερνοχώρο, όπως το λογισμικό προστασίας από ι-
ούς, ασφάλιση κτλ.
Δαπάνες που προκύπτουν ως συνέπεια του εγκλήματος
στον κυβερνοχώρο, π.χ. οι άμεσες ζημίες και οι έμμεσες δαπάνες,
όπως αποδυνάμωση της ανταγωνιστικότητας ως α-
ποτέλεσμα της καταπάτησης των δικαιωμάτων πνευματικής
ιδιοκτησίας.
Δαπάνες για την αντιμετώπιση του εγκλήματος στον κυβερνοχώρο,
όπως πληρωμές αποζημίωσης ή η καταβολή
προστίμων προς τους ρυθμιστικούς φορείς.
Έμμεσες δαπάνες, όπως βλάβη στη φήμη και την αξιοπιστία,
μείωση της αξιοπιστίας των υπηρεσιών που προσφέρονται
μέσω του διαδικτύου, συναλλαγές στον κυβερνοχώρο
από ιδιώτες και επιχειρήσεις…
Το περιβάλλον λειτουργίας του κυβερνοχώρου
Στη διάρκεια των τελευταίων 20 ετών υπήρξε τεράστια αύξηση
του αριθμού των διαδικτυακών υπηρεσιών που επιτρέπουν
τη διενέργεια συναλλαγών με εταιρείες και Οργανισμούς κάθε
είδους και βεληνεκούς σε μια παγκόσμια αγορά. Το παραπάνω
οικοσύστημα αποτελεί συστατικό αυτού που ονομάζεται
κυβερνοχώρος ή απλά διαδίκτυο.
Η ικανότητα να εξελίσσεται μια ψηφιακή κοινωνία και να μπορεί
να εκμεταλλευθεί τα πολλά οφέλη του ψηφιακού γίγνεσθαι,
εξαρτάται σε μεγάλο βαθμό από την αποδοχή και το βαθμό
εμπιστοσύνης αναφορικά με τη λειτουργία του κυβερνοχώρου.
Η ασφάλεια στον κυβερνοχώρο χρήζει ανάγκης μιας Εθνικής
Στρατηγικής με συγκεκριμένο σχέδιο και με στόχο τη διαμόρφωση
καλύτερου επίπεδου αξιοπιστίας, αλλά και να επιφέρει
μια θεμελιώδη αλλαγή στον τομέα της ασφάλειας του ψηφιακού
περιβάλλοντος. Τα τελευταία 20 χρόνια η κοινότητα της
Πληροφορικής δεν έχει καταφέρει να διαμορφώσει το απαιτούμενο
επίπεδο ασφάλειας στον κυβερνοχώρο. Ως εκ τούτου,
πολλές φορές η αξιοπιστία του κυβερνοχώρου αμφισβητείται.
Οι προσπάθειες για την επίτευξη καλύτερου επίπεδου ασφάλειας
στον κυβερνοχώρο, δεν είναι ευθυγραμμισμένες. Πολλές
φορές δεν κατανοείται ότι ο ανθρώπινος παράγοντας αποτελεί
βασική συνιστώσα σε μια επιτυχημένη στρατηγική προστασίας
του κυβερνοχώρου. Χρειάζεται περισσότερη ανάλυση και
κατανόηση της ανθρώπινης συμπεριφοράς και όχι ακόμα περισσότερες
τεχνολογικές λύσεις.
Οι κακόβουλοι χρήστες του κυβερνοχώρου μπορούν να α-
ποκομίσουν σημαντικά οικονομικά οφέλη με λίγη αλλά μεθοδική
προσπάθεια, ενώ ταυτόχρονα ξοδεύονται τεράστια ποσά
για την προστασία του κυβερνοχώρου. Ως εκ τούτου, οι ε-
γκληματίες του κυβερνοχώρου διαθέτουν εξαιρετικά κίνητρα και
16 | security

δυναμική, ενώ οι υπερασπιστές του συχνά απογοητεύονται ή
παραιτούνται από την υιοθέτηση βέλτιστων πρακτικών, μιας και
πιστεύουν ότι το παιχνίδι είναι άνισο και ότι η υιοθέτηση των
προτεινόμενων μέτρων δεν βοηθά αποτελεσματικά.
Η αντιστροφή της παραπάνω κατάστασης απαιτεί και την αλλαγή
στη σχέση κόστους-οφέλους για τις δύο πλευρές, αυξάνοντας
το κόστος για τους επιτιθέμενους και τα οφέλη για τους
υπόλοιπους. Η πρόοδος όσον αφορά στις τεχνικές λύσεις,
στο νομικό πλαίσιο και τις διεθνείς σχέσεις, μπορεί να βοηθήσει
στην αλλαγή της παραπάνω σχέσης κόστους-οφέλους και
να ανα-προσδιορίσει τα κίνητρα της κάθε πλευράς.
Οι τρέχουσες τάσεις σε τεχνολογία και επιχειρηματικά μοντέλα
ευνοούν τον κακόβουλο χρήστη. Νέες τεχνολογίες υιοθετούνται
προκειμένου να καλύψουν τη ζήτηση της αγοράς, χωρίς
να διαθέτουν ένα βασικό επίπεδο ασφάλειας, ενώ η σχεδίαση
των προϊόντων φέρει σημαντικές εγγενείς αδυναμίες. Τα
παραπάνω τα εκμεταλλεύονται με χαρακτηριστική ευκολία οι ε-
κάστοτε επιτιθέμενοι.
Ταυτόχρονα, η τεχνολογία μπορεί να βοηθήσει στην επίλυση
πολλών γνωστών προβλημάτων στο χώρο της ασφάλειας πληροφοριών.
Το λογισμικό χρειάζεται και μπορεί να γίνει πιο α-
σφαλές, αν οι εταιρείες, οι πελάτες και οι κυβερνήσεις πιέσουν
προς την κατεύθυνση αυτή. Η καινοτομία στο χώρο των τεχνολογικών
λύσεων ασφάλειας πληροφοριών είναι αναγκαία.
Χρειαζόμαστε τεχνολογία που να μπορεί να λύσει συγκεκριμένες
ανάγκες και όχι μέρος των αναγκών.
Τι έχει αλλάξει;
Τι έχει αλλάξει στο Διαδίκτυο; Η απάντηση φυσικά είναι τα πάντα!
Οι επιχειρηματικές δραστηριότητες, η τεχνολογία της πληροφορικής
και του internet, το όλο λειτουργικό περιβάλλον, καθώς
και οι απειλές σε σχέση με την ασφάλεια πληροφοριών.
Σήμερα οι πάροχοι λύσεων τεχνολογίας και οι κακόβουλοι
χρήστες έχουν ένα δικό τους αγώνα, με χαμένους τους τελικούς
χρήστες. Οι περιπτώσεις παρείσδυσης μέσω του internet
σε Κυβερνητικές & Επιχειρηματικές υποδομές είναι σχεδόν κανόνας
και όχι εξαίρεση. Προσωπικοί υπολογιστές, ασύρματοι
κόμβοι και φορητές συσκευές βρίσκονται υπό απειλή. Ακόμα
και το ίδιο το διαδίκτυο γίνεται μήλο της έριδας μεταξύ κρατών
που θέλουν να το ελέγξουν.
Τα τελευταία πέντε χρόνια υπήρξε μια σειρά από θεμελιώδεις
αλλαγές στην τεχνολογία και τη χρήση της, που απαιτούν εξίσου
θεμελιώδεις αλλαγές σε ό,τι αφορά στην ασφάλεια πληροφοριών.
Η τεχνολογία της πληροφορικής έχει εξελιχθεί α-
πό ένα μέσο αυτοματοποίησης διεργασιών, σε ένα ουσιαστικό
κομμάτι της κοινωνίας. Το ίδιο επίπεδο ποιότητας παροχής
υπηρεσιών, αξιοπιστίας και διαθεσιμότητας που είχε παραδοσιακά
συνδεθεί με τις κρίσιμες υποδομές (παροχή νερού, η-
λεκτρισμού, υπηρεσιών κοινής ωφέλειας) είναι πλέον απαραίτητο
και για την τεχνολογία που χρησιμοποιείται από Κυβερνητικούς
Οργανισμούς και επιχειρήσεις, προκειμένου να παρέχουν
τις υπηρεσίες τους από το διαδίκτυο.
Τα πρότυπα ασφάλειας που χρησιμοποιούνται σήμερα, αναπτύχθηκαν
σε έναν κόσμο στον οποίο οι υπολογιστές ήταν α-
ντικείμενο απάτης από το εσωτερικό του Οργανισμού - και σε
μικρότερο ποσοστό από το εξωτερικό του Οργανισμού. Ω-
στόσο αυτό έχει αλλάξει τα τελευταία πέντε χρόνια, με τη ραγδαία
αύξηση του οργανωμένου εγκλήματος και τη χρήση δικτύων
τύπου botnets, τα οποία επιτρέπουν τη διενέργεια μεγάλης
κλίμακας οργανωμένων επιθέσεων οι οποίες διεξάγονται
πέρα από φυσικά σύνορα και περιορισμούς. Πλέον παρακολουθούμε
οργανωμένες - στοχευμένες επιθέσεις σε επιχειρήσεις
και κρατικούς Οργανισμούς. Βρισκόμαστε στην εποχή ό-
που το διαδίκτυο αποτελεί μέρος της κρίσιμης υποδομής ενός
κράτους και η διακοπή παροχής του έχει τεράστιες συνέπειες
σε κοινωνικό και επιχειρηματικό επίπεδο.
Το κυβερνο-έγκλημα απαιτεί συντονισμένες προσπάθειες και
συνεργασία μεταξύ των κρατών. Η έγκριση του Συμβουλίου
της Ευρώπης σε συγκεκριμένο πλάνο δράσεων για το έγκλημα
στον κυβερνοχώρο, αποτελεί θετική εξέλιξη. Το σχέδιο
δράσης της Ε.Ε. διαρθρώνεται σε πέντε στρατηγικές προτεραιότητες,
οι οποίες έχουν σαν στόχο την αντιμετώπιση των
προκλήσεων στο διαδίκτυο – κυβερνοχώρο, όπως σκιαγραφήθηκαν
παραπάνω:
Επίτευξη μεγαλύτερου επίπεδου ανθεκτικότητα σε επιθέσεις.
Δραστική μείωση της εγκληματικότητας στον κυβερνοχώρο.
Ανάπτυξη πολιτικής κυβερνο άμυνας.
Ανάπτυξη των βιομηχανικών και τεχνολογικών πόρων για
την ασφάλεια στον κυβερνοχώρο.
Να δημιουργηθεί μια συνεκτική διεθνής πολιτική για τον
security | 17

COVER ISSUE
Ασφάλεια στον κυβερνοχώρο
κυβερνοχώρο για την Ευρωπαϊκή Ένωση, με γνώμονα την
προώθηση των βασικών αξιών της Ε.Ε.
Ωστόσο, πολύ περισσότερα πρέπει να γίνουν για να αναπτυχθεί
η έννοια της παγκόσμιας δικαιοδοσίας του διαδικτύου,
πριν από τον προσδιορισμό μέτρων και δράσεων για το κυβερνο-έγκλημα
σε παγκόσμιο επίπεδο.
Επιπρόσθετα να σημειώσουμε ότι πολλές Κυβερνητικές υποδομές
βρίσκονται υπό ασφυκτική πολιορκία από άλλες χώρες,
που επιδιώκουν να αποκτήσουν πρόσβαση σε εθνικού και βιομηχανικού
τύπου πληροφορίες. Κάποια κράτη δεν περιορίζονται
στη συλλογή μυστικών πληροφοριών, αλλά επεκτείνουν τη
δράση διενεργώντας στοχευμένες επιθέσεις σε κρίσιμες Στρατιωτικές
& άλλες υποδομές. Δεν είναι τυχαίο που χώρες όπως
οι ΗΠΑ έχουν δημιουργήσει ειδικές μονάδες με στόχο την
εκδήλωση κυβερνο-επιθέσεων στα πλαίσιο μιας εκστρατείας.
Τι χρειάζεται να αλλάξει
Πολλές από τις ελλείψεις στον τομέα της τεχνολογίας και της
διαχείρισης των κινδύνων που αποτυπώθηκαν προηγουμένως
και έχουν αναγνωριστεί εδώ και αρκετά χρόνια.
Παρόλα αυτά, κρίσιμες υποδομές με ευαίσθητα συστήματα
πληροφορικής εξακολουθούν να λειτουργούν με αυτές τις ελλείψεις.
Η πρόοδος της τεχνολογίας έδωσε τη δυνατότητα
στους οργανωμένους κακόβουλους χρήστες να δρουν γρηγορότερα
και αποτελεσματικότερα.
Ένα από τα σημεία που χρειάζεται σοβαρή ενασχόληση είναι οι
αδυναμίες ασφάλειας του λογισμικού. Δεδομένου του αριθμού
των τρωτών σημείων που υπάρχουν σε νέες εφαρμογές (όπως
αποδεικνύεται από τις πολυάριθμες εκδόσεις αναβάθμισης που
εκδίδονται από μεγάλους προμηθευτές λογισμικού), την πληθώρα
των διαθέσιμων εργαλείων για την αυτοματοποιημένη εκμετάλλευση
των αδυναμιών ασφάλειας και την αυξανόμενη τεχνογνωσία
και ικανότητα των επίδοξων κακόβουλων χρηστών,
κρατικοί Οργανισμοί και μεγάλες επιχειρήσεις αποφεύγουν τα
χειρότερα - τις περισσότερες φορές από τύχη.
Μέχρι πότε όμως κυβερνήσεις και επιχειρήσεις θα συνεχίζουν
να ανέχονται αυτές τις απειλές στο επιχειρηματικό τους μοντέλο,
γνωρίζοντας ότι οι κατασκευαστές λογισμικού δημιουργούν
τα προϊόντα τους χωρίς να υιοθετούν τις βασικές αρχές
ασφάλειας πληροφοριών; Δεν πρέπει να είναι πλέον αποδεκτό
για τους παρόχους τεχνολογίας και λογισμικού να διαθέτουν
προϊόντα με εγγενείς αδυναμίες ασφάλειας και στη συνέχεια
τα προϊόντα αυτά να χρησιμοποιούνται σε κρίσιμες κυβερνητικές
υποδομές και επιχειρηματικές δραστηριότητες. Κάποιες
χώρες προχωρούν στην απόδοση ευθυνών, αλλά το θεσμικό
πλαίσιο σε παγκόσμιο επίπεδο δεν βοηθά και είναι ελλιπές
ή ανύπαρκτο.
Αποφεύγοντας τις αδυναμίες ασφάλειας δεν είναι η λύση, είναι
μέρος της λύσης. Η υιοθέτηση μιας στρατηγικής για την α-
σφάλεια πληροφοριών, την αξιολόγηση των κινδύνων και την
αποτελεσματική υλοποίηση των βασικών αρχών της ασφάλειας
πληροφοριών, είναι η μόνη σωστή αντιμετώπιση. Ταυτόχρονα
χρειάζεται να υπάρχει η κατάλληλη πληροφόρηση και
εκπαίδευση σχετικά με τις νέες τεχνολογικές τάσεις και τις α-
δυναμίες ασφάλειας αυτών, έτσι ώστε να υπάρχει η επαρκής
προετοιμασία για την αντιμετώπιση των σχετικών κινδύνων.
Με λόγια απλά, ανεξάρτητα εάν το ονομάσουμε cyber-security,
ασφάλεια πληροφοριών, προστασία κρίσιμων πληροφοριών ή
όπως αλλιώς μας επιβάλλεται κάθε φορά από αυτούς που θέλουν
να παρουσιάσουν το υφιστάμενο σαν καινούριο και τις
βασικές αρχές σαν νεωτερισμό, η αποτελεσματική υλοποίηση
των βασικών αρχών της ασφάλειας πληροφοριών είναι η μόνη
λύση. Σε κάθε λειτουργικό περιβάλλον χρειάζεται να γνωρίζουμε
απόλυτα τον επιχειρησιακό τρόπο λειτουργίας του, τις
συγκεκριμένες ανάγκες και κινδύνους και στη συνέχεια να α-
ντιμετωπίσουμε τους κινδύνους συνολικά και όχι επιφανειακά.
Το ίδιο ισχύει και στην περίπτωση του κυβερνο-χώρου, του
διαδικτύου δηλαδή, που πλέον αποτελεί μέρος της κοινωνικής
και επιχειρηματικής καθημερινότητάς μας.
Αναφορές
9 Steps to Cybersecurity The Manager’s Information
Security Strategy Manual - By Dejan Kosutic
The Changing Face of Cybersecurity, Stewart Hayes,
Malcolm Shore, Miles Jakeman
Measuring the Cost of Cybercrime, Ross Anderson, Chris
Barton, Rainer Bohme, Richard Clayton, Michel J.G. van
Eeten, Michael Levi, Tyler Moore, Stefan Savage
JOINT COMMUNICATION TO THE EUROPEAN
PARLIAMENT, THE COUNCIL, THE EUROPEAN
ECONOMIC AND SOCIAL COMMITTEE AND THE
COMMITTEE OF THE REGIONS
Cybersecurity Strategy of the European Union: An Open,
Safe and Secure Cyberspace iTSecurity
18 | security

REPORT
3ο Infocom Security
Οι νέες τάσεις στο IT…
και οι “εντάσεις” στην Ασφάλεια!
Η δυναμική του τομέα
της Ασφάλειας
Πληροφοριών και οι
τάσεις που επικρατούν,
αποτυπώθηκαν πλήρως
στο συνέδριο Infocom
Security που
διοργανώθηκε φέτος
για 3η συνεχόμενη
χρονιά, συνιστώντας
την κορυφαία ετήσια
συνεδριακή εκδήλωση
του χώρου.
πολύτιμη κληρονομιά από την επιτυχία των δύο
Η
προηγούμενων διοργανώσεων, είναι λογικό να
είχε δημιουργήσει αυξημένες απαιτήσεις και για
το φετινό συνέδριο Infocom Security. Με πολυάριθμη
λοιπόν συμμετοχή άνω των 800 συνέδρων
– επαγγελματιών IT, από μεγάλες επιχειρήσεις και Οργανισμούς,
υποστήριξη από 23 χορηγούς – σημαντικές εταιρείες
του χώρου, καθώς και 24 παρουσιάσεις με πολύ ενδιαφέρον
περιεχόμενο από εξειδικευμένους ομιλητές από
την Ελλάδα αλλά και το εξωτερικό, η 3η διοργάνωση του Infocom
Security κάλυψε και με το παραπάνω τις υψηλές αυτές
απαιτήσεις, επιβεβαιώνοντας στην πράξη τη δυναμική
που έχει αναπτύξει η συγκεκριμένη συνεδριακή εκδήλωση.
Το 3o Συνέδριο Infocom Security - που πλέον αποτελεί σημείο
αναφοράς στον τομέα των εκδηλώσεων της Ασφάλειας
Πληροφοριών - πραγματοποιήθηκε στις 10 Απριλίου στο
Divani Caravel και την ευθύνη της διοργάνωσης είχαν σε συνεργασία,
το περιοδικό IT Security Professional της εταιρείας
Press Line και η εταιρεία Smart Press που εκδίδει το
περιοδικό INFOCOM και διοργανώνει κάθε χρόνο σειρά
επιτυχημένων συνεδρίων τεχνολογίας στο χώρο της πληροφορικής
και των επικοινωνιών.
Η κεντρική ιδέα του φετινού συνεδρίου μετουσιώθηκε στον
τίτλο «Οι νέες τάσεις στο IT… και οι “εντάσεις” στην
Ασφάλεια» θέλοντας έτσι να αναδείξουμε τις επιπτώσεις
που προκύπτουν και τις παραμέτρους που πρέπει να λαμβάνονται
υπόψη σχετικά με την ασφάλεια πληροφοριών στο
νέο οικοσύστημα του ΙΤ, όπως αυτό έχει διαμορφωθεί με
την υιοθέτηση των νέων τάσεων από πλευράς των επιχειρήσεων
στις υποδομές πληροφορικής.
Στην έναρξη του Συνεδρίου χαιρετισμό απηύθυνε ο Πρόεδρος
της Οργανωτικής Επιτροπής Κώστας Νόστης, καθώς
και οι κύριοι Δημήτρης Μπογιατζής (Μέλος Δ.Σ., e-
TEE), Νίκος Φαλδαμής (Πρόεδρος, HePIS), Δημήτρης
Δρακούλης (Πρόεδρος ΕΜηΠΕΕ) και Ανέστης Δημόπουλος
(Αντιπρόεδρος Δ.Σ. ΙΕΣΠ - ISACA Athens Chapter),
οι οποίοι εκπροσώπησαν φορείς και Οργανισμούς
που υποστήριξαν το Infocom Security 2013.
security | 19

REPORT
3ο Infocom Security
Ο κος Δημήτρης
Γκρίτζαλης, Καθηγητής
Ασφάλειας ΤΠΕ στο
Οικονομικό
Πανεπιστήμιο Αθηνών
1η Ενότητα - Ο μετασχηματισμός
του IT και οι επιπτώσεις
στην ασφάλεια
Στην πρώτη ενότητα του Συνεδρίου,
την οποία συντόνισε ο δημοσιογράφος
Γιάννης Ριζόπουλος, οι ομιλητές
αναφέρθηκαν κυρίως στα ρίσκα που
ανακύπτουν από τη χρήση των νέων
τάσεων όπως τα Social Media, το mobility,
το BYOD και φυσικά το Cloud.
Συγκεκριμένα, με ιδιαίτερο ενδιαφέρον
παρακολουθήσαμε
την εναρκτήρια
ομιλία
του συνεδρίου
που έγινε από
τον Καθηγητή
Ασφάλειας
ΤΠΕ στο Οικονομικό
Πανεπιστήμιο
Αθηνών,
Δημήτρη Γκρίτζαλη,
με τίτλο
“Ιστορίες Χαράς
και Τρόμου από το Θαυμαστό
Καινούριο Κόσμο των Social Media”.
Η παρουσίαση του κου Καθηγητή βασίστηκε
σε μια έρευνα που βρίσκεται
σε εξέλιξη από τον ίδιο και τους συνεργάτες
του και αφορά στην ιδιωτικότητα
και την προστασία των προσωπικών
δεδομένων στα κοινωνικά δίκτυα.
Από τα αποτελέσματα της έρευνας
αυτής προκύπτει ότι η μεθοδική
αξιοποίηση των ευρημάτων δεδομένων
από κοινωνικά δίκτυα όπως το
Twitter και το You Tube, μπορούν να
οδηγήσουν στην αξιολόγηση προδιάθεσης
παραβατικής συμπεριφοράς
(π.χ. εκ των έσω απειλές σε κρίσιμες
υποδομές), στη δημιουργία μορφότυπου
χρήστη με στόχο προσωποποιημένη
προβολή/διαφήμηση (π.χ. consumer
profiling) ή ακόμα στη δυνατότητα
πρόληψης αυτοκαταστροφικών
ενεργειών (π.χ. εφηβικές αυτοκτονίες).
Ο κος Δημήτρης
Μουζακίτης, Senior
Information Security
Management Consultant,
Odyssey Consultants
Συνεχίζοντας
την αναφορά
του στα κοινωνικά
δίκτυα και
τη σχέση τους
με την ασφάλεια
- αλλά σε
επαγγελματικό
περιβάλλον αυτή
τη φορά - ο
επόμενος ομιλητής,
κος Δημήτρης
Μουζακίτης,
(Senior
Information Security Management
Consultant, Odyssey Consultants)
τόνισε την ανάγκη για την υιοθέτηση
μιας «Social Media Policy» για κάθε
εταιρικό χρήστη, μέσα από τη θέσπιση
κανόνων που θα πρέπει να ακολουθούν
όλοι μέσα στον Οργανισμό. Επίσης
επισήμανε την αναγκαιότητα εκπαίδευσης
του προσωπικού για θέματα
που σχετίζονται με τα κοινωνικά δίκτυα
και τους κινδύνους που μπορεί να
προκύπτουν από την αλόγιστη χρήση
τους στο εταιρικό περιβάλλον.
Ο κος Αλέξανδρος
Ντέτσικας, Information
Security Consultant της
Space Hellas
Η βέλτιστη διαχείριση
της τάσης
του BYOD
ήταν το θέμα
που ανέπτυξε ο
κος Αλέξανδρος
Ντέτσικας,
Information
Security
Consultant της
Space Hellas.
Ο ομιλητής
υποστήριξε πως η τάση της αξιοποίησης
των προσωπικών φορητών συσκευών
στο εταιρικό περιβάλλον, είναι
μία πραγματικότητα που οι επιχειρήσεις
οφείλουν να αποδεχθούν με βάση
κάποιους κανόνες - και όχι να αποτρέψουν.
Η εφαρμογή του BYOD
μπορεί να είναι μια επιτυχημένη διαδικασία
για τον Οργανισμό, αρκεί αυτός
να εκπαιδεύει συνεχώς τους χρήστες
σε θέματα ασφάλειας και διαχείρισης
δεδομένων και να συνεργάζεται
μαζί τους, τόνισε ο κος Ντέτσικας.
Ο Δρ. Θεόδωρος
Σεργίου, Security
Solutions Product
Manager, Marketing
Department, Services
Business Division,
Intracom Telecom
Από την πρώτη
ενότητα δεν θα
μπορούσαν
φυσικά να λείπουν
οι αναφορές
για την
ασφάλεια στο
cloud. Έτσι, ο
Δρ. Θεόδωρος
Σεργίου
(Security Solutions
Product
Manager, Marketing
Department,
Services
Business Division,
Intracom Telecom) ανέλαβε
στη συνέχεια να μας παρουσιάσει 4
βασικά διδάγματα που οφείλουν να
ακολουθούν οι επιχειρήσεις, σε σχέση
με την ανάπτυξη των υπηρεσιών
cloud. Σε αυτά περιλαμβάνονται: η
διαπίστωση ότι στο cloud πρέπει να
λαμβάνονται υπόψη πολλές παράμετροι
- κάτι που δεν είναι μια εύκολη
υπόθεση - και ότι σε αυτές τις παραμέτρους
κυρίαρχο ρόλο έχει η ασφάλεια,
η συμμόρφωση με πρότυπα και
κανονιστικά πλαίσια, καθώς επίσης και
η ιδιαίτερη προσοχή που πρέπει να
δίνουν οι Οργανισμοί στην επιλογή
του συνεργάτη, για τη δημιουργία
ενός public ή private cloud.
20 | security

Ο κος Ibrahim Yusuf,
Presales Engineer,
Sophos
Τα ρίσκα που
ανακύπτουν
από τη χρήση
των smartphones
στο εταιρικό
περιβάλλον
καθώς και το
πώς μπορούν
οι επιχειρήσεις
να τα διαχειριστούν,
ήταν το
θέμα που ανέλυσε
στην παρουσίασή του ο κος
Ibrahim Yusuf, Presales Engineer της
εταιρείας Sophos. Αφού μας παρουσίασε
το νέο περιβάλλον στο ΙΤ, όπως
αυτό έχει διαμορφωθεί με τη ραγδαία
ανάπτυξη της φορητότητας, ο ομιλητής
έδωσε έμφαση στη θέσπιση εταιρικής
στρατηγικής και πολιτικών για
όσους χρησιμοποιούν φορητές συσκευές
στο εταιρικό περιβάλλον, αξιοποιώντας
εφαρμογές ελέγχου, κρυπτογραφίας,
patching, καθώς και πολύτιμα
εργαλεία διαχείρισης φορητών
συσκευών.
Η κα Διονυσοπούλου
Νατάσσα, Brand
Manager της εταιρείας
ITway
Στη συνέχεια, η
κα Διονυσοπούλου
Νατάσσα,
Brand
Manager της
εταιρείας ITway,
μας παρουσίασε
την
προσέγγιση της
McAffe σε σχέση
με την “έξυπνη”
ασφάλεια
που βασίζεται σε μια ολοκληρωμένη
πλατφόρμα διασυνδεμένων εργαλείων
και λειτουργιών, η οποία βελτιστοποιεί
τις δυνατότητες προστασίας των δεδομένων
στους Οργανισμούς. Η ενοποίηση
όλων των απαραίτητων συστατικών
για την ασφάλεια που επιτυγχάνει
η πλατφόρμα της McAfee, απαντά
με επιτυχία στις προκλήσεις που φέρνουν
οι νέες απειλές, ενισχύοντας παράλληλα
την αξία όλων των επιχειρηματικών
λειτουργιών, επισήμανε η ομιλήτρια.
Ο Adrian Porcescu,
Technical Consultant &
Trainer της Kaspersky
Lab
Κλείνοντας την
πρώτη ενότητα
του συνεδρίου,
ο κος Adrian
Porcescu, Technical
Consultant
& Trainer
της Kaspersky
Lab, αφού ανέλυσε
στους συνέδρους
την
εξέλιξη των
απειλών και τη
σύγχρονη πραγματικότητα, εκτίμησε
ότι το κακόβουλο λογισμικό θα συνεχίσει
να αναπτύσσεται ραγδαίως και οι
ηλεκτρονικοί εγκληματίες θα στοχεύουν
ολοένα και περισσότερο στις
φορητές συσκευές με Android και Apple
OS, ενώ παράλληλα θα ενταθούν οι
επιθέσεις στις κρίσιμες και κυβερνητικές
υποδομές. Ο ομιλητής παρουσίασε
επίσης τις λύσεις που έχει αναπτύξει
η kaspersky για να αντιμετωπίσει τις
σύγχρονες απειλές με μία μόνο πλατφόρμα,
που ενοποιεί όλα τα απαραίτητα
εργαλεία τα οποία αντιμετωπίζουν
με επιτυχία το τρίπτυχο των απαιτήσεων
“προστασία - έλεγχος - διαχείριση”.
2η Ενότητα:
Η καινοτομία, κλειδί για την
αποτελεσματική ασφάλεια
Στη δεύτερη ενότητα, στην οποία συντονιστής
ήταν ο Αρχισυντάκτης του IT
Security Professional, Αμανατίδης
Βλάσης, δόθηκε έμφαση στις στρατηγικές
που πρέπει να αναπτύξουν οι
υπεύθυνοι των τμημάτων IT, προκειμένου
να προστατεύσουν αποτελεσματικά
τα κρίσιμα επιχειρηματικά δεδομένα,
με βάση καινοτόμες ιδέες και προτάσεις.
Σε αυτά τα πλαίσια, ο κος Θανάσης
Παπαδόπουλος, Country Manager
της ITway, ανέλυσε στους συνέδρους
Ο κος Θανάσης
Παπαδόπουλος,
Country Manager της
ITway
τις προκλήσεις
σε σχέση με
την ασφάλεια
που αντιμετωπίζουμε
στην Ελλάδα
αλλά και
σε όλη τη Νότια
Ευρώπη,
λαμβάνοντας
υπόψη τις ιδιαιτερότητες
της
περιοχής που
έχουν προκύψει λόγω της οικονομικής
κρίσης, παρουσιάζοντας παράλληλα τη
στρατηγική και το πολύ μεγάλο φάσμα
των καινοτόμων λύσεων και υπηρεσιών
για την ασφάλεια των πληροφοριών,
στην ευρύτερή της έννοια που διαθέτη
ITway.
Ο κος Chezki Gil,
Territory Sales Manager,
East Mediterranean,
RSA
Στη συνέχεια,
στο βήμα των
ομιλητών ανέβηκε
ο κος Chezki
Gil (Territory
Sales Manager,
East Mediterranean,
RSA) ο οποίος
επικεντρώθηκε
στην εξέλιξη
των προηγμένων
επιθέσεων
και πώς αυτές μπορούν να αντιμετωπιστούν
από καινοτόμες λύσεις, όπως είναι
η ολοκληρωμένη πλατφόρμα ελέγχου
της ασφάλειας της RSA “Security
Analytics” που επιτρέπει τη βέλτιστη
δυνατή ορατότητα και αξιολόγηση των
δεδομένων, καθώς και τη λύση των
RSA Live Integrated Intelligence που
μπορεί να ανακαλύψει κάθε «κρυφή
παθογένεια».
Ο κος Μιχάλης Σαμιωτάκης, Technology
Governance & Security, Assistant
Manager στην PwC, στη δική του
παρουσίαση τόνισε χαρακτηριστικά ότι
«το cloud είναι εδώ και είναι η νέα εποχή»!
Αυτό άλλωστε κατέδειξε η παγ-
security | 21

REPORT
3ο Infocom Security
Ο κος Μιχάλης
Σαμιωτάκης,
Technology Governance
& Security, Assistant
Manager, PwC
κόσμια έρευνα
για την Ασφάλεια
Πληροφοριών
που διεξήχθη
από την
PwC, όπου ειδικά
για την Ελλάδα
το 33%
των συμμετεχόντων
ανέδειξε
μεταξύ άλλων
ως πρώτη
προτεραιότητα
τη χάραξη μιας στρατηγικής για την
ασφαλή μετάβαση σε αυτό. Ο ομιλητής,
αφού στη συνέχεια παρουσίασε
τις top 10 απειλές που αναδείχθηκαν
από την έρευνα η οποία δημοσιεύθηκε
πριν ένα μήνα από το Top Threats
working Group του CSA - στο οποίο
η PwC συμμετέχει ενεργά ως ένα από
τα founding members - αναφέρθηκε
στην αξιόπιστη λύση του Third Party
Assurance, που είναι αναγνωρισμένο
από το CSA και παρέχεται από όλους
τους leading CSPs, σύμφωνα με την
Gartner.
Ο κος Πάνος
Δημητρίου, CTO & cofounder,
Encode
Στη σύγχρονη
προσέγγιση
των Big Data
Analytics και
την άμυνα απέναντι
στις προηγμένες
επιθέσεις
APT, με
θεμέλιο πρωτοποριακές
λύσεις
και υπηρεσίες
στην
ασφάλεια, επικεντρώθηκε η παρουσίαση
του κου Πάνου Δημητρίου,
CTO & co-founder της Encode. Ο
ομιλητής επισήμανε την ανάγκη επαναπροσδιορισμού
του φαινομένου
των APT, λαμβάνοντας υπόψη την
πολυπλοκότητα και ευελιξία του προβλήματος,
όπως επίσης και τον ανθρώπινο
παράγοντα που υπεισέρχεται
σε αυτό. Τόνισε ακόμα την ανάγκη
επανακαθορισμού της cyber στρατηγικής,
με πυλώνα την ασφάλεια των
Big Data Analytics και την έγκαιρη
προειδοποίηση για τις ενδεχόμενες
απειλές.
Ο κος Συμεών
Καλαματιανός,
Διευθυντής IT Risk
Consulting στην KPMG
Ο κος Συμεών
Καλαματιανός,
Διευθυντής
IT Risk
Consulting
στην KPMG,
στα πλαίσια
της δικής του
παρουσίασης
παρέθεσε
πρόσφατες
έρευνες της
εταιρείας, που
καταδεικνύουν την ασφάλεια ως την
πλέον σημαντική πρόκληση που αντιμετωπίζουν
οι Οργανισμοί στην υιοθέτηση
ενός cloud περιβάλλοντος.
Επίσης αναφέρθηκε στις αναφορές
Service Organization Control (SOC)
και πώς αυτές μπορούν να αξιοποιηθούν
αποτελεσματικά. Παράλληλα,
ανέπτυξε το πώς οι υπηρεσίες και η
μεθοδολογία «IT Attestation» της
KPMG μπορούν να βοηθήσουν αποτελεσματικά
στην κατεύθυνση της
διασφάλισης της προστασίας, εμπιστευτικότητας
και διαθεσιμότητας
των δεδομένων.
Ο κος Σωτήρης Δ.
Σαράντος, Σύμβουλος
Δικτυακών Λύσεων της
Digital Sima
Την προσέγγιση της Trend Micro για
την προστασία του Server Farm, μας
παρουσίασε ο κος Σωτήρης Δ. Σαράντος,
Σύμβουλος Δικτυακών Λύσεων
της Digital Sima, προβάλλοντας
τα βασικά
πλεονεκτήματα
της ενοποιημένης
πλατφόρμας
ασφαλείας
«Trend Micro
Deep Security»
για την
προστασία φυσικών,
virtual
και cloud υποδομών.
Η συγκεκριμένη
λύση
συνδυάζει όλα τα απαραίτητα εργαλεία
ασφάλειας για VMware περιβάλλοντα
και παράλληλα ενισχύει την
απόδοση των πόρων των υποδομών
του Οργανισμού.
Ο κος Ανέστης
Δημόπουλος,
Αντιπρόεδρος του Δ.Σ.
του ISACA Athens
Chapter
Οι παρουσιάσεις
της 2 ης
ενότητας του
συνεδρίου
έκλεισαν με
την ομιλία του
Αντιπρόεδρου
του Δ.Σ. του
ISACA Athens
Chapter,
κου Ανέστη
Δημόπουλου,
που ανέπτυξε
τη μεθοδολογία
για τη βελτιστοποίηση της αξιοποίησης
των Big Data προς όφελος
των επιχειρήσεων, ενώ παράλληλα
προσέγγισε το κρίσιμο ζήτημα διαχείρισης
των ρίσκων που προκύπτουν,
θέτοντας και απαντώντας σε κρίσιμα
ερωτήματα, όπως: Πού πρέπει να
αποθηκεύουμε το μεγάλο όγκο δεδομένων;
Πώς μπορούμε να τα προστατεύσουμε
και να τα αξιοποιήσουμε
με νόμιμο τρόπο και τι κάνουμε με
τα «τοξικά» δεδομένα;
22 | security

3η ενότητα: Προσαρμογή
στις εξειδικευμένες ανάγκες
Στα πλαίσια της τρίτης ενότητας, που
συντόνισε ο Δρ. Βασίλης Βλάχος, Καθηγητής
Εφαρμογών του Τμήματος Τεχνολογίας
Πληροφορικής και Τηλεπικοινωνιών
στο ΤΕΙ Λάρισας, παρουσιάστηκαν
από τους ομιλητές λύσεις που
καλύπτουν συγκεκριμένες απαιτήσεις και
προσαρμόζονται σε εξειδικευμένες
ανάγκες στο επιχειρηματικό περιβάλλον.
Την εναρκτήρια ομιλία στην 3 η ενότητα
έκανε ο κος
Κώστας Κολοκοτρώνης,
Manager,
Security
Architecture
Services της Encode,
που επικεντρώθηκε
στις
διαδικασίες
Ο κος Κώστας ελέγχου των
Κολοκοτρώνης, διαχειριστών
Manager, Security
Architecture Services των IT υποδομών,
αναφέρον-
της Encode
τας χαρακτηριστικά
για τους διαχειριστές ότι: “ ...δεν
μπορούμε να “ζήσουμε” χωρίς αυτούς,
δεν μπορούμε να τους “περιορίσουμε”
σε μεγάλο βαθμό, πρέπει όμως να βρούμε
τρόπο ώστε να τους παρακολουθούμε
στενά’’. Η παραπάνω προσέγγιση
σύμφωνα με τον ομιλητή, δεν είναι απλά
μια βέλτιστη πρακτική, αλλά μια θεμελιώδης
αρχή ασφάλειας.
Ο κος Πάτροκλος
Αργυρούδης (PhD),
Ερευνητής Ασφάλειας
Η/Υ, Υπεύθυνος
Έρευνας και Ανάπτυξης
της εταιρείας Census
Στην αξία της
έρευνας ευπαθειών
στις δοκιμές
παρείσδυσης
αναφέρθηκε
στη συνέχεια
ο κος Πάτροκλος
Αργυρούδης
(PhD),
Ερευνητής
Ασφάλειας Η/Υ,
Υπεύθυνος
Έρευνας και
Ανάπτυξης της
εταιρείας Census.
Ο ομιλητής, αφού στην αρχή της
παρουσίασής του προσδιόρισε τον ορισμό
για την έρευνα ευπαθειών, στη συνέχεια
περιέγραψε το πώς βελτιώνει μια
δοκιμή παρείσδυσης η έρευνα ευπαθειών,
κατά την οποία η ερευνητική ομάδα
λειτουργεί παράλληλα με την ομάδα δοκιμών
παρείσδυσης, εντοπίζει νέες αδυναμίες
σε λογισμικό ή συστήματα που
έχουν χαρακτηριστεί ως ενδιαφέροντα
και τροφοδοτεί την ομάδα δοκιμών παρείσδυσης
με νέα εργαλεία και exploits
για συγκεκριμένες αδυναμίες. Έτσι η δοκιμή
παρείσδυσης μπορεί πλέον να εξετάσει
και το σενάριο στοχευμένης επίθεσης,
το σενάριο εκμετάλλευσης αδυναμίας
με 0-day exploits, την ορθή λειτουργία
των proactive μηχανισμών
ασφάλειας και την ετοιμότητα απέναντι
σε μια αγνώστου φύσης απειλή.
Το παρόν και
το μέλλον του
PKI ανέπτυξε
στην παρουσίασή
του ο κος
Δημήτρης Παπίτσης,
Senior
Premier Field
Engineer της
Ο κος Δημήτρης
Παπίτσης, Senior
Premier Field Engineer
της Microsoft Hellas
Microsoft Hellas,
παραθέτοντας
τα χρόνια
προβλήματα
του PKI καθώς και τις λύσεις που προωθούνται
για τη νέα εποχή. Οι αλλαγές
που συντελούνται στο PKI, σύμφωνα με
τον ομιλητή περιλαμβάνουν καινούριους
αλγόριθμους (SHA-256 κ.λπ.), υποστήριξη
clients (ΟS, browser, custom-made
apps) αλλά και συνέχιση του παλαιού
προτύπου για CAs (X.509) και συνδυασμό
updates/CRLs/ OCSPs.
Η επόμενη παρουσίαση έγινε από κοινού
από τον κο Ανδρέα Λάλο, Professional
Services Director της Besecure
και την κα Amy Marion, Marketing Director
της ObserveIT και αφορούσε στις
διαδικασίες του log analysis, παρουσιάζοντας
τις σημαντικές προκλήσεις που
υπάρχουν, όπως το μεγάλο όγκο και την
Ο κος Ανδρέας Λάλος,
Professional Services
Director της Besecure.
H κα Amy Marion,
Marketing Director της
ObserveIT
Guy Eilon, South East
Europe Regional
Manager, Websense
“Trends in the Threat
Landscape”
πολυπλοκότητα
των Log, καθώς
και τις λύσεις
που διαθέτει η
ObserveIT και
καλύπτουν σε
μεγάλο βαθμό
τις σύγχρονες
απαιτήσεις για
απομακρυσμένη
παρακολούθηση,
μείωση του
κόστους συμμόρφωσης
και
άμεση “root cause
ανάλυση”.
Εκπροσωπώντας
την εταιρεία
Websense και
διαθέτοντας
μεγάλη εμπειρία
στον τομέα της
ασφάλειας, ο
κος Guy Eilon
(South East Europe
Regional
Manager, Websense)
είχε στη
συνέχεια την ευκαιρία
να προβάλει
στους συνέδρους
τα ποιοτικά
και ποσοτικά
χαρακτηριστικά
των σύγχρονων
απειλών
του διαδικτύου, επισημαίνοντας παράλληλα
την ανάγκη για μείωση της πολυπλοκότητας
των λύσεων ασφαλείας και
την ενίσχυση του Total Cost of Ownership,
στοιχεία που καλύπτονται πλήρως
από τη λύση TRITON της Websense
που μας παρουσίασε.
Η 3 η ενότητα του συνεδρίου έκλεισε με
την ομιλία του κου Γιώργου Σπηλιώτη
(Freelancer IT Consultant και ECC Certified
Ethical Hacker), που παρουσίασε
στους συνέδρους τα χαρακτηριστικά του
“Two factor authentication” το οποίο
προσφέρει αυξημένη ασφάλεια κατά τη
security | 23

REPORT
3ο Infocom Security
Ο κος Γιώργος
Σπηλιώτης, Freelancer
IT Consultant και ECC
Certified Ethical Hacker
διαπίστευση
χρηστών, με περισσότερα
του
ενός αποδεικτικά
- όπως συμβαίνει
για παράδειγμα
με τη
χρήση των
ΑΤΜ (PIN +
κάρτα). Κατά
την παρουσίαση
του κου Σπηλιώτη
είχαμε επίσης
την ευκαιρία να μάθουμε για τις μεθόδους
υλοποίησης του TFA, καθώς και να
δούμε αρκετά παραδείγματα χρήσης του
σε cloud υπηρεσίες.
4η ενότητα: Νέας γενιάς Hacking
και ο ιδιότυπος παγκόσμιος
κυβερνοπόλεμος
Το 3o Infocom Security έκλεισε με την
τέταρτη ενότητα, κατά την οποία έμπειροι
εισηγητές παρουσίασαν στους συνέδρους
τα ποσοτικά και ποιοτικά χαρακτηριστικά
των σύγχρονων ηλεκτρονικών
εγκληματιών και των μεθόδων των
επιθέσεων που πραγματοποιούν με στόχο
την υφαρπαγή δεδομένων ή την ακτιβιστική
δράση, προβάλλοντας παράλληλα
τεχνικές για την αντιμετώπιση αυτών
των φαινομένων.
Στα πλαίσια λοιπόν της 4 ης ενότητας, ο
κος Κώστας Παπαδάτος, COO & cofounder
της Encode, μας παρουσίασε
την “ανατομία”
των σύγχρονων
επιθέσεων με
στόχο το οικονομικό
όφελος,
επισημαίνοντας
τις μεγάλες αλλαγές
που
Ο κος Κώστας
Παπαδάτος, COO &
co-founder της Encode
έχουν συντελεστεί
στις μεθόδους
που χρησιμοποιούν
πλέον
οι επιτιθέμενοι, εισάγοντας ακόμα και
τον όρο ‘‘Malware as a Service’’ (Maas).
Επίσης τόνισε την ανάγκη να ξεφύγουμε
από τους παραδοσιακούς τρόπους
ελέγχου και ασφάλειας, τονίζοντας ιδιαίτερα
ότι η τεχνολογία από μόνη της
δεν είναι αρκετή αλλά απαιτείται παράλληλα
η εκπαίδευση όλων των χρηστών
τραπεζικών online υπηρεσιών.
‘‘Η εξέλιξη και
το μέλλον των
επιθέσεων παρείσδυσης
- Η
πραγματικότητα
ένα χρόνο μετά’’
ήταν το θέμα
που ανέπτυξε ο
κος Χρήστος
Ο κος Χρήστος
Βιδάκης, Διευθυντής, IT
Advisory, Risk and
Management Consulting
της KPMG
Βιδάκης (Διευθυντής,
IT Advisory,
Risk and
Management
Consulting,
KPMG), θέτοντας στο επίκεντρο σημαντικά
ζητήματα όπως είναι τα κίνητρα των
δράσεων Hacking - αν δηλαδή έχουν ως
αφετηρία κάποια ιδεολογία ή είναι απλά
Bussiness - ενώ παράλληλα μας παρουσίασε
διάφορα σενάρια επίθεσης με τη
χρήση εταιρικών πόρων (botnets). Επίσης
παρακολουθήσαμε με ιδιαίτερο ενδιαφέρον
μια επίδειξη που πραγματοποίησε
ο κος Βιδάκης και αφορούσε σε
σενάρια επίθεσης με την υποκλοπή κωδικών
πρόσβασης, κλείνοντας την παρουσίασή
του με το συμπέρασμα ότι
απαιτούνται νέα αξιώματα ασφάλειας.
Στην παρουσίασή του ο κος Μιχάλης
Καλκαβούρας, (Technology Consulting
της Accenture), αφού επισήμανε ότι σήμερα
οι επιθέσεις είναι πολλαπλές και
μεταβάλλονται συνέχεια, τόνισε την
ανάγκη να εντοπίζουμε και να ασφαλίζουμε
τους πόρους του ΙΤ και όχι μόνο
την περίμετρο, να δημιουργούμε μια
ισχυρή κουλτούρα ασφάλειας στην επιχείρηση,
να δώσουμε
μεγαλύτερη
προσοχή
στις εφαρμογές
καθώς και στον
έλεγχο της ταυτότητας
του κάθε
χρήστη και
τέλος να αναπτύξουμε
ακό-
Ο κος Μιχάλης
Καλκαβούρας,
Technology Consulting μα περισσότερο
την έννοια
της Accenture
του «Cyber Situational Awareness».
Ο κος Θανάσης
Διόγος, Security
Engineer της Microsoft
Hellas
Το συνέδριο
έκλεισε με την
ομιλία του κου
Θανάση Διόγου,
Security
Engineer της
Microsoft Hellas,
που περιέγραψε
- παρουσιάζοντας
χαρακτηριστικά
παραδείγματα -
το προφίλ και τους τρόπους δράσης των
Anonymous μέσα από τα Social media,
τα λεγόμενα “Online Riots” και επιθέσεις
DDOS, ενώ παράλληλα επισήμανε τα
νέα μοντέλα που απαιτούνται να υιοθετηθούν
για την αντιμετώπιση των συγκεκριμένων
φαινομένων. Ο ομιλητής έκλεισε
“αποκαλύπτοντας” ότι το ΜΠΑ στο
τίτλο της παρουσίασής του “Δεχόμαστε
επίθεση; ΜΠΑ!” προέρχεται από το Μόνιμη
Προηγμένη Απειλή, τονίζοντας ότι
δεν υπάρχουν καθόλου περιθώρια εφησυχασμού.
Θα πρέπει επίσης να αναφέρουμε ότι
κατά τη διάρκεια των εργασιών του συνεδρίου
στην ολομέλεια, διοργανώθηκαν
παράλληλα Security Labs από τις
εταιρείες Space Hellas, ODYSSEY
CONSULTANTS και ESET HELLAS,
καθώς επίσης και από το ISACA – Athens
Chapter.
24 | security

Ιδιαίτερα πολύτιμη για την επιτυχία του Infocom Security 2013 ήταν η υποστήριξη των χορηγών – εταιριών του συνεδρίου.
Συγκεκριμένα, για ακόμα μια χρονιά Μεγάλος Χορηγός ήταν η Encode, ενώ Χρυσοί Χορηγοί ήταν οι ITway, Odyssey
Consultants και Space Hellas.
Χορηγοί του συνεδρίου ήταν οι εταιρίες Besecure, Census, Digital Sima, Eset Hellas, Intracom Telecom, IT
Open Solutions, Kaspsersky Lab, KPMG, McAfee, NSS & Sophos, PWC και RSA.
Το συνέδριο υποστήριξαν επίσης οι εταιρίες E-systems, HOL, Lighthouse, Phoenix Pro, PremiumIT και Τ&Κ
ενώ ιδιαίτερα σημαντική ήταν και η υποστήριξη του ISACA Athens Chapater, του HEPIS και των χορηγών επικοινωνίας.
iTSecurity
security | 25

I SSUE
Της Παναγιώτας Τσώνη
Mobile Device Management
H αναγκαιότητα και οι απαιτήσεις
Η νέα πραγματικότητα στο ΙΤ των επιχειρήσεων, που θέλει τις φορητές εταιρικές ή προσωπικές
συσκευές των χρηστών να εντάσσονται στο υπολογιστικό οικοσύστημα του Οργανισμού,
απαιτεί τους κατάλληλους μηχανισμούς διαχείρισης, που θα ελαχιστοποιήσουν τα ρίσκα
που προκύπτουν από τη “φιλοξενία” των συσκευών αυτών στις ΙΤ υποδομές.
O
ι φορητές συσκευές, κυρίως smartphones και tablets, αξιοποιούνται πλέον ευρέως τόσο για ατομική χρήση όσο
και σε εταιρικό επίπεδο. Και αυτό γιατί εισάγουν ένα υψηλό επίπεδο ευχρηστίας φέροντας πληθώρα εφαρμογών,
επιτρέποντας την άμεση πρόσβαση στο Internet και αξιοποιώντας πλήρως τις WEB και cloud εφαρμογές. Όλα
τα προαναφερόμενα τις καθιστούν ένα πολυεργαλείο που ο καθένας θέλει να χρησιμοποιεί για την απλοποίηση
των καθημερινών διεργασιών του και στο εργασιακό περιβάλλον.
Σε πρώτη φάση και λόγω της προσιτής τιμής τους πλέον, οι φορητές συσκευές εισήχθησαν στην επιχειρησιακή πραγματικότητα
από τους ίδιους τους χρήστες και μάλιστα σε μεγάλο αριθμό. Έτσι δημιουργήθηκε το πρώτο πρόβλημα για τους ΙΤ διαχειριστές,
οι οποίοι είναι αυτοί που πάντοτε είναι υπεύθυνοι για την εισαγωγή νέου υλικού στην εταιρική δομή, στα πλαίσια εφαρμογής της
κεντρικής πολιτικής. Στην προκειμένη περίπτωση και λόγω των προαναφερομένων δυνατοτήτων των φορητών συσκευών “υπέκυψαν”
στη νέα πραγματικότητα, αλλά απεδείχθησαν ανέτοιμοι να αντιμετωπίσουν όλα τα θέματα ασφάλειας που ανέκυπταν α-
πό τη νέα τεχνολογία. Κι αυτό γιατί στο παρελθόν όλο το υλικό και λογισμικό της εταιρείας αποτελούσε κτήμα της και βρισκόταν
υπό τον πλήρη έλεγχό της, από τη στιγμή εισαγωγής της στο σύστημα.
Κατά συνέπεια, για να είναι ωφέλιμη η χρήση φορητών συσκευών για μία επιχείρηση, πρέπει να γίνει επανακαθορισμός των πολιτικών
ασφαλείας που θα εφαρμόζονται, να διαμορφωθούν εκ νέου τα εργαλεία παροχής προστασίας ή να αποκτηθούν νέα και
26 | security

καταλληλότερα και γενικά να υπολογιστούν προσεκτικά όλα
τα διαχειριστικά θέματα που ανακύπτουν και φυσικά καλύπτουν
ένα ευρύ φάσμα. Ακολούθως, σε πρώτη φάση θα αναλυθούν
τα σημεία εκείνα που πρέπει μια εταιρεία να λάβει υπόψη της
κατά την ΙΤ διαχείριση των φορητών συσκευών και εν συνεχεία
θα παρατεθούν οι σημαντικότεροι τομείς που πρέπει να καλύπτει
ένα λογισμικό ασφαλείας που εφαρμόζεται ειδικά για τις
ενδοεταιρικές φορητές συσκευές.
Διαχειριστικά θέματα σχετικά με τις εταιρικές
φορητές συσκευές
Η εισαγωγή των φορητών συσκευών στην επιχειρησιακή πραγματικότητα
συνεπάγεται αφενός τη διευκόλυνση των διεργασιών
του καθημερινού έργου, αλλά και τη λήψη ρίσκου και την
εισαγωγή διαχειριστικών προβλημάτων. Έτσι το ΙΤ τμήμα πρέπει
να εξασφαλίσει τρόπους που αυτές οι συσκευές θα διαμορφώνονται,
θα υπόκεινται σε λειτουργικούς ελέγχους και
δοκιμές και θα συμμορφώνονται με τους κανόνες ασφάλειας
που τίθενται σε επιχειρησιακό επίπεδο, ειδικότερα στις περιπτώσεις
όπου ακολουθείται η πολιτική του Βring Υour Own Device
- BYOD.
Διαμόρφωση συσκευής: Στις περιπτώσεις όπου η εταιρεία
προμηθεύει τους υπαλλήλους της με φορητές συσκευές, το ΙΤ
τμήμα οφείλει προτού τις παραδώσει στον τελικό χρήστη να
τις ενεργοποιήσει, να τις διαμορφώσει και να εγκαταστήσει σε
αυτές όλες εκείνες τις εφαρμογές που θα τις καταστήσουν λειτουργικές
για την επιχείρηση. Παρόλα αυτά, μιας και ο σχεδιασμός
αυτών των συσκευών ήταν για ιδιωτική χρήση, μπορεί
να φέρουν εφαρμογές που να επιτρέπουν στο χρήστη να διαμορφώσει
μόνος του τη συσκευή του, όπως μέσω του iTunes
σε ένα iPad.
Στην περίπτωση όμως που ο καθένας εισάγει στην επιχείρηση
τη συσκευή της επιλογής του, πρέπει να υπάρχει μέριμνα ώστε
η διαμόρφωση και η παρακολούθηση των συσκευών να είναι
εφικτή για κάθε διαφορετικό λειτουργικό σύστημα που υπάρχει
στην αγορά (Android, BlackBerry, iOS και Windows). Σε
αυτό το σημείο είναι που ανακύπτει η ανάγκη ενός λογισμικού
που θα διαχειρίζεται όλες αυτές τις διαφορετικές πλατφόρμες
επιτυχώς και θα ασκεί ταχύ και ουσιαστικό έλεγχο κατά τη λειτουργία
τους, μιας και η κάλυψη αυτού του όγκου συσκευών
με τα παραδοσιακά εργαλεία δεν είναι πλέον εφικτή. Έτσι κάθε
εταιρεία πρέπει να υιοθετήσει μια εφαρμογή διαχείρισης
φορητών συσκευών, MDM: Mobile Device Management.
Επιπρόσθετα, οι αυστηρά επαγγελματικές εφαρμογές που διαθέτουν
οι φορητές συσκευές ίσως χρειαστούν με τη σειρά τους
κάποιες αλλαγές για να συνεργάζονται αρμονικά με τις εταιρικές
εφαρμογές. Για παράδειγμα, για να προστεθεί ένας MDM
agent στη συσκευή, ίσως απαιτηθεί η αναβάθμιση του Microsoft
Exchange ActiveSync και η αλλαγή των πολιτικών του. Με τη
χρήση των δύο ανωτέρω εφαρμογών, θα μπορούσαν οι ΙΤ διαχειριστές
να αποφασίσουν ακόμα και απομακρυσμένα να διαγράψουν
κάποια αρχεία από μία συσκευή ή αν απαιτείται να ε-
φαρμόσουν ολική εκκαθάρισή της και επαναφορά στις εργοστασιακές
ρυθμίσεις λόγω παραβίασης κάποιας πολιτικής α-
σφάλειας.
Έλεγχος εφαρμογών: Οι φορητές συσκευές έχουν την ιδιαιτερότητα
της μικρότερης επεξεργαστικής ισχύος, μνήμης και ο-
θόνης σε σχέση με έναν παραδοσιακό σταθμό εργασίας. Προφανώς,
προτού η ΙΤ διαχείριση και οι διεργασίες της εταιρείας
στηριχτούν σε συγκεκριμένες εφαρμογές, πρέπει πρώτα να δοκιμαστούν
για την επιτυχή λειτουργία τους στις φορητές συσκευές.
Επίσης πρέπει να ελεγχθεί η απόδοση αυτών των ε-
φαρμογών όταν καλούνται να επικοινωνήσουν με το εταιρικό
δίκτυο μέσω Wifi ή μέσω κυψελοειδούς δικτύου, μιας και είθισται
σε αυτές τις περιπτώσεις να υποβαθμίζεται αισθητά.
Ασφάλεια: Ο σημαντικότερος τομέας που πρέπει να αντιμετωπιστεί
από το ΙΤ τμήμα σχετικά με τις φορητές συσκευές, είναι
η προστασία των εταιρικών δεδομένων και διεργασιών που
φέρουν. Ακόμα και αν ένας υπάλληλος αποχωρήσει από την
εταιρεία και διακοπεί η πρόσβασή του στο εταιρικό δίκτυο, στη
φορητή συσκευή του θα διατηρεί ευαίσθητα δεδομένα της ε-
ταιρείας, που πρέπει να ανακτηθούν και να διαγραφούν άμεσα.
Μέτρα ασφαλείας που μπορούν να ληφθούν είναι η χρήση
πιστοποιητικών SSL, η πλήρης κρυπτογράφηση του δίσκου,
η χρήση συστημάτων virtualization του σταθμού εργασίας και
η απομακρυσμένη διαγραφή των συσκευών.
Τα SSL πιστοποιητικά πρέπει να χρησιμοποιούνται όταν η ε-
ταιρεία θέλει να αυθεντικοποιήσει τις συσκευές που συνδέονται
στο δίκτυό της και έχουν πρόσβαση στις εφαρμογές της. Η
πλήρης κρυπτογράφηση του δίσκου της φορητής συσκευής
βοηθά στην αποφυγή απώλειας δεδομένων, αν και δημιουργεί
κάποια προβλήματα συνεργασίας με τις εφαρμογές, ιδιαίτερα
στις περιπτώσεις όπου κάθε χρήστης χρησιμοποιεί την προσωπική
του συσκευή. Η απομακρυσμένη διαγραφή – εκκαθάριση
βοηθά στην αποτροπή πρόσβασης στα εταιρικά δεδομένα.
Οι χρήστες πρέπει να είναι ενήμεροι για τις συνθήκες υ-
πό τις οποίες κάτι τέτοιο θα εφαρμοστεί και επίσης η μέθοδος
εγείρει θέματα σχετικά με τα προσωπικά δεδομένα του χρήστη,
εφόσον τη συσκευή δεν του την έχει προμηθεύσει η ε-
ταιρεία. Τέλος, τα συστήματα Desktop virtualization παρέχουν
πρόσβαση σε εφαρμογές και δεδομένα που είναι κεντρικά α-
ποθηκευμένα και διαχειρίζονται άμεσα από το ΙΤ τμήμα. Οι
χρήστες λειτουργούν μέσω virtual desktops στις φορητές συσκευές
τους, αποφεύγοντας έτσι τον κίνδυνο να διατηρήσουν
στη μνήμη τους δεδομένα της εταιρείας ή να εγκαταστήσουν
εταιρικές εφαρμογές.
security | 27

I SSUE
Mobile Device Management
Η υιοθέτηση του MDM
Όλα τα προαναφερόμενα αποτελούν θέματα που άπτονται της
λειτουργίας του ΙΤ τμήματος κάθε εταιρείας. Ιδανικά, κάθε ε-
ταιρική συσκευή θα έπρεπε να διαχειρίζεται από το ΙΤ τμήμα
καθ’ όλη τη διάρκεια της “ζωής” της, δηλαδή από τη στιγμή που
ενεργοποιείται έως τη στιγμή που αποσύρεται. Το πρόβλημα,
που ενισχύθηκε με την ολιγωρία των εταιρειών στην αρχή της
εμφάνισης των φορητών συσκευών, είναι ότι δεν γίνεται να
προστατεύσεις οτιδήποτε δεν διαχειρίζεσαι και δεν μπορείς
να διαχειριστείς οτιδήποτε δεν βλέπεις.
Γι’ αυτόν το λόγο απαιτείται η υιοθέτηση ενός συστήματος
MDM, ώστε να εξασφαλίζεται η επιθυμητή «ορατότητα» για τις
συσκευές που συνδέονται απομακρυσμένα στο ε-
ταιρικό δίκτυο και να επιτυγχάνεται η διαχείρισή
τους σε όλα τα επίπεδα που απασχολούν
τους ΙΤ διαχειριστές. Φυσικά,
κάθε MDM έχει τα δικά του χαρακτηριστικά
και καλύπτει συγκεκριμένους
τομείς, ενώ η πολυπλοκότητα
αυξάνεται αν ληφθεί υπόψη και η
ποικιλία συσκευών που υπάρχουν
στην αγορά. Έτσι, προτού αποφασιστεί
ποιο λογισμικό θα αποκτηθεί από
την εταιρεία, πρέπει να αποσαφηνιστούν
οι στόχοι της σε σχέση με τη διαχείριση
των φορητών συσκευών. Ακολουθεί μια λίστα
από τομείς που καλύπτουν χαρακτηριστικά και δυνατότητες
των MDM, αν και πρέπει να σημειωθεί ότι είναι δύσκολο
ένα MDM να καλύπτει όλα τα ακόλουθα καθ’ ολοκληρία.
Αρχειοθέτηση φορητών συσκευών: Σημαντική είναι η αρχειοθέτηση
των φορητών συσκευών που ανήκουν στο εταιρικό
δίκτυο, των χαρακτηριστικών που διαθέτουν και των εξαρτημάτων
που φέρουν. Το MDM καταγράφει τις συσκευές και
τα βασικά χαρακτηριστικά τους (μοντέλο υλικού και έκδοση λογισμικού)
και συλλέγει αναφορές για σχετιζόμενα με αυτές ε-
ξαρτήματα, όπως προσαρμογείς ασύρματου δικτύου και φορητές
μνήμες. Επίσης κατηγοριοποιεί τις συσκευές είτε βάσει
του λειτουργικού συστήματος που φέρουν είτε βάσει της κατάστασης
λειτουργίας τους (άγνωστη, εξουσιοδοτημένη κ.ά.).
Για την ανανέωση του αρχείου συσκευών το MDM εκτελεί λειτουργίες
ανίχνευσης σε τακτά χρονικά διαστήματα, σαρώνοντας
τις συνδεδεμένες στο δίκτυο συσκευές και αναζητώντας
διαφοροποιήσεις όπως προσθήκη νέων συσκευών, απόσυρση
παλαιοτέρων ή αλλαγή στην κατάσταση λειτουργίας τους. Τέλος,
με τη βοήθεια του MDM και του GPS που φέρουν πλέον
τα περισσότερα smartphones καταγράφεται με ακρίβεια και η
φυσική θέση της κάθε συσκευής. Το αρχείο μπορεί να αποτελέσει
μέρος της βάσης δεδομένων της εταιρείας και να χρησιμοποιηθεί
για αναζήτηση και εξαγωγή αναφορών.
Διαμόρφωση φορητής συσκευής: Η διαχείριση των φορητών
συσκευών αποτελεί μια πολύπλοκη διαδικασία λόγω των πολυάριθμων
κατασκευαστών και των διαφορετικών λειτουργικών
συστημάτων που φέρουν, σε διαφορετικές επίσης εκδόσεις.
Οι βασικές διαχειριστικές διεργασίες πρέπει να προαποφασιστεί
ποια από τα ανωτέρω θα υποστηρίζουν και εν συνεχεία
να επιλεγεί το κατάλληλο MDM λογισμικό. Φυσικά η
διαχείριση επιβάλλει την εγγραφή της συσκευής
στο εταιρικό δυναμικό, κάτι που επιτυγχάνεται
είτε αυτόματα μέσω MDM είτε
από τον ίδιο το χρήστη, πάντα με την
τελική έγκριση από τους διαχειριστές.
Ακολούθως, ένας MDM agent πρέπει
να εγκατασταθεί στη συσκευή,
κάτι που ανάλογα το λογισμικό γίνεται
είτε χειροκίνητα είτε με συγχρονισμό
μέσω σταθμού εργασίας, email
ή url που δίνεται στο χρήστη μέσω email
ή SMS. Για να καταστεί η συσκευή λειτουργική
για την επιχείρηση πρέπει να παρακαμφθούν
αρκετές από τις εργοστασιακές ρυθμίσεις
που φέρει και να εφαρμοστούν νέες, ώστε ουσιαστικά να α-
ποκλειστεί η χρήση συγκεκριμένων εφαρμογών και να επιτραπεί
η χρήση άλλων. Ορίζονται λοιπόν τυπικές διαμορφώσεις για
κάθε είδους συσκευές, οι οποίες εφαρμόζονται με τη βοήθεια
του MDM μετά την αρχική ενεργοποίηση ή μέσω hard reset,
με τις οποίες μπορούν να οριστούν κωδικοί πρόσβασης, να
προστεθούν κλειδιά registry ή να δημιουργηθούν νέα μενού στις
συσκευές.
Διανομή λογισμικού: Πολλά MDM συστήματα παρέχουν εργαλεία
διανομής και αναβάθμισης των εφαρμογών που φέρουν
οι φορητές συσκευές. Ουσιαστικά βοηθούν τους διαχειριστές
να καθορίσουν και να ομαδοποιήσουν τα δεδομένα που θα α-
ποσταλούν προς τη συσκευή και εφαρμόζουν και τις απαιτούμενες
για τη συσκευή ρυθμίσεις, ώστε να υπάρχει ομαλή λειτουργία
τόσο της συσκευής όσο και της εφαρμογής που ε-
γκαταστάθηκε. Η αποστολή των δεδομένων προς τη συσκευή
ίσως να απαιτεί τη χρήση μη αξιόπιστων ή περιορισμένων
28 | security

WANs - και σε αυτή την περίπτωση το MDM προσφέρει συμπίεση
των δεδομένων, σταδιακή αναβάθμιση και διαχείριση
του εύρους σε σχέση με τον όγκο των δεδομένων, επιχειρώντας
ουσιαστικά την αναβάθμιση ή την ολοκλήρωσή της, μόνο
όταν αναγνωρίζει γρήγορες συνδέσεις με χαμηλό κόστος.
Το MDM φροντίζει για την ορθότητα και ταχύτητα της εκάστοτε
αναβάθμισης, ώστε να μην υπάρξει δυσμενές αντίκτυπο
στη χρήση της συσκευής και να μην απαιτηθεί εκτενής χρόνος
επιδιόρθωσης μιας ανεπιτυχούς αναβάθμισης.
Διαχείριση ασφάλειας: Στις φορητές συσκευές τα θέματα
διαχείρισης της ίδιας της συσκευής και τα θέματα ασφάλειας
που προκύπτουν από αυτή, συγκλίνουν. Για παράδειγμα,
απαιτείται αποσύνδεση μιας συσκευής που δεν χρησιμοποιείται
από εξουσιοδοτημένο χρήστη. Με τη βοήθεια του MDM
επιτυγχάνεται συνεργασία μεταξύ των καταλόγων εξουσιοδοτημένων
χρηστών της εταιρείας και της διαδικασίας αυθεντικοποίησης
ενός χρήστη κατά τη σύνδεσή του στο εταιρικό
δίκτυο και εξασφαλίζεται η διακοπή της επικοινωνίας του
αν αποτύχει να πιστοποιηθεί. Επίσης οι MDM agents βοηθούν
στην εφαρμογή πολιτικών ασφαλείας σχετικά με την εισαγωγή
κωδικών πρόσβασης (πόσες αποτυχημένες προσπάθειες
θα επιτρέπονται) ή αν θα επιτρέπονται επείγουσες
κλήσεις πριν την καταχώριση του κωδικού. Αυτές οι λειτουργίες
ξεπερνούν κατά πολύ τις λειτουργίες που επιτελεί το λειτουργικό
σύστημα οποιασδήποτε φορητής συσκευής. Επιπρόσθετα,
στον τομέα των δεδομένων επιτρέπεται η επιλεκτική
ή ολοκληρωτική διαγραφή τους από τη συσκευή μέσω
MDM, ενώ για την ασφαλή διακίνηση δεδομένων προσφέρουν
ασφαλή κανάλια επικοινωνίας αντί να βασίζονται σε
πρωτόκολλα τρίτων κατασκευαστών. Στον τομέα των εφαρμογών
καθορίζεται η αποδοχή ή απαγόρευση της λειτουργίας
τους, καθώς και μέσω κάποιων ρυθμίσεων απενεργοποιούνται
επικίνδυνες πλατφόρμες λειτουργίας και επισφαλείς
ασύρματες επιλογές.
Προστασία δεδομένων: Πιο αναλυτικά, για την προστασία και
τη διατήρηση της ακεραιότητας των δεδομένων, τα MDM προσφέρουν
κρυπτογράφηση των αποθηκευμένων στις φορητές
συσκευές δεδομένων, ώστε να μην προσπελαύνονται από μη
εξουσιοδοτημένους χρήστες. Επίσης για να μην υπάρξει απώλεια
αυτών των δεδομένων είτε λόγω καταστροφής της συσκευής
είτε λόγω απώλειάς της, τα MDM προσφέρουν απομακρυσμένη
λήψη αντιγράφων ασφαλείας και αποκατάστασή
τους όταν αυτό κρίνεται αναγκαίο. Τέλος, διατηρείται η πορεία
των δεδομένων που μέσω απομακρυσμένου συγχρονισμού ή
μέσω τοποθέτησής τους σε φορητές αποσπώμενες μνήμες α-
ντιγράφονται από εταιρικές φορητές συσκευές, ώστε να μη
μπορούν να κλαπούν.
Έλεγχος και υποστήριξη: Η απόκτηση ενός MDM λογισμικού
έχει ως στόχο να μετακινηθεί το βάρος της συνεχούς ε-
πίβλεψης μιας συσκευής από το ΙΤ τμήμα στη συσκευή του
χρήστη. Έτσι μέσω του MDM agent οι χρήστες μπορούν να α-
νακτήσουν χαμένους κωδικούς πρόσβασης, να καταχωρίσουν
τη συσκευή τους, να λάβουν προαιρετικό λογισμικό που τους
ενδιαφέρει ή να ανακτήσουν χαμένα δεδομένα μέσω των α-
ντιγράφων ασφαλείας. Αν κάποια συσκευή αστοχήσει λειτουργικά,
το MDM μπορεί να εφαρμόσει κατάλληλες ρυθμίσεις
για τη συγκεκριμένη συσκευή, αλλά και να συντάξει αναφορές
για την κατάσταση λειτουργίας της, όπως κατάσταση μνήμης,
μπαταρίας, συνδεσιμότητας. Αν η αστοχία τελεστεί όταν ο χρήστης
βρίσκεται εκτός του φυσικού χώρου της εταιρείας, δίνεται
η δυνατότητα μέσω διαμοιρασμού της οθόνης τους το
MDM να υποστηρίξει τη συσκευή και μάλιστα σε πραγματικό
χρόνο. Επίσης, προς εξυπηρέτηση των ΙΤ διαχειριστών καταγράφεται
το ιστορικό δραστηριότητας των χρηστών και των συσκευών
τους, αλλά χρειάζεται προσοχή στο πόσο λεπτομερείς
και εις βάθος είναι αυτές οι αναφορές. Τέλος και οι φορητές
συσκευές πρέπει σε θέματα ασφάλειας να συμμορφώνονται
με τους κανονισμούς στους οποίους υπόκειται ολόκληρη
η εταιρεία. Μέσω των MDM παράγονται αυτόματα α-
ναφορές αξιολόγησης της λειτουργίας τους, που ουσιαστικά
αποδεικνύουν αν είναι συμβατές με τις πολιτικές ασφάλειας
της εταιρείας.
Προφανώς, κάθε εταιρεία έχει τις δικές της ανάγκες και τους
δικούς της διαχειριστικούς στόχους και δεν απαιτείται το MDM
που θα επιλέξει να φέρει όλα τα προαναφερόμενα χαρακτηριστικά.
Επίσης, δύσκολα ένα MDM προϊόν μπορεί να καλύψει
επαρκώς όλες τις εταιρικές ανάγκες. Με γνώμονα όμως τα α-
νωτέρω, ξεκαθαρίζεται ποιοι είναι οι τομείς δραστηριοποίησης
των MDM, ποιοι από αυτούς καλύπτονται από προγενέστερα
εταιρικά συστήματα διαχείρισης, ποιοι χρήζουν ιδιαίτερης προσοχής
και ποιοι τελικά πρέπει να καλυφθούν. Πριν την τελική
απόφαση είναι σαφές ότι απαιτείται πειραματισμός με τις δοκιμαστικές
εκδόσεις, ώστε να οργανωθεί μια ρεαλιστική στρατηγική
για το χειρισμό των φορητών συσκευών. iTSecurity
security | 29

I SSUE
Της Παναγιώτας Τσώνη
Αναδυόμενες τεχνολογίες
στο Storage
Οι εξελίξεις στην τεχνολογία στον τομέα της αποθήκευσης δεδομένων έχουν οδηγήσει στην
εμφάνιση νέων μεθόδων διαχείρισης του όγκου των πληροφοριών σε μία επιχείρηση, που
αλλάζουν συνολικά τον τρόπο προσέγγισης της αποθήκευσης.
O
ι νέες τεχνολογίες στο storage δεν αποτελούν απλώς αντικείμενο μελέτης και διερεύνησης ως προς την εφαρμοστικότητά
τους στο εταιρικό γίγνεσθαι, αλλά είναι έτοιμες προς χρήση και οι περισσότερες ήδη βρίσκονται στην
αγορά με αρκετούς υποστηρικτές. Καλούμαστε λοιπόν να αναζητήσουμε τους σημαντικότερους νέους τρόπους
αποθήκευσης, που κερδίζουν έδαφος μέρα με τη μέρα και σύντομα θα αποτελούν το επόμενο βήμα επένδυσης
κάθε Οργανισμού.
Σύμφωνα, με τα δεδομένα που προκύπτουν από έρευνες αγοράς στον τομέα του ΙΤ, εκτιμάται ότι μέσα στο 2013 οι περισσότεροι
προμηθευτές αποθηκευτικών μέσων θα αποκλίνουν από το μονοπάτι των σκληρών δίσκων και θα κατευθυνθούν προς τις νέες
τεχνολογίες, όπως είναι τα all-flash arrays, μιας και το κόστος τους μειώνεται αισθητά ενώ η απόδοσή τους βελτιώνεται θεαματικά.
Παράλληλα, στον τομέα της υποστήριξης των εταιρικών εφαρμογών και της αύξησης της ταχύτητας απόκρισης των α-
ποθηκευτικών μέσων, οι SSD δίσκοι θεωρούνται πλέον η καταλληλότερη επιλογή. Από αυτή την πορεία δεν θα μπορούσαν να
30 | security

λείπουν οι cloud τεχνολογίες, που μεταξύ άλλων εισάγουν ευκολίες
και στο Business Continuity, προσφέροντας φθηνές virtual
υποδομές και σχεδόν άμεση αποκατάσταση. Η τεχνολογία
snapshot για τη λήψη αντιγράφων, επίσης αναδεικνύεται ως
μια εξελίξιμη πρόταση αποθήκευσης, μιας και απλοποιεί τις καθημερινές
διεργασίες διασφάλισης των δεδομένων, ενώ πολλά
από τα διατηρούμενα δεδομένα ίσως τελικά καταλήγουν σε
συστήματα που είναι ειδικά σχεδιασμένα να λειτουργούν σε
virtual περιβάλλοντα. Όλες οι προαναφερόμενες τεχνολογίες
διευκολύνουν και απλοποιούν τις διαδικασίες αποθήκευσης και
φύλαξης των δεδομένων και καθεμία προσφέρει υπηρεσίες
που μέχρι σήμερα ήταν χρονοβόρες και απαιτούσαν υψηλή ε-
πεξεργαστική ισχύ.
Αποθήκευση σε all-flash arrays
Αναζητώντας υψηλότερες ταχύτητες απόκρισης από τα αποθηκευτικά
μέσα, η αγορά κατευθύνθηκε προς τα flash συστήματα.
Ως flash array ορίζεται ένα solid state σύστημα αποθήκευσης
που αποτελείται από πολλαπλές flash μνήμες, αντί για
δίσκους. Ως κορυφαία βαθμίδα στον τομέα θεωρούνται τα α-
μιγώς SSD συστήματα, τα οποία αποδίδουν 500.000 - 1.000.000
IOPS (Input/Output Operations Per Second). Στην αμέσως
προηγούμενη βαθμίδα βρίσκονται συστήματα που παρέχουν
100.000 - 200.000 IOPS, αλλά ως δομές δεν απαρτίζονται καθ’
ολοκληρία από SSDs. Ο λόγος λοιπόν που οι εταιρείες κατευθύνθηκαν
προς τα all-flash arrays ως αποθηκευτικά μέσα, ή-
ταν το χαμηλότερο κόστος τους, ενώ με τον καιρό παρατηρήθηκε
υψηλό ποσοστό υιοθέτησής τους.
Από την άλλη μεριά, η χρήση των αμιγών SSD συστημάτων
προέκυψε από την ανάγκη της αύξησης των IOPS ή γενικότερα
της απόδοσης των αποθηκευτικών μέσων, χρησιμοποιώντας
το λιγότερο δυνατό φυσικό χώρο και επενδύοντας το λιγότερο
δυνατό κεφάλαιο. Σε αναλογίες τιμής ανά GB, το κόστος
των SSD συστημάτων φαίνεται υπέρογκο - αν όμως μετρηθεί
η αναλογία τιμής ανά IOPS, τότε η επένδυση φαίνεται λογική.
Ουσιαστικά η τεχνολογία χρησιμοποιείται από επιχειρήσεις
που οι καθημερινές διεργασίες τους βασίζονται σε συγκεκριμένες
εφαρμογές, οι οποίες πρέπει να διατηρούν μια σταθερά
υψηλή απόδοση. Διεργασίες όπως είναι η ανάλυση δεδομένων,
η ψηφιακή απεικόνιση, οι δομές virtual σταθμών εργασίας,
οι εφαρμογές βάσεων δεδομένων, τα συστήματα οικονομικών
συναλλαγών και γενικότερα τα συστήματα που απαιτούν
υψηλό όγκο διακίνησης δεδομένων.
Στις μέρες μας όλοι οι κατασκευαστές SSD συστημάτων πασχίζουν
να ελαττώσουν το κόστος αγοράς τους, καθώς και να
τα τελειοποιήσουν σχεδιαστικά ώστε να παρέχουν τη μεγαλύτερη
απόδοση. Ένας τρόπος μείωσης του κόστους είναι η χρήση
MLC (πολλαπλών κελιών) συστημάτων SSD, αντί για SLC
(απλού κελιού) που είναι πιο ακριβά. Οι SLC flash μνήμες έχουν
μεγαλύτερο χρόνο ζωής, επιτρέποντας έως 100.000 κύκλους εγγραφής,
ενώ είναι πιο αξιόπιστες. Οι MLC μνήμες επιτρέπουν
έως 10.000 κύκλους εγγραφής, αλλά οι κατασκευαστές μέσω ειδικών
πρωτοκόλλων που ρυθμίζουν τον τρόπο εγγραφής, έ-
χουν επιτύχει την αύξηση της απόδοσης και της διάρκειας των
μνημών. Αναμένεται λοιπόν μέσα στο 2013 να σημειωθεί μια αισθητή
απομάκρυνση από τα παραδοσιακά συστήματα αποθήκευσης
των σκληρών δίσκων και ακόμα και σε μικρές επιχειρήσεις
να υιοθετηθούν συστήματα flash arrays.
Business Continuity μέσω cloud
Πολλοί Οργανισμοί στις μέρες μας δεν διαθέτουν την επαρκή
προστασία στον τομέα της αποκατάστασης των δεδομένων
και υπηρεσιών τους από ενδεχόμενη καταστροφή. Και αυτό, γιατί
το κόστος είναι υψηλό, η διαδικασία πολύπλοκη και ίσως α-
ναποτελεσματική για να αξίζει να προστατευθεί μια επιχείρηση
στο σύνολό της. Συνήθως οι πιο κρίσιμες εφαρμογές είναι
εκείνες που χαίρουν πλήρους προστασίας και όλες οι υπόλοιπες
εταιρικές διεργασίες καλύπτονται στο ελάχιστο και α-
πλούστερο δυνατό.
Η τεχνολογία cloud θεωρείται ότι έχει ως έμφυτο χαρακτηριστικό
της την προστασία των δεδομένων και εφαρμογών από
μια ενδεχόμενη καταστροφή των εταιρικών υποδομών και είναι
προσιτή από επιχειρήσεις όλων των βαθμίδων, μιας και ό-
λοι μπορούν να αποστείλουν ένα αντίγραφο ασφαλείας σε μία
cloud υπηρεσία αποθήκευσης. Επιπρόσθετα, μέσω του server
virtualization, όταν οι διεργασίες τοπικά διακοπούν, είναι εφικτό
άμεσα να δημιουργηθούν νέοι servers μέσω cloud και έ-
τσι να προσπελαθούν τα εταιρικά δεδομένα.
security | 31

I SSUE
Αναδυόμενες τεχνολογίες στο Storage
Γενικά, σήμερα θεωρείται ολιγωρία από τα ΙΤ τμήματα των
Οργανισμών, αν δεν έχουν ήδη αποστείλει ένα αντίγραφο α-
σφαλείας σε κάποια cloud υπηρεσία, μιας και με αυτόν τον τρόπο
μετακινούνται από τα παραδοσιακά συστήματα αποκατάστασης
καταστροφών σε ένα περιβάλλον cloud, που παρέχεται
από ένα τρίτο κατασκευαστή. Έτσι, ακόμα και οι μικρές ε-
πιχειρήσεις δεν απαιτείται να επενδύσουν σε υλικό και λογισμικό
για τη διατήρηση των εταιρικών δεδομένων, το οποίο
συνήθως είναι πολύπλοκο ως δομή και έχει υψηλό κόστος, ε-
νώ απαιτεί εργατικό δυναμικό για να είναι αξιόπιστο ως προς
τη λειτουργία του.
Η τεχνολογία εισάγει προβληματισμούς στον τομέα του τρόπου
αποθήκευσης των δεδομένων στο cloud περιβάλλον. Δηλαδή
ανακύπτουν θέματα όπως αν θα εφαρμόζεται η συγχρονισμένη
ή ασύγχρονη ενημέρωση των cloud δεδομένων, με
τα διαρκώς τοπικά μεταβαλλόμενα εταιρικά δεδομένα, ειδικότερα
όταν υπάρχουν προβλήματα δικτυακού εύρους επικοινωνίας.
Επίσης το είδος των δεδομένων που αποθηκεύονται σε
ένα cloud αποθηκευτικό χώρο είναι προς συζήτηση, μιας και
δεν υπάρχει ο απαιτούμενος βαθμός εφησυχασμού από μεριάς
εταιρειών, ώστε να εμπιστευτούν τα κρίσιμα εταιρικά δεδομένα
όπως είναι οι βάσεις δεδομένων τους ή οι κρίσιμες ε-
φαρμογές τους σε έναν τρίτο κατασκευαστή. Είθισται να προτείνεται
ένα συνδυαστικό σύστημα αποκατάστασης καταστροφών,
στο οποίο μετέχουν τόσο τα παραδοσιακά συστήματα
αποθήκευσης όσο και τα νέα cloud περιβάλλοντα, με τέτοιο
τρόπο ώστε να επιτυγχάνεται ο υψηλότερος βαθμός προστασίας
χωρίς να ανακύπτουν θέματα αξιοπιστίας και με το
χαμηλότερο δυνατό κόστος.
Λήψη Αντιγράφων Ασφαλείας μέσω snapshot
Την τελευταία δεκαετία η προστασία των εταιρικών δεδομένων
άρχισε να βασίζεται και στην τεχνολογία array-based snapshot
με λογισμικό λήψης αντιγράφων ασφαλείας. Στις μέρες μας, ό-
λο και περισσότερες πλατφόρμες λογισμικού λήψης αντιγράφων
ασφαλείας φέρουν δυνατότητες ελέγχου και αρχειοθέτησης
των snapshots, ενώ σε μερικές εξ αυτών δίνεται η δυνατότητα
ανάκτησης συγκεκριμένων αρχείων ή αντικειμένων από ένα στιγμιότυπο,
μετατρέποντας έτσι τα στιγμιότυπα σε ουσιαστικό μέρος
της στρατηγικής προστασίας των δεδομένων.
Υπάρχουν πέντε βασικοί λόγοι για τους οποίους τα array-based
snapshots βρίσκονται στην πρώτη γραμμή της προστασίας των
δεδομένων. Αρχικά δεν επιβαρύνουν καθόλου την απόδοση
του συστήματος (μνήμη, επεξεργαστική ισχύ, εύρος) κατά τη
λήψη των snapshots και δεν απαιτούν υψηλό όγκο μετακίνησης
δεδομένων. Δεν διακόπτουν τις εταιρικές διεργασίες παρά για
μερικά δευτερόλεπτα, διατηρώντας την απόδοση του συστήματος
υψηλή και έτσι εξασφαλίζουν ότι τα δεδομένα δεν έχουν
αλλάξει από τη στιγμή έναρξης της λήψης έως την ολοκλήρωση
της διεργασίας. Τέλος υποστηρίζουν την πλήρη ανάκτηση των
δεδομένων σε χρόνο λιγότερο από 30 λεπτά.
Από την άλλη μεριά, τα array-based snapshots καταναλώνουν
περισσότερο αποθηκευτικό χώρο για την αποθήκευση των α-
ντιγράφων που λαμβάνουν, τα οποία επιπρόσθετα τοποθετούν
στο ίδιο σημείο αποθήκευσης. Αυτό σημαίνει ότι μια τυχόν α-
στοχία υλικού οδηγεί σε πλήρη απώλεια των αντιγράφων, κάτι
από το οποίο δεν υποφέρουν τα παραδοσιακά συστήματα
και οι μέθοδοι διατήρησης αντιγράφων ασφαλείας. Γενικότερα,
τα array-based snapshots χρησιμοποιούνται για τη διατήρηση
βραχύβιων αντιγράφων ασφαλείας. Η ιδανική λύση περιλαμβάνει
συνεργασία των array-based snapshots με τα παραδοσιακά
συστήματα αποθήκευσης, ώστε να εξασφαλίζεται
γρήγορη και καθημερινή λήψη αντιγράφων χωρίς να διακόπτονται
οι εταιρικές διεργασίες, ενώ ταυτόχρονα να διατηρούνται
μόνιμα αντίγραφα για περιπτώσεις καταστροφής και
σε βάθος χρόνου.
Προσωρινή Flash Μνήμη server-based
Η server-based flash cache αναδείχθηκε σε σημαίνουσα τεχνολογία
των ημερών, μιας και κορυφαίοι κατασκευαστές (Dell,
EMC, NetApp Inc.) την εισήγαγαν δυναμικά στην αγορά. Αναμένεται
δε να αυξηθεί η ζήτηση γύρω από τη συγκεκριμένη τε-
32 | security

χνολογία, αφού αποτελεί μια απλή τεχνική εισαγωγής προσωρινής
μνήμης σε ένα server, χωρίς να απαιτεί αλλαγές στις ρυθμίσεις
των εφαρμογών ή των υπαρχόντων συστημάτων αποθήκευσης,
ενώ ταυτόχρονα βελτιώνει σημαντικά την τελική απόδοση
του συστήματος. Ουσιαστικά πρόκειται για την τοποθέτηση
μιας flash cache στο server των εφαρμογών αντί για την
τοποθέτησή της στο σύστημα αποθήκευσης, κάτι που περιορίζει
τα φαινόμενα αδράνειας στο δίκτυο. Για περαιτέρω περιορισμό
της αδράνειας – καθυστέρησης, η μνήμη συνδέεται μέσω
διαύλου PCI Express απευθείας στην ΚΜΕ και το σύστημα μνήμης,
από το να συνδεόταν στα SAS/SATA-based SSDs.
Εν γένει το λογισμικό που υποστηρίζει τις cache καθορίζει ποια
είναι τα πιο συχνά χρησιμοποιούμενα δεδομένα και δημιουργεί
ένα αντίγραφό τους στην cache. Οι αλγόριθμοί που εκτελούν
τα ανωτέρω, διαφέρουν ανά κατασκευαστή και συνήθως
απαιτούν ένα συγκεκριμένο χρονικό διάστημα έως ότου η μνήμη
ενημερωθεί πλήρως για να αποδώσει τα μέγιστα. Οι αρχικές
εγγραφές ξεκινούν από το server των εφαρμογών και κατευθύνονται
προς το αποθηκευτικό σύστημα, ενώ η PCIe κάρτα
ενημερώνεται ασύγχρονα ώστε να μην υποβαθμιστεί η α-
πόδοση της εφαρμογής. Το λογισμικό καθορίζει αν η εφαρμογή
μπορεί να εξυπηρετηθεί από την PCIe κάρτα, ώστε να ε-
πιταχυνθεί η διεργασία.
Υπάρχουν κατασκευαστές που υποστηρίζουν ένα πιο πολύπλοκο
σύστημα server-based flash cache, με το οποίο στοχεύουν
να επιταχύνουν τόσο τις εγγραφές όσο και τις αναγνώσεις
στη μνήμη. Οι cache ανάγνωσης και εγγραφής απαιτούν
τη δημιουργία περιπλοκότερου λογισμικού από τον κατασκευαστή,
από ό,τι στις cache μόνο ανάγνωσης, μιας και οι
εγγραφές τελούνται προτού τα δεδομένα εγγραφούν στο μόνιμο
σύστημα αποθήκευσης και έτσι πρέπει να βρεθεί τρόπος
να μη χαθούν τελικά πολύτιμες πληροφορίες.
Πρόβλημα ανακύπτει όταν πρέπει να συνεργαστούν μνήμες
και συστήματα αποθήκευσης διαφορετικών κατασκευαστών.
Θεωρητικά κάτι τέτοιο είναι εφικτό, αλλά τονίζεται ότι η μέγιστη
απόδοση επιτυγχάνεται όταν τα συστήματα που συνεργάζονται
ανήκουν στον ίδιο κατασκευαστή.
Συστήματα αποθήκευσης για Virtual Περιβάλλοντα
Οι έννοιες της ενοποίησης και συγκέντρωσης, τα αναμενόμενα
οφέλη στην αποτελεσματικότητα και το χαμηλό κόστος που
αναμένονταν να επιτευχθούν μέσω των virtual servers και των
VDI (virtual desktop infrastructure) επετεύχθησαν πλήρως, με
μόνο τον τομέα της αποθήκευσης να υπολείπεται στη συνολική
εικόνα. Οι κατασκευαστές καλούνται να αλλάξουν τον τρόπο
που παρέχεται και διαχειρίζεται η αποθήκευση, ώστε να
Το πρώτο εξειδικευμένο
διμηνιαίο συνδρομητικό περιοδικό
στην Ελλάδα, με θεματολογία
στο χώρο της ασφάλειας.
Γραφτείτε συνδρομητές τώρα!
ΕΚΔΟΣΕΙΣ PRESS LINE
ΜΑΓΕΡ 11, 104 38 ΑΘΗΝΑ
ΤΗΛ.: 210.52.25.479, FAX: 210.52.43.345

I SSUE
Αναδυόμενες τεχνολογίες στο Storage
γεννάται μέσα από τα vCenter και να ενσωματώνεται πλήρως
με τις vMachines (VMs).
Μία ομάδα κατασκευαστών υποστηρίζει την τέλεση των αποθηκευτικών
και επεξεργαστικών διεργασιών από το ίδιο σύστημα.
Δηλαδή, η επεξεργαστική ισχύς του συστήματος να
μοιράζεται μεταξύ της διαδικασίας αποθήκευσης και της υποστήριξης
των VMs, με στόχο ουσιαστικά την απλούστευση που
προκύπτει μέσω ενιαίας πλατφόρμας διαχείρισης. Φυσικά ο
διαμοιρασμός των ίδιων υπολογιστικών πόρων (CPU, μνήμη και
δικτύωση) τόσο για επεξεργασία όσο και για αποθήκευση είναι
πιθανό να έχει αρνητικές επιπτώσεις στις vMachines - και
το αντίστροφο.
Παραδοσιακά, η αποθήκευση παρέχεται και διαχειρίζεται από
τους servers σε επίπεδο όγκου δεδομένων ή LUN (logical u-
nit number) και διαμοιράζεται σε όλες τις VMs. Αυτό όμως είχε
ως αποτέλεσμα οι διεργασίες διαχείρισης της αποθήκευσης,
όπως η λήψη snapshot, να μην είναι εφικτή σε επίπεδο VMs,
κάτι που έγινε κατανοητό και αναζητήθηκαν τρόποι διαχείρισης
μέσω ενός VM κεντρικού μοντέλου. Έτσι δημιουργήθηκαν
διττά συστήματα ελέγχου αποθήκευσης, στα οποία όλες οι
διεργασίες διακίνησης δεδομένων των VMs αποθηκεύονται σε
SSDs και γίνεται εφικτή η λήψη αντιγράφων, ενώ τα μη ενεργά
δεδομένα αποθηκεύονται σε SATA δίσκους στο παρασκήνιο.
Το μειονέκτημα της διαχείρισης της αποθήκευσης σε επίπεδο
VM είναι ότι αυτά τα συστήματα αποθήκευσης δεν μπορούν
πλέον να χρησιμοποιηθούν σε μη virtual περιβάλλοντα.
Επιπρόσθετα, η ενσωμάτωση με τους hypervisors υπήρξε ένας
από τους κύριους παράγοντες διαφοροποίησης των προϊόντων
αποθήκευσης που στοχεύουν στους virtualized servers.
Δημιουργήθηκαν APIs αποθήκευσης, που επιτρέπουν τις διαχειριστικές
εργασίες αποθήκευσης να τις αναλάβει ο hypervisor,
όπως είναι το VMware vCenter. Η τεχνολογία VSA (Virtual
storage appliances) υποστηρίζει ένα λογισμικό αποθήκευσης
το οποίο εκτελείται σε μία VM και παρέχεται ως εικόνα VM,
με στόχο το διαμοιρασμό διαφορετικών φυσικών μονάδων α-
ποθήκευσης που ανήκουν σε διαφορετικούς servers, σε ένα κοινόχρηστο
πόρο στον οποίο εκτελούνται virtualized εφαρμογές.
Τέλος διατίθενται ολοκληρωμένες λύσεις UCP (Unified
Compute Platform) που περιλαμβάνουν servers, δικτύωση και
όλα εκείνα τα εξαρτήματα και τις εφαρμογές που απαιτούνται
για την υλοποίηση των virtual servers, των VDI και της cloud
υποστήριξής τους, όλα πλήρως υποστηριζόμενα από τους κατασκευαστές
τους.
Διαμοιρασμός αρχείων μέσω cloud και υπηρεσίες
συγχρονισμού
Με την εξέλιξη των φορητών συσκευών και την ουσιαστική
πλέον ένταξή τους στο εταιρικό περιβάλλον λειτουργίας, κρίθηκε
αναγκαία η ύπαρξη τεχνικής αποθήκευσης σε cloud επίπεδο
όλων εκείνων των δεδομένων που ο χρήστης θα ζητά
πρόσβαση όταν εργάζεται μέσω των συσκευών αυτών. Έτσι
δημιουργήθηκαν οι cloud «τόποι», όπου πλέον βρίσκονται ε-
ταιρικά δεδομένα και μέθοδοι συγχρονισμού όλων των συσκευών
του χρήστη με αυτά.
Ο διαμοιρασμός δεδομένων μέσω cloud τελείται με τρεις διαφορετικούς
τρόπους: μέσω δημόσιου, ιδιωτικού ή υβριδικού
μοντέλου. Αν και η μέθοδος υιοθετήθηκε αρχικά για την απομακρυσμένη
επικοινωνία των εργαζομένων με την εταιρεία, οι
ΙΤ διαχειριστές χρησιμοποίησαν την τεχνική για να αντικαταστήσουν
κάποιους από τους τοπικούς servers αρχείων, μειώνοντας
έτσι το λειτουργικό κόστος.
Οι ανωτέρω αποτελούν τις τρέχουσες επιλογές αποθήκευσης
στους Οργανισμούς και τις επιχειρήσεις που διαρκώς εξελίσσονται.
Στην αγορά ακόμα αναμένονται προϊόντα που αφορούν
στην αποθήκευση μεγάλου μεγέθους αρχείων και μείωσης του
όγκου των δεδομένων στην πρωτογενή αποθήκευσή τους. Ε-
πίσης απαιτούνται πλέον τεχνικές για την υλοποίηση λήψης α-
ντιγράφων ασφαλείας από τις φορητές συσκευές, καθώς και α-
κόμα αναμένονται οι νέες flash μνήμες TLC (Triple-level cell).
Υπό οποιεσδήποτε συνθήκες απαιτείται προσεκτική μελέτη των
αποθηκευτικών στόχων και μια καλή πρόβλεψη για τις μελλοντικές
ανάγκες, ώστε να αποφασιστεί ποια είναι η καταλληλότερη
μέθοδος αποθήκευσης, που θα φέρει το βάρος της εξελικτικής
πορείας της εταιρείας. iTSecurity
34 | security

P RACTICAL
Δρ. Ιωσήφ Ι. Ανδρουλιδάκης
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων
Σύστημα Εντοπισμού & Ενημέρωσης
Χρηστών Κινητών Τηλεφώνων
με Χαμηλό Επίπεδο Ασφάλειας
Π
ερίληψη
Το παρόν άρθρο
αναφέρεται σε ένα
σύστημα βελτίωσης του ε-
πιπέδου ασφάλειας μέσω εντοπισμού και ε-
νημέρωσης χρηστών κινητών τηλεφώνων με χαμηλή
ασφάλεια και βασίζεται στη δημοσίευση “I. Androulidakis and
G. Kandus, PINEPULSE: A system to PINpoint and Educate
mobile Phone Users with Low Security, Proceedings of 7th
International Conference in Global Security, Safety and
Sustainability (ICGS3), Lecture Notes of the Institute for
Η ανάγκη για
την ενίσχυση της ασφάλειας
των κινητών τηλεφώνων γίνεται
επιτακτική και μάλιστα με έναν τρόπο
που να μην επηρεάζει τη
λειτουργικότητα και την ευχρηστία.
Ένα σύστημα βελτίωσης του επιπέδου
ασφάλειας μέσω εντοπισμού και
ενημέρωσης χρηστών των κινητών
τηλεφώνων με χαμηλή ασφάλεια, θα
βοηθήσει στην αποτελεσματική
αντιμετώπιση των απειλών
ασφάλειας.
Computer Sciences, Volume 99, pp
62-66, Aug 2012”.
Το σύστημα το οποίο θα περιγραφεί, α-
ποτελείται από λογισμικό-εφαρμογή που ε-
γκαθίσταται στα κινητά τηλέφωνα και λογισμικό-εφαρμογές-βάσεις
δεδομένων που εγκαθίστανται στους κεντρικούς
εξυπηρετητές των εταιρειών κινητής τηλεφωνίας. Οι
εφαρμογές επικοινωνούν μεταξύ τους μέσω του ιδίου του δικτύου
κινητής τηλεφωνίας με κρυπτογραφημένο τρόπο. Το σύστημα
εκτελεί τρεις λειτουργίες.
security | 35

P RACTICAL
Σύστημα Εντοπισμού & Ενημέρωσης Χρηστών Κινητών Τηλεφώνων
Η πρώτη λειτουργία επιτρέπει τον εντοπισμό (με αυτόματο αλλά
και χειροκίνητο τρόπο) των χρηστών κινητής τηλεφωνίας,
οι οποίοι για διάφορους λόγους έχουν χαμηλό επίπεδο α-
σφάλειας στο κινητό τηλέφωνό τους.
Η δεύτερη λειτουργία προτείνει αυτόματα (με χρήση πολυμεσικού
εκπαιδευτικού υλικού) τις κατάλληλες μεθόδους, κινήσεις
και βέλτιστες πρακτικές που πρέπει να ακολουθήσει ο
χρήστης προκειμένου να επαναφέρει την ασφάλεια σε υψηλά
επίπεδα.
Τέλος, η τρίτη λειτουργία επιτρέπει την κρυπτογραφημένη ε-
πικοινωνία και την ανταλλαγή δεδομένων μεταξύ της εφαρμογής
στο κινητό και των εξυπηρετητών του δικτύου του παρόχου.
Η υιοθέτηση της εφαρμογής αυτής από τους παρόχους
κινητής τηλεφωνίας και η προ-εγκατάστασή της από τους κατασκευαστές
συσκευών, θα βοηθήσουν στην αποτελεσματική
αντιμετώπιση των απειλών ασφάλειας.
Εισαγωγή
Οι απειλές που αντιμετωπίζουν οι χρήστες κινητών τηλεφώνων
αναμένεται να αυξηθούν με τη συνεχώς αυξανόμενη χρήση
εξελιγμένων συσκευών και την πρόσβαση στο διαδίκτυο
μέσω αυτών [1]. Εξάλλου, οι υπηρεσίες μέσω κινητών συσκευών
παρουσιάζουν ιδιαιτερότητες ως προς την ασφάλειά τους
[2]. Οι συσκευές χρησιμοποιούνται τόσο από ενημερωμένους
χρήστες όσο και από χρήστες που αγνοούν ακόμα και τους
βασικούς κανόνες ασφάλειας. Όπως έχει αποδειχθεί σε επιστημονικά
άρθρα [3][4] οι χρήστες κινητών τηλεφώνων παρουσιάζουν
διαφορετικά επίπεδα γνώσεων ως προς την α-
σφάλεια. Στο ίδιο μήκος κύματος, μελέτη από την McAfee έ-
δειξε ότι τα των χρηστών δεν έχουν κανενός είδους α-
σφάλεια [5]. Με άλλα λόγια, παρά το γεγονός ότι οι χρήστες
αναγνωρίζουν την ύπαρξη κινδύνων, εντούτοις δεν προβαίνουν
στις κατάλληλες ενέργειες και πρακτικές ώστε να διασφαλίσουν
το κινητό τους τηλέφωνο [6][7]. Στον εταιρικό χώρο
οι εταιρείες μόλις πρόσφατα - και ήδη καθυστερημένα -
προσπαθούν να αναπτύξουν τα απαραίτητα μέτρα προστασίας
για την εταιρική χρήση κινητών συσκευών [8]. Οι περισσότερες
μάλιστα δεν έχουν καν μια πολιτική ασφάλειας που να
απευθύνεται στη χρήση κινητών τηλεφώνων [9].
Είναι προφανές ότι το επόμενο μεγάλο πεδίο μάχης στην επιστήμη
της ασφάλειας πληροφορικής θα είναι αυτό των κινητών
τηλεφώνων, καθώς τα μέτρα ασφάλειας βρίσκονται ακόμα
σε σχετικά χαμηλό επίπεδο. [10]. Αν και σημαντική αδυναμία,
το γεγονός αυτό αποτελεί παράλληλα και μια μεγάλη ευκαιρία
για τους παρόχους και τους κατασκευαστές τηλεφώνων
να διαδραματίσουν ένα σημαντικό ρόλο στην ασφάλεια, τόσο
μέσω της εκπαίδευσης όσο και μέσω τεχνικών μέσων. Παράλληλα,
τα Σχολεία και τα Πανεπιστήμια θα μπορούσαν να παρέχουν
την κατάλληλη ενημέρωση και εκπαίδευση [11] ώστε α-
πό νωρίς οι χρήστες να αναπτύξουν την κατάλληλη ευαισθησία
και νοοτροπία ασφάλειας, την οποία θα μεταφέρουν και στο
χώρο εργασίας τους αργότερα [12].
Από τα παραπάνω φαίνεται καθαρά πως η ανάγκη για την ενίσχυση
της ασφάλειας των κινητών τηλεφώνων γίνεται επιτακτική
και μάλιστα με έναν τρόπο που να μην επηρεάζει τη λειτουργικότητα
και την ευχρηστία. Το σημερινό άρθρο αναφέρεται
σε ένα σύστημα βελτίωσης του επιπέδου ασφάλειας μέσω ε-
ντοπισμού και ενημέρωσης χρηστών των κινητών τηλεφώνων με
χαμηλή ασφάλεια. Η υιοθέτηση της εφαρμογής αυτής από τους
παρόχους κινητής τηλεφωνίας και η προ-εγκατάστασή της α-
πό τους κατασκευαστές συσκευών, θα βοηθήσουν στην αποτελεσματική
αντιμετώπιση των απειλών ασφάλειας.
Δομή συστήματος
Όπως φαίνεται στην Εικόνα 1, το σύστημα αποτελείται από λογισμικό-εφαρμογή
που εγκαθίσταται στα κινητά τηλέφωνα και
λογισμικό-εφαρμογές-βάσεις δεδομένων που εγκαθίστανται
στους κεντρικούς εξυπηρετητές των εταιρειών κινητής τηλεφωνίας-παρόχων.
Οι εφαρμογές επικοινωνούν μεταξύ τους
μέσω του ιδίου του δικτύου κινητής τηλεφωνίας με κρυπτογραφημένο
τρόπο. Η εφαρμογή που εγκαθίσταται στα κινητά
Εικόνα 1. Η δομή του συστήματος βελτίωσης του επιπέδου ασφάλειας μέσω ε-
ντοπισμού και ενημέρωσης χρηστών κινητών τηλεφώνων με χαμηλή ασφάλεια
τηλέφωνα μπορεί να λειτουργήσει σε όλους τους τύπους συ-
36 | security

σκευών που διαθέτουν εξελιγμένο λειτουργικό σύστημα (π.χ.
Windows Mobile, Symbian, Android, iOS) καθώς επίσης και σε
μεγάλο μέρος απλών συσκευών που διαθέτουν J2ME (Java 2
Micro Edition).
Λειτουργίες Συστήματος
Το σύστημα εκτελεί τρεις λειτουργίες. Η πρώτη λειτουργία ε-
πιτρέπει τον εντοπισμό των χρηστών κινητής τηλεφωνίας, οι ο-
ποίοι για διάφορους λόγους έχουν χαμηλό επίπεδο ασφάλειας
στο κινητό τηλέφωνό τους. Η δεύτερη λειτουργία προτείνει
αυτόματα τις κατάλληλες μεθόδους, κινήσεις και βέλτιστες
πρακτικές που πρέπει να ακολουθήσει ο χρήστης προκειμένου
να επαναφέρει την ασφάλεια σε υψηλά επίπεδα. Τέλος, η τρίτη
λειτουργία επιτρέπει την κρυπτογραφημένη επικοινωνία και
την ανταλλαγή δεδομένων μεταξύ συσκευών και εξυπηρετητών
του δικτύου του παρόχου.
H λειτουργία του εντοπισμού και αξιολόγησης του επιπέδου α-
σφάλειας μιας συσκευής μπορεί να υλοποιείται με αυτόματο ή
χειροκίνητο τρόπο ή και με συνδυασμό τους. Κατά τον αυτόματο
τρόπο η εφαρμογή εξετάζει διαφανώς τις ρυθμίσεις του
κινητού και ενημερώνει το χρήστη για όσες από αυτές βρίσκονται
σε μια κατάσταση που ενέχει κινδύνους ασφάλειας
(π.χ. απενεργοποιημένη η ερώτηση PIN). Παράλληλα, με τη
χειροκίνητη μέθοδο είναι δυνατή η προβολή ερωτήσεων προς
το χρήστη, με τις οποίες μπορούν να ελεγχθούν στοιχεία της
συμπεριφοράς του ως προς την ασφάλεια, τα οποία δεν αποτυπώνονται
άμεσα στις ρυθμίσεις του κινητού. Αντίστοιχα μπορεί
να ερωτάται η υποκειμενική γνώμη του για το πόσο ασφαλής
αισθάνεται. Όπως έχει αποδειχθεί σε επιστημονικές εργασίες
και άρθρα [3][4][13][14], οι χρήστες μπορούν να ομαδοποιηθούν
σε συγκεκριμένες κατηγορίες ασφάλειας βάσει
δημογραφικών και άλλων στοιχείων συμπεριφοράς και τρόπου
χρήσης των κινητών. Έτσι και ο αυτόματος και ο χειροκίνητος
τρόπος μπορούν να τροφοδοτήσουν με στοιχεία την κατάλληλη
εφαρμογή, η οποία εξάγει συμπεράσματα για το συγκεκριμένο
συνδυασμό χρήστη-κινητού. Για την καλύτερη λειτουργία
του συστήματος διατηρούνται βάσεις δεδομένων α-
πό μελέτες σε μεγάλες κατηγορίες χρηστών, που παρέχουν το
κατάλληλο σώμα για την εκπαίδευση του συστήματος. Οι βάσεις
αυτές ενημερώνονται συνεχώς από τα αποτελέσματα και
τις μετρήσεις του συστήματος. Αντίστοιχα, οι απαντήσεις σε κατάλληλες
ερωτήσεις που εξετάζουν τις πρακτικές ασφάλειας
που οι χρήστες ακολουθούν, μπορούν να οδηγήσουν σε ένα
μοντέλο πρόβλεψης της συμπεριφοράς ασφάλειας των χρηστών.
Τέλος, μια σημαντική λειτουργία είναι η σύγκριση των
αυτόματων μετρήσεων σε σχέση με τις απαντήσεις του χρήστη,
όπου μπορεί να διαπιστωθεί κατά πόσο ο χρήστης πραγματικά
γνωρίζει και εφαρμόζει τα μέτρα ασφάλειας. Οι δύο αυτές
μέθοδοι, του αυτόματου εντοπισμού των ρυθμίσεων και
της εξαγωγής στοιχείων από τις απαντήσεις του χρήστη, ολοκληρώνουν
το πρώτο στάδιο, αυτό της αξιολόγησης του επιπέδου
ασφάλειας.
Στο δεύτερο στάδιο υλοποιείται η λειτουργία της ενημέρωσης
του χρήστη. Αφού εξετασθεί η υπάρχουσα κατάσταση του κινητού
και το προφίλ του χρήστη, η εφαρμογή προτείνει τις κατάλληλες
μεθόδους, κινήσεις και βέλτιστες πρακτικές που πρέπει
να ακολουθήσει ο χρήστης προκειμένου να επαναφέρει
την ασφάλεια σε υψηλά επίπεδα. Εάν η συσκευή το επιτρέπει
και ο χρήστης το αποδεχθεί, η αλλαγή των ρυθμίσεων της συσκευής
μπορεί να πραγματοποιηθεί με αυτόματο τρόπο. Ανάλογα
με τις δυνατότητες της συσκευής, στο χρήστη παρουσιάζονται
οδηγίες είτε με τη μορφή κειμένου είτε με τη μορφή
πολυμεσικού υλικού. Ο χρήστης από την πλευρά του, μπορεί
να παραμετροποιήσει διάφορα χρηστικά στοιχεία της εφαρμογής
(διάταξη, μέγεθος, προσανατολισμό, συντεταγμένες,
ρυθμό επικοινωνίας με τον εξυπηρετητή κ.λπ.).
Παράλληλα με τα δύο αυτά στάδια, λαμβάνει χώρα επικοινωνία
και ανταλλαγή δεδομένων μεταξύ της εφαρμογής της συσκευής
και των εξυπηρετητών του δικτύου του παρόχου. Η ε-
πικοινωνία αυτή είναι απαραίτητη για την επικαιροποίηση των
στοιχείων (τα οποία προκύπτουν από το πρώτο στάδιο) που
διαθέτει στην ειδική βάση δεδομένων του συστήματος ο πάροχος.
Με τον τρόπο αυτό είναι δυνατή όπως αναφέρθηκε
πριν, η στατιστική επεξεργασία της συμπεριφοράς ασφάλειας
των χρηστών και η εξαγωγή συμπερασμάτων και μοντέλων
πρόβλεψης συμπεριφοράς. Αντίστοιχα, η επικοινωνία αυτή ε-
πιτρέπει τη διάθεση νέου πολυμεσικού εκπαιδευτικού υλικού
όποτε αυτό είναι διαθέσιμο, αλλά και τον εμπλουτισμό της χειροκίνητης
μεθόδου αξιολόγησης ασφάλειας με νέες ερωτήσεις
όταν παρουσιάζονται νέα επιστημονικά δεδομένα. Η επικοι-
security | 37

P RACTICAL
Σύστημα Εντοπισμού & Ενημέρωσης Χρηστών Κινητών Τηλεφώνων
νωνία αυτή είναι δυνατό να καταγράφει και την ώρα που συνέβησαν
αλλαγές ρυθμίσεων οι οποίες επηρεάζουν την α-
σφάλεια, ώστε να είναι διαθέσιμα ακόμα περισσότερα στατιστικά
στοιχεία. Σε κάθε περίπτωση η επικοινωνία λαμβάνει χώρα
με κρυπτογραφημένο τρόπο για να μην είναι δυνατή η υ-
ποκλοπή της. Ο πάροχος μπορεί εξάλλου να διαθέτει αναβαθμίσεις
για την εφαρμογή ώστε να μπορεί να εξετάζει και ε-
ντοπίζει μεγαλύτερο εύρος ρυθμίσεων του κινητού που αντανακλούν
στην ασφάλειά του.
Στοιχεία που συλλέγονται
Όπως αναφέρθηκε παραπάνω, το σύστημα για να λειτουργήσει
συλλέγει στοιχεία τόσο με αυτόματο όσο και με χειροκίνητο
τρόπο. Τα δεδομένα που συλλέγονται περιλαμβάνουν
ρυθμίσεις του κινητού, δημογραφικά στοιχεία και στοιχεία για
τον τρόπο χρήσης του κινητού. Πιο συγκεκριμένα:
Οι ρυθμίσεις που ελέγχονται διαφανώς από την εφαρμογή είναι
οι εξής:
1) Εάν πρόκειται για κινητό με συμβόλαιο ή καρτοκινητό (από
τα στοιχεία του παρόχου).
2) Ο μέσος μηνιαίος σας λογαριασμός (από τα στοιχεία του
παρόχου).
3) H μάρκα του κινητού (βρίσκεται από τον αριθμό ΙΜΕΙ).
4) Αν διαθέτει εξελιγμένο λειτουργικό σύστημα (π.χ. Symbian,
Windows Mobile, Android, iOS). Αξίζει να σημειωθεί ότι
για τη συγκεκριμένη ρύθμιση το λογισμικό επίσης ρωτάει το
χρήστη ώστε να διασταυρώσει το επίπεδο γνώσης του τελευταίου.
5) Η ενεργοποίηση του PIN στη SIM.
6) Η χρήση συνθηματικού στο Screen-Saver του κινητού.
7) Η κατάσταση του Bluetooth (Ενεργό και ορατό, Ενεργό και
αόρατο, Εντελώς ανενεργό, Απουσία Bluetooth).
8) Αν το κινητό είναι κλειδωμένο για τη συγκεκριμένη μόνο
κάρτα SIM.
Αντίστοιχα, οι ερωτήσεις δημογραφικών και συμπεριφοράς
που καλείται να απαντήσει ο χρήστης μέσα από το αντίστοιχο
γραφικό περιβάλλον:
1) Φύλο.
2) Ηλικία.
3) Επάγγελμα.
4) Πόσα κινητά χρησιμοποιείτε καθημερινώς; Α)1, Β)2, C) >2
5) Διαθέτει εξελιγμένο λειτουργικό σύστημα (π.χ. Symbian,
Windows Mobile, Android); A) Δεν γνωρίζω, Β) Ναι, Γ) Όχι.
6) Έχετε σημειώσει κάπου το ΙΜΕΙ του κινητού σας; A) Δεν
γνωρίζω τι είναι, B) Ναι, C) Όχι.
7) Έχετε χάσει ποτέ το κινητό σας ή σας το έχουν κλέψει; A)
Ποτέ, Β) 1 φορά, Γ) Περισσότερες από 1 φορά.
8) Γνωρίζετε για την ύπαρξη ειδικού εικονιδίου στη συσκευή
σας, το οποίο σας ενημερώνει για την απενεργοποίηση της
κρυπτογράφησης; A) Ναι, B) Όχι.
9) Έχετε ενεργοποιήσει την ερώτηση PIN στην κάρτα σας; Α
Ναι, Β Όχι.
10) Χρησιμοποιείτε συνθηματικό στο Screen-Saver; Α) Δεν
γνωρίζω αν έχει τη δυνατότητα, Β) Δεν έχει τη δυνατότητα,
Γ) Ναι, Δ) Όχι.
11) Έχετε το Bluetooth: A) Αναμμένο και ορατό, Β) Αναμμένο
και αόρατο, Γ) Σβηστό, Δ) Δεν ξέρω τη διαφορά ορατούαόρατου,
Ε) Το κινητό δεν έχει Bluetooth.
12) Δανείζετε το κινητό σας σε άλλους; A) Ποτέ, B) Μόνο για
λίγο και μόνο αν είμαι παρών, C) Ναι.
13) «Κατεβάζετε» λογισμικό στο κινητό σας; A) Δεν γνωρίζω ε-
άν έχει αυτή τη δυνατότητα, B) Όχι, C) Κυρίως
Ringtones/Logos, D) Κυρίως Παιχνίδια, E) Κυρίως Εφαρμογές.
14) Χρησιμοποιείτε Antivirus στο κινητό σας τηλέφωνο; A) Δεν
έχει τη δυνατότητα, B) Δεν γνωρίζω αν υπάρχει τέτοιο
προϊόν για το κινητό μου, C) Γνωρίζω ότι υπάρχει αλλά δεν
χρησιμοποιώ, D) Ναι.
15) Αποθηκεύετε σημαντικά passwords στο κινητό σας (π.χ.
κωδικούς Τράπεζας, Συναγερμών κ.λπ.); A) Όχι, B) Ναι με
«κρυπτογραφημένη» μορφή, C) Ναι, χωρίς «κρυπτογράφηση».
16) Πόσο συχνά κάνετε αντίγραφα ασφαλείας των δεδομένων
του κινητού σας; A) Ποτέ, B) >3 φορές το μήνα, C) 2-3 φορές
το μήνα, D) 1 φορά το μήνα, E) Λιγότερο συχνά.
38 | security

17) Αποθηκεύετε ευαίσθητα προσωπικά δεδομένα στο κινητό
σας (φωτογραφίες/ βίντεο/ ηχογραφήσεις συνομιλιών κ.λπ.);
A) Ναι, B) Όχι.
18) Πόσο ασφαλή θεωρείτε την επικοινωνία μέσω κινητών τηλεφώνων;
A) Πάρα πολύ, B) Πολύ, C) Μέτρια, D) Λίγο,
Ε) Καθόλου.
19) Είστε ενημερωμένοι για το πώς επηρεάζουν την ασφάλεια
του κινητού σας τηλεφώνου οι λειτουργίες και τα τεχνικά του
χαρακτηριστικά; A) Πάρα πολύ, B) Πολύ, C) Μέτρια, D)
Λίγο, Ε) Καθόλου.
Δείκτες ενημέρωσης και ασφάλειας
Από τα δεδομένα που συλλέγει το λογισμικό, εξάγεται ο μέσος
δείκτης πραγματικής ενημέρωσης (mean actual awareness
value-MAAV) όπως επίσης και ο μέσος δείκτης πραγματικής
ασφάλειας (mean actual security value-MASV), όπως αναφέρονται
στο [13]. Οι δείκτες αυτές προκύπτουν ως εξής. Για το
MAAV προστίθεται +1 για κάθε ερώτηση στην οποία ο χρήστης
απαντάει με «Δεν γνωρίζω». Επομένως η μέγιστη βαθμολογία
είναι 7 και λόγω της αρνητικής κλίμακας αποτελεί και
τη χειρότερη περίπτωση. Για το MASV, προστίθεται +1 για κάθε
καλή πρακτική που ακολουθεί ο χρήστης. Ενδεικτικά - και
σύμφωνα με το σύνολο των ερωτήσεων που προηγήθηκαν,
καλές πρακτικές είναι οι παρακάτω: Σημείωση του IMEI, γνώση
του εικονιδίου έλλειψης κρυπτογράφησης, ενεργοποίηση PIN
στην κάρτα, ενεργοποίηση συνθηματικού στο Screen Saver, α-
πενεργοποίηση Bluetooth, μη δανεισμός κινητού, αποφυγή
downloading, χρήση antivirus, μη αποθήκευση συνθηματικών
στο τηλέφωνο, μη αποθήκευση προσωπικών δεδομένων στο
τηλέφωνο. Η μέγιστη βαθμολογία λοιπόν είναι 10, αφού υπάρχουν
10 ερωτήσεις Όπως αναφέρθηκε και νωρίτερα, μέρος
των απαντήσεων του χρήστη μπορούν να διασταυρωθούν α-
πό τις αυτόματες μετρήσεις. Επιπλέον μπορεί να γίνει σύγκριση
του υποκειμενικού δείκτη ασφάλειας που αισθάνεται ο χρήστης
(σύμφωνα με τις απαντήσεις του στις ερωτήσεις 18-19)
σε σχέση με τους αντικειμενικούς δείκτες MAAV και MASV.
Με τον τρόπο αυτό ο χρήστης μπορεί να προστατευθεί από
εσφαλμένες εντυπώσεις που πιθανώς του έχουν δημιουργηθεί,
πιστεύοντας ότι είναι ασφαλής, ενώ στην πράξη δεν είναι.
Συμπεράσματα
Με χρήση του απλού αυτού συστήματος επιτυγχάνεται η μέγιστη
δυνατή προστασία των κινητών, ελαχιστοποιώντας τον παράγοντα
κινδύνου που οφείλεται στο χρήστη. Πλημμελείς πρακτικές
ασφάλειας και εσφαλμένος τρόπος χρήσης ανιχνεύονται
άμεσα, ενώ μέσω της κατηγοριοποίησης του χρήστη σε συγκεκριμένες
κατηγορίες-προφίλ μπορεί να λάβει χώρα η πρόβλεψη
της συμπεριφοράς ασφάλειας. Σε κάθε περίπτωση το κατάλληλο
εκπαιδευτικό πολυμεσικό υλικό είναι σε θέση να βελτιώσει
την αντίληψη του χρήστη ως προς την ασφάλεια, ενημερώνοντάς
τον όποτε αυτό είναι αναγκαίο. Η υιοθέτηση της
εφαρμογής αυτής από τους παρόχους και η προ-εγκατάστασή
της από τους κατασκευαστές συσκευών, θα βοηθήσουν
στην αποτελεσματική αντιμετώπιση των απειλών ασφάλειας στα
κινητά τηλέφωνα. iTSecurity
Αναφορές
1. comScore M:Metrics: Smarter phones bring security risks: Study (2008)
2. Leung, A. Sheng, Y., Cruickshank, H.: The security challenges for
mobile ubiquitous services. Information Security Technical Report,
vol. 12, Issue 3, pp. 162--171 (2007)
3. Androulidakis, I., Kandus, G.: A Survey on Saving Personal Data
in the Mobile Phone. Proceedings of Sixth International
Conference on Availability, Reliability and Security (ARES 2011), pp.
633--638 (2011)
4. Allam, S.: Model to measure the maturity of smartphone security
at software consultancies, Thesis. University of Fort Hare (2009)
5. McAfee: Mobile Security Report 2008 (2008)
6. Trend Micro: Smartphone Users Oblivious to Security. Trend
Micro survey (2009)
7. CPP: Mobile phone theft hotspots. CPP survey (2010)
8. ABI Research, Study: Enterprises Need to Address Cell Phone
Security (2009)
9. TechRepublic: Survey respondents say companies are lax on
mobile security. TechRepublic article (2007)
10. Goode Intelligence: Mobile security the next battleground (2009)
11. National Cyber Security Alliance (NCSA): Schools Lacking Cyber
Security and Safety Education (2009)
12. Cable & Wireless: Workers lack mobile phone etiquette (2009)
13. Androulidakis, I., Kandus, G.: Feeling Secure vs. Being Secure,
Proceedings of 7th International Conference in Global Security,
Safety and Sustainability (ICGS3), Lecture Notes of the Institute
for Computer Sciences, Volume 99, pp 235—242 (2012)
14. King N. J, Jessen P. W.: Profiling the mobile customer – Privacy
concerns when behavioral advertisers target mobile phones.
Computer Law & Security Review, vol. 26, Issue 5, pp. 455--478
(2010)
security | 39

P RACTICAL
Ethical Hacking και
Κωνσταντίνος Βαβούσης
Strategic Manager
Trust-IT
kvav@trust-it.gr,
Τεχνική Επιμέλεια:
Ιωάννης Πετρόπουλος
IT Security Engineer, Trust-IT
εργαλεία ελέγχων ασφαλείας
Μ
ε το δεδομένο αυτό
είναι αναγκαίο
να εξασφαλίζεται σε
πρώτο χρόνο ο σαφής
σχεδιασμός της αρχιτεκτονικής α-
σφάλειας, της πολιτικής αλλά και των
διαδικασιών που έχουν υιοθετηθεί από το
τμήμα πληροφορικής της εκάστοτε εταιρείας.
Για την υλοποίηση των παραπάνω γίνεται όλο και πιο δημοφιλής
ως πρακτική ασφαλείας το ethical hacking.
Ένας ethical hacker συνήθως απασχολείται από μια εταιρεία,
η οποία τον εμπιστεύεται στον έλεγχο των πληροφοριακών
της υποδομών. Προσπαθώντας να διεισδύσει στο δίκτυο και
τα υπολογιστικά συστήματα της εκάστοτε εταιρείας, χρησιμοποιεί
τις ίδιες μεθόδους με έναν κακόβουλο εισβολέα, με
Με την ανάγκη
για ασφάλεια συνεχώς
να αυξάνεται σε Οργανισμούς
και επιχειρήσεις - κυρίως εκείνων
που σχεδιάζουν να υιοθετήσουν
νέες τεχνολογίες όπως IT outsourcing,
virtualization και cloud computing,
θα πρέπει να υπάρχει η ικανότητα
να προσδιορίζεται και να
αντιμετωπίζεται κάθε απειλή
αποτελεσματικά και
με συνέπεια.
σκοπό την επιτυχή εύρεση και
τον καθορισμό των τρωτών σημείων.
Τη σημερινή εποχή οι ethical
hackers είναι μηχανικοί ασφαλείας με
προηγμένες γνώσεις πληροφορικής, οι
οποίοι εξειδικεύονται σε ελέγχους ασφαλείας
πληροφοριακών συστημάτων, χρησιμοποιώντας
ποικίλες μεθόδους, με σκοπό τη διασφάλιση των δικτυακών
υποδομών - τόσο ιδιωτών όσο και εταιρειών.
Το προσωνύμιο “white hat”, συνώνυμο του “ethical
hacker”, κατά το οποίο υποδηλώνεται ο χρήστης ο οποίος
προστατεύει και διασφαλίζει πληροφοριακά συστήματα,
δόθηκε κατά την πρώιμη εποχή της πληροφορικής, υποδηλώνοντας
το χρήστη ο οποίος προστατεύει και διασφαλίζει
40 | security

πληροφοριακά συστήματα. Όταν ακούμε επομένως το χαρακτηρισμό
hacker, δεν θα πρέπει να πηγαίνει πάντοτε ο
νους μας στο κακό.
Σε κάθε περίπτωση όμως, όταν προσπαθούμε να διεισδύσουμε
σε μια πληροφοριακή υποδομή προτού αποκτήσουμε
είτε παράνομη είτε νόμιμη πρόσβαση σε ένα δίκτυο, θα
πρέπει να γνωρίζουμε ποια είναι τα πιο αδύναμα σημεία. Για
να αποκτήσουμε αυτή τη γνώση χρησιμοποιούμε εργαλεία
ανίχνευσης ευπαθειών για να αποκαλυφθούν τα τρωτά σημεία
του εκάστοτε δικτύου, όπως ποιες δικτυακές πόρτες είναι
ανοιχτές, αν υπάρχουν γνωστές ευπάθειες σε εγκατεστημένες
εφαρμογές ή στα λειτουργικά συστήματα κ.λπ.
Υπάρχουν δεκάδες εργαλεία ethical hacking διαθέσιμα,
ορισμένα δωρεάν και άλλα με κάποιο χρηματικό αντίτιμο, τα
οποία ενδεχομένως να φανούν χρήσιμα σε όσους από εσάς
επιθυμείτε να πραγματοποιήσετε έναν έλεγχο ασφαλείας στο
εταιρικό σας δίκτυο, σε μια προσπάθεια να ανακαλύψετε κατά
πόσο είναι ευπαθές τόσο σε εξωτερικές, όσο και σε ε-
σωτερικές απειλές.
Εργαλεία όπως το Wireshark, το Nessus, το Nmap, το
Kismet, το Netcat, το John The Ripper, το Snort και
πολλά ακόμη, μπορούν να βοηθήσουν στην ανεύρεση ευπαθειών
αλλά και τη γενικότερη παρακολούθηση ενός εταιρικού
δικτύου για κακόβουλες ενέργειες.
Επειδή είναι αδύνατο να προχωρήσουμε σε ανάλυση όλων
των παραπάνω εργαλείων και αρκετών ακόμη που δεν έ-
χουμε αναφέρει, στην παρούσα δημοσίευση θα σας παρουσιάσουμε
ενδεικτικά ένα από τα κορυφαία εργαλεία του
είδους, το Nessus.
Το Nessus είναι ίσως το πιο ευρέως διαδεδομένο λογισμικό
για τον έλεγχο και την αξιολόγηση ευπαθειών σε ένα δίκτυο,
με περισσότερα από 5 εκατομμύρια downloads μέχρι
σήμερα. Στην τελευταία του έκδοση, το Nessus 5 έχει βελτιώσει
την ταχύτητα των ελέγχων, την ευκολία στη χρήση, την
αποτελεσματικότητα και την ακρίβεια στην ανάλυση των τμημάτων
ενός δικτύου. Επίσης, η εταιρεία που αναπτύσσει το
Nessus, η Tenable Network Security, βαθμολογήθηκε
ως «Strong Positive» από το Gartner για το 2012. Αυτή είναι
η υψηλότερη διάκριση που θα μπορούσε να πάρει και ουσιαστικά
αντιπροσωπεύει την ποιότητα των προϊόντων της.
Αν λοιπόν θέλετε να ελέγξετε το δίκτυό σας για ευπάθειες,
δεν έχετε παρά να κατεβάσετε την τελευταία έκδοση του
Nessus από το . (www.tenable.com)
Εγκατάσταση και χρήση του Nessus
Παρακάτω θα περιγράψουμε την εγκατάσταση και τη χρήση
για περιβάλλον Linux. Αν είστε χρήστης των Windows,
η εγκατάσταση είναι η γνωστή διαδικασία Next -> Next ->
Next-> και η χρήση του είναι όμοια με αυτήν που θα περιγράψουμε
παρακάτω για το Linux.
Ξεκινώντας, είναι καλό να έχετε κάνει log-in στο Linux ως
root για να μην αντιμετωπίσετε οποιοδήποτε πρόβλημα με
δικαιώματα.
Από το site του προγράμματος κατεβάσαμε την τελευταία έκδοση
του Nessus για Ubuntu 11.10 / 12.04 32 bit. Το όνομα
του αρχείου είναι «Nessus-5.0.2-
ubuntu1110 i386.deb».
Για να εγκαταστήσετε το Nessus:
Μεταβείτε στο φάκελο όπου έχετε τοποθετήσει το αρχείο
εγκατάστασης και δώστε την εντολή:
dpkg —installNessus-5.0.2-ubuntu1110_i386.deb.
Δημιουργήστε νέο χρήστη:
/opt/nessus/sbin/nessus-adduser.
Συμπληρώστε παρακάτω τα στοιχεία του χρήστη:
Login: (το όνομα του χρήστη).
Authentication (πατήστε enter).
Login Password: (ο κωδικός του χρήστη).
Login Password: (επαναλάβετε τον κωδικό).
Do you want this Nessus user to be an “admin” user? Yes
(πατήστε enter).
(Πατήστε enter ξανά).
This user will have “admin” privileges on the Nessus server
Is this O.K.? Yes (πατήστε enter).
User added.
Τώρα θα χρειαστείτε ένα κλειδί ενεργοποίησης. Μεταβείτε
στην αντίστοιχη του προγράμματος, επιλέξτε τη χρήση του
(η έκδοση Home είναι δωρεάν, η έκδοση Professional είναι
επί πληρωμή), αποδεχθείτε τους όρους, εισάγετε μία διεύθυνση
mail και θα λάβετε άμεσα ένα mail όπου θα αναφέρεται
το κλειδί ενεργοποίησης.
Επιστρέψτε στη γραμμή εντολών του Linux και δώστε την
παρακάτω εντολή:
/opt/nessus/bin/nessus-fetch —register
Για να ξεκινήσετε το server του Nessus:
/etc/init.d/nessusdstart.
Σε περίπτωση που θέλετε αργότερα να σταματήσετε το
server του Nessus, δίνετε την εντολή:
/etc/init.d/nessusdstart (Μη δώσετε αυτήν την εντολή τώρα).
Ανοίξτε ένα browser και δώστε την παρακάτω διεύθυνση
για να συνδεθείτε στο web interface του προγράμματος:
https://127.0.0.1:8834.
security | 41

P RACTICAL
Ethical Hacking και εργαλεία ελέγχων ασφαλείας
Κάντε log-in στο Nessus, χρησιμοποιώντας τα στοιχεία του
χρήστη που δημιουργήσατε νωρίτερα.
Πριν ξεκινήσουμε να «σκανάρουμε» το δίκτυο, θα πρέπει
να παραμετροποιήσουμε το Nessus.
Επιλέξτε Next.
Επιλέξτε Submit.
Τώρα έχουμε δημιουργήσει ένα Policy για να χρησιμοποιήσουμε
στον έλεγχό μας.
Επιλέξτε Scans.
Επιλέξτε Add.
Στο πεδίο Name, δώστε ένα όνομα για τον έλεγχο που θα
πραγματοποιήσετε.
Στο πεδίο Policy, επιλέξτε το Policy που δημιουργήσατε.
Στο πεδίο Scan Targets, γράψτε τις IP διευθύνσεις των υπολογιστών
που θέλετε να ελέγξετε. Μπορείτε να εισάγετε και
ολόκληρο range υπό τη μορφή 192.168.1.1-192.168.1.100
Επιλέξτε Launch Scan.
Επιλέξτε Policies.
Δώστε ένα όνομα στο Policy.
Στο group Port Scanners επιλέξτε όλες τις επιλογές.
Στο Port Scan Range προτείνουμε να αφήσετε τη default ε-
πιλογή.
Επίσης προτείνουμε να επιλέξετε το «Reduse Parallel
Connections on Congestion» για να αποφύγετε τη υπερφόρτωση
του δικτύου.
Επιλέξτε Next.
Επιλέξτε ξανά Next.
Θα πρέπει να βρίσκεστε στην καρτέλα «Plugins», επιλέξτε
«EnableAll».
Επιλέξτε Scans για να δείτε την πρόοδο του ελέγχου.
Όταν ολοκληρωθεί, επιλέξτε Reports.
Σε αυτό το σημείο μπορείτε να ανοίξετε τα αποτελέσματα
του ελέγχου που κάνατε και να δείτε αναλυτική περιγραφή
αυτών. Σημειώστε ότι μπορείτε να ανοίξετε το πεδίο
Reports ακόμα και πριν ολοκληρωθεί ο έλεγχος και να
δείτε τα ευρήματα μέχρι εκείνη τη στιγμή. Τέλος, το Nessus
προτείνει και λύσεις για τις περισσότερες γνωστές ευπάθειες.
42 | security

Παρά το γεγονός ότι αρκετά εργαλεία είναι πλέον διαθέσιμα στα
χέρια των μηχανικών πληροφορικής, πολλές εταιρείες δεν φαίνονται
πρόθυμες να εκμεταλλευτούν τις νέες τεχνολογίες - ή σε
περίπτωση που το κάνουν, δεν γίνεται με αποτελεσματικότητα.
Θα πρέπει να σημειωθεί επίσης ότι μεγάλο ποσοστό των διαδικτυακών
επιθέσεων μέσω των οποίων κακόβουλοι χρήστες μπόρεσαν
να προσπεράσουν τα μέτρα ασφαλείας επιτυχώς, εκμεταλλεύθηκαν
ευπάθειες για τις οποίες υπήρχαν ήδη διαθέσιμες ε-
νημερώσεις ασφαλείας.
Για να είναι αποτελεσματική η πολιτική ασφαλείας μιας εταιρείας/Οργανισμού,
θα πρέπει να πραγματοποιούνται ανά τακτά
χρονικά διαστήματα έλεγχοι ασφαλείας. Αυτό μπορεί να αποτελέσει
μια μεγάλη πρόκληση, ιδίως για τις επιχειρήσεις που έ-
χουν περίπλοκο ΙΤ περιβάλλον, συμπεριλαμβανομένων νέων τεχνολογιών
και πολιτικών. Κάθε ένα από αυτά τα συστήματα πρέπει
να ελέγχεται, προκειμένου να προσομοιωθεί ένα σενάριο
πραγματικής επίθεσης. Το ethical hacking αποτελεί την καλύτερη
μέθοδο για την επίτευξη πολύτιμων αξιολογήσεων και συστάσεων,
ώστε να συντονιστούν επαρκώς τα μέτρα ασφαλείας
των εταιρειών. iTSecurity

P RACTICAL
Αλέξανδρος Σουλαχάκης
Οδηγός διασφάλισης VoIP
Τηλεφωνικών Κέντρων (Μέρος Α΄)
Σ
το άρθρο αυτό παρουσιάζουμε
ένα μοντέλο
διασφάλισης, το ο-
ποίο επιτυγχάνει διακοπή επιθέσεων
προς ένα Τηλεφωνικό Κέντρο VoIP σε πραγματικό
χρόνο. Παράλληλα, η υλοποίηση του μοντέλου διασφάλισης
αποκλείει τον επιτιθέμενο από το να συνεχίσει την
επίθεση.
Είναι γεγονός πως το θέμα διασφάλισης έχει πάρει διαστάσεις,
διότι τα περισσότερα Τηλεφωνικά Κέντρα δεν τηρούν καν τους
βασικούς κανόνες ασφαλείας. Έτσι λοιπόν γίνονται πολύ εύκολοι
Η διασφάλιση
του Τηλεφωνικού Κέντρου
βασίζεται σε ένα σύνολο ενεργειών,
οι οποίες έχουν στόχο
να ανιχνεύσουν και να διακόψουν
μία επίθεση. Σε δεύτερη φάση,
τα αντίμετρα θα αποκαρδιώσουν
τον επιτιθέμενο να συνεχίσει
την επίθεση, προτιμώντας
να βρει έναν πιο
εύκολο στόχο.
στόχοι, ακόμα και από μη έμπειρους
φιλόδοξους επιτιθέμενους. Είναι εξακριβωμένο
πως οι περισσότεροι επιτιθέμενοι
δεν θα ασχοληθούν με εγκαταστάσεις που είναι
διασφαλισμένες σωστά, μιας και είναι λογικό να ψάχνουν
όλοι τον ευκολότερο στόχο, αποσκοπώντας σε μια νύχτα να
κερδίσουν χρήματα διαπράττοντας μια ηλεκτρονική απάτη.
Το μοντέλο διασφάλισης περιλαμβάνει αυξημένα αντίμετρα και
μηχανισμούς πρόληψης και καταστολής ενδεχόμενης απειλής.
Η μαεστρία της συνταγής δεν βρίσκεται σε συγκεκριμένο λογισμικό,
αλλά στο σύνολο των ενεργειών οι οποίες τείνουν να
44 | security

εκμηδενίσουν το ρίσκο επίθεσης σε όλα τα επίπεδα, να διορθώσουν
λάθη και να συντηρήσουν σωστά το Τηλεφωνικό Κέντρο.
Για πρακτικούς λόγους θα αναλύσουμε το σενάριο διασφάλισης
ενός VoIP Τηλεφωνικού Κέντρου, σε πέντε επίπεδα (εικόνα
1). Στο πρώτο από τα δύο μέρη του οδηγού, θα επικεντρωθούμε
στις παραμέτρους που συμβάλλουν στη διασφάλιση
του εσωτερικού δικτύου του Κέντρου. Στο δεύτερο μέρος
θα παρουσιάσουμε τις υπόλοιπες ρυθμίσεις που συμβάλλουν
στην ολοκλήρωση της διασφάλισης του παρουσιαζόμενου μοντέλου.
Το δεύτερο μέρος θα ολοκληρωθεί με την παρουσίαση
της υλοποίησης, ώστε η τηλεφωνική κλήση να είναι ασφαλής
από άκρο σε άκρο.
Το συγκεκριμένο μοντέλο της παρουσίασης είναι ενεργό και
υλοποιημένο σε ναυτιλιακή εταιρεία. Διαθέτει VLAN με 2 άλλα
γεωγραφικά σημεία στον πλανήτη και διασύνδεση με πλοία
του στόλου. Το μοντέλο το οποίο θα περιγράψουμε στα επόμενα
κεφάλαια, έχει περισσότερα ανεπτυγμένα στοιχεία από την
παρούσα εγκατάσταση, λόγω ανάπτυξης νέων δυνατοτήτων. Είναι
μια ολοκληρωμένη λύση και υλοποιείται ανάλογα με τις α-
νάγκες και τις απαιτήσεις της εταιρείας ή του Οργανισμού.
Οι γραμμές internet της εγκατάστασης διαφέρουν σε ταχύτητες
ανάλογα την τοποθεσία. Στα κεντρικά υπάρχει μισθωμένη
γραμμή με σκοπό να εξυπηρετεί data, voice και video IP επικοινωνίες
μέσω VPN, χωρίς τη διαμεσολάβηση MPLS. Τα επιμέρους
τμήματα και τοποθεσίες του δικτύου λειτουργούν με
ADSL και στα πλοία οι ταχύτητες είναι ακόμα μικρότερες ενώ
οι συνδέσεις δρομολογούνται και μέσω δορυφόρου.
Ο πυρήνας
Στο πρώτο επίπεδο (με το οποίο θα ασχοληθούμε περισσότερο)
υλοποιείται το σημαντικότερο τμήμα του μοντέλου. Ο πυρήνας
περιλαμβάνει το Τηλεφωνικό Κέντρο, τα εσωτερικά τερματικά
φωνής ή βίντεο και φυσικά το εσωτερικό (τοπικό) δίκτυο
της εγκατάστασης. Η διασφάλιση του Τηλεφωνικού Κέντρου
εξαρτάται από μεγάλο πλήθος ενεργειών. Το βασικό
συστατικό της διασφάλισης του Τηλεφωνικού Κέντρου βασίζεται
στην εφαρμογή των τελευταίων ενημερώσεων σε επίπεδο
λειτουργικού, αλλά και ενημερώσεων που αφορούν στις λειτουργίες
του. Η ενημέρωση του συστήματος προσφέρει τόσο
ανασχεδιασμένες τεχνικές και νέα χαρακτηριστικά που συμβάλλουν
στη διαχείριση των παραμέτρων ασφαλείας, όσο και
διορθώσεις σε επιμέρους τμήματα κώδικα, στα οποία έχουν
βρεθεί αδυναμίες ή τρύπες ασφαλείας. Το θετικό της χρήσης
open source είναι πως στα παρασκήνια, μια μεγάλη ομάδα ανθρώπων
ασχολείται με το να «μπαλώνει» τρύπες και να βελτιώνει
τη λειτουργία του Τηλεφωνικού Κέντρου.
Ο τρόπος με τον οποίο εφαρμόζεται η ενημέρωση ενός Τηλεφωνικού
Κέντρου διαφέρει από διανομή σε διανομή. Φροντίστε
να διαλέξετε διανομή η οποία ενημερώνεται εύκολα ή
διανομή της οποίας το επίπεδο δυσκολίας είναι προσιτό στις
δεξιότητές σας. Μεγάλη προσοχή χρειάζεται ώστε η διαδικασία
αναβάθμισης να μη βλάψει το σύστημά σας και πολύ περισσότερο
να μη το χαλάσει. Θυμηθείτε πως τα συστήματα με
Asterisk «τρέχουν» Linux (συνήθως CensOS), οπότε αν δεν
είστε γνώστης αποφύγετε την ενέργεια. Τέλος, πάντοτε διαθέστε
χρόνο να διαβάσετε τις συνοδευόμενες οδηγίες για την
τρέχουσα αναβάθμιση. Ακόμα και οι πιο έμπειροι μηχανικοί
που κάνουν τη διαδικασία «στα τυφλά», πρέπει να διαβάζουν
τις τρέχουσες σημειώσεις. Για παράδειγμα, μία από τις διανομές
έχει υποσημείωση για την τελευταία έκδοση, τι ενέργεια
χρειάζεται αν διακόπτεται η διαδικασία κατά τη διάρκεια ενημέρωσης
της SQL.
Εικόνα 1
security | 45

P RACTICAL
Οδηγός διασφάλισης VoIP Τηλεφωνικών Κέντρων
25ψήφιους κωδικούς, ακόμα και στις συσκευές. Οι κωδικοί αυτοί
παράγονται εύκολα από λογισμικό που λειτουργεί σαν γεννήτρια
κωδικών και επικολλούνται εύκολα ακόμα και σε συσκευές
μέσω του web interface ή του provisioning (αυτόματη
διαδικασία ρυθμίσεως συσκευών κατά την εγκατάσταση).
Παραμετροποίηση και ασφάλεια
1. Κωδικοί και επαφές
Μετά την εγκατάσταση λοιπόν, έρχεται η παραμετροποίηση του
συστήματος η οποία περιλαμβάνει:
1) Την τηλεπικοινωνιακή οργάνωση, η οποία οργανώνει την α-
ριθμοδότηση, τους αυτοματισμούς κατά την είσοδο ή έξοδο
κλήσεων, τη σειρά προτεραιότητας και άλλα πολλά.
2) Τη ρύθμιση του συστήματος (codecs, ρυθμίσεις) ώστε να λειτουργεί
άψογα με τα επιμέρους πρόσθετα υλικά όπως κάρτες
και με το προστιθέμενα πακέτα λογισμικού (modules)
που θα δώσουν νέες δυνατότητες και ευελιξία στο σύστημα.
3) Τη διασφάλιση του Κέντρου.
4) Τη διασύνδεση με απομακρυσμένα σημεία του δικτύου.
Ο λόγος της αναφοράς στη διαδικασία βρίσκεται στο γεγονός
πως ακόμα και στη διαδικασία εγκατάστασης, το λογισμικό
«ζητάει» κωδικούς για το βασικό διαχειριστή. Είναι πολύ
σημαντικό να καταχωρήσουμε κάτι δύσκολο. Κωδικοί τύπου
Summer1969 ή 123456, δεν συνιστώνται, καθώς είναι εύκολοι
στην ανάκτηση σε περίπτωση επίθεσης. Χρησιμοποιήστε κωδικούς
μεγάλους, δύσκολους, οι οποίοι περιλαμβάνουν μικρά
κεφαλαία γράμματα, αριθμούς και σύμβολα. Πάντα συνιστώ
«Οκ, έβαλα τον κωδικό #@dsFfge$#%&*
(er6344W%WET$Y%#^) και τώρα το Κέντρο μου είναι α-
σφαλές». Η συγκεκριμένη δήλωση είναι 100% λάθος. Οι ο-
ντότητες SIP ή SIP συσκευές, πρέπει πάντα να είναι κλειδωμένες,
ώστε ο απλός χρήστης να μην έχει πρόσβαση σε κωδικούς
και ρυθμίσεις. Μη ξεχνάτε πως συνήθως η παραβίαση
έρχεται τις περισσότερες φορές από το εσωτερικό του δικτύου.
Το Τηλεφωνικό Κέντρο δεν διαθέτει μόνο ένα κωδικό. Για
παράδειγμα, η διανομή Elastix διαθέτει πολλές υπηρεσίες και
μικρότερους διακομιστές και διεπαφές που απαιτούν συνθηματικό.
Οι κατασκευαστές έχουν ήδη καταχωρήσει στο Κέντρο
κωδικούς, προς διευκόλυνση του διαχειριστή. Αν αυτοί δεν
αλλαχθούν, προσφέρουν πολύ εύκολη πρόσβαση στη διαχείριση.
Μία καλή πηγή για την εν λόγω διανομή είναι ο οδηγός
«Elastix without tears» ,ο οποίος θα μπορέσει να σας βοηθήσει
στα πρώτα σας βήματα.
In προεπιλεγμένοι κωδικοί διανομής Elastix
Elastix admin palosanto
freePBX admin admin
FOP admin eLaStIx.2oo7
Calling Cards
(A2Billing)
admin
mypassword
MySQL mysql –p (from root) eLaStIx.2oo7
SugarCRM admin password
vTiger admin admin
Openfire admin Whatever set at install
2.Υπηρεσίες και «δαίμονες»
Ένα μέτρο προστασίας που επίσης συστήνουμε ανεπιφύλακτα,
είναι η καθολική απενεργοποίηση όποιας υπηρεσίας δεν χρησιμοποιείται.
Το Τηλεφωνικό Κέντρο δεν πρέπει να χρησιμοποιείται
σαν Κέντρο/exchange/ftp/apache/web server/dlna/…
Όσο και αν η υπολογιστική ισχύς του Κέντρου το επιτρέπει, μη
«φορτώνετε» το λογισμικό με νέους διακομιστές, «όμορφες ή
βολικές» διεπαφές, γιατί έτσι αυξάνετε το ρίσκο παρουσίασης
46 | security

νέων κινδύνων στην ασφάλεια του συστήματος. Αν μπορείτε,
αποφύγετε τελείως το γραφικό περιβάλλον παντού και πάντα
και εκτελέστε τη διαδικασία παραμετροποίησης μέσω κονσόλας.
Τέλος, μπορείτε να δημιουργήσετε «κλειδιά» τα οποία να
χρησιμοποιείτε για περιπτώσεις απομακρυσμένης πρόσβασης
στο Κέντρο. Έτσι δεν θα υπάρχει όνομα και κωδικός να κλαπούν
σε περίπτωση επίθεσης. Περισσότερες πληροφορίες για
τον τρόπο που αλλάζονται οι κωδικοί καθώς και την τοποθεσία
τους, υπάρχουν μέσα στους οδηγούς που διατίθενται μαζί
με τις αντίστοιχες διανομές.
3.Τοπικό δίκτυο
Στο επίπεδο τοπικού δικτύου αφιερώστε ένα ολόκληρο subnet
για αποκλειστική χρήση φωνής. Δεν συνιστάται να μπλέκονται
δίκτυα, τόσο για θέματα ασφαλείας όσο και για θέματα ποιότητας
υπηρεσίας και επίλυσης προβλημάτων. Η επιλογή αριθμοδότησης
είναι προσωπική επιλογή. Σας παροτρύνουμε να μη
χρησιμοποιήσετε κάτι κλασικό σαν το 192.168.0.x. Προτιμήστε
τη ρύθμιση δικτύου σας στο 172.16.χ.χ και να έχετε υπόψη σας
πως αυτό το subnet δεν πρέπει να επικαλύπτει (overlap) αυτό
του VPN. Με άλλα λόγια, το δίκτυο είναι επιθυμητό να έχει α-
συνήθιστη αριθμοδότηση, αρκεί να είναι απλό το συνολικό α-
ποτέλεσμα για το διαχειριστή.
Διασφαλίζοντας λοιπόν τους κωδικούς, τις ρυθμίσεις, τις ενημερώσεις
και το δίκτυο, έχουμε ήδη χτίσει τη βάση στο φυσικό
τοπικό δίκτυο. Συνεχίζοντας τη διαδικασία, άμεσος στόχος
είναι να περιορίσουμε την πρόσβαση στο Κέντρο από τον έ-
ξω κόσμο. Αν ήδη έχετε πειραματιστεί με Asterisk και πολύ
περισσότερο με Elastix ή παρόμοια διανομή, θα γνωρίζετε πως
το τείχος προστασίας στην αρχή δεν είναι ενεργοποιημένο.
Δεν το ενεργοποιούμε όμως πριν την ολοκλήρωση των ρυθμίσεων.
Αυτό θα γίνει όταν είμαστε έτοιμοι και σίγουροι πως
το Κέντρο δεν θα μας «κλειδώσει απ’ έξω» και πως όλοι οι κανόνες
είναι σωστά φτιαγμένοι. Σε αυτό το σημείο δουλεύουμε
πάντα σε τοπικό επίπεδο και φροντίζουμε να έχουμε φυσική
πρόσβαση στο Κέντρο.
Επιτρεπόμενη πρόσβαση
Η πρόσβαση στο Κέντρο, στην κονσόλα ή τη διεπαφή ρυθμίσεων
μέσω web, μπορεί να ρυθμιστεί και να επιτρέπει πρόσβαση
από συγκεκριμένη στατική IP ή ακόμα καλύτερα από το
εσωτερικό δίκτυο LAN και μόνο από εκεί. Συνιστάται να «κόβουμε»
την πρόσβαση από τον έξω κόσμο. Το Κέντρο μπορεί
έτσι να παραμετροποιείται μόνο από το LAN ή και από VPN
σύνδεση (που δρομολογείται στο LAN). Ανάλογα πάντα με τη
διανομή, βρίσκετε το αρχείο στο οποίο είναι γραμμένος ο κανόνας
για το ποια δίκτυα επιτρέπονται να έχουν πρόσβαση και
ποια όχι. Σαν παράδειγμα, ψάχνετε μέσα στο αρχείο sip.conf
για κάτι σαν το παρακάτω κείμενο:
deny=0.0.0.0/0.0.0.0
permit=xxx.xxx.xxx.xxx/255.255.255.255
το οποίο σημαίνει ΄΄απαγορεύεται η πρόσβαση σε όλα τα δίκτυα
εκτός από την IP xxx.xxx.xxx.xxx΄΄. Το συγκεκριμένο
παράδειγμα χρησιμοποιείται και σε άλλες παραμέτρους του
Κέντρου. Είναι πολύ σημαντικό να διαβάζετε τα σχόλια μέσα
στα αρχεία που τροποποιείτε, καθώς φέρουν πληροφορίες μέσω
σχολίων, για το τι είναι αυτό που αλλάζετε και δίνουν συχνά
παραδείγματα. Με αντίστοιχους κανόνες μπορείτε να ρυθμίσετε
από ποια IP μπορεί να γίνεται registration συσκευής και
να ρυθμίζονται οι επιτρεπόμενες IPs για τη διασύνδεση των
trunks. Για παράδειγμα:
[provider-of-VoIP-service]
type=peer
context=provider-input
permit=A.B.C.D/255.255.255.0 (

Διμηνιαίο περιοδικό για τo Enterprise Computing
και την Ασφάλεια Πληροφοριών
Διμηνιαίο περιοδικό με θεματολογία στο χώρο της ασφάλειας
ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΚΑΙ ΣΤΑ ΔΥΟ ΠΕΡΙΟΔΙΚΑ (SECURITY MANAGER & IT SECURITY)
ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 4O€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 65€ (2 τεύχη)
ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 78€ ΛΟΙΠΕΣ ΧΩΡΕΣ 97 €
ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΣΤΟ ΠΕΡΙΟΔΙΚΟ IT SECURITY
ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 3O€ ΦΟΙΤΗΤΕΣ/ΣΠΟΥΔΑΣΤΕΣ 20€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 50€ (2 τεύχη)
ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 60€ ΛΟΙΠΕΣ ΧΩΡΕΣ 75 €
TPOΠOI ΠΛHPΩMHΣ
• Με ταχυδρομική επιταγή
• Με κατάθεση στον τραπεζικό λογαριασμό:
ΕΘΝ. ΤΡΑΠΕΖΗΣ 108-47118154
EUROBANK 0026 0251 5202 006 97497
ALPHA BANK 276002002005830
• Με πιστωτική κάρτα:
Εθνοκάρτα Mastercard Visa Diners
Aριθμός κάρτας:
Ημ. Λήξεως:
ΔΕΛΤΙΟ ΣΥΝΔΡΟΜΗΣ
Νέος συνδρομητής n Ανανέωση Συνδρομής n Συνδρομή και στα 2 περιοδικά n
(Security Manager & IT Security)
Επωνυμία επιχείρησης:.................................................................................................................................................................... ΑΦΜ:...................................................................... ΔΟΥ:...............................................................................
Δραστηριότητα (επιχείρησης): ................................................................................................................................................ E-mail:..............................................................................................................................................................................
Ονοματεπώνυμο (Υπευθύνου):.......................................................................................... Θέση στην εταιρεία: ..........................................................................
Διεύθυνση:.............................................................................................................................................................................................................................................................................. Ταχ. Κώδικας: .........................................................................
Πόλη:............................................................................................................................................................. Τηλέφωνο:.................................................................................................... Fax:..........................................................................................
Ονοματεπώνυμο παραλήπτη: ................................................................................................................................................................................................................................................................................................................................
Διεύθυνση αποστολής περιοδικού:...................................................................................................................................................................................................................................................................................................................................
Ταχ. Κώδικας:..................................................................................Πόλη:.............................................................................................................................................................................................................................................................
Σύμφωνα με το ΚΒΣ, άρθρο 13, παραγρ. 17, για τις συνδρομές εκδίδονται διπλότυπες αθεώρητες αποδείξεις ως παραστατικό δαπάνης για την επιχείρηση.