Ο «κίνδυνος» είναι μια κεντρική έννοια της κυβερνοασφάλειας. Ορισμένοι ορίζουν τον κίνδυνο της κυβερνοασφάλειας ως A + T + V = κίνδυνος. Στην παραπάνω εξίσωση, το Α (asset) σημαίνει στοιχείο, το Τ (threat) σημαίνει απειλή και το V (vulnerability) σημαίνει ευπάθεια.
Στοιχείο: Ένα στοιχείο αναφέρεται σε οτιδήποτε μπορεί να θεωρηθεί ευαίσθητα δεδομένα ή να παρέχει πρόσβαση σε τέτοια δεδομένα. Μπορεί να είναι οι προσωπικές σας πληροφορίες, μια συσκευή ή ένα μέρος ενός συστήματος που θεωρείται πολύτιμο.
Απειλή: Η απειλή μπορεί να αναφέρεται σε έναν κακόβουλο hacker, ένα εγκληματία ή έναν κάτοχο εμπιστευτικών πληροφοριών, αλλά μια απειλή μπορεί να είναι και τυχαία, όπως μια τεχνική δυσλειτουργία ή ένα σφάλμα χρήστη που μπορεί να θέσει τα δεδομένα σε κίνδυνο (στοιχείο).
Ευπάθεια: Μια ευπάθεια είναι ένα ελάττωμα που μπορεί να καταστρέψει, να βλάψει ή να θέσει σε κίνδυνο το στοιχείο. Στο λογισμικό, μια ευπάθεια είναι συνήθως ένα ελάττωμα στον κώδικα του προγράμματος (ένα σφάλμα) ή ένα ελάττωμα στον τρόπο με τον οποίο το πρόγραμμα αποκαλύπτει ή επιτρέπει την πρόσβαση σε δεδομένα.
Η οικογένεια προτύπων ISO 27000 για την ασφάλεια των πληροφοριών προσθέτει τον αντίκτυπο στον ορισμό. Η εκτίμηση και του αντικτύπου έχει ως στόχο την ιεράρχηση των κινδύνων. Για παράδειγμα, ένας κίνδυνος με μεγάλη πιθανότητα αλλά με πολύ μικρό αντίκτυπο μπορεί να ιεραρχηθεί χαμηλότερα στη λίστα των κινδύνων. Αντίθετα, γίνεται εστίαση σε έναν κίνδυνο με χαμηλή πιθανότητα αλλά πολύ μεγάλο αντίκτυπο. Η προσθήκη του αντικτύπου στον ορισμό και ο επαναπροσδιορισμός της εξίσωσης σε V (ευπάθεια) x T (απειλή) x I (αντίκτυπος) = κίνδυνος δείχνει τον πολλαπλασιαστικό χαρακτήρα της εκτίμησης κινδύνου.
Η οικογένεια προτύπων ISO 27000 αποτελεί τα πιο κοινά πρότυπα που χρησιμοποιούνται από τις επιχειρήσεις στην Ευρώπη. Προτείνουν βέλτιστες πρακτικές για τη διαχείριση της ασφάλειας των πληροφοριών, συνήθως στο πλαίσιο ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών (ISMS).
Η σειρά ISO 9000 ορίζει ένα σύνολο προτύπων διασφάλισης και διαχείρισης της ποιότητας και παρέχει ένα ευρύτερο πλαίσιο που πολλές εταιρείες επιδιώκουν να υλοποιήσουν.
Αν θέλουμε να κάνουμε παραλληλισμούς με την πραγματική ζωή, ένα στοιχείο είναι κάτι πολύτιμο στο σπίτι σας, όπως μια νέα τηλεόραση, μια ευπάθεια μοιάζει με μια ξεκλείδωτη πόρτα, και μια απειλή είναι ένας εγκληματίας που εκμεταλλεύεται την ευπάθεια, κάτι που οδηγεί στον αντίκτυπο, την κλοπή της τηλεόρασής σας.
Ένα παράδειγμα στο διαδίκτυο θα ήταν η χρήση ενός αδύναμου κωδικού πρόσβασης (ευπάθεια) για να προστατεύσετε τον λογαριασμό σας στο Facebook (στοιχείο) από κάποιον που θέλει να συνδεθεί και να κλέψει την ταυτότητά σας (απειλή). Ο αντίκτυπος στην περίπτωση αυτή είναι η απώλεια του λογαριασμού σας και των πληροφοριών που περιλαμβάνει.
Και στις δύο περιπτώσεις, υφίσταται ένας κίνδυνος μόνο επειδή υπάρχει ένα στοιχείο, μια ευπάθεια, μια απειλή και ένας αντίκτυπος.
Αξίζει να έχουμε επίσης υπόψη ότι η ευπάθεια δεν είναι απαραίτητα ένα ακούσιο ελάττωμα, όπως ένα ξεκλείδωτο παράθυρο, αλλά μπορεί να είναι μια αδυναμία που δημιουργήθηκε εσκεμμένα, η οποία στους υπολογιστές ονομάζεται συνήθως backdoor.
Τύποι ευπαθειών
Υπάρχουν πολλοί διαφορετικοί τύποι ευπαθειών που καλύπτουν ένα ευρύ φάσμα στόχων και μεθόδων. Μια ευπάθεια, για παράδειγμα, μπορεί να είναι ένας ελλιπής έλεγχος πρόσβασης, ένας ανεπαρκής χειρισμός δεδομένων εισόδου ή η εκμετάλλευση μιας γνωστής αδυναμίας σε ένα τσιπ υπολογιστή. Ο ορισμός μιας γενικής ταξινόμησης για αυτού του τύπου τις ευπάθειες είναι δύσκολος. Μια ταξινόμηση μπορεί να βρεθεί στο πρότυπο ISO 27005. Ταξινομεί τις ευπάθειες με βάση το στοιχείο.
Υλικό
Ευαλωτότητα σε υγρασία ή σκόνη
Ευαλωτότητα σε αποθήκευση χωρίς προστασία
Φθορά βάσει παλαιότητας που οδηγεί σε αστοχία
Υπερθέρμανση
Λογισμικό
Ανεπαρκής δοκιμή
Μη ασφαλής κωδικοποίηση
Ανεπαρκής ιχνηλασιμότητα
Ελάττωμα σχεδιασμούΔίκτυο
Γραμμές επικοινωνίας με ανεπαρκή προστασία (απουσία κρυπτογραφίας, κακή κρυπτογραφία)
Μη ασφαλής αρχιτεκτονική δικτύου
Προσωπικό
Ανεπαρκής διαδικασία πρόσληψης
Ανεπαρκής επίγνωση ασφάλειας
Εσωτερική απειλή
Φυσική τοποθεσία
Περιοχές που πλήττονται από φυσικές καταστροφές (όπως πλημμύρες ή σεισμούς)
Διακοπή της παροχής ενέργειας
Οργάνωση
Έλλειψη τακτικών ελέγχων
Έλλειψη σχεδίων συνέχειας
Έλλειψη ασφάλειας
Έχει σημασία να καταλάβουμε ότι ένας απίστευτα μεγάλος αριθμός ευπαθειών προκύπτει από τους ανθρώπους. Μέθοδοι όπως η κοινωνική μηχανική (η εξαπάτηση ενός ατόμου για την απόσπαση πληροφοριών) είναι μερικές φορές οι ευκολότεροι τρόποι απόκτησης πρόσβασης σε εμπιστευτικές ή απόρρητες πληροφορίες. Οι ευπάθειες της ταξινόμησης δείχνουν επίσης ότι δεν προκαλούνται όλες οι ευπάθειες από κάποιον που επιδιώκει να τις εκμεταλλευτεί – μερικές είναι επίσης φυσικής προέλευσης. Οι σεισμοί, οι πλημμύρες και άλλες φυσικές καταστροφές μπορούν να προκαλέσουν την απώλεια πληροφοριών, η οποία μπορεί να είναι εξίσου καθοριστικής σημασίας με την κλοπή εμπιστευτικών πληροφοριών εάν δεν υπάρχουν και δεν λειτουργούν διαδικασίες δημιουργίας αντιγράφων ασφαλείας.
Σε αυτό το μάθημα θα αναφερθούμε σε κάποιους τύπους ευπαθειών, αλλά καθώς υπάρχουν πολλοί συγκεκριμένοι τύποι, αναπόφευκτα δεν θα μπορέσουμε να αναφερθούμε σε όλους. Για να δείτε περισσότερες πληροφορίες σχετικά με διαφορετικούς τύπους ευπαθειών, δείτε αυτό το παράδειγμα.
Backdoor
Σύμφωνα με τη Microsoft, μια backdoor είναι «μια κρυφή είσοδος σε ένα υπολογιστικό σύστημα που μπορεί να χρησιμοποιηθεί για να παρακάμψει τις πολιτικές ασφαλείας».
Μπορείτε να σκεφτείτε μια backdoor σαν ένα ανοιχτό παράθυρο σε ένα κατά τα άλλα κλειδωμένο κτίριο ή ένα εφεδρικό κλειδί κρυμμένο σε μια γλάστρα. Σας δίνει τη δυνατότητα να παρακάμψετε άλλους μηχανισμούς που χρησιμοποιούνται για τη διασφάλιση του στόχου, συχνά χωρίς να αφήνει ίχνος της παραβίασης. Μια backdoor βασίζεται στο ότι μη εξουσιοδοτημένοι χρήστες δεν θα την βρουν.
Ορισμένα συστήματα και υπηρεσίες παραδίδονται προς χρήση με προεπιλεγμένους χρήστες και γνωστούς κωδικούς πρόσβασης, οι οποίοι μπορεί να παραμείνουν ενεργοί από λάθος, εκθέτοντας το σύστημα στους επιτιθέμενους. Αυτά διαφέρουν από έναν καλά προστατευμένο λογαριασμό διαχειριστή, καθώς ο κωδικός πρόσβασης σε αυτή την περίπτωση δεν είναι ευρύτερα γνωστός.
Backdoor υλικού
Οι backdoor δεν υλοποιούνται απαραίτητα μόνο σε εφαρμογές. Μπορούν να εγκατασταθούν σε υλικό όπως στη μητρική πλακέτα του υπολογιστή.
Επίσης μπορούν να παρακάμψουν τους πωλητές τεχνολογίας αν η αλυσίδα εφοδιασμού δεν παρακολουθείται σωστά συνολικά. Αν η εταιρεία δεν ελέγχει ολόκληρη την αλυσίδα εφοδιασμού, μια οντότητα μπορεί να τοποθετήσει μια backdoor σε ένα αδύναμο σημείο της αλυσίδας χωρίς να το προσέξει ποτέ ο κατασκευαστής. Αυτοί οι τύποι backdoor ονομάζονται backdoor αλυσίδας εφοδιασμού. Και αυτό δεν είναι μόνο ένα θεωρητικό πρόβλημα – η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ έχει ήδη εγκαταστήσει μια backdoor με αυτόν τον τρόπο.
Στην έκθεση «Microsoft Digital Defense Report, September 2020», η Microsoft εκτιμά ότι το 7% των ειδοποιήσεών τους ασφαλείας, σχετίζονται με επιθέσεις σε αλυσίδες εφοδιασμού.
Οι επιθέσεις σε αλυσίδες εφοδιασμού δεν αφορούν μόνο το υλικό. Μια μέθοδος που προξενεί ακόμα μεγαλύτερη ζημιά είναι η παραβίαση των υπηρεσιών μιας εταιρείας και η μεταβολή των ενημερώσεων λογισμικού που παρέχει στους χρήστες της. Μια τέτοια επίθεση αποκαλύφθηκε τον Δεκέμβριο του 2020 όταν η SolarWinds (μια εταιρεία που παρέχει λύσεις διαχείρισης δικτύου) υπέστη παραβίαση των υπηρεσιών της και το λογισμικό της μεταβλήθηκε ώστε να περιλαμβάνει μια backdoor που να επιτρέπει στον επιτιθέμενο, ή σε όποιον ήξερε πού να ψάξει, να αποκτήσει πρόσβαση σε όλες τις εταιρείες που εγκατέστησαν την ενημέρωση. Όπως παραδέχτηκε η SolarWinds, έγινε εγκατάσταση της ενημέρωσης από «σχεδόν 18.000» εταιρείες.
Οι πιο αξιοσημείωτες από αυτές τις εταιρείες ήταν στην πλειονότητά τους κυβερνητικές υπηρεσίες των ΗΠΑ και τα δίκτυά τους, ενώ πολλοί υποπτεύονται τους πραγματικούς στόχους,. Το Υπουργείο Άμυνας των ΗΠΑ ήταν επίσης μεταξύ των θυμάτων της επίθεσης. Η επίθεση εκτιμάται ότι προήλθε από μια ρωσική ομάδα APT που ονομάζεται Cozy Bear, αν και δεν της έχει αποδοθεί με βεβαιότητα.
Το πρόβλημα με τις backdoor
Το κύριο πρόβλημα μιας backdoor είναι ότι βασίζεται στην απόρρητη ύπαρξή της. Αυτό ονομάζεται ασφάλεια μέσω απόκρυψης. Εάν ένας επιτιθέμενος ανακαλύψει την backdoor, μπορεί να την χρησιμοποιήσει ακριβώς όπως ένας εξουσιοδοτημένος χρήστης. Αυτήν τη στιγμή ασκείται μεγάλη πίεση από τις κυβερνήσεις και τις υπηρεσίες πληροφοριών στις τεχνολογικές εταιρείες να εγκαταστήσουν backdoor στην τεχνολογία τους που θα επιτρέπουν την πρόσβαση στις αρχές σε περίπτωση διερεύνησης εγκληματικών ενεργειών ή με σκοπό την πρόληψη τρομοκρατικών επιθέσεων. Ωστόσο, αν εγκατασταθούν αυτές οι backdoor, πιθανότατα θα ανακαλυφθούν και από μη εξουσιοδοτημένα άτομα και θα αποτελέσουν μεγάλο κίνδυνο για την ιδιωτικότητα.
Τι μπορώ να κάνω για τις backdoor;
Η προστασία από την ύπαρξη μιας backdoor είναι πολύ δύσκολη εάν δεν γνωρίζεις καν αν υπάρχει. Μπορείτε, ωστόσο, να διασφαλίζετε ότι αλλάζετε τα προεπιλεγμένα διαπιστευτήρια σε συσκευές όπως δρομολογητές Wi-Fi. Θα πρέπει επίσης να απενεργοποιείτε λογαριασμούς επισκεπτών που ορισμένα λειτουργικά συστήματα σας επιτρέπουν να έχετε.
Μοντελοποίηση απειλών: εξετάζοντας τον κίνδυνό σας
Οι επαγγελματίες στον τομέα της ασφάλειας χρησιμοποιούν διαφορετικές μεθόδους εκτίμησης κινδύνου για να καθορίσουν και να αξιολογήσουν τον δυνητικό κίνδυνο και πόσο μεγάλος είναι ο αντίκτυπος εάν επέλθει ο κίνδυνος. Στην κυβερνοασφάλεια, οι επαγγελματίες συχνά μιλούν για μοντελοποίηση απειλών. Αυτή είναι η πρακτική του εντοπισμού και της ιεράρχησης πιθανών απειλών και του μετριασμού τους για την προστασία κάποιου στοιχείου υψηλής αξίας, δηλ. εμπιστευτικών δεδομένων ή πνευματικής ιδιοκτησίας.
Ένα πλαίσιο που χρησιμοποιείται συχνά για τη μοντελοποίηση είναι το πλαίσιο που αναπτύχθηκε από τη Microsoft με το όνομα STRIDE. Το STRIDE χρησιμοποιεί τα αρχικά των εξής όρων:
Πλαστογράφηση (Spoofing) – προσποίηση κάτι ή κάποιου
Παραποίηση (Tampering) – μεταβολή δεδομένων ή κώδικα
Υπαναχώρηση (Repudiation) – ισχυρισμός μη εκτέλεσης μιας ενέργειας
Αποκάλυψη πληροφοριών (Information disclosure) – έκθεση πληροφοριών σε κάποιον χωρίς εξουσιοδότηση
Άρνηση εξυπηρέτησης (Denial of service) – άρνηση ή υποβάθμιση της εξυπηρέτησης των χρηστών
Αύξηση δικαιωμάτων (Elevation of privilege) – απόκτηση ικανοτήτων χωρίς την κατάλληλη εξουσιοδότηση
Όλες αυτές οι απειλές στο μοντέλο είναι πιθανές και αξιολογούνται για τους πιθανούς φορείς επίθεσης. Οι φορείς επίθεσης είναι οι διαφορετικά προσδιορισμένες διαδικασίες, οι χώροι αποθήκευσης δεδομένων, οι διασυνδέσεις και τα όρια εμπιστοσύνης ενός συστήματος. Το STRIDE ανήκει στη μοντελοποίηση απειλών Microsoft Secure Development Lifecycle (SDL). Διαβάστε περισσότερα για το STRIDE.
Sign up to solve exercises
Αφού ολοκληρώσετε το κεφάλαιο 1, πρέπει να μπορείτε:
να εξηγήσετε τις βασικές αρχές της κυβερνοασφάλειας, όπως το τι σημαίνει και γιατί είναι σημαντική
να εξηγήσετε τι είναι ένας hacker
να κατανοήσετε τι σημαίνει «κίνδυνος» όσον αφορά την κυβερνοασφάλεια
