Κυβερνοασφάλεια Τι είναι η κυβερνοασφάλεια; Εισαγωγή

I.

Εισαγωγή

Ο όρος «κυβερνοασφάλεια» είναι τουλάχιστον σε κάποιον βαθμό γνωστός σε πολλούς ανθρώπους – άλλωστε, οι ειδήσεις αναφέρονται συχνά σε εταιρείες και άτομα που έχουν επηρεαστεί από διαδικτυακές απειλές όπως ιούς, απόπειρες phishing, κακόβουλες προσπάθειες hacking και άλλα. Οι περισσότεροι από εμάς χρησιμοποιούμε υπηρεσίες σε καθημερινή βάση μέσω εφαρμογών κινητών συσκευών και τα δεδομένα μας αποθηκεύονται συχνά σε περιβάλλοντα cloud και φιλοξενούνται από εταιρείες και κυβερνήσεις στα κέντρα δεδομένων τους. Οι απειλές για την κυβερνοασφάλεια σε καθεμία από αυτές τις τοποθεσίες διαφέρουν και η νομοθεσία (για παράδειγμα, για την ιδιωτικότητα) ποικίλλει.

Αλλά τι σημαίνουν όλα αυτά στην πράξη και τι πρέπει να γνωρίζετε για να διασφαλίσετε την ψηφιακή ζωή σας; Ενώ η κυβερνοασφάλεια είναι ένα πολύπλοκο θέμα που απαιτεί χρόνια εμπειρίας για να γίνει πλήρως κατανοητή, στόχος μας είναι να σας διδάξουμε τις βασικές αρχές της κυβερνοασφάλειας ώστε να μπορείτε να αποκτήσετε βασικές ψηφιακές δεξιότητες για την προστασία της παρουσίας σας στο διαδίκτυο.

Ενώ το μάθημα θα παρουσιαστεί μέσα από ευνόητα τμήματα πληροφοριών, θα προσθέσουμε και εξωτερικούς συνδέσμους στους οποίους μπορείτε να ανατρέξετε για πιο λεπτομερείς πληροφορίες. Ας ξεκινήσουμε λοιπόν τώρα ορίζοντας τι σημαίνει αρχικά κυβερνοασφάλεια.

Ορίζοντας την κυβερνοασφάλεια

Σύμφωνα με το λεξικό Merriam-Webster, η κυβερνοασφάλεια είναι: «μέτρα που λαμβάνονται για την προστασία ενός υπολογιστή ή ενός υπολογιστικού συστήματος (όπως στο διαδίκτυο) από μη εξουσιοδοτημένη πρόσβαση ή επίθεση».

Ενώ αυτός ο ορισμός αναφέρεται μόνο σε μη εξουσιοδοτημένη πρόσβαση ή επίθεση εναντίον υπολογιστικών συστημάτων, η Wikipedia θεωρεί το θέμα κάπως ευρύτερο. Ο ορισμός της Wikipedia είναι ο εξής:

«Η ασφάλεια των υπολογιστών, η κυβερνοασφάλεια ή η ασφάλεια της τεχνολογίας πληροφοριών (ασφάλεια ΤΠ) είναι η προστασία των συστημάτων και των δικτύων υπολογιστών από την κλοπή ή τη βλάβη στο υλικό, το λογισμικό ή τα ηλεκτρονικά δεδομένα τους, καθώς και από τη διακοπή ή την αλλοίωση των υπηρεσιών που παρέχουν.»

Έτσι, στην ουσία, η κυβερνοασφάλεια είναι η τέχνη προστασίας των αυτοματοποιημένων συστημάτων από κακόβουλους hacker, καθώς και από τυχαίες ή μη ανθρώπινες απειλές (όπως αστοχίες συστήματος, φυσικές καταστροφές ή ατυχήματα). Αυτός είναι ο ορισμός που θα χρησιμοποιήσουμε σε αυτό το μάθημα.

Ακολουθεί ο ορισμός του hacker από τη Wikipedia:

Ένας hacker υπολογιστών είναι ένας ειδικός στους υπολογιστές που χρησιμοποιεί τις τεχνικές γνώσεις του για να επιτύχει έναν συγκεκριμένο στόχο ή να υπερβεί ένα συγκεκριμένο εμπόδιο, σε ένα αυτοματοποιημένο σύστημα. Ενώ ο όρος «hacker» μπορεί να αναφέρεται σε κάθε εξειδικευμένο προγραμματιστή υπολογιστών, στη λαϊκή κουλτούρα έχει συσχετιστεί με έναν «hacker ασφαλείας». Πρόκειται για κάποιον που χρησιμοποιεί την τεχνογνωσία σου σε σχέση με τα σφάλματα (bug) ή προγράμματα εκμετάλλευσης αδυναμιών για να παραβιάσει υπολογιστικά συστήματα και να αποκτήσει πρόσβαση σε δεδομένα τα οποία διαφορετικά δεν θα ήταν διαθέσιμα. Οι υπηρεσίες επιβολής του νόμου χρησιμοποιούν μερικές φορές τεχνικές hacking για να συλλέξουν αποδεικτικά στοιχεία για εγκληματίες και άλλους δόλιους φορείς. Αυτό θα μπορούσε να περιλαμβάνει τη χρήση εργαλείων ανωνυμοποίησης [όπως ενός VPN ή του dark web (σκοτεινός ιστός)] με στόχο να αποκρύψουν την ταυτότητά τους στο διαδίκτυο, παριστάνοντας τους ίδιους τους εγκληματίες. Το hacking και οι επιθέσεις στον κυβερνοχώρο έχουν επίσης χρησιμοποιηθεί από κρατικούς φορείς ως μέσο εχθροπραξίας.»

Ένα σύντομο ιστορικό του hacking

Ας εξετάσουμε περισσότερο την έννοια του hacking. Ο όρος «hacking» προέρχεται από το Tech Model Railroad Club του MIT, όπου χρησιμοποιήθηκε για να περιγράψει την πράξη εύρεσης μιας πρωτοποριακής λύσης σε ένα τεχνολογικό πρόβλημα. Το κίνητρο των μελών του Tech Model Railroad Club ήταν να κατανοήσουν πώς λειτουργούσαν τα εργαλεία και να αποκτήσουν άριστη γνώση χρήσης τους. Με την πάροδο του χρόνου, ο όρος hacking έχει αποκτήσει μια ευρύτερη έννοια. Τις περισσότερες φορές θεωρείται ότι υπάρχει κακόβουλη πρόθεση πίσω από αυτό.

Ωστόσο, μέχρι να συσχετιστεί με κακόβουλη πρόθεση, χρειάστηκε κάποιος χρόνος. Άνθρωποι με όραμα στον χώρο των υπολογιστών, όπως ο Bill Gates και ο Steve Jobs, ήταν hacker εκ πεποιθήσεως. Ξεκίνησαν τη σταδιοδρομία τους από τους κύκλους των hacker που εκείνη την εποχή επικεντρώνονταν στους υπολογιστές για το σπίτι (και στην κατάρτιση στα τηλεφωνικά δίκτυα, αλλά αυτό είναι μια άλλη ιστορία). Με την πάροδο του χρόνου, οι εταιρείες που ίδρυσαν αυτοί οι hacker τη δεκαετία του 1970 έχουν γίνει κάποιες από τις μεγαλύτερες εταιρείες που υπήρξαν. Χωρίς το πνεύμα των hacker, πιθανότατα να μην μπορούσαμε να αναγνωρίσουμε τον κόσμο.

Note

Για δεκαετίες, το hacking έφερε στίγμα ως κάτι που κάνουν οι σπασίκλες. Οι hacker θεωρούνταν μοναχικοί έφηβοι με τους υπολογιστές τους στο υπόγειό τους. Η απεικόνιση των hacker στις ταινίες του Χόλιγουντ σίγουρα δεν βοήθησε. Όμως η αλήθεια είναι πιο σύνθετη, ενώ σήμερα όλοι μπορούμε να γίνουμε hacker. Αξίζει επίσης να σημειωθεί ότι το hacking είναι ένα εργαλείο που χρησιμοποιείται ακόμη και από τις υπηρεσίες πληροφοριών παγκοσμίως, καθώς και από ομάδες οργανωμένου εγκλήματος. Όλοι οι σημαντικοί παράγοντες της παγκόσμιας πολιτικής σκηνής χρησιμοποιούν το hacking ως εργαλείο είτε για να αποκτήσουν περισσότερες πληροφορίες για τις δυνατότητες των αντιπάλων τους είτε για να ενισχύσουν τη δική τους θέση.

Μερικές από τις πιο αξιοσημείωτες πειρατείες το 2020 έχουν γίνει από εθνικούς κρατικούς φορείς. Συνήθως έχουν την υποστήριξη μιας χώρας και έχουν πρόσβαση στους πόρους της. Ενώ οι περισσότερες από αυτές τις κακόβουλες πειρατείες εξακολουθούν να γίνονται από μοναχικούς εγκληματίες ή μικρότερες ομάδες, αυτές που έχουν τις περισσότερες επιπτώσεις γίνονται συνήθως από εγκληματικές οργανώσεις ή τις ομάδες APT (advanced persistent threat – προηγμένη επίπονη απειλή).

Μια εξαιρετική πηγή για την ιστορία του hacking και των hacker είναι το Hackers: Heroes of the computer revolution από τον Steven Levy.

Μια στοίβα από black, grey και white hat
Μια στοίβα από black, grey και white hat

Οι τύποι των hacker

Συνήθως, οι hacker χωρίζονται σε τρεις ομάδες: τους white hat hacker, τους grey hat hacker και τους black hat hacker. Το χρώμα του καπέλου χρησιμοποιείται για να περιγράψει τις προθέσεις τους.

  • Οι white-hat hacker θεωρούνται ως ηθικοί hacker που ενδιαφέρονται να εντοπίσουν ευπάθειες ασφαλείας με σκοπό την αποκατάσταση της ασφάλειας του υπολογιστικού συστήματος. Είναι συνήθως υπεύθυνοι όσον αφορά την αποκάλυψη των ευρημάτων τους και δεν προσπαθούν να εκμεταλλευτούν τα σφάλματα που βρίσκουν. Μερικοί white-hat hacker μπορούν στην πραγματικότητα να αμείβονται καλά συμμετέχοντας σε προγράμματα που ονομάζονται bug bounties (επικηρύξεις των bug), όπου οι εταιρείες που παρέχουν υπηρεσίες τους αμείβουν για την αποκάλυψη ζητημάτων ασφαλείας.

  • Οι black-hat hacker θεωρούνται εγκληματίες με κακόβουλη πρόθεση. Το κίνητρό τους είναι το προσωπικό όφελος. Αυτοί οι hacker βρίσκονται πίσω από επιθέσεις όπως το ransomware (κακόβουλο λογισμικό που ζητάει λύτρα). Μπορεί να χρησιμοποιήσουν τα ευρήματά τους για δικό τους όφελος ή μπορεί να διαθέσουν ευπάθειες προς πώληση σε πρόθυμους αγοραστές. Θα αποκαλούμε εγκληματίες τους black-hat hacker για να τους διαχωρίσουμε από τους ερευνητές και τους ερασιτέχνες ασφαλείας.

Οι grey-hat hacker περιλαμβάνουν εκείνους που στοχεύουν να τρολάρουν τους άλλους ή που περιγράφουν ότι κάνουν hacking μόνο για διασκέδαση ή για να αποκτήσουν φήμη. Θα μπορούσαν να περιγράψουν τους εαυτούς τους ότι κάνουν τις επιθέσεις «for the lulz (για ικανοποίηση)» και συνήθως ενημερώνουν τους πάντες για τα ευρήματά τους ως ένδειξη των ικανοτήτων τους. Μπορεί να προσπαθήσουν ή να μην προσπαθήσουν να επωφεληθούν από τις πειρατείες που διαπράττουν, αλλά γενικά ό,τι κάνουν το κάνουν για τη φήμη.

Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα


Μια ταξινόμηση που χρησιμοποιείται συχνά για την έννοια της κυβερνοασφάλειας είναι το γνωστό ως τρίπτυχο CIA (Confidentiality, Integrity, Availability) της ασφάλειας λογισμικού. Η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα θεωρούνται συχνά οι τρεις θεμελιώδεις πτυχές της ασφάλειας. Όπως και με όλα τα είδη ταξινομήσεων, από το τρίπτυχο CIA μερικές φορές πιστεύεται ότι λείπουν ορισμένα αναπόσπαστα στοιχεία της ασφάλειας του λογισμικού, όπως η μη άρνηση αναγνώρισης. Είτε παρουσιάζει ελλείψεις είτε όχι, το τρίπτυχο CIA εξακολουθεί να είναι ένα πολύ χρήσιμο εργαλείο για την εξέταση διαφορετικών πτυχών της ασφάλειας.

Οι όροι περιγράφονται γενικά ως εξής:

  • Εμπιστοσύνη – τα δεδομένα και οι πόροι προστατεύονται από μη εξουσιοδοτημένη πρόσβαση.

  • Ακεραιότητα – τα δεδομένα προστατεύονται από μη εξουσιοδοτημένες αλλαγές, δηλ. διασφαλίζεται η πληρότητα και η ακρίβειά τους.

  • Διαθεσιμότητα – εξουσιοδοτημένοι χρήστες έχουν πρόσβαση στα δεδομένα ή τους πόρους.

Η εμπιστευτικότητα μπορεί να προστατεύεται με κρυπτογράφηση ή μέσω της προστασίας της πρόσβασης σε δεδομένα όταν αποθηκεύονται μη κρυπτογραφημένα. Ένας κλεμμένος φορητός υπολογιστής αποτελεί απειλή για την εμπιστευτικότητα των δεδομένων που είναι αποθηκευμένα σε αυτόν.

Η ακεραιότητα σημαίνει ότι οι νόμιμοι χρήστες πρέπει να μπορούν να εμπιστεύονται ότι τα δεδομένα είναι ακριβή. Οι μη εξουσιοδοτημένοι χρήστες δεν θα μπορούν να μεταβάλλουν τα δεδομένα, ούτε τα δεδομένα θα μπορούν να μεταβληθούν από λάθος, ακόμα και από εξουσιοδοτημένους χρήστες (π.χ. προστασία από την πλαστογραφία τραπεζικών συναλλαγών για την ανάληψη χρημάτων από λογαριασμό και διαγραφή όλων των τρόπων εντοπισμού της ανάληψης).

Η διαθεσιμότητα είναι μια πτυχή που συχνά δεν εξετάζεται όσο πρέπει. Εάν οι νόμιμοι χρήστες δεν μπορούν να έχουν πρόσβαση στα δεδομένα, τότε αυτά τα δεδομένα δεν θα είναι πρακτικά χρήσιμα. Εάν μια βάση δεδομένων, στην οποία αποθηκεύεται το μόνο αντίγραφο των δεδομένων, διαγραφεί ή κρυπτογραφηθεί από malware (κακόβουλο λογισμικό), αυτό είναι πρόβλημα διαθεσιμότητας. Μια επίθεση άρνησης υπηρεσίας (denial of service - DOS ή distributed denial of service - DDOS για κατανεμημένη επίθεση άρνησης εξυπηρέτησης) σε μια υπηρεσία που εμποδίζει τους νόμιμους χρήστες να έχουν πρόσβαση στα δεδομένα είναι μια άλλη πτυχή της διαθεσιμότητας. Για τις προσωπικές συσκευές, η δημιουργία αντιγράφων ασφαλείας των δεδομένων είναι απαραίτητη για τη διαθεσιμότητα. Οι περισσότεροι πάροχοι τηλεφωνικών υπηρεσιών παρέχουν επ’ αμοιβής μια υπηρεσία για τη διατήρηση ενός κρυπτογραφημένου αντίγραφου ασφαλείας των δεδομένων σας στο cloud. Οι προσωπικοί υπολογιστές μπορούν να χρησιμοποιούν διαδικτυακές υπηρεσίες, μια δικτυωμένη συσκευή δημιουργίας αντιγράφων ασφαλείας ή μια μονάδα USB για σκοπούς δημιουργίας αντιγράφων ασφαλείας.

Next section
II. Αξιολόγηση του κινδύνου

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Το μάθημα δημιουργήθηκε με την πρωτοβουλία Digital SkillUp που είναι η επωνυμία των παραγόμενων στοιχείων που προέκυψαν στο πλαίσιο του έργου European Digital, το οποίο χρηματοδοτήθηκε από την Ευρωπαϊκή Επιτροπή με την υποστήριξη του Ευρωπαϊκού Κοινοβουλίου. Το έργο έχει αφιερωθεί στη διάθεση βασικών γνώσεων σχετικών με τις αναδυόμενες τεχνολογίες και την προσβασιμότητά τους από όλους τους πολίτες και τις ΜΜΕ. Αποσκοπεί στη δημιουργία ενός διαδικτυακού χώρου κατάρτισης που θα παρέχει περιεχόμενο και ευκαιρίες μάθησης σε θέματα όπως η τεχνητή νοημοσύνη, το blockchain, η ρομποτική, η κυβερνοασφάλεια και το Διαδίκτυο των πραγμάτων για όλους.

Αυτό το έργο έλαβε χρηματοδότηση από την Ευρωπαϊκή Ένωση. 
Αυτή η ανακοίνωση αντανακλά μόνο τις απόψεις του συγγραφέα. Δεν αντιπροσωπεύει τις απόψεις της Ευρωπαϊκής Επιτροπής και η Ευρωπαϊκή Επιτροπή δεν είναι υπεύθυνη για τυχόν χρήση των πληροφοριών που περιλαμβάνει.