ΑΣΦΑΛΕΙΑ ΣΤΟ INTERNET


ΠΟΣΟ ΑΣΦΑΛEΣ ΕΙΝΑΙ TO INTERNET ;

Θέλετε λοιπόν να μπείτε στο Internet, να κάνετε δουλειές στο Web, και να συνδιαλεγείται ηλεκτρονικά και on-line με την τράπεζά σας; Θέλετε να γίνεται ολοκληρωτικά on-line; Ανοίγετε λοιπόν την πόρτα σας στον κυβερνοχώρο και περιμένετε εναγωνίως το τι θα αποδώσει αυτός σ' εσάς. Το Internet και το Web είναι νέα σύνορα και αγορές που περιμένουν να κατακτηθούν. Αλλά προσέξτε, υπάρχουν τίγρεις εκεί έξω!

Aυτό που δεν είναι εμφανές σε όλους τους επιχειρηματίες που πάνε on-line, είναι το πόσο ασφαλής είναι ο κυβερνοχώρος. Ας το δούμε ως έχει, τα σύγχρονα μηχανήματα ενός γραφείου είναι στην πλειοψηφία τους φτιαγμένα για να είναι εύκολα και διαφανή στη χρήση τους, και όχι να προσφέρουν ασφάλεια στα εμπορικά σας στοιχεία, (data). Η ευκολία με την οποία ένας υπάλληλός σας μπορεί να μοιραστεί τον εκτυπωτή του με τους υπόλοιπους της ομάδας του, είναι ίδια με την ευκολία με την οποία ένας από έξω από το γραφείο σας μπορεί να χρησιμοποιήσει τα υπολογιστικά σας συστήματα. Η ευκολία με την οποία ένας server NT, μοιράζει τους δίσκους του, είναι μια ανοιχτή πρόσκληση για παρείσακτους να δουν και ίσως ακόμη να καταστρέψουν τα επαγγελματικά σας data.

Πρώτα πρέπει να ορίσουμε τι σημαίνει το να συνδεθείτε στο δίκτυο Internet. Στην πληθώρα των περιπτώσεων, μια εταιρία αγοράζει έναν router και υπογράφει ένα συμβόλαιο με μια εταιρία ISP (Internet Service Provider), και ως εκ θαύματος έχουν συνδεθεί στο Internet. Όλα αυτά είναι υπέροχα, αλλά σταμάτησε ποτέ κανείς να σκεφτεί ποιοι άλλοι είναι εκεί έξω;

Δεν είναι μόνο οι τωρινοί και οι μελλοντικοί πελάτες σας, όχι μόνο οι προμηθευτές σας, αλλά επίσης και οι αντίπαλοί σας και αρκετοί δεκαεξάχρονοι hackers με άφθονο ελεύθερο χρόνο.

Μια αντίπαλή σας εταιρία είναι ένα αγκάθι στα πλευρά σας, αλλά αντίπαλοί σας οπλισμένοι με τις εσωτερικές σας πληροφορίες είναι τίγρεις χωρίς χαλινάρια. Δεν υπάρχει άμυνα εναντίον ενός ικανού και οπλισμένου αντιπάλου, ειδικά εναντίον ενός που είναι οπλισμένος με την γνώση των εσωτερικών σας εργασιών. Ακόμη και αν είναι εφοριακά χαρτιά ή εκθέσεις αποδόσεως των εργαζομένων.

Και φυσικά μην ξεχνάτε και τις καταστροφικές τάσεις των ανήλικων hackers. Μπορεί να μην είναι αντίπαλοί σας, δεν παύουν όμως να μην είναι άνευ σημασίας. Εάν ένας hacker σπάσει το server σας και μπει μέσα, μπορεί να αρχίσει να σβήνει ή να αλλάζει αρχεία. Τα αποτελέσματα θα είναι σίγουρα μια άσχημη εμπειρία για την επιχείρησή σας. Στην καλύτερη περίπτωση θα χάσετε μόνο χρόνο και χρήμα, προσπαθώντας να διορθώσετε τις ζημιές και να επανέλθετε σε μια φυσιολογική κατάσταση. Στην χειρότερη περίπτωση, η επιχείρησή σας θα επηρεαστεί τόσο άσχημα που μόνο ένα ολοκληρωτικό σταμάτημα στις υπολογιστικές εργασίες θα μπορέσει να φέρει τα πράγματα ξανά υπό έλεγχο. Σε οποιαδήποτε περίπτωση κάτι θα χάσετε, κομμάτι από τις πωλήσεις σας, ή το χρόνο σας όλα μεταφράζονται σε χαμένο χρήμα και ενοχλημένους μετόχους.

Αλλά φυσικά το MIS δεν έχει άδικο να θέλει να γίνει on-line. Αλλά ούτε και τα ένστικτά σας που σας λένε οτι είναι το σωστό πράγμα για να γίνει μια εταιρία. Πριν ξεκινήσετε σκεφτείτε, είστε εφοδιασμένοι με όπλα για ελέφαντες και παγίδες για λιοντάρια; Μπορεί ο διευθυντής σας του MIS να γίνει ειδήμων στην ασφάλεια μέσα σε μια μέρα; ΄Η θα πρέπει να προσλάβετε ακόμη πιο πολλά άτομα με τον τίτλο MIS ασφάλεια;

Έχετε δίκιο φυσικά στο οτι υπάρχουν πολύ λίγοι άνθρωποι οι οποίοι έχουν ακούσει περί ασφαλείας υπολογιστών. Στο κάτω- κάτω η ίδια η φύση του αντικειμένου είναι απόκρυφη. Υπάρχουν όμως διεθνείς οργανισμοί οι οποίοι υπάρχουν για να κρούουν τον συναγερμό στην κοινότητα του κυβερνοχώρου. Τέτοιοι οργανισμοί είναι το CIAC ( Computer Incident Advisory Capability), και CERT ( Computer emergency Response Team). Είναι επίσης και αρκετά υποτιμητικό για μεγάλες εταιρίες όπως η Microsoft να παραδεχθούν οτι έχουν παραβλέψει την ασφάλεια των προϊόντων τους. Έτσι για να παρακολουθήσει κανείς το χώρο, πρέπει να συμμετάσχει ενεργά στον υποκυβερνοχώρο της ασφάλειας.

Πόσο εύκολο είναι;

Τα εργαλεία για έμπειρους αντιπάλους είναι ήδη έτοιμα. Και χρησιμοποιώντας τακτικά σε τυχαίες αλλά και προμελετημένες επιθέσεις διαφόρων στόχων. Εργαλεία όπως το SATAN και το STROBE, μπορούν πολύ εύκολα και γρήγορα να βρουν την εσωτερική ψηφιακή σας δομή. Η φήμη των παραπάνω εργαλείων δεν λέει τίποτα περί των ικανοτήτων τους. ΄Ένα κακοστημένο δίκτυο φαίνεται σαν ένα κόσκινο, και κάθε τρύπα είναι μια πιθανή δίοδος για επίθεση. Αυτό το πρόβλημα έχει πρόσφατα διογκωθεί με την νέα γενιά από τα συστήματα διαμοιρασμού δίσκων σε δίκτυα, π.χ. GIFS.

Αυτή η κατάσταση γίνεται ιδιαίτερα προβληματική όταν λάβουμε υπ'όψιν μας τον πιο συνηθισμένο τρόπο λειτουργίας ενός γραφείου. Οι πιθανότητες είναι οτι τα πιο πολλά computers στο γραφείο σας είναι WIN 95 μηχανήματα, με την πιθανότητα ύπαρξης κάποιων NT servers. Είναι εμφανές οτι αυτά τα συστήματα είναι από τη φύση τους ανασφαλή. Το λεπτό που ένας δίσκος γίνεται browsable χωρίς password τότε και όλος ο πλανήτης μπορεί να τον δει.

Ας εξετάσουμε ένα πολύ συνηθισμένο σενάριο. Βιάζεστε, ένας καινούριος server ξαφνικά γίνεται απαραίτητος, το κουτό έρχεται και μπαίνει στην παραγωγή αμέσως, και οι τύποι στο MIS δεν βάζουν password γιατί βιάζονται. Στο κάτω- κάτω, μπορείτε να έχετε ευκολία χειρισμού ή ασφάλεια αλλά όχι και τα δυο μαζί. Ίσως οι ιδιοκτήτες να τους πίεσαν παραπάνω απ' οτι έπρεπε. Ίσως να μην ήταν οι ίδιοι αρκετά προσεκτικοί. Σε οποιαδήποτε περίπτωση θα πρέπει να θεωρείτε αυτό το μηχάνημα ανοιχτό για όλο τον πλανήτη. ΄Όλοι άλλωστε γνωρίζουμε το λογαριασμό administrator και με τη νέα γενιά προγραμμάτων Client, σαν το

SMB client, ένας αντίπαλος μπορεί να δει τι περιέχει αυτό το computer. Φαίνεται πολύ καλό και στην πραγματικότητα είναι! Οι πιο πολλές συνδέσεις στο Internet έχουν παραπλήσια προβλήματα, λίγες είναι σωστά administrated. Και τα προβλήματα δεν τελειώνουν στο File sharing, ακόμη και το στήσιμο ενός Web server δημιουργεί επιπρόσθετα προβλήματα, που μπορεί να δημιουργήσουν τρύπες για κάποιον να μπει μέσα στην επιχείρησή σας.

Ποιανού λάθος είναι;

Η έλλειψη ασφάλειας δεν είναι λάθος κανενός, αλλά και όλοι είναι συνυπεύθυνοι. Το MIS γιατί δεν είναι αρκετά παρανοϊκοί, οι χρήστες που απαιτούν υπερβολική ευκολία χειρισμού, και τα στελέχη που προσπαθούν να κάνουν τους πάντες πιο παραγωγικούς χωρίς να σκεφτούν τις συνέπειες. Μην νομίζετε οτι η έλλειψη πληροφόρησης από τους κατασκευαστές των υπολογιστών και των προγραμμάτων σας περί ασφάλειας, σημαίνει και την ύπαρξή της.

Τις πιο πολλές φορές το marketing μιας εταιρίας Η/Υ προσπαθούν να σιγήσουν οποιεσδήποτε φωνές επί του θέματος. Και το χειρότερο είναι οτι δεν δοκιμάζουν επίσης τα συστήματά τους για επιθέσει9ς εκ των έξω. Είναι πραγματικά ανησυχητικό το να βρίσκει κανείς προβλήματα μιας εφαρμογής στο USENET, (που είναι δημόσιο και πολύ κοινό ), αντί ο προγραμματιστής της εφαρμογής να κάνει ένα πλήρες test. Ένα τέτοιο πρόγραμμα ήταν στο Internet explorer της Microsoft, πριν διορθωθεί με το οποίο κάποιος μπορούσε να κλέψει τον κωδικό σας, όταν ήσασταν συνδεμένοι στο Internet.

Η έλλειψη πληροφόρησης από τους κατασκευαστές δυσχεραίνει την όλη κατάσταση, γιατί οι crackers είναι ισχυρότεροι όταν πέσουν αυτά τα στοιχεία στα χέρια τους, στιγμή που οι νόμιμοι χρήστες δεν μπορούν να αντιμετωπίσουν τις καταστάσεις λόγω έλλειψης των λεπτομερειών περί security.

Tι μπορείτε να κάνετε;

Πρώτα απ' όλα χρειάζεται συνεχής επαγρύπνηση, Τα προβλήματα αναφέρονται καθημερινά και χρειάζεται κάποιος να παρακολουθεί τα κατάλληλα newsgroups. Εάν η επιχείρησή σας δεν έχει αυτή τη δυνατότητα για την πρόσληψη προσωπικού, υπάρχει λύση που θα μπλοκάρει πάνω από το 90% των τρυπών ενός δικτύου, ένας Firewall.

Ένα Firewall με Web proxying / cacheing προσφέρει τα κάτωθι:

  • Φιλτράρει την εισερχόμενη ψηφιακή κυκλοφορία, και έτσι παρακολουθείτε τι συμβαίνει και έχετε τη δυνατότητα να μπλοκάρετε ανεπιθύμητες ενέργειες.
  • Μειώνει το κόστος σας για το Internet αφού υπάρχει σ' εσάς ένα τοπικό cache.
  • Επιλεκτικά επιτρέπει εξερχόμενη πρόσβαση στο Internet από την επιχείρησή σας, στο κάτω-κάτω δεν χρειάζονται Internet όλοι οι υπάλληλοί σας.
  • Περισυλλογή στατιστικών στοιχείων περί της χρησιμοποίησης του δικτύου.
  • Περισυλλογή στοιχείων απο πιθανές επιθέσεις Δουλεύουν ή παίζουν οι υπάλληλοί σας;
  • Επί τόπου διανομή e-mail πάνω στο Firewall άρα και έλεγχο της ποσότητας e- mail που μεταδίδεται.

    Copyright and Copy Angelos Karageorgiou

    << Back