Έλεγχος ασφάλειας ιστοχώρων: μεθοδολογίες και έλεγχος ευπαθειών

Abstract

Στη σημερινή εποχή, η τεχνολογία μπορεί να θεωρηθεί ο καλύτερος σύμμαχος του τρόπου ζωής του σύγχρονου ανθρώπου. Μπορούμε να κάνουμε σχεδόν τα πάντα πάνω από δικτυωμένα συστήματα ή το διαδίκτυο, από απλές εργασίες όπως η κράτηση θέσης σε μια πτήση αεροπορικής εταιρείας, μέχρι σύνθετες εργασίες εμβάσματα σημαντικών ποσών μεταξύ μεγάλων χρηματοπιστωτικών οργανισμών, σχεδιασμό ταξιδιών κ.λπ. Η ασφάλεια των επικοινωνιών και των πληροφοριακών συστημάτων ωστόσο δεν μπορούμε να την θεωρήσουμε δεδομένη και όσο η τεχνολογία εξελίσσεται τόσο το πρόβλημα της ασφάλειας γίνεται πιο σύνθετο. Είναι εξαιρετικά σημαντικό να γνωρίσουμε νέες τεχνικές και μεθοδολογίες για την καταπολέμηση των κυβερνοεπιθέσεων σε κρίσιμα συστήματα πληροφοριών, των κλοπών δεδομένων και των διεισδύσεων σε δίκτυα δεδομένων. Οι οργανισμοί και οι διαχειριστές συστημάτων πρέπει να εκπαιδευτούν για να είναι σε θέση να επιλέξουν την κατάλληλη τεχνολογία ασφαλείας, τα κατάλληλα εργαλεία και εκείνες τις μεθοδολογίες που θα τους βοηθήσουν στην πρόληψη ή στον μετριασμό των απειλών, πριν αυτές εκδηλωθούν. Πρέπει επίσης να αξιολογήσουν την ασφάλεια των συστημάτων που υποστηρίζουν, για να αναδείξουν τις ευπάθειες που πιθανά να υπάρχουν και να λάβουν τα κατάλληλα διορθωτικά μέτρα. Αντικείμενο της παρούσας μεταπτυχιακής εργασίας αποτελεί η διερεύνηση των ευπαθειών και των υπαρχουσών μεθοδολογιών που αφορούν τον έλεγχο ασφαλείας των ιστοχώρων, όπως αυτές περιγράφονται από τρεις μεγάλους οργανισμούς. Επίσης πραγματοποιήθηκαν έλεγχοι ασφαλείας, μέσω δοκιμών διείσδυσης, σε ιστόχωρους του Πανεπιστημίου Πελοποννήσου. Η δομή της εργασίας έχει ως ακολούθως: στο πρώτο κεφάλαιο γίνεται μια εισαγωγή στην έννοια της ασφάλειας και στις μεθόδους ελέγχου ασφάλειας των εφαρμογών ιστού. Oι δέκα δημοφιλέστερες ευπάθειες που συναντώνται σε δικτυακές εφαρμογές όπως αυτές παρουσιάζονται από τον οργανισμό OWASP παρουσιάζονται στο δεύτερο κεφάλαιο. Στο τρίτο κεφάλαιο παρουσιάζεται η μεθοδολογία για την αξιολόγηση της ασφάλειας σύμφωνα με τον οργανισμό NIST. Οι ευπάθειες και οι πιθανοί κίνδυνοι που απειλούν ένα ιστόχωρο σύμφωνα με την κατηγοριοποίηση του οργανισμού Web Application Security παρατίθενται στο τέταρτο κεφάλαιο. Στο πέμπτο κεφάλαιο γίνεται μια επισκόπηση και αναλύονται τα χαρακτηριστικά των πιο σημαντικών εργαλείων που διατίθενται για τον έλεγχο των ευπαθειών. Στο έκτο κεφάλαιο παρουσιάζονται και αναλύονται διεξοδικά οι λειτουργίες του ανοιχτού λογισμικού Webscarab. Πραγματοποιήθηκαν μετρήσεις ασφαλείας με τη μέθοδο της δοκιμής διείσδυσης, σύμφωνα με τον οδηγό OWASP Testing Guide v.3 στους εξυπηρέτες του Τμήματος Κοινωνικής & Εκπαιδευτικής Πολιτικής του Πανεπιστημίου Πελοποννήσου με το συγκεκριμένο λογισμικό. Στο έβδομο κεφάλαιο παρουσιάζονται τα συμπεράσματα από τις πραγματοποιηθείσες μετρήσεις ασφαλείας.