Μια επισκόπηση εργαλείων ελέγχου τρωτότητας. Δίκτυο-κεντρικών πληροφοριακών συστημάτων

Καββαδίας, Σπυρίδων

View/Open

ΠΛΗ-2013-00092.pdf (3.723Mb)

Date

2013-07-04

Author

Καββαδίας, Σπυρίδων

Metadata

Show full item record

Abstract

Η διατριβή, περιλαμβάνει αναλυτική μελέτη και αξιολόγηση ενός μεγάλου αριθμού διαθέσιμων Εργαλείων Ελέγχου Τρωτότητας, δηλαδή μηχανισμών, εργαλείων, εφαρμογών και υπηρεσιών ασφάλειας χρήσιμα στην εύρεση ευπαθειών σε υπό εξέταση συστήματα. Αναπτύχθηκε ένα ολοκληρωμένο πλαίσιο σύγκρισης που περιλαμβάνει τρεις κλάσεις κριτηρίων με επιμέρους κριτήρια για κάθε μία από αυτές. Ως έλεγχο τρωτότητας (penetration testing) ενός δικτυοκεντρικού (net-centric) πληροφοριακού συστήματος περιγράφουμε τη διαδικασία που ακολουθείται προκειμένου να διαπιστωθεί αν ένα πληροφοριακό σύστημα είναι ευπαθές (vulnerable) σε απειλές (threats) που αφορούν την ασφάλειά του (security) και που ενδεχομένως θα μπορούσε να εκμεταλλευτεί ένας κακόβουλος χρήστης για να προκαλέσει ζημιά στο σύστημά μας ή να υποκλέψει ευαίσθητες πληροφορίες. Το πρώτο μέρος περιλαμβάνει το Θεωρητικό υπόβαθρο των ελέγχων τρωτότητας. Στο κεφάλαιο 2 περιγράφεται το πρόβλημα που καλούνται να αντιμετωπίσουν αυτά τα προγράμματα, το προφίλ των χρηστών που έχουν απέναντί τους και συγκεκριμένα αριθμητικά στοιχεία που επιβεβαιώνουν την μεγέθυνση του προβλήματος. Περιγράφονται οι διαδικασίες ενός ελέγχου τρωτότητας και στο Κεφάλαιο 3 τα πιθανά σημεία εκκίνησης και οι στόχοι μίας διαδικασίας εύρεσης ευπαθειών. Στο Κεφάλαιο 4 παρουσιάζονται συνοπτικά κάποια νομικά ζητήματα και στο Κεφάλαιο 5 αναλύονται οι πέντε(5) φάσεις μιας δοκιμής διείσδυσης. Το Κεφάλαιο 6 αφορά τη φάση της αναζήτησης πληροφοριών για το υπό εξέταση σύστημα. Περιγράφονται διαδικασίες, μέθοδοι και εργαλεία για την ολοκλήρωση αυτού του σταδίου. Κατά κανόνα τα προγράμματα που χρησιμοποιούνται εδώ δεν μπορούν να βοηθήσουν σε κάποια άλλη φάση. Επίσης είναι κρίσιμο για μία πετυχημένη δοκιμή διείσδυσης γι’ αυτό και έγινε η επιλογή παρουσίασης του σε ξεχωριστό κεφάλαιο. Στο Κεφάλαιο 7 παραθέτονται τα κριτήρια αξιολόγησης καθώς και το σκεπτικό επιλογής τους. Στo Κεφάλαιο 8 κατηγοριοποιούνται τα εργαλεία ανάλογα με τον υπό εξέταση στόχο. Περιγράφεται η λειτουργίας τους και βασικά χαρακτηριστικά του καθενός. Σε ορισμένα αντί των πληροφοριών παρατίθεται ένα παράδειγμα ή μία περίπτωση χρήσης. Την παρουσίαση των προγραμμάτων της κάθε κατηγορίας ακολουθεί αξιολόγηση με βάση τα κριτήρια του κεφαλαίου 7, μόνο σε αυτές που κρίνεται χρήσιμο και ουσιώδες. Στο Κεφάλαιο 9 επαναλαμβάνεται η διαδικασία περιγραφής και σύγκρισης εργαλείων αλλά μόνο για εργαλεία που αφορούν διαδικτυακές εφαρμογές. Το Κεφάλαιο 10 περιέχει εργαλεία και εφαρμογές για κινητά 3η γενιάς και iPad. Η εργασία ολοκληρώνεται με κάποια συμπεράσματα

URI

http://hdl.handle.net/11128/1232

Collections

Πληροφοριακά και Επικοινωνιακά Συστήματα (ΕΛΛ) / Information and Communication Systems (in Greek)