Απειλές και μηχανισμοί προστασίας της ιδιωτικότητας στα ασύρματα και κινητά δίκτυα

Το λήμμα παραθέτει τις πηγές του αόριστα, χωρίς παραπομπές. Βοηθήστε συνδέοντας το κείμενο με τις πηγές χρησιμοποιώντας παραπομπές, ώστε να είναι επαληθεύσιμο. Το πρότυπο τοποθετήθηκε χωρίς ημερομηνία. Για τη σημερινή ημερομηνία χρησιμοποιήστε: {{χωρίς παραπομπές|20|04|2024}}

Ιστορική ανασκόπηση των ασύρματων επικοινωνιών[Επεξεργασία | επεξεργασία κώδικα]

Οι ασύρματες επικοινωνίες πρωτοεμφανίζονται το 1896 με την εφεύρεση του ασύρματου τηλέγραφου από τον Μαρκόνι. Το 1906 πραγματοποιείται η πρώτη ραδιοφωνική μετάδοση από τον Fessenden. Ο δεύτερος παγκόσμιος πόλεμος επιτάχυνε τις εξελίξεις.Το 1957 εκτοξεύεται από την σοσιαλιστική Σοβιετική Ένωση ο δορυφόρος Sputnik, γεγονός-σταθμός στις ασύρματες επικοινωνίες. Το 1970 εμφανίζονται στις ΗΠΑ τα πρώτα ασύρματα αναλογικά τηλέφωνα. Στις αρχές της δεκαετίας του '80 εμφανίζονται στην Ιαπωνία και την Ευρώπη συστήματα κινητής τηλεφωνίας. Τη δεκαετία του '90 σημειώνεται ραγδαία ανάπτυξη των ασύρματων τεχνολογιών και διαδίδονται τα συστήματα τηλεειδοποίησης. Το 1991 εμφανίζονται τα πρώτα GSM δίκτυα. Το 1992 εμφανίζεται το TCP/IP based δίκτυο – Cellurar Digital Packet Data (CDPD). Το 1995 καταγράφονται οι πρώτες προσπάθειες συνδυασμού της ασύρματης τεχνολογίας με το Διαδίκτυο. Το 1997 εμφανίζονται οι πρώτες προδιαγραφές WAP 1.0. Το 2001 εμφανίστηκαν στην αγορά οι πρώτες συσκευές Bluetooth της ομάδας SIG (Special Interest Group). Οι υπηρεσίες βασισμένες στο WAP δεν γνώρισαν την αναμενόμενη αποδοχή από τους καταναλωτές. Ομοίως και οι τεχνολογίες Bluetooth και WLAN.

Ορισμός της ιδιωτικότητας[Επεξεργασία | επεξεργασία κώδικα]

Βάσει του ορισμού του Alan F.Westin η ιδιωτικότητα (privacy) ορίζεται ως εξής: “Η αξίωση των ατόμων, των ομάδων και των ιδρυμάτων να αποφασίζουν για τον εαυτό τους πότε, πώς και σε ποιο ακριβώς βαθμό οι πληροφορίες για τα άτομά τους γνωστοποιούνται στους υπόλοιπους με τους οποίους επικοινωνούν”.

Απειλές στην προστασία της ιδιωτικότητας[Επεξεργασία | επεξεργασία κώδικα]

Οι απειλές στην προστασία της ιδιωτικότητας και της ανωνυμίας των χρηστών σε περιβάλλον κινητών επικοινωνιών χρήζουν προσεκτικής μελέτης. Η ιδιαιτερότητα των κινητών επικοινωνιών έχει να κάνει με την ευκολία του χρήστη να μεταπηδά από δίκτυο σε δίκτυο, τα οποία όμως πολύ πιθανόν δεν προστατεύονται με μηχανισμούς ασφαλείας. Αποτέλεσμα αυτού του φαινομένου είναι η επικίνδυνη έκθεση των πληροφοριών που αφορούν τους χρήστες και τυγχάνουν επεξεργασίας από τις κινητές συσκευές. Η συγκέντρωση πληροφοριών για έναν χρήστη μπορεί να έχει πληθώρα δυσμενών συνεπειών, όπως η δημιουργία του προφίλ του χρήστη και η αξιοποίηση του ποικιλοτρόπως. Όλες οι σύγχρονες μορφές και τεχνολογίες ασύρματων δικτύων, όπως είναι τα αδόμητα ασύρματα δίκτυα (Mobile ad hoc Networks, MANET) , τα ασύρματα δίκτυα αισθητήρων (Wireless Sensor Networks, WSN), τα οχηματικά δίκτυα (Vehicular Ad-Hoc Network, VANET) και γενικά ό,τι περιλαμβάνεται στον όρο διάχυτη υπολογιστική (ubiquitous/pervasive computing) είναι δυνατόν να χρησιμοποιηθεί για την παρακολούθηση των χρηστών και των συνηθειών τους.

Παθητικού τύπου[Επεξεργασία | επεξεργασία κώδικα]

Η απουσία ελέγχων πρόσβασης στο (ραδιο)μέσο επιτρέπει στους επιτιθέμενους να παρακολουθούν οποιοδήποτε ασύρματο δίκτυο (eavesdrop) με σκοπό, την καταγραφή των εκπεμπόμενων δεδομένων με στόχο την εκ των υστέρων αποκωδικοποίηση τους. Τέτοιου είδους συνακροάσεις είναι σχεδόν αδύνατον να ανιχνευθούν. Η μόνη λύση σε αυτού του τύπου επιθέσεις είναι η κρυπτογράφηση των δεδομένων. Όμως, όλοι οι αλγόριθμοι κρυπτογράφησης έχουν αδύνατα σημεία (κρυπτογραφικές απειλές).

Ενεργητικού τύπου[Επεξεργασία | επεξεργασία κώδικα]

• ARP poisoning-Ο επιτιθέμενος απαντά στις ARP αιτήσεις διαφόρων σταθμών στέλνοντας την δική του MAC και λαμβάνει πληροφορίες που απευθύνονται στα “θύματα”. Μπορεί επίσης να επαναπροωθεί τα μηνύματα στα θύματα (man-in -the-middle).
• Unauthorized access. Πλαστογράφηση δεδομένων/σηματοδοσίας και υπόδηση κόμβων (spoofing/masquerading/impersonating).
• Επιθέσεις άρνησης πρόσβασης (DoS).
• Flooding
• Malware
• Jamming

Με την εξέλιξη των ασύρματων δικτύων παρουσιάζονται παραλλαγές των παραπάνω επιθέσεων, όπως η:

• drive-by-spamming.

Οι επιθέσεις τύπου ΜΙΤΜ έχουν κύριο στόχο την υπονόμευση της ακεραιότητας ή/και της εμπιστευτικότητας της συνόδου (session) Ο επιτιθέμενος υποδύεται είτε έναν σταθμό βάσης σε δίκτυο κινητής επικοινωνίας είτε ένα σημείο ασύρματης πρόσβασης σε ένα τοπικό ασύρματο δίκτυο.Έτσι, λειτουργεί σαν ενδιάμεσος μεταξύ του χρήστη και του νόμιμου δικτύου.

Υπάρχουν δυο κύριοι τρόποι για την μεταβολή ενός μηνύματος:

• επί τόπου αλλαγή (on-the-fly)
• καταγραφή, αλλαγή και επαναπροώθηση (store and forward).

Η μεταβολή των πληροφοριών μπορεί να περιλαμβάνει:

• εισαγωγή (injection) παραπλανητικού ή κακόβουλου περιεχομένου και εντολών
• τροποποίηση των δεδομένων σηματοδοσίας (control messages) του δικτύου για πρόκληση DoS.

Παραδείγματα: εισαγωγή κατάλληλων εντολών για να επιτευχθεί βίαιη αποσύνδεση (disassociation) των χρηστών, πρόκληση πλυμμύρας (flooding) με μηνύματα σύνδεσης στα σημεία πρόσβασης αποκλείοντας έτσι τους εξιουσιοδοτημένους χρήστες, ο αποτελεσματικότερος τρόπος άμυνας σε αυτές τις απειλές είναι η προστασία της ακεραιότητας (integrity) των δεδομένων.

Μηχανισμοί προστασίας[Επεξεργασία | επεξεργασία κώδικα]

Οι έννοιες:

• Αυθεντικοποίηση(authentication)
• Εξουσιοδότηση (authorization)
• Λογιστική καταγραφή(accounting)

συνοψίζονται ως ένα πλαίσιο για τον έλεγχο πρόσβασης (access control) σε δικτυακούς πόρους και είναι κρίσιμες για την επιβολή μηχανισμών ασφάλειας.

Το πρωτόκολλο RADIUS, αναπτύχθηκε πριν από οποιοδήποτε ΑΑΑ πλαίσιο. Χρησιμοποιεί την λογική πελάτη-εξυπηρετητή προκειμένου να πιστοποιήσει την ταυτότητα απομακρυσμένων χρηστών.

Το Πλαίσιο αυθεντικοποίησης ΙΕΕΕ 802.1Χ στοχεύει στην παροχή υπηρεσιών ελέγχου πρόσβασης στο σημείο που ο χρήστης συνδέεται στο δίκτυο. Γι´αυτό το σκοπό ορίζει τρεις βασικές δικτυακές οντότητες: τον αιτούμενο (applicant), τον πιστοποιητή ταυτότητας (authenticator), τον εξυπηρετητή αυθεντικοποίησης (authentication server).

Το μοντέλο αυθεντικοποίησης βασισμένο στο Web εκμεταλλέυεται την defacto ύπαρξη του πρωτοκόλλου SSL στους browsers που είναι εγκατεστημένοι στις μηχανές των χρηστών. Έτσι, αν κάποιος χρήστης προσπαθήσει να συνδεθεί σε κάποιο hot spot ο web server ανακατευθύνει την αίτηση -με browser hijacking- σε μια τυπική ιστοσελίδα σύνδεσης.

Το μοντέλο εικονικής ιδιωτικής δικτύωσης, όπως η χρήση του πρωτοκόλλου IPsecure (IPsec), βασίζεται στην ανάπτυξη εικονικών δικτύων από σημείο σε σημείο για την παροχή υπηρεσιών εμπιστευτικότητας. Το IPsec είναι ώριμο πρωτόκολλο, δοκιμασμένο στον χρόνο και παρέχει ισχυρούς μηχανισμούς στο επίπεδο IP.

Το WEP (Wired Equivalent Privacy) υιοθετήθηκε από το πρότυπο IEEE 802.11. Προσφέρει υπηρεσίες εμπιστευτικότητας συγκρίσιμες με αυτές στα ενσύρματα δίκτυα. Αποτελείται από δύο τμήματα: Το πρώτο υλοποιεί ένα πρωτόκολλο πιστοποίησης ταυτότητας, ενώ το δεύτερο προσφέρει υπηρεσίες εμπιστευτικότητας στα πλαίσια 802.11 μέσω του αλγορίθμου RC4. Για αυτό το μοντέλο έχουν αποδειχθεί πολλές ατέλειες με αποτέλεσμα την στροφή σε νεότερα πρότυπα όπως το WPA2, το πλέον χρησιμοποιούμενο και ασφαλές πρότυπο σήμερα. Ωστόσο η δημοτικότητα του απειλείται σύμφωνα με έναν ερευνητή της εταιρείας AitTight Networks, ο οποίος ανακάλυψε πρόσφατα ένα πολύ σοβαρό κενό ασφαλείας στο πρότυπο. Η συγκεκριμένη "τρύπα" είναι αδύνατο να κλείσει. Το κενό που ανακάλυψε ο Sohail Ahmad δίνει τη δυνατότητα για spoofing attacks. Η μέθοδος αυτή επιτρέπει σε έναν χρήστη να "μεταμφιεστεί" ψηφιακά σε έναν άλλον και να αποκτήσει με αυτό τον τρόπο προνόμια πάνω στα πακέτα που διακινούνται. Η θετική πτυχή αυτής της ανακάλυψης είναι ότι το κενό αυτό αφορά κατά πάσα πιθανότητα μόνο το WPA2-EAP που χρησιμοποιείται σε επιχειρήσεις και όχι το WPA2-PSK που βρίσκεται στα περισσότερα οικιακά routers. Ενώ η αρνητική είναι ότι δεν υπάρχει τρόπος να αντιμετωπιστεί, καθώς πρόκειται για χαρακτηριστικό στις προδιαγραφές του προτύπου το οποίο περιγράφεται στο IEEE 802.11 standard. Ο Ahmad ονόμασε τη συγκεκριμένη τρύπα Hole 196, από την σελίδα που περιγράφονται οι προδιαγραφές του προτύπου.

Μηχανισμοί προστασίας της ιδιωτικότητας στα δίκτυα 2G/3G[Επεξεργασία | επεξεργασία κώδικα]

To Global System For Mobile communications (GSM) είναι το δημοφιλέστερο σύστημα κινητών επικοινωνιών δεύτερης γενιάς.Κάθε χρήστης στο GSM διαθέτει μια μόνιμη ταυτότητα (IMSI, International Mobile Subscriber Identity). Η αποκάλυψη της ταυτότητας σε τρίτους και η σύνδεση της με το φυσικό πρόσωπο στο οποίο ανήκει αποτελεί άμεση απειλή. Για την προστασία των χρηστών από τυχόν ωτακουστές (eavesdroppers), το σύστημα αντί της IMSI χρησιμοποιεί προσωρινές ταυτότητες χρηστών που ονομάζονται TIMSI (Temporary International Mobile Subscriber Identity). Αυτή η προσωρινή ταυτότητα μεταβάλλεται κάθε φορά που συνδέεται ο χρήστης στο δίκτυο.

Προστασία της Ιδιωτικότητας στο Bluetooth[Επεξεργασία | επεξεργασία κώδικα]

Η τεχνολογία Bluetooth απευθύνεται σε προσωπικές κινητές συσκευές, όπως κινητά τηλέφωνα, PDA, laptop, κ.ά., γεγονός που δίνει μεγάλη βαρύτητα στην απειλή εντοπισμού της γεωγραφικής θέσης. Όσο η συσκευή εκπέμπει ραδιοσήματα ελλοχεύει ο κίνδυνος εντοπισμού της. Για να μπορέσει ένας επιτιθέμενος να εντοπίσει μια τέτοια συσκευή θα πρέπει να έχει στην κατοχή του κάποιο σταθερό αναγνωριστικό της συσκευής. Αν ο επιτιθέμενος καταφέρει να συσχετίσει αυτό το αναγνωριστικό με το φυσικό πρόσωπο στο οποίο ανήκει, η απειλή έχει πραγματοποιηθεί. Έτσι διαφαίνεται η ανάγκη υιοθέτησης μιας κατάστασης ανωνυμίας (anonymity state). Οι συσκευές που βρίσκονται σε αυτή την κατάσταση πρέπει να ανανεώνουν συχνά την διεύθυνσή τους.

Υπάρχουν καταγεγραμμένα πέντε είδη επιθέσεων εντοπισμού θέσης:

1. Επίθεση παρακολούθησης κίνησης (traffic monitoring attack)
2. Επίθεση διερεύνησης (inquiry attack)
3. Επίθεση σελιδοποίησης (paging attack)
4. Επίθεση που βασίζεται στο user-friendly όνομα των συσκευών
5. Επίθεση αναπήδησης συχνοτήτων (frequency hopping attack)

Συμπεράσματα[Επεξεργασία | επεξεργασία κώδικα]

Παρά την ανάπτυξη νέων μηχανισμών ασφάλειας , τα επεισόδια ασφάλειας (security incidents) δε φαίνεται να μειώνονται. Αντίθετα, νέες απειλές κάνουν την εμφάνισή τους. Το ενδιαφέρον για την εξέλιξη των συστημάτων ασφαλείας κορυφώνεται για το σχεδιασμό των επερχόμενων κινητών επικοινωνιών 4ης γενιάς. Η ενοποίηση των ετερογενών δικτύων των παρόχων και του Διαδικτύου δημιουργεί ένα ανοικτό δικτυακό περιβάλλον ευάλωτο σε επιθέσεις.

Βιβλιογραφία[Επεξεργασία | επεξεργασία κώδικα]

• Προστασία της ιδιωτικότητας & Τεχνολογίες Πληροφορικής και Επικοινωνιών, Τεχνικά και Νομικά Θέματα, Σ. Γκρίτζαλης, Κ. Λαμπρινουδάκης, Λ. Μήτρου, Σ. Κάτσικας, 2010, Αθήνα, Εκδόσεις Παπασωτηρίου.