Πρόγραμμα Εξ Αποστάσεως Εκπαίδευσης
e-learning Πληροφορικής
Αναζήτηση

Ασφάλεια Υπολογιστικών Συστημάτων / Pen testing

Τίτλος Μαθήματος

Ασφάλεια Υπολογιστικών Συστημάτων / Pen testing

Αγγλικός Τίτλος

Information System Security/ Pen testing

Διδακτική Ενότητα

6η Διδακτική Ενότητα:
Δίκτυα και Υπολογιστικά Συστήματα

Διδάσκοντες

Δρ. Κωνσταντίνος Πατσάκης
Ομότιμος Καθηγητής Νικόλαος Αλεξανδρής

Περιεχόμενο Μαθήματος

¡     Η ασφάλεια ενός πληροφοριακού συστήματος αποτελεί έναν ιδιαίτερα ευαίσθητο τομέα, ο οποίος δυστυχώς δεν λαμβάνεται πάντα υπόψιν κατά την ανάπτυξή του. Επιπλέον, τις περισσότερες φορές θεωρείται δεδομένη από τους χρήστες, συνεπώς εκτιμάται μόνο όταν χάνεται. Δυστυχώς υπάρχουν δύο τάσεις στην ανάπτυξη των πληροφοριακών συστημάτων, οι οποίες είναι εξίσου καταστροφικές. Στην πρώτη περίπτωση, κατά την ανάπτυξή του, το βάρος πέφτει στην χρηστικότητά του, καθώς θα πρέπει να βγει στην αγορά κάποια υπηρεσία. Το πρόβλημα το οποίο παρουσιάζεται είναι ότι κανείς ουσιαστικά δεν κάνει έλεγχο ασφάλειας, η υπηρεσία είναι μεν λειτουργική, αλλά διάτρητη. Στην άλλη περίπτωση ακολουθείται μία πολιτική "security through obscurity" (ασφάλεια μέσω της απόκρυψης). Το να θεωρεί κανείς ότι είναι ασφαλής γιατί οι υπόλοιποι δεν έχουν γνώση των εργαλείων/μεθόδων που χρησιμοποιεί, είναι τουλάχιστον επικίνδυνο, καθώς στις περισσότερες περιπτώσεις αποκαλύπτεται η όποια μέθοδος και παρακάμπτεται εύκολα.

¡     Η διενέργεια ελέγχων ασφαλείας (Penetration Testing) αποτελεί ένα τρόπο αποκάλυψης των αδυναμιών ενός πληροφοριακού συστήματος. Είναι μία διαδικασία η οποία έχει ως σκοπό να δείξει στις εταιρείες και τους οργανισμούς, τους κινδύνους στους οποίους είναι εκτεθειμένοι προκειμένου να προβούν στις αντίστοιχες κινήσεις για να καλύψουν τις ευπάθειές τους. Οι διάφοροι τρόποι με τους οποίους μπορεί να διεξάγεται (Black Box, White Box, Crystal Box κ.ά) δεν αλλάζει τις βασικές μεθοδολογίες ή την χρήση κάποιων συγκεκριμένων εργαλείων.

¡     Το μάθημα προσπαθεί να δώσει τις βάσεις για την διενέργεια ελέγχων ασφαλείας, δίνοντας ιδιαίτερη έμφαση στην χρήση εργαλείων ανοιχτού κώδικα και σε case studies μέσω virtual machines, προκειμένου ο εκπαιδευόμενος να μπορεί να εξασκηθεί σε όσο το δυνατό ελεγχόμενο, αλλά παράλληλα ρεαλιστικό περιβάλλον.

¡     Σε αυτό λοιπόν το πλαίσιο το μάθημα χωρίζεται σε 4 διακριτές ενότητες:

¡     Συλλογή πληροφοριών

¡     Επιβεβαίωση Αδυναμιών

¡     Εκμετάλλευση Αδυναμιών - Επιθέσεις

¡     Καθαρισμός Ιχνών-Τοποθέτηση αποδεικτικών στοιχείων

Στόχοι του μαθήματος

Μετά την παρακολούθηση αυτού του μαθήματος, ο εκπαιδευόμενος:

1.      θα μάθει να συλλέγει πληροφορίες για ένα άγνωστο πληροφοριακό σύστημα

2.      θα μάθει να χρησιμοποιεί λογισμικό εντοπισμού κενών ασφαλείας.

3.      θα μάθει τα βασικά στοιχεία μίας ψηφιακής επίθεσης.

4.      θα αποκτήσει το απαραίτητο υπόβαθρο για την διενέργεια ελέγχων ασφαλείας.

5.      θα μπορεί να προβεί σε ενέργειες πρόληψης κινδύνων.

Σε ποιους απευθύνεται το μάθημα

Το μάθημα απευθύνεται στις ακόλουθες κατηγορίες:

1.      Αποφοίτους Λυκείου (κατά προτίμηση με κάποια εμπειρία σε δίκτυα και εγκατάσταση υπολογιστικών συστημάτων).

2.      Αποφοίτους Πανεπιστημίων ή ΤΕΙ σχετικών με την Πληροφορική που δεν έχουν διδαχθεί Ασφάλεια.

3.      Αποφοίτους Πανεπιστημίων ή ΤΕΙ μη -σχετικών με την Πληροφορική, που επιθυμούν να αποκτήσουν το απαραίτητο υπόβαθρο για την διενέργεια

Προαπαιτούμενη γνώση

Κρίνεται χρήσιμο ο εκπαιδευόμενος να έχει πάρει τα μαθήματα:

ñ     «Ασφάλεια Δικτύων» από την 5η Διδακτική Εκπαιδευτική Ενότητα: Δίκτυα, Διαδίκτυο και Υπολογιστικά Συστήματα

ñ     «Κρυπτογραφία» από την 2η Διδακτική Εκπαιδευτική Ενότητα: Μαθήματα Υποβάθρου Πληροφορικής