| Περίληψη |
Ο Παγκόσμιος Ιστός αποτελεί ένα απαραίτητο εργαλείο για ποικίλες καθημερινές μας
δραστηριότητες τις τελευταίες δεκαετίες. Αναμφίβολα, η ευρεία επικράτηση και δημοφιλία του μπορεί, σε μεγάλο βαθμό, να αποδοθεί στη συνεχή του εξέλιξη και την αδιάκοπη εμφάνιση νέων λειτουργικοτήτων και υπηρεσιών. Σαν αποτέλεσμα, παράλληλα με
αυτές τις νέες, χρήσιμες, αλλά και συχνά περίπλοκες λειτουργικότητες, αυξάνεται και η
πολυπλοκότητα του ίδιου του οικοσυστήματος. Ταυτόχρονα, ένας αυξανόμενος αριθμός από ευαίσθητες λειτουργικότητες προσφέρεται στους χρήστες κι ένας τεράστιος
όγκος από ιδιωτικές, ευαίσθητες πληροφορίες ανταλλάσσεται συνεχώς. ∆υστυχώς,
αυτό έλκει την προσοχή κακόβουλων χρηστών, οι οποίοι επιδιώκουν να αποκτήσουν
πρόσβαση σε τέτοιες ευαίσθητες πληροφορίες και λειτουργικότητες για δικούς τους
σκοπούς και κέρδος, πλήττοντας έτσι την ασφάλεια και την ιδιωτικότητα των χρηστών.
Ακόμη, η ίδια η περίπλοκη φύση του Παγκόσμιου Ιστού προσφέρει στους επιτιθέμενους
μια πληθώρα από πιθανά ευάλωτα σημεία που μπορούν να επιχειρήσουν να εκμεταλλευτούν, προκειμένου να εκτελέσουν τις επιθέσεις τους. Συνεπώς, η ϑωράκιση της
ασφάλειας του Παγκόσμιου Ιστού και των εφαρμογών του κρίνεται υψίστης σημασίας,
προκειμένου να περιοριστούν οι κακόβουλες ενέργειες και οι επιπτώσεις τους.
Αισίως, η ερευνητική κοινότητα έχει προτείνει ποικίλους μηχανισμούς άμυνας, αντίμετρα, καθώς και τεχνικές για τον εντοπισμό ευπαθειών και άλλων ζητημάτων
ασφάλειας. Παρά ταύτα, η συνεχώς αυξανόμενη πολυπλοκότητα του Ιστού συχνά
μειώνει σημαντικά την αποτελεσματικότητα των ήδη προταθέντων προσεγγίσεων και
μηχανισμών, καθιστώντας τους ενίοτε εντελώς ακατάλληλους. Ακόμη, η υπερμεγέθης
κλίμακα του οικοσυστήματος, η μεγάλη ποικιλία εφαρμογών, η έλλειψη πρόσβασης
στον πηγαίο τους κώδικα και οι περίπλοκες αλληλεπιδράσεις που τις χαρακτηρίζουν,
δυσχεραίνουν την χρήση τεχνικών οι οποίες απαιτούν την a priori απόκτηση γνώσης και
πληροφοριών ή εξειδικευμένης εισόδου και παραμετροποίησης για να επιτύχουν τον
στόχο τους.
Στην κείμενη ∆ιατριβή, αποδεικνύουμε ότι οι ιδιαιτερότητες αυτές του Παγκόσμιου
Ιστού και οι εγγενείς προκλήσεις που υποκρύπτουν, απαιτούν την χρήση αυτοματο-
ποιημένων, black-box τεχνικών και λύσεων, ώστε να αντιμετωπιστούν αποτελεσματικά.
Προτείνοντας κι αξιολογώντας εκτενώς τέτοιες καινοτόμες προσεγγίσεις, οι οποίες
καλύπτουν διαφορετικές πτυχές της ασφάλειας και ιδιωτικότητας στον Ιστό, αναδεικνύουμε τα σημαντικά οφέλη, καθώς και τις βελτιώσεις που αυτές προσφέρουν σε
σχέση με προηγούμενες μελέτες και συστήματα. Εξίσου σημαντικά, τα συστήματά μας
υιοθετούν μία αγνωστικιστική προσέγγιση ως προς το πεδίο και την μέθοδο λειτουρ-
γίας τους. Με άλλα λόγια, δεν απαιτούν καμία εκ των προτέρων γνώση ή επεξεργασία
στο εκάστοτε πεδίο λειτουργίας τους, ώστε να επιτύχουν τον σκοπό τους.
Ειδικότερα, προτείνουμε ένα ενδιάμεσο λογισμικό (middleware) για υπάρχοντα συ-
στήματα εντοπισμού ευπαθειών, το οποίο, επιλύωντας τους κύριους περιορισμούς των
συστημάτων αυτών, στοχεύει στο να βελτιώσει τις επιδόσεις τους, τόσο σε ό,τι αφορά
τον εντοπισμό ευπαθειών όσο και την κάλυψη κώδικα της εκάστοτε εφαρμογής που
ελέγχεται. Εν συνεχεία, σχεδιάζουμε και υλοποιούμε ένα πλήρως αυτοματοποιημένο
σύστημα για τον εντοπισμό ευπαθειών σε μηχανισμούς αυθεντικοποίησης κι εξου-
σιοδότησης σε εφαρμογές Ιστού. Χρησιμοποιώντας το σύστημά μας εκπονούμε την
πρώτη μελέτη μεγάλης κλίμακας στα εν λόγω ζητήματα ασφάλειας. Τέλος, επιλύου-
με το πρόβλημα του καταλογισμού (attribution), σε πραγματικό χρόνο, προγραμμάτων
τρίτων μερών που εμπεριέχονται σε εφαρμογές Ιστού, το οποίο αποτελεί ένα κρίσιμο
προαπαιτούμενο για ένα μεγάλο πλήθος αντιμέτρων ασφάλειας και ιδιωτικότητας.
|
Securing the modern web through novel black-box and context-agnostic techniques
