Στην παρούσα μεταπτυχιακή διατριβή γίνεται μελέτη και αναλυτική περιγραφή της αρχιτεκτονικής και τεχνολογικής υποδομής του Metasploit Framework καθώς και έρευνα για τις αδυναμίες που υπάρχουν στο λειτουργικό σύστημα Android. Το Metasploit είναι ένα πρόγραμμα, όπου το περιβάλλον εργασίας του βασίζεται σε μια βάση δεδομένων που παρέχει πληροφορίες για ευπάθειες ασφαλείας και χρησιμοποιείται για δοκιμασίες διείσδυσης σε δίκτυα (penetration testing). Με το Metasploit μπορούμε να προσομοιώσουμε πραγματικές καταστάσεις με δίκτυα και επιθέσεις για να βρούμε τις αδυναμίες που υπάρχουν, πριν βρεθούν από κάποιον ανεπιθύμητο και κακόβουλο χρήστη. Χρησιμοποιούμε τεχνικές επιτιθέμενου για να παρακάμψουμε τις οποιεσδήποτε άμυνες διαθέτουμε στο σύστημα μας (πχ. Antivirus, firewall, IPS) ώστε να ανακαλύψουμε τα ‘’εύκολα’’ στοιχεία εισόδου λογαριασμών των χρηστών. Στη συνέχεια της διατριβής, θα μελετήσουμε κάποια θέματα σχετικά με το Android. Το Android είναι ένα λειτουργικό σύστημα για κινητές συσκευές που κατασκευάστηκε από την Google. Βασίζεται στην γλώσσα προγραμματισμού Java3, και στις μέρες μας είναι το πιο διαδεδομένο λειτουργικό σύστημα, καθώς καλύπτει το μεγαλύτερο μερίδιο της αγοράς. Οι κίνδυνοι που διατρέχουν οι χρήστες μιας Android συσκευής, μπορεί να διαφέρουν σε σχέση με αυτούς που καλούμαστε να αντιμετωπίσουμε ως χρήστες σταθερών υπολογιστών (desktop) ή laptop, ωστόσο είναι εξίσου σοβαροί και χρήζουν προσοχής για την αντιμετώπισή τους. Όπως και στους υπολογιστές, έτσι και στα Android, υπάρχουν ιοί. Λόγω του ότι το λειτουργικό Android είναι τόσο διαδεδομένο, τα κρούσματα επιθέσεων σε Android συσκευές, αυξάνονται ολοένα και περισσότερο, με αποτέλεσμα οι χρήστες να είναι μονίμως εκτεθειμένοι σε κακόβουλες επιθέσεις. Η διατριβή θα καταλήξει, με τη μελέτη κάποιων αδυναμιών που υπάρχουν στο Android, και με το πρόγραμμα Metasploit θα κάνουμε επίδειξη δυο (2) περιπτώσεων από κενά ασφαλείας που έχει το Android, οι οποίες μπορούν να εκμεταλλευθούν από κακόβουλους χρήστες (hackers), για να αποκτήσουν πρόσβαση σε συσκευές Android. Ανάλυση του πλαισίου δοκιμών διείσδυσης Metasploit Έρευνα στο λειτουργικό σύστημα Android - Ευθύμιος Κασιδάκης Msc. 2016.pdf Πηγή: Διώνη

Η παρούσα διπλωματική εργασία επικεντρώνεται στην εξέταση του ελέγχου διείσδυσης για την αξιολόγηση της ασφάλειας ενός εξυπηρετητή παγκοσμίου ιστού σε επιθέσεις και συγκεκριμένα στην υλοποίηση ενός ρεαλιστικού περιβάλλοντος ελέγχου διείσδυσης για εκπαιδευτικούς λόγους. Η υλοποίηση γίνεται με τη δημιουργία μιας σκόπιμα ευάλωτης εικονικής μηχανής. Χρησιμοποιείται η γλώσσα Python και το Django Framework για τη δημιουργία ευάλωτων εφαρμογών ως σεναρίων προς επίλυση. Οι κίνδυνοι ασφαλείας που συμπεριλαμβάνονται στα σενάρια είναι οι Broken Authentication, XSS, SQL Injection, Buffer Overflow 32-bit και 64-bit. Η διεπαφή έχει τη μορφή ενός εκπαιδευτικού παιχνιδιού ανάκτησης σημαίας (CTF). Ασφάλεια σε επιθέσεις εξυπηρετητών παγκοσμίου ιστού - Νικόλαος Τζίρης Γεωργόπουλους.pdf Πηγή: Νημερτής

Tο διαδίκτυο αποτελεί σήμερα απαραίτητο συστατικό της καθημερινής ζωής για τους περισσότερους ανθρώπους. H αξιοποίηση των υπηρεσιών του διαδικτύου για την υποστήριξη των οικονομικών και κοινωνικών δραστηριοτήτων γίνεται κυρίως μέσω των διαδικτυακών εφαρμογών, οι οποίες εξελίσσονται ραγδαία. Όμως, όσο εξαπλώνεται η χρήση των διαδικτυακών εφαρμογών, τόσο περισσότερο γίνονται στόχος επιθέσεων από κακόβουλους χρήστες, οι οποίο προσπαθούν να εκμεταλλευτούν τις αδυναμίες στον κώδικα και τις ρυθμίσεις για την επιτέλεση των σκοπών τους. Επομένως, η ασφάλεια των διαδικτυακών εφαρμογών αποτελεί μια κρίσιμη παράμετρο για την αποδοχή και αξιοποίησή τους. Μια διαδεδομένη πρακτική για την ενίσχυση της ασφάλειας των διαδικτυακών εφαρμογών είναι η πραγματοποίηση δοκιμών διείσδυσης από ειδικούς της ασφάλειας, με τη συγκατάθεση των ιδιοκτητών τους. Οι δοκιμές αποσκοπούν στο να εντοπισθούν τυχόν ευπάθειες και να διαπιστωθεί η ανάγκη λήψης μέτρων προστασίας. Για το σκοπό αυτό, έχουν αναπτυχθεί πολλά και διάφορα εργαλεία για δοκιμές διείσδυσης, τα οποία δεν παρέχουν την ίδια αποτελεσματικότητα και πληρότητα κάλυψης των αναγκών ελέγχου ασφάλειας των εφαρμογών ιστού. Αντικείμενο της παρούσας διπλωματικής εργασίας αποτελεί η έρευνα, η καταγραφή, η ταξινόμηση και η αξιολόγηση των αντιπροσωπευτικών εργαλείων διείσδυσης, κυρίως στη βάση της εφαρμογής τους στο πλαίσιο μιας μεθοδολογίας επίθεσης. Στο πλαίσιο μιας τυποποιημένης διαδικασίας δοκιμών διείσδυσης, σύμφωνα με τη συγκεκριμένη μεθοδολογία επίθεσης, γίνεται προσδιορισμός των ποιοτικών κριτηρίων αξιολόγησης εργαλείων διείσδυσης σε κάθε στάδιο της μεθοδολογίας. Από την οργανωμένη εφαρμογή των εργαλείων δοκιμών διείσδυσης με μια ολοκληρωμένη δοκιμή διείσδυσης σε πραγματικό στόχο, προκύπτουν συμπεράσματα τα οποία αποτυπώνονται σε μια συνολική συγκριτική αξιολόγησή τους. Αξιολόγηση εργαλείων Penetration Testing για Web εφαρμογές - Iatropoulos Ioannis Msc2017.pdf Πηγή: ΨΗΦΙΔΑ - Ψηφιακή Βιβλιοθήκη και Ιδρυματικό Αποθετήριο του Πανεπιστημίου Μακεδονίας

Τα τελευταία χρόνια το Modus Operandi (λατινική έκφραση που χρησιμοποιείται κυρίως στην εγκληματολογία για να περιγράψει τον τρόπο δράσης, τη συμπεριφορά και γενικά τα χαρακτηριστικά εκείνα των εγκληματιών κατά τη διάρκεια τέλεσης της εγκληματικής πράξης) των δραστών που πραγματοποιούν επιθέσεις σε δίκτυα υπολογιστών έχει εξελιχθεί ως προς την πολυπλοκότητα, την επιμονή και τους στόχους των επιθέσεων αυτών. Αυτό έχει οδηγήσει σε μια νέα κατηγορία απειλών, αυτή των Advanced Persistent Threats – APTs (Προηγμένες Επίμονες Απειλές), όπου αντίπαλοι με εξαιρετικές τεχνικές ικανότητες, οργάνωση, κίνητρα και συνήθως υψηλή χρηματοδότηση, πραγματοποιούν εξελιγμένες και μακροχρόνιες επιθέσεις στοχεύοντας στην αποκάλυψη πληροφοριών υψηλής οικονομικής αξίας ή εθνικής ασφάλειας. Η αντιμετώπιση των APT επιθέσεων με τα παραδοσιακά συστήματα άμυνας όπως antivirus, firewalls, IDS κ.ά., δεν είναι αποτελεσματική. Στην εργασία αυτή μελετάμε τα κύρια χαρακτηριστικά γνωστών APT επιθέσεων και παρουσιάζουμε μεθοδολογίες όπως αυτή της Kill Chain, τεχνολογίες και καλές πρακτικές που έχουν προταθεί αν όχι για την αποτροπή, τουλάχιστον για τον μετριασμό των επιθέσεων αυτών. Επιπλέον, μελετάμε την δυνατότητα αξιοποίησης της Ενεργητικής Άμυνας (Active Defense), δηλαδή την εφαρμογή προληπτικών επιθέσεων, αντεπιθέσεων και ενεργητικής παραπλάνησης ενάντια στις APT επιθέσεις. Παρουσιάζονται κατάλληλα εργαλεία μέσω πρακτικών παραδειγμάτων που μπορούν να χρησιμοποιηθούν κατά την εφαρμογή μιας πολιτικής Ενεργητικής Άμυνας και προτείνουμε ένα πλαίσιο (framework) για την συσχέτιση των κατηγοριών της Ενεργητικής Άμυνας στις φάσεις της Kill Chain το οποίο καλούμε Active Defense at Kill Chain (AD@KC). Αναγνώριση APT και αντιμετώπιση με active defense - Doxanidis Apostolos Msc2014.pdf Πηγή: ΨΗΦΙΔΑ - Ψηφιακή Βιβλιοθήκη και Ιδρυματικό Αποθετήριο του Πανεπιστημίου Μακεδονίας

Σκοπός της παρούσας διπλωματικής εργασίας είναι να παρουσιάσει την διαδικασία, να προτείνει μια συγκεκριμένη μεθοδολογία για την υλοποίηση του penetration testing, καθώς και την χρησιμότητα του penetration testing σε μία επιχείρηση ή έναν οργανισμό. Παρουσιάζονται επίσης οι βασικές τεχνικές αλλά και τα εργαλεία με τα οποία μπορεί να επιτευχθεί το penetration testing. Η δομή της εργασίας χωρίζεται σε δύο βασικά μέρη. Στο πρώτο μέρος εστιάζεται στην αξιολόγηση ασφαλείας των πληροφοριακών συστημάτων και των δικτύων, την αναγκαιότητα της ύπαρξης της, την σχετική ορολογία, καθώς και τους τρόπους παραβίασης και τα είδη των επιθέσεων. Στο δεύτερο μέρος, γίνεται αναλυτική παρουσίαση του πλαισίου Metasploit και παρουσιάζονται συγκεκριμένα βήματα για την υλοποίηση της διαδικασίας penetration testing. Επίσης παρουσιάζονται συγκεκριμένα εργαλεία, τα οποία μπορούν να χρησιμοποιηθούν μαζί με το Metasploit Framework και περιγράφονται τα exploits που χρησιμοποιούνται κατά την διαδικασία του penetration testing. ΕΛΕΓΧΟΣ ΕΥΠΑΘΕΙΩΝ ΜΕ ΧΡΗΣΗ ΤΟΥ ΠΛΑΙΣΙΟΥ METASPLOIT - Bilis Eustratios Msc2011.pdf Πηγή: ΨΗΦΙΔΑ - Ψηφιακή Βιβλιοθήκη και Ιδρυματικό Αποθετήριο του Πανεπιστημίου Μακεδονίας