datateknik a, informationssäkerhet och riskanalys, 7,5 hp
DESCRIPTION
Datateknik A, Informationssäkerhet och riskanalys, 7,5 hp. Lektion 2: Några begrepp som behövs inför lab 3. Ansvariga lärare: Magnus Eriksson, Kurt-Olof Classon, Lennart Franked. Kontakta ett företag snart! Redovisa företagsval på nästa videolektion (om inte företaget vill vara hemligt.) - PowerPoint PPT PresentationTRANSCRIPT
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 1
Datateknik A, Informationssäkerhet och riskanalys, 7,5 hpLektion 2:• Några begrepp som behövs inför lab 3.
Ansvariga lärare: Magnus Eriksson, Kurt-Olof Classon, Lennart Franked
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 2
Projektuppgift• Kontakta ett företag snart!• Redovisa företagsval på nästa videolektion (om
inte företaget vill vara hemligt.)• Företagets säkerhetsansvarige bör intervjuas.• Statskontorets handbok i IT-säkerhet är
användbar här• Brukar resultera i 35 till 100 sidor rapport
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 3
Lagar• PUL (Personuppgiftslagen) förbjuder att man upprättar
databaser och register med info om människor utan tillstånd, eller att man samkör register och registrerar mer än man behöver.Lagen gäller även arbetsgivare. Tillsynsmyndighet är Datainspektionen.
• Offentlighetsprincipen – de flesta myndighetsdokument, t.ex. mejlkonversation med omvärden, är offentliga handlingar och ska arkiverkas och kunna begäras ut.
• ”BBS-lagen” kräver att man raderar upphovsrättsskyddat material och censurerar annat olämpligt ur forum och liknande på nätet. Den berör inte arbetsgivares intranät, men gratisservrar.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 4
Lagar• LEK (lagen om elektronisk kommunikation)
handlar om skyldigheter som operatör/leverantör av allmänna kommunikationstjänter mot betalning har. Lagen förbjuder avlyssning, kräver tystnadsplikt, radering av loggar, mm. Tillsynsmyndighet är post- och telestyrelsen. Den gäller inte arbetsgivare som inte är teleoperatör gentemot sina anställda, men ofta får anställda skriva under avtal om tystnadsplikt, mm, och vissa företag har liknande interna överenskommelser om att arbetsledare måste ha okej från personalavdelningen eller facket innan man kollar upp en anställds förehavanden på nätet.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 5
Lagar• FRA-lagen – försvarets radioanstallt får lagra och
analysera trafikdata (men inte trafikinnehåll) för att spana efter yttre hot på
• IPRED –lagen (Intellectual Property Rights Enforcement Directive, eller Civilrättsliga sanktioner på immaterialrättens område) – upphovsman kan via domstol begära att nätleverantör ska lämna ut uppgiftrer om IP-adress och abonnemang.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 6
Repetition
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 7
Man-in-the-middle attack
Router med defaultinloggning
Bankens dator
Man-in-the-middle:s dator
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 8
Brandväggar (firewalls)
Syftar främst till att stoppa externa klienter från att komma åt interna servrar. Stoppar paket till fel portnummer TCP- och UDP-portnummer. Hål kan öppnas för servrar man vill att en server ska vara åtkomlig utifrån. Det kallas för port forwarding.
Nätverksbrandvägg (idag oftast ”hårdvarubrandvägg”) är en proxyserver som kan finnas kan finnas i en router.
Personlig brandvägg är ett program i en vanlig dator. Den kontrollerar även vilket applikationsprogram som har rätt att porta, och han hindra trojaner från att kommunicera ut på nätet. Exempel: ZoneAlarm, Windows firewall, brandväggar som medföljer i vissa antivirusprogram. DMZ = Demilitariserad zon: IP-adresser till vilka alla portar öppnas.
Port scanning = extern server för test av vilka portar som är öppna.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 9
Proxy firewall
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 10
Network firewallsFirewalls are dedicated gateways between intranets/LANs and widearea networks. All traffic between the “inside” and “outside” worldmust pass through the firewall and is checked there for compliancewith a local security policy. Firewalls themselves are supposed to behighly penetration resistant. They can filter network traffic at variouslevels of sophistication:→ A basic firewall function drops or passes TCP/IP packets basedon matches with configured sets of IP addresses and port numbers.This allows system administrators to control at a singleconfiguration point which network services are reachable atwhich host.→ A basic packet filter can distinguish incoming and outgoingTCP traffic because the opening packet lacks the ACK bit. Moresophisticated filtering requires the implementation of a TCPstate machine, which is beyond the capabilities of most normalrouting hardware.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 11
→ Firewalls should perform plausibility checks on source IP addresses,e.g. not accept from the outside a packet with aninside source address and vice versa.→ Good firewalls check for protocol violations to protect vulnerableimplementations on the intranet. Some implement entireapplication protocol stacks in order to sanitise the syntax ofprotocol data units and suppress unwanted content (e.g., executableemail attachments → viruses).→ Logging and auditing functions record suspicious activity andgenerate alarms. An example are port scans, where a singleoutside host sends packets to all hosts of a subnet, a characteristicsign of someone mapping the network topology orsearching systematically for vulnerable machines.Firewalls are also used to create encrypted tunnels to the firewalls ofother trusted intranets, in order to set up a virtual private network(VPN), which provides cryptographic protection for the confidentialityand authenticity of messages between the intranets in the VPN.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 12
Limits of firewallsOnce a host on an intranet behind a firewall has been compromised,the attacker can communicate with this machine bytunnelling traffic over an open protocol (e.g., HTTPS) andlaunch further intrusions unhindered from there.→ Little protection is provided against insider attacks.→ Centrally administered rigid firewall policies severely disrupt thedeployment of new services. The ability to “tunnel” new servicesthrough existing firewalls with fixed policies has becomea major protocol design criterion. Many new protocols (e.g.,SOAP and Skype) are for this reason designed to resemble HTTP, whichtypical firewall configurations will allow to pass.
Firewalls can be seen as a compromise solution for environments, where the central administrationof the network configuration of each host on an intranet is not feasible. Much of firewall protectioncan be obtained by simply deactivating the relevant network services on end machines directly.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 13
Stack smashing/buffer overflow attack
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 14
Virtuella privata nätverk (VPN)
Syfte: VPN möjliggör säker kommunikation över trådlösa nätverk eller över Internet. En person som arbetar i hemmet kan komma åt resurser (delade diskar och skrivare) i företagets Intranet/LANoch komma åt företagets lokala resurser.Princip: IP-paket tunnlas=inkapslas inuti andra IP-paket, som kan vara krypterade.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 15
Tekniska skydd mot dataintrångAccess lists Switchar istället för hubbar och routrarAntivirusprogram – self-replicating program that can infect other programs by
modifying them to include a version of itself, often carrying a logic bomb as a payload (Cohen, 1984), e.g. Boot sector virus
Nätverksbrandvägg – Operating-system modification to hide intrusionPersonliga brandväggar – self-replicating program that spreads onto other computers
by breaking into them via network connections and – unlike a virus – starts itself on the remote machine without infecting other programs
Leaktest = ”godartat trojan”. Klient som testar säkerheten. Automatisk uppdatering till senaste versionen av viktiga filerVirtuella privata nätverk (VPN)Kryptering exempelvis av trådlösa nätverkDigitala signaturer
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 16
Common terms for malicious software
Trojan horse – application software with hidden/undocumented ma-licious side-effects (e.g. “AIDS Information Disk”, 1989)→ Backdoor – function in a Trojan Horse that enables unauthorisedaccess→ Logic bomb – a Trojan Horse that executes its malicious functiononly when a specific trigger condition is met (e.g., a timeout afterthe employee who authored it left the organisation)→ Virus – self-replicating program that can infect other programs bymodifying them to include a version of itself, often carrying a logicbomb as a payload (Cohen, 1984)→ Worm – self-replicating program that spreads onto other computersby breaking into them via network connections and – unlike a virus –starts itself on the remote machine without infecting other programs(e.g., “Morris Worm” 1988: ≈ 8000 machines, “ILOVEYOU” 2000:estimated 45 × 106 machines)→ Root kit – Operating-system modification to hide intrusion87
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 17
Malicious behaviour can include
Malicious behaviour can include→ Fraud/theft – unauthorised (obehörig) access to money, goods or services→ Vandalism – causing damage for personal reasons (frustration,envy, revenge, curiosity, self esteem, peer recognition, . . . )→ Terrorism – causing damage, disruption and fear to intimidate→ Warfare– damaging military assets to overthrow a government→ Espionage – stealing information to gain competitive advantage→ Sabotage – causing damage to gain competitive advantage→ “Spam” – unsolicited marketing wasting time/resources→ Illegal content – child pornography, Nazi materials,
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 18
Computer virusesComputer viruses→ Viruses are only able to spread in environments, where• the access control policy allows application programs to modify the code of other programs (e.g., MS-DOS and Windows)• programs are exchanged frequently in executable form→ The original main virus environment (MS-DOS) supported transient, resident and boot sector viruses.→ As more application data formats (e.g., Microsoft Word) become extended with sophisticated macro languages, viruses appear in these interpreted languages as well.
Program Virus
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 19
→ Viruses are mostly unknown under Unix. Most installed applicationprograms are owned by root with rwxr-xr-x permissionsand used by normal users. Unix programs are often transferredas source code, which is difficult for a virus to infect automatically.→ Virus scanners use databases with characteristic code fragmentsof most known viruses and Trojans, which are according to somescanner-vendors over 180 000 today→ Virus scanners – like other intrusion detectors – fail on very newor closely targeted types of attacks and can cause disruptionby giving false alarms occasionally.→ Some virus intrusion-detection tools monitor changes in filesusing cryptographic checksums.
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 21
Ddos-atacker2010-02-25 16:31 - Computer Sweden:
"Kunderna är helt galna"
Av Madelene Hellström
En ddos-attack sänkte webbhotellet FS Datas sajter under torsdagseftermiddagen. Charlie Elgholm på Allready Solutions har tröttnat på FS Datas driftsavbrott. "De verkar inte veta vad de håller på med", säger han
Företaget Allready Solution driver sajter åt ett 40-tal kunder. Samtliga kunders sajter och mejl drabbades av torsdagens ddos-attack mot FS Data och blev otillgängliga mellan omkring kl 11 och 15 på torsdagseftermiddagen
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 22
DDos Attack
Mittuniversitetet ●
Magnus.E
riksson@m
iun.se ● S
lide 23
Network forensics process