Öppen källkod, IT-rätt och säkerhet, IG020G! Välkommen till kursen

Download Report

Transcript Öppen källkod, IT-rätt och säkerhet, IG020G! Välkommen till kursen

2016-05-25
[email protected]
Välkommen till kursen
Öppen källkod, IT-rätt
och säkerhet, IG020G!
För utbildningsprogrammet Mobila applikationer och
nätverkstjänster för Android
Föreläsning 10: Repetition av tekniska begrepp. IT-säkerhet,
lösenord.
2016-05-25
Text (ej bilder) fritt tillgängligt under Creative Commons BY-SA 3.0
Kursuppläggning
•
Ulf Jennehag
–
•
Magnus Eriksson
–
–
–
–
•
Fö 1: Kursintroduktion. Introduktion till
mobila operativsystem, smartphones,
Android och appar. (Magnus definierar
begrepp.)
Fö 2: Immaterialrätt: patent, IP-avtal,
upphovsrätt, designskydd, verkshöjd. (Ulf
berättar om egna erfarenheter av
patentansökning.)
Fö 3: Öppet innehåll: wikier, creative
commons licenser, gpdl
Lab 1: Öppet innehåll och wikipublicering
Fö 4: IT-juridik: PUL, BBS-lagen, lagen om
elektronisk kommunikation,
offentlighetsprincipen, FRA-lagen, Ipred
Robert Olofsson, gästföreläsare från
Nordic Peak
–
För 5-6: Öppen källkod: Licenser,
utvecklingsverktyg och samarbetsformer
• Olle Nilsson
– Fö 7-9: Open Innovation:
grundläggande principer,
samarbetsformer, typfall.
Samhällsvetenskapliga aspekter.
• Magnus Eriksson
– Fö 10-12: IT-säkerhet: Lösenord,
certifikat, policier, malware, säkerhet
i trådlösa nätverk och vid
molntjänster, riskanalys
– Lab 2: Lösenord
– Lab 3: Nätverkssäkerhet
– Fö 13: Repetition, återkoppling på
redovisningsuppgifter.
Några tekniska begrepp som ni har
mött under kursen
Läs på http://en.wikipedia.org
och dess källor, samt IDG:s ITordbok, om följande begrepp:
• Preemtive och icke-preemtive
multitasking
• Bibliotek, runtime library
• Dynamiskt länkat bibliotek (dll)
• Källkod kompilleras -> objektkod
+ länkning av bibliotek ->
exekverbar kod
• API, includefiler, Javainterface
• I C och C++: .h-filer
• I Java: Läsbart i den
förkompilerade bytekoden
• Öppet API – öppet system
• Komplett operativsystem
• Firmware
• Porterbarhet
• Java virtuell maskin
IT-säkerhet
Medieklipp
Tunisiska regimen lyckades stjäla ett helt lands inloggningsuppgifter till
Facebook, Gmail och Yahoo
Regeringen kan sno dina inloggningsuppgifter till Facebook, gmail och
Yahoo, övervaka och hijacka ditt konto och radera material du lagt ut.
Åtminstone om du är tunisier. Tidigt i Januari 2011 avslöjades nämligen att
Tunisiens förra regim har tvingat tunisiska internetleverantörer (ISP:er) att
lägga in en ”keylogger” i form av ett litet javascript på dessa websajter.
Facebooks motdrag fyra dar senare var att tvinga alla Tunisiska användare
att gå in via säker inloggning (https) istället för http, och att be alla
tunisiska användare identifiera sig genom att klicka på en väns foto.
Källor: http://www.thetechherald.com/article.php/201101/6651/Tunisian-government-harvesting-usernames-andpasswords (4 jan)
http://cpj.org/internet/2011/01/tunisia-invades-censors-facebook-other-accounts.php (5 jan)
http://www.theatlantic.com/technology/archive/2011/01/the-inside-story-of-how-facebook-responded-to-tunisianhacks/70044/ (24 jan)
Fler medieklipp
2010-01-22 05:45 - Computer Sweden:
Microsoft panikpatchar
Av Sverker Brundin |
Av Martin Wallström |
I går kväll släppte Microsoft en panikpatch
för att uppdatera det omtalade
säkerhetshålet i Internet Explorer.
2010-01-13 09:16 - Computer Sweden:
Skadlig kod slår mot Androidmobiler
Av Martin Wallström
Skadlig kod som är anpassad för
mobiler med Googles operativsystem
Android kan medföra att bankkunder får
sina konton länsade.
2009-11-19 12:04 - TechWorld Säkerhet:
Nätfiskeattack mot Tradera
2010-01-25 03:23 - Computer Sweden:
Kina förnekar inblandning i attacken
mot Google
Av Joel Brandell |
I ett mejl riktat till Traderakunder försöker
någon lura av medlemmarna deras
inloggningsuppgifter.
Av Michael Jenselius
Kina förnekar inblandning och varnar
USA för att kritisera landets
internetpolicy.
Aktuella platsannonser
Erfaren projektledare inom IT-säkerhet sökes till Bitsec, rekrytering,
Stockholm.
Cool headed Junior Information Security Engineer
Bwin Games AB are looking for a Junior Information Security Engineer for
our Online Poker operation.
Säkerhetskonsult och Systemutvecklare inom säkerhet sökes till Cygate.
Kunskaper inom IT-säkerhet och riskanalys krävs ofta i platsannonser efter
supporttekniker, nätverkstekniker, nätverksspecialister, drifttekniker,
systemadministratörer, systemspecialister, systemförvaltare, IT-konsulter,
IT-beställare, IT-arkitekter, IT-strateger, testingenjörer, systemutvecklare,
IT-gruppchefer, säkerhetschefer, etc.
Någon som har drabbats av virus,
maskar, trojaner, dataintrång eller
liknande?
Några centrala begrepp
Här är listan på de vanligaste hackerattackerna
•
•
•
•
•
•
•
2009-12-10 07:00 - TechWorld Säkerhet:
.
•
Verizon har släppt en rapport som beskriver
vilka typer av angrepp mot företag som är
populärast bland cyberkriminella idag:
•
Skadlig kod (malware) för
tangentbordsloggning och spionprogram.
Bakdörrar och dolda processer.
Sql-injektion: Utnyttjar hur webbsidor
kommunicerar med databaser.
Individer som ondsint och avsiktligt
missbrukar systemrättigheter.
Otillbörlig åtkomst via
standardanvändarnamn och/eller
standardlösenord.
Oavsiktlig eller avsiktlig överträdelse av
regelverk, policies och praxis (slarv).
Intrång via alltför generösa access control lists
(ACL) i filsystem och routrar.
•
•
•
•
•
•
Paketsniffning (avlyssning) i trådlösa nätverk,
bussnätverk, hubnätverk på
fleranvändaresystem.
Otillbörlig åtkomst via stulna
inloggningsuppgifter.
Social manipulation: Angriparen övertalar,
manipulerar eller lurar offret till att utföra en
skadlig handling eller avslöja känslig
information.
Authentication bypass: Kringgående av
normala autentiseringsmetoder.
Fysisk stöld av utrustning med känslig
information.
Brute-force attacker: En automatiserad
process för iteration av t.ex.
användarnamn/lösenord kombinationer tills
ett system har forcerats .
Ram scraper: En relativt ny form av skadlig
kod som syftar till att fånga data från minnet
(ram) i ett system.
Nätfiske (phishing): En angripare använder
vilseledande elektronisk kommunikation
(vanligtvis e-post) för att lura mottagaren att
avslöja inloggningsinformation.
What is computer security?
• Confidentiality (Sekretess)
• Integrity (Dataintegritet, verifiering av att
ingen har ändrat innehåll)
• Availability (Tillgänglighet)
• Identification (Identifiering)
• Authentication (Autensiering, äkthetskontroll,
verifiering av användares ID eller datas äkthet)
• Access control (Åtkomstkontroll)
More terms
• Secrecy (sekretess) = message content confidentiality
(sekretess)
• Anonymity = message source confidentiality
• Authenticity (äkthet)
• Eavesdropping (avlyssning)
• Corrupted data (motssats till integrity)
• Vulnerability (sårbarhet) + Threat (risk) can lead to
Security failure
• Risk analysis => Security policy (regler och strategier)
Lösenordsknäckning (password
cracking)
Kryptokorsord
Vilken bokstav
representerar den
vanligaste siffran?
Statistisk kodknäckning
The most common letters in English:
• E, T, A, O, I, N, S, H, R, D, L, C, U, M, W, F, G, Y, P, B, V, K, . . .
The most common digrams in English:
• TH, HE, IN, ER, AN, RE, ED, ON, ES, ST, EN, AT, TO, . . .
The most common trigrams in English:
• THE, ING, AND, HER, ERE, ENT, THA, NTH, WAS, ETH, FOR,
Lösenord med annan fördelning är svårare att knäcka!
Lösenordsknäckning
• Brute force
– testa alla kombintationer=permutationer av en
viss längd och bestående av vissa tillåtna tecken.
Ex: AAAAA, AAAAB, AAAAC …
– Om längd N och M tillåtna tecken, hur många
permutationer är möjliga?
• Ordboksmetoden
• Hybridmetoden
Stort dataintrång visar svaga lösenord
2010-01-25 IDG.online TechWorld Säkerhet
och MacWorld:
Efter ett stort intrång på sajten RockYou
kom 32 miljoner lösenord på vift. Dessa har
nu analyserats av företaget Imperva. Av
dessa var de tio vanligaste lösenorden
följande:
123456
12345
123456789
Password
Iloveyou
Princess
Rockyou
1234567
12345678
abc123
30 procent av användarna väljer ett
lösenord baserat på sex tecken eller
mindre.
Mindre än fem tusen försök i en
brute force-attack knäcker 20
procent av de använda lösenorden.
Omkring 50 procent använde sig av
ord, namn, slangord eller vanliga
tangentbordskombinationer (i stil
med ”qwerty”), vilket underlättar
ordboksbaserad knäckning.
42 procent använder enbart
gemener, 2 procent enbart versaler,
37 procent både versaler och
gemener, och 16 procent enbart
siffror. Knappt fyra procent har
specialtecken i sitt lösenord.
Symmetrisk kryptering
• Samma kodnyckel används vid kryptering som
vid dekryptering.
• Snabbt men inte så säkert. Nyckeln kan
komma på avvägar.
• Exempel på algoritm: Data Encryption
Standard (DES) från 1970-talet.
Asymmetrisk kryptering
• Ett nyckelpar används: En privat (hemlig nyckel) och en publik
nyckel (som kan spridas till alla).
• Den publika nyckeln kan beräknas från den privata, men det
kan ta flera år för datorer att beräkna den privata från den
publika.
• Vid kryptering av ett mejl till B används B:s publika nyckel, och
vid dekryptering använder B sin privata nyckel.
• Nyckeln lagras ofta i en fil som kallas certifikat.
• Exempel: Pretty good privacy (PGP) för kryptering och digital
signering av mejl.
PGP digital signatur
• -----BEGIN PGP SIGNED MESSAGE----Med en varm tillönskan om en god jul och gott nytt
år
från
Nils Hult.
-----BEGIN PGP SIGNATURE----Version: 2.6.1
iQBVAwUBMNl2IfRIhm/E3vjFAQFqOwH+JGhGghVO1
rr4sjreGTikm1709N5r1b7l
P2F2ViQAv+AMcx8FK+1dxeUpLlW5faP1qHQiXRInRA
ElAkkDO7s2EQ==
=aWq9
-----END PGP SIGNATURE-----
Digitala signaturer
• För att skapa en digital signaturer för en fil eller ett mejl
beräknar A:s dator en checksumma eller hashfunktion på
filen, och krypterar den med hjälp av sin privata nyckel.
• För att kontrollera den digitala signaturen dekrypterar B med
A:s publika nyckel, och kontrollerar att checksumman eller
hashfunktionen blir den samma.
• Därmed kontrolleras A:s identitet.
• Dessutom kontrolleras dataintegriteten (att inte meddelandet
har förändrats på vägen).
PGP på sändarsidan
PGP på mottagarsidan
Hårt certifikat - en ID-handling
Hardware password generator
(säkerhetsdosa)
Card reader (kortläsare)
Säkerhetsdosor och kort ger s.k. hårda certifikat, där den privata nyckeln lagras på
ett chip som inte datorn kan komma åt, och som man måste ha fysisk tillgång för
att kunna logga in. De används för identifering och inloggning i organisationer
med hög säkerhet, för inloggning på banker, bekräftelse av banktransaktioner, elegitimation, mm.
E-legitimation för allmänheten
•
•
•
•
Kod för underskrift
E-legitimation på fil
E-legitimation på kort
E-legitimation på
mobil
Svenska exempel:
• Bank-ID
• Nordeas e-leg
• Telia e-leg
Inte ens hårda certifikat är 100% säkra
Exempel på man-in-the-middle attack:
"Samma metod bör fungera mot alla banker"
2007-03-29 16:28 - Computer Sweden:
Så hackades Swedbank
Av Daniel Goldberg |
Computer Sweden har tagit del av den uppmärksammade rapport som
beskriver hur två studenter vid Blekinge tekniska högskola överlistade
Swedbanks internetbank. Författarna varnar för att hacket, som utnyttjar
sårbarheten i routrar utrustade med standardlösenord, kan användas för
att stjäla lösenord till i princip vilken sajt som helst.
– Kan man fiska tre koder från Swedbank kan man nog fiska två från SEB
eller från skraplotterna hos Nordea. Det är ju samma princip i alla fallen,
säger Mikael Svall.
Man-in-the-middle attack
Router med defaultinloggning
Bankens dator
Man-in-the-middle:s dator
Efter denna incident ändrade banken
inloggningsrutin
19010203-0405
HTTP vs HTTPS
• När en webbläsare begär innehåll från en webbserver görs detta via HTTPprotokollet.
• Exempel på begäran:
– GET /path/to/ file /index.html HTTP/1.0
• Exempel på svar:
– HTTP/1.0 404 Not found. Därefter följer HTML-kod för en felsida.
• HTTP överförs okrypterat över Telnet
• HTTPS är HTTP över TLS/SSL, dvs ”krypterad Telnet”
• Servern för över sitt certifikat. Klienten (webbläsaren) krypterar ett
slumptal med serverns publika nyckel. Bara den som har den motsvarande
privata nyckeln kan avkryptera. Slumptalet används för att kryptera
kommunikationssessionen.
Malicious software, malware
(sabotageprogram, elakartad kod)
Virus – self-replicating program that can infect other programs
by modifying them to include a version of itself, often
carrying a logic bomb as a payload (Cohen, 1984), e.g. Boot
sector virus
Root kit – Operating-system modification to hide intrusion
Worm (mask) – self-replicating program that spreads onto other
computers by breaking into them via network connections
and – unlike a virus – starts itself on the remote machine
without infecting other programs
Trojan horse (trojansk häst), parasite program – useful
application software with hidden/undocumented malicious
side-effects (e.g. “AIDS Information Disk”, 1989)
Backdoor (bakdörr) – function in a Trojan Horse that enables
unauthorised access (or left open intentionally by developed)
Malicious software, malware
(sabotageprogram, elakartad kod)
Logic bomb – a Trojan Horse that executes its malicious function only when a
specific trigger condition is met (e.g., a timeout after the employee who
authored it left the organisation), for example to start send emails or
carry out a Denial of Service (DoS) atack or Distributed DoS atack (DDoS)
from several computers simultaneously.
Spyware – (spionprogram) may find out your friends email addresses, or
your login information. Web sites that share cookies via embedded
pictures, and may share information about your web surfing.
Adware – (annonsprogram) byter ur reklambanners på webben mot annan
reklam, startar popupfönster på webben och sänder spammail.
Spoof sajter – Webbadresser som liknar vanliga webbadresser.
IP Spoofing – Fejkad avsändar-IP-adress inom nätverket
DNS spoofing (genom cashe poisoning) – Lurar DNS-systemet
Arp spoofing/flooding/poisoning – Lurar systemet vilken IP-adress som
motsvarar vilken fysisk MAC-adress
Network Address Translation (NAT)-proxy
Host C
IP: 130.16.4.1
MAC: 015100212983
Host B
130.16.4.2
70DD35530178
Host D
Router
+ NAT
server
Privat IP: 10.14.5.2
MAC: 02CB239B
Private IP: 10.14.5.1172.16.5.255
Public IP: 193.10.250.187
MAC addr: 0013020764AE
130.16.4.3
BB26165274D3
Host A
Router
Private IP: 10.2.1.1
Public IP: 193.10.250.187
MAC addr: 31BE4A19273A
10.2.1.2
10.2.1.3
193.10.250.187
A0C11222F53B
001B55301781
Syfte med NAT: Flera kan dela på samma publika IP-adress. Även vissa
säkerhetsfördelar – det fungerar som brandvägg.
Exempel: D sänder till C. Spion A och B kör ”snifferprogram”.
Vilken avsändar- och mottagar-MAC-address och vilka IP-adresser ser spion A?
Vad ser spion B?
Tekniska skydd mot dataintrång
Access control lists (ACL)
Switchar istället för hubbar och routrar
Antivirusprogram – self-replicating program that can infect other programs by modifying them
to include a version of itself, often carrying a logic bomb as a payload (Cohen, 1984), e.g.
Boot sector virus
Nätverksbrandvägg – Operating-system modification to hide intrusion
Personliga brandväggar – self-replicating program that spreads onto other computers by
breaking into them via network connections and – unlike a virus – starts itself on the remote
machine without infecting other programs
Leaktest = ”godartat trojan”. Klient som testar säkerheten.
Automatisk uppdatering till senaste versionen av viktiga filer
Virtuella privata nätverk (VPN)
Kryptering exempelvis av trådlösa nätverk
Digitala signaturer
Unix file access control list
(åtkomstkontroll)
Windows file access control
Brandväggar (firewalls)
Syftar främst till att stoppa externa klienter från att komma åt interna servrar. Stoppar paket
till fel portnummer TCP- och UDP-portnummer. Hål kan öppnas för servrar man vill att en
server ska vara åtkomlig utifrån. Det kallas för port forwarding.
Nätverksbrandvägg (idag oftast ”hårdvarubrandvägg”) är en proxyserver som kan finnas kan
finnas i en router.
Personlig brandvägg är ett program i en vanlig dator. Den kontrollerar även vilket
applikationsprogram som har rätt att porta, och han hindra trojaner från att kommunicera ut på
nätet. Exempel: ZoneAlarm, Windows firewall, brandväggar som medföljer i vissa
antivirusprogram.
DMZ = Demilitariserad zon: IP-adresser till vilka alla portar öppnas.
Port scanning = extern server för test av vilka portar som är öppna.
Proxy firewall
Windows security center
Windows firewall – default on
Stack smashing/buffer overflow attack
Virtuella privata nätverk (VPN)
Syfte: VPN möjliggör säker kommunikation över trådlösa nätverk
eller över Internet. En person som arbetar i hemmet kan komma åt
resurser (delade diskar och skrivare) i företagets Intranet/LAN
och komma åt företagets lokala resurser.
Princip: IP-paket tunnlas=inkapslas inuti andra IP-paket, som kan
vara krypterade.