Datasäkerhet och integritet Hans Jones [email protected] Digitalbrott och eSäkerhet Högskolan Dalarna
Datasäkerhet och integritet
Hans Jones [email protected] och eSäkerhet Högskolan Dalarna
Se kursplanen i fronter Lärandemål Innehåll
DM 1 – Introduktion, kryptering DM 2 – Vanliga attacker och skydd DM 3 – Brandväggar, it-forensik, etc. DM 4 – Attacker och skydd advanced DM 5 – RSA, it-policy etc.
Litteratur Corporate Computer Security, third edition och nyare revisioner Andra “introduction to computer security” böcker, se fronter Elektroniska artiklar och manualer …
Kursintroduktion
ISBN-10:0132145359ISBN-10:0133545199
Introduction & Terminology Employee and Ex-Employee Threats Malware Hackers and Attacks The Criminal Era Competitor Threats Cyberwar and Cyberterror
Content this lecture
Define the term threat environment Use basic security terminology Describe threats from employees and ex-employees Describe threats from malware writers Describe traditional external hackers and their attacks, including
break-in processes, social engineering, and denial-of-service attacks
Know that criminals have become the dominant attackers today, describe the types of attacks they make, and discuss their methods of cooperation
Distinguish between cyber war and cyber terror
Learning Objectives
CIA (Confidentiality, Integrity, Availability) security goals Confidentiality
Confidentiality means that people cannot read sensitive information, either while it is on a computer or while it is traveling across a network.
Integrity Integrity means that attackers cannot change or destroy information, either
while it is on a computer or while it is traveling across a network. Or, at least, if information is changed or destroyed, then the receiver can detect the change or restore destroyed data.
Availability Availability means that people who are authorized to use information are not
prevented from doing so
Basic Security Terminology 1
Compromises Successful attacks Also called incidents Also called breaches (not breeches)
Countermeasures Tools used to thwart attacks Also called safeguards, protections, and controls Types of countermeasures
Preventative – keep attacks from succeeding Detective – identify when a threat is attacking and if it was successful Corrective – get back on track after a compromise
Basic Security Terminology 2
Datorattacker generellt 1
Datorer är ständigt utsatta för skadliga attacker (kolla loggfiler) AV företag använder “Honey Monkey” datorer som Windows XP SP0 / IE6 Exempel: F-Secure - 250k attacker/dag, varav 20k nya attacker/dag - 2014
Vem attackerar? Utifrån / okända
Enskilda personer Organiserad brottslighet Stater/statsstödda aktörer Konkurrenter Hacktivistgrupper Inhyrd kompetens Terrorister …
Datorattacker generellt 2
Vem attackerar forts…? Insidan / insiders
Missnöjda / missbrukande, slarviga / okunniga (tidigare) anställda Kunder, leverantörer och affärspartners Konsulter, vikarier, besökare etc.
Skicklighet och kapacitet? Från ”script kiddies” Personer med moderat skicklighet Elit hackers och säkerhetskonsulter Till organisationer med obegränsade resurser!
Underskatta inte förövare / motståndare på nätet!
http://www.hackingteam.it/index.php/remote-control-system
Varför gör man det?
Berömmelse Pengar
Då Nu
Kul, spännade och berömmelse Idag går det mesta ut på att tjäna pengar
eller skada olika slags datasystem Det är här pengarna finns och med rätt
kunskaper kan man tjäna stora pengar! Datakraft = pengar (kryptovalutor)
Tillskansa sig värdefull / hemlig information
Verizon 2014 Data Breach Investigation Reporthttp://www.verizonenterprise.com/DBIR
Hur stjäls information (intrång)?
Stort antal sätt att attackera!
Social Media
Ökande hot!Bring Your Own
Advanced Persistent Threat (APT)
Malware A generic name for any “evil software”
Viruses Programs that attach themselves to legitimate programs on the victim’s
machine (e-mail, file transfers, instant messaging), needs human interaction to spread
Worms Full programs that do not attach themselves to other programs but spread in
the same way as virus Direct-propagation worms can rapidly jump from one vulnerable computer to
another receiving computer, since no human intervention is needed
Blended Threats Malware propagates in several ways—like worms, viruses, compromised
webpages containing mobile code, etc.
Malware, skadlig / elak kod 1
Payloads Pieces of code that do damage Implemented by viruses and worms after propagation Malicious payloads are designed to do heavy damage
Nonmobile Malware Must be placed on the user’s computer through one of a growing number of
attack techniques Placed directly on the computer by hackers or by virus or worm as part of its
payload Usually the victim can be enticed to download the program from a website or
FTP site etc. Mobile code executed on a webpage can download the nonmobile malware
Malware, skadlig / elak kod 2
Trojan Horses A program that replaces an existing system file, taking its name Remote Access Trojans (RATs) which Remotely control the victim’s PC
Downloaders Small Trojan horses that download larger Trojan horses after the downloader
is installed
Spyware Programs that gather information about you and make it available to the
adversary Cookies that store too much sensitive personal information Keystroke loggers Password-stealing spyware Data mining spyware
Other Malware Attacks 1
Rootkits Take control of the super user account (root, administrator, etc.) Can hide themselves from file system detection Extremely difficult to detect (ordinary antivirus programs find few rootkits)
Mobile Code Executable code on a webpage which is executed automatically when the
webpage is downloaded Browser vulnerability, Java, Javascript, Microsoft Active-X controls, etc.
Social Engineering in Malware Social engineering is attempting to trick users into doing something that goes
against security policies Spam, Phishing, Hoaxes, etc.
Other Malware Attacks 2
Cybercrime over the past 10 years
1st Generation – Because I can and propaganda Worms, defacement of web sites
2nd Generation – I can make money Botnets appear, denial of service attacks, seeking payment to stop attacks
3rd Generation – Organized crime Large scale management of attacks, coordinated use of tools and techniques, trojans, worms
Phishing, targeted attacks
4th Generation – Selling the tools Tools to perform attacks become “vended” with 24/7 support available, Botnet rentals, sophisticated
Id theft services, Licensed Malware appears, Exploit knowledge is sold. Social Networks just for cybercriminals appear. Cybercrime supply chains are formalized and fine tuned
5th Generation - Our new reality is zero-day, Advanced Persistent Threats (APT) and state-sponsored attacks as for example the Stuxnet worm
Security is like the Cold War - the faster we implement protections, the faster the cybercriminals innovate
Varför händer det 1?
Konfigurationsmisstag, programfel och informationsläckage Bristande medvetenhet och
kunskaper är dock huvudproblemet! Vanliga konfigurationsmisstag
Default användarkonto och lösenord
Felaktiga filsystemrättigheter Oanvända tjänster aktiverade Dåliga eller för låga
säkerhetsinställningar Kan missbrukas med normala tillämpningar
Skadlig kodTrojansk attack
Varför händer det 2?
Fel och brister vid programutvecklingen Buffer overflow
Skriva över minnet
Webbapplikationer Insyn och
manipulering
SQL-injektion Förändring av
strängar (frågor)
Missbruk kräveroftast “exploits”
What is SQL injection?
SQL injection is an attack that involves sending modified SQL statements to a web application that will, in turn, modify a database
Attackers can send unexpected input through their web browser which will enable them to read from, write to, and even delete entire databases
SQL statement below shows parameters passed to a database for a legitimate login
SELECT FROM Users WHERE username=‘boyle02’ AND password=‘12345678’;
Malformed SQL statement below shows SQL injection by passing unexpected parameters through a Web interface
Will always return a true value
SELECT FROM Users WHERE username=‘boyle02’ AND password=‘whatever’ or 1=1--’;
Varför händer det 3?
Informationsläckage “Clear text” lösenord / information i
nätverkstrafik, krypterat < 15% Felaktiga dokument på webbservrar Lösenord på “post-it” lappar i datorn
eller vid datorn Användaruppgifter i programkodens
kommentarer Dålig it-säkerhetspolicy eller för lågt
inställda säkerhetsinställningar Kan missbrukas med normala
tillämpningar
Varför händer det 4?
Några bidragande faktorer Datasäkerhet har inte varit prioriterat i it-lösningar Programmerare har inte lärt sig datasäkerhet Få säkerhetsgranskningar Osäkra programspråk Programmerare är lata Konsumenter bryr sig inte om säkerhet Säkerhet kan göra it-lösningar svårare att använda Säkerhet är oftast svårt, dyrt och tar tid att implementera
Billigt
Användarvänligt Säkert
Det är svårt att fixaalla tre hörnen!
Anatomy of a an attack
1. IP address scans to identify possible victims 3. Port scans to learn which services are open on each potential
victim host 5. The specific
attack method that the attacker uses to break into the computer is called the attacker’s exploit
IP spoofing
For probes whose replies mustbe received, attacker sendsprobes through a chain of
attack computers.
Victim only knows the identityof the last compromised host
(123.125.33.101), not that of the attacker.
For probes whose replies mustbe received, attacker sendsprobes through a chain of
attack computers.
Victim only knows the identityof the last compromised host
(123.125.33.101), not that of the attacker.
Denial-of-Service (DoS) Attacks
Denial-of-Service (DoS) Attacks Make a server or entire network unavailable to legitimate users Typically send a flood of attack messages to the victim
Distributed DoS (DDoS) Attacks
Bots flood the victim with attack packets
Attacker controls the bots
RSA attack 2011-03
RSAs two-factor authentication to generate temporary codes for increased security.
It all started with a well crafted phishing email to a non-technical staff member with the subject line “2011 recruitment plan”.
Attached to the email was an excel spreadsheet that contained an exploit for a known vulnerability in Adobe Flash.
The exploit installed a hard-to-detect remote administration tool named Poison Ivy on at least one RSA computer. The end result was that an attacker gained access to the RSA network.
The attackers moved from system to system harvesting accounts until they came across those users who had highly privileged access to sensitive systems and data.
An internal staging system was “created” to collect, encrypt and transmit back up lists of usernames/passwords to systems.
Confidential material related to SecurID technology was FTPed to a remote site.
The attackers have not been identified.
Ransomware - trojan attack 2012-03
Blog: http://blog.perhellqvist.se/blog/2012/03/14/ny-elaking-laser-datorn-och-kraver-losensumma/
Technical paper: http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf
Den digitala kapprustningen
A, B och C finns, nu är det dags för D vapen! Internet kommer att spela en avgörande roll för krig i framtiden i syfte att lamslå
datornätverk och infrastruktur
NSA:s och GCHQ:s massövervakning är bara början Dokument från Edward Snowden visar att underrättelsetjänster beväpnar sig för
framtida digitala krig
Sverige ska enligt en artikel (2015-03-18) i DN skaffa sig liknande kapacitet
http://www.dn.se/nyheter/sverige/ministern-vi-ska-kunna-genomfora-egna-cyberattacker/
NSA bygger även ett autonomt online försvarssystem ”MonsterMind”, som inte bara kan krossa digitala attacker mot USA, utan kan även avfyra digitala vedergällningar automatiskt!
Flame / sKyWIper – Worm / rootkit / trojan
Wiki: http://en.wikipedia.org/wiki/Flame_(malware)
Technical paper: http://www.crysys.hu/skywiper/skywiper.pdf
2015 – 1 TeraFlop drar 10W
2000 – 1 TeraFlop behövde 10 000 CPU:er som drog 1 MW
2013 – 25 GPU (grafik) kort med 2-3 TeraFlop var. Klustrade tillsammans via mjukvara som Virtual OpenCL kan de göra omkring 350 miljarder gissningar/sekund. De knäcker ett standardlösenord på 6h
2015 – GPU kort har nu 6 - 8 TeraFlop
Lösenordsknäckning och CPU / GPU utveckling
ICS och SCADA system
SCADA (Supervisory Control and Data Acquisition) är inte en specifik teknik utan en typ av applikation. Alla applikationer som samlar in data om ett system för att kontrollera systemet är en SCADA applikationMånga gamla ICS (Industrial Control System) ansluts nu till internet...
http://www.dpstelecom.com/white-papers/scada/offer.php
Cyberhot realtidskartor
http://cybermap.kaspersky.com/
http://worldmap3.f-secure.com/
https://cert.se/megamap/
WiFi drönare
Parrot AR.Drone 2.0 GPS Edition Quadricopter - Record HD Movies - Return Home Mode- €300Network attacks/id-collect/surveillance - Ukraine Maidan protests - SMS- Hong Kong umbrella protests
https://www.youtube.com/user/ARdronehttp://www.parrot.com/
NSA - Edward Snowden
http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html
Filmen: Citizenfour (2014)
ES warns about loss of privacy in Christmas message http://www.theguardian.com/world/video/2013/dec/25/edward-
snowden-christmas-message-video
ES Hong Kong interview part 1 and 2 http://www.theguardian.com/world/video/2013/jun/09/nsa-
whistleblower-edward-snowden-interview-video
http://www.theguardian.com/world/video/2013/jun/09/nsa-whistleblower-edward-snowden-interview-video
Lär dig så mycket som möjligt om hur attacker fungerar, hur man kan begränsa konsekvenser och skydda sig emot dem
Tänk ”säkerhet” vid hantering av digitala enheter och mjukvara Använd starka lösenord (> 12 tecken), inte “12345678”, “password” etc.
https://www.google.se/search?q=286755fad04869ca523320acce0dc6a4
Kryptera lagringsmedia (speciellt på bärbara enheter) Låt operativsystemets uppdateringar få köra och gå igenom direkt Använd ett AV (antivirusprogram) och en personlig brandvägg Använd inte trådlösa nätverk (WLAN) med dålig säkerhet
(okrypterat/WEP). WPA / WPA2 är OK om lösenordet är starkt Använd en lösenordshanterare som KeePass (plattformsoberoende) Använd uppdateringsverktyg för trejdeparts mjukvara
Secunia Personal Software Inspector (PSI)
Rekommendation för användare 1
Tillämpa säkerhetsprinciper för digital information, e-tjänster, sociala medier etc. Var inte “för social” (delge för mycket information om dig själv) Förstör känslig data och hårdvara som ej ska användas längre ordentligt Övervaka finansiell status och kontotransaktioner Skydda känslig information som tex. din hälsostatus Lägg upp en “Google Alert” bevakning på dig själv
https://www.google.se/alerts
Aktivera två-stegs verifiering av dina användarkonton https://www.google.com/landing/2step/
Handhållna enheter specifikt Allt som gäller för vanliga datorer gäller i princip även handhållna enheter! Notera omdömen om appar ifrån andra användare innan installation
Rekommendation för användare 2
Boktips (2013) 2 ed.
Short, cheap intro to pen-test Well reviewed book with hands on
examples, ISBN-10: 0124116442
Uses Kali Linux tools https://www.kali.org/
I kursen kan man behöva använda en eller flera virtuella maskiner En virtuell maskin är en emulation av ett datasystem Via en programvara som körs i en fysisk maskin kan mjukvara och
hårdvara emuleras Det finns färdiga maskiner ("virtual appliance”) att ladda hem som
tex. Kali Linux Skapa egna genom att ladda ner OS via DreamSpark Premium
Se nyhet i fronter för länk
Hämta VMware Workstation Player (Windows och Linux) från: https://www.vmware.com/ > Downloads > Workstation Player
VirtualBox från: https://www.virtualbox.org/
Virtuella Maskiner och OS
DN granskar: Det sårbara digitala samhället http://www.dn.se/stories/dn-granskar-det-sarbara-digitala-samhallet/
Brottsförebyggande rådets prel. statistik för 2014 visar att datorbedrägerier ökar kraftigt
http://www.bra.se/bra/nytt-fran-bra/arkiv/nyheter/2015-01-15-anmalda-brott-2014---preliminar-statistik.html
Säkerhetsexperten Mikko Hypponen, F-Secure http://www.npr.org/2014/01/31/265386281/why-should-you-be-
worried-about-nsa-surveillance
R.I.P. Internet: https://www.youtube.com/watch?v=u93kdtAUn7g
Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance
https://freedom.press/encryption-works
The “Equation Group” is probably the most sophisticated computer attack group in the world, with almost superhuman technical skills and unlimited resources
http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/
Länkar och resurser