Datasäkerhet och integritet - index-of.co.ukindex-of.co.uk/presentation/ch1-introduction.pdf · Se kursplanen i fronter Lärandemål Innehåll DM 1 – Introduktion, kryptering DM

Datasäkerhet och integritet

Hans Jones [email protected] och eSäkerhet Högskolan Dalarna

Se kursplanen i fronter Lärandemål Innehåll

DM 1 – Introduktion, kryptering DM 2 – Vanliga attacker och skydd DM 3 – Brandväggar, it-forensik, etc. DM 4 – Attacker och skydd advanced DM 5 – RSA, it-policy etc.

Litteratur Corporate Computer Security, third edition och nyare revisioner Andra “introduction to computer security” böcker, se fronter Elektroniska artiklar och manualer …

Kursintroduktion

ISBN-10:0132145359ISBN-10:0133545199

Introduction & Terminology Employee and Ex-Employee Threats Malware Hackers and Attacks The Criminal Era Competitor Threats Cyberwar and Cyberterror

Content this lecture

Define the term threat environment Use basic security terminology Describe threats from employees and ex-employees Describe threats from malware writers Describe traditional external hackers and their attacks, including

break-in processes, social engineering, and denial-of-service attacks

Know that criminals have become the dominant attackers today, describe the types of attacks they make, and discuss their methods of cooperation

Distinguish between cyber war and cyber terror

Learning Objectives

Kursens huvudbok och dess kapitel

Kursupplägg

CIA (Confidentiality, Integrity, Availability) security goals Confidentiality

Confidentiality means that people cannot read sensitive information, either while it is on a computer or while it is traveling across a network.

Integrity Integrity means that attackers cannot change or destroy information, either

while it is on a computer or while it is traveling across a network. Or, at least, if information is changed or destroyed, then the receiver can detect the change or restore destroyed data.

Availability Availability means that people who are authorized to use information are not

prevented from doing so

Basic Security Terminology 1

Compromises Successful attacks Also called incidents Also called breaches (not breeches)

Countermeasures Tools used to thwart attacks Also called safeguards, protections, and controls Types of countermeasures

Preventative – keep attacks from succeeding Detective – identify when a threat is attacking and if it was successful Corrective – get back on track after a compromise

Basic Security Terminology 2

Datorattacker generellt 1

Datorer är ständigt utsatta för skadliga attacker (kolla loggfiler) AV företag använder “Honey Monkey” datorer som Windows XP SP0 / IE6 Exempel: F-Secure - 250k attacker/dag, varav 20k nya attacker/dag - 2014

Vem attackerar? Utifrån / okända

Enskilda personer Organiserad brottslighet Stater/statsstödda aktörer Konkurrenter Hacktivistgrupper Inhyrd kompetens Terrorister …

Datorattacker generellt 2

Vem attackerar forts…? Insidan / insiders

Missnöjda / missbrukande, slarviga / okunniga (tidigare) anställda Kunder, leverantörer och affärspartners Konsulter, vikarier, besökare etc.

Skicklighet och kapacitet? Från ”script kiddies” Personer med moderat skicklighet Elit hackers och säkerhetskonsulter Till organisationer med obegränsade resurser!

Underskatta inte förövare / motståndare på nätet!

http://www.hackingteam.it/index.php/remote-control-system

Varför gör man det?

Berömmelse Pengar

Då Nu

Kul, spännade och berömmelse Idag går det mesta ut på att tjäna pengar

eller skada olika slags datasystem Det är här pengarna finns och med rätt

kunskaper kan man tjäna stora pengar! Datakraft = pengar (kryptovalutor)

Tillskansa sig värdefull / hemlig information

Verizon 2014 Data Breach Investigation Reporthttp://www.verizonenterprise.com/DBIR

Hur stjäls information (intrång)?

Stort antal sätt att attackera!

Social Media

Ökande hot!Bring Your Own

Advanced Persistent Threat (APT)

Malware A generic name for any “evil software”

Viruses Programs that attach themselves to legitimate programs on the victim’s

machine (e-mail, file transfers, instant messaging), needs human interaction to spread

Worms Full programs that do not attach themselves to other programs but spread in

the same way as virus Direct-propagation worms can rapidly jump from one vulnerable computer to

another receiving computer, since no human intervention is needed

Blended Threats Malware propagates in several ways—like worms, viruses, compromised

webpages containing mobile code, etc.

Malware, skadlig / elak kod 1

Payloads Pieces of code that do damage Implemented by viruses and worms after propagation Malicious payloads are designed to do heavy damage

Nonmobile Malware Must be placed on the user’s computer through one of a growing number of

attack techniques Placed directly on the computer by hackers or by virus or worm as part of its

payload Usually the victim can be enticed to download the program from a website or

FTP site etc. Mobile code executed on a webpage can download the nonmobile malware

Malware, skadlig / elak kod 2

Trojan Horses A program that replaces an existing system file, taking its name Remote Access Trojans (RATs) which Remotely control the victim’s PC

Downloaders Small Trojan horses that download larger Trojan horses after the downloader

is installed

Spyware Programs that gather information about you and make it available to the

adversary Cookies that store too much sensitive personal information Keystroke loggers Password-stealing spyware Data mining spyware

Other Malware Attacks 1

Rootkits Take control of the super user account (root, administrator, etc.) Can hide themselves from file system detection Extremely difficult to detect (ordinary antivirus programs find few rootkits)

Mobile Code Executable code on a webpage which is executed automatically when the

webpage is downloaded Browser vulnerability, Java, Javascript, Microsoft Active-X controls, etc.

Social Engineering in Malware Social engineering is attempting to trick users into doing something that goes

against security policies Spam, Phishing, Hoaxes, etc.

Other Malware Attacks 2

Cybercrime over the past 10 years

1st Generation – Because I can and propaganda Worms, defacement of web sites

2nd Generation – I can make money Botnets appear, denial of service attacks, seeking payment to stop attacks

3rd Generation – Organized crime Large scale management of attacks, coordinated use of tools and techniques, trojans, worms

Phishing, targeted attacks

4th Generation – Selling the tools Tools to perform attacks become “vended” with 24/7 support available, Botnet rentals, sophisticated

Id theft services, Licensed Malware appears, Exploit knowledge is sold. Social Networks just for cybercriminals appear. Cybercrime supply chains are formalized and fine tuned

5th Generation - Our new reality is zero-day, Advanced Persistent Threats (APT) and state-sponsored attacks as for example the Stuxnet worm

Security is like the Cold War - the faster we implement protections, the faster the cybercriminals innovate

Varför händer det 1?

Konfigurationsmisstag, programfel och informationsläckage Bristande medvetenhet och

kunskaper är dock huvudproblemet! Vanliga konfigurationsmisstag

Default användarkonto och lösenord

Felaktiga filsystemrättigheter Oanvända tjänster aktiverade Dåliga eller för låga

säkerhetsinställningar Kan missbrukas med normala tillämpningar

Skadlig kodTrojansk attack

Varför händer det 2?

Fel och brister vid programutvecklingen Buffer overflow

Skriva över minnet

Webbapplikationer Insyn och

manipulering

SQL-injektion Förändring av

strängar (frågor)

Missbruk kräveroftast “exploits”

What is SQL injection?

SQL injection is an attack that involves sending modified SQL statements to a web application that will, in turn, modify a database

Attackers can send unexpected input through their web browser which will enable them to read from, write to, and even delete entire databases

SQL statement below shows parameters passed to a database for a legitimate login

SELECT FROM Users WHERE username=‘boyle02’ AND password=‘12345678’;

Malformed SQL statement below shows SQL injection by passing unexpected parameters through a Web interface

Will always return a true value

SELECT FROM Users WHERE username=‘boyle02’ AND password=‘whatever’ or 1=1--’;

Varför händer det 3?

Informationsläckage “Clear text” lösenord / information i

nätverkstrafik, krypterat < 15% Felaktiga dokument på webbservrar Lösenord på “post-it” lappar i datorn

eller vid datorn Användaruppgifter i programkodens

kommentarer Dålig it-säkerhetspolicy eller för lågt

inställda säkerhetsinställningar Kan missbrukas med normala

tillämpningar

Varför händer det 4?

Några bidragande faktorer Datasäkerhet har inte varit prioriterat i it-lösningar Programmerare har inte lärt sig datasäkerhet Få säkerhetsgranskningar Osäkra programspråk Programmerare är lata Konsumenter bryr sig inte om säkerhet Säkerhet kan göra it-lösningar svårare att använda Säkerhet är oftast svårt, dyrt och tar tid att implementera

Billigt

Användarvänligt Säkert

Det är svårt att fixaalla tre hörnen!

Anatomy of a an attack

1. IP address scans to identify possible victims 3. Port scans to learn which services are open on each potential

victim host 5. The specific

attack method that the attacker uses to break into the computer is called the attacker’s exploit

IP spoofing

For probes whose replies mustbe received, attacker sendsprobes through a chain of

attack computers.

Victim only knows the identityof the last compromised host

(123.125.33.101), not that of the attacker.

For probes whose replies mustbe received, attacker sendsprobes through a chain of

attack computers.

Victim only knows the identityof the last compromised host

(123.125.33.101), not that of the attacker.

Denial-of-Service (DoS) Attacks

Denial-of-Service (DoS) Attacks Make a server or entire network unavailable to legitimate users Typically send a flood of attack messages to the victim

Distributed DoS (DDoS) Attacks

Bots flood the victim with attack packets

Attacker controls the bots

http://www.cvedetails.com/

2015-01

RSA attack 2011-03

RSAs two-factor authentication to generate temporary codes for increased security.

It all started with a well crafted phishing email to a non-technical staff member with the subject line “2011 recruitment plan”.

Attached to the email was an excel spreadsheet that contained an exploit for a known vulnerability in Adobe Flash.

The exploit installed a hard-to-detect remote administration tool named Poison Ivy on at least one RSA computer. The end result was that an attacker gained access to the RSA network.

The attackers moved from system to system harvesting accounts until they came across those users who had highly privileged access to sensitive systems and data.

An internal staging system was “created” to collect, encrypt and transmit back up lists of usernames/passwords to systems.

Confidential material related to SecurID technology was FTPed to a remote site.

The attackers have not been identified.

Ransomware - trojan attack 2012-03

Blog: http://blog.perhellqvist.se/blog/2012/03/14/ny-elaking-laser-datorn-och-kraver-losensumma/

Technical paper: http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf

Den digitala kapprustningen

A, B och C finns, nu är det dags för D vapen! Internet kommer att spela en avgörande roll för krig i framtiden i syfte att lamslå

datornätverk och infrastruktur

NSA:s och GCHQ:s massövervakning är bara början Dokument från Edward Snowden visar att underrättelsetjänster beväpnar sig för

framtida digitala krig

Sverige ska enligt en artikel (2015-03-18) i DN skaffa sig liknande kapacitet

http://www.dn.se/nyheter/sverige/ministern-vi-ska-kunna-genomfora-egna-cyberattacker/

NSA bygger även ett autonomt online försvarssystem ”MonsterMind”, som inte bara kan krossa digitala attacker mot USA, utan kan även avfyra digitala vedergällningar automatiskt!

Flame / sKyWIper – 2011/2012

Flame / sKyWIper – Worm / rootkit / trojan

Wiki: http://en.wikipedia.org/wiki/Flame_(malware)

Technical paper: http://www.crysys.hu/skywiper/skywiper.pdf

2015 – 1 TeraFlop drar 10W

2000 – 1 TeraFlop behövde 10 000 CPU:er som drog 1 MW

2013 – 25 GPU (grafik) kort med 2-3 TeraFlop var. Klustrade tillsammans via mjukvara som Virtual OpenCL kan de göra omkring 350 miljarder gissningar/sekund. De knäcker ett standardlösenord på 6h

2015 – GPU kort har nu 6 - 8 TeraFlop

Lösenordsknäckning och CPU / GPU utveckling

ICS och SCADA system

SCADA (Supervisory Control and Data Acquisition) är inte en specifik teknik utan en typ av applikation. Alla applikationer som samlar in data om ett system för att kontrollera systemet är en SCADA applikationMånga gamla ICS (Industrial Control System) ansluts nu till internet...

http://www.dpstelecom.com/white-papers/scada/offer.php

The internet of things

Samsung: By 2020, all of our products will be connected to the web

SHODAN https://www.shodan.io/

Cyberhot realtidskartor

http://cybermap.kaspersky.com/

http://worldmap3.f-secure.com/

https://cert.se/megamap/

WiFi drönare

Parrot AR.Drone 2.0 GPS Edition Quadricopter - Record HD Movies - Return Home Mode- €300Network attacks/id-collect/surveillance - Ukraine Maidan protests - SMS- Hong Kong umbrella protests

https://www.youtube.com/user/ARdronehttp://www.parrot.com/

NSA - Edward Snowden

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

Filmen: Citizenfour (2014)

ES warns about loss of privacy in Christmas message http://www.theguardian.com/world/video/2013/dec/25/edward-

snowden-christmas-message-video

ES Hong Kong interview part 1 and 2 http://www.theguardian.com/world/video/2013/jun/09/nsa-

whistleblower-edward-snowden-interview-video

http://www.theguardian.com/world/video/2013/jun/09/nsa-whistleblower-edward-snowden-interview-video

Lär dig så mycket som möjligt om hur attacker fungerar, hur man kan begränsa konsekvenser och skydda sig emot dem

Tänk ”säkerhet” vid hantering av digitala enheter och mjukvara Använd starka lösenord (> 12 tecken), inte “12345678”, “password” etc.

https://www.google.se/search?q=286755fad04869ca523320acce0dc6a4

Kryptera lagringsmedia (speciellt på bärbara enheter) Låt operativsystemets uppdateringar få köra och gå igenom direkt Använd ett AV (antivirusprogram) och en personlig brandvägg Använd inte trådlösa nätverk (WLAN) med dålig säkerhet

(okrypterat/WEP). WPA / WPA2 är OK om lösenordet är starkt Använd en lösenordshanterare som KeePass (plattformsoberoende) Använd uppdateringsverktyg för trejdeparts mjukvara

Secunia Personal Software Inspector (PSI)

Rekommendation för användare 1

Tillämpa säkerhetsprinciper för digital information, e-tjänster, sociala medier etc. Var inte “för social” (delge för mycket information om dig själv) Förstör känslig data och hårdvara som ej ska användas längre ordentligt Övervaka finansiell status och kontotransaktioner Skydda känslig information som tex. din hälsostatus Lägg upp en “Google Alert” bevakning på dig själv

https://www.google.se/alerts

Aktivera två-stegs verifiering av dina användarkonton https://www.google.com/landing/2step/

Handhållna enheter specifikt Allt som gäller för vanliga datorer gäller i princip även handhållna enheter! Notera omdömen om appar ifrån andra användare innan installation

Rekommendation för användare 2

Boktips (2013) 2 ed.

Short, cheap intro to pen-test Well reviewed book with hands on

examples, ISBN-10: 0124116442

Uses Kali Linux tools https://www.kali.org/

I kursen kan man behöva använda en eller flera virtuella maskiner En virtuell maskin är en emulation av ett datasystem Via en programvara som körs i en fysisk maskin kan mjukvara och

hårdvara emuleras Det finns färdiga maskiner ("virtual appliance”) att ladda hem som

tex. Kali Linux Skapa egna genom att ladda ner OS via DreamSpark Premium

Se nyhet i fronter för länk

Hämta VMware Workstation Player (Windows och Linux) från: https://www.vmware.com/ > Downloads > Workstation Player

VirtualBox från: https://www.virtualbox.org/

Virtuella Maskiner och OS

DN granskar: Det sårbara digitala samhället http://www.dn.se/stories/dn-granskar-det-sarbara-digitala-samhallet/

Brottsförebyggande rådets prel. statistik för 2014 visar att datorbedrägerier ökar kraftigt

http://www.bra.se/bra/nytt-fran-bra/arkiv/nyheter/2015-01-15-anmalda-brott-2014---preliminar-statistik.html

Säkerhetsexperten Mikko Hypponen, F-Secure http://www.npr.org/2014/01/31/265386281/why-should-you-be-

worried-about-nsa-surveillance

R.I.P. Internet: https://www.youtube.com/watch?v=u93kdtAUn7g

Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance

https://freedom.press/encryption-works

The “Equation Group” is probably the most sophisticated computer attack group in the world, with almost superhuman technical skills and unlimited resources

http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/

Länkar och resurser