Overview of Information Security & Privacy (August 10, 2016)

1

Overview of Information Security & Privacy

นพ.นวนรรน ธระอมพรพนธ

10 ส.ค. 2559

http://www.slideshare.net/nawanan

2

2546 แพทยศาสตรบณฑต (รามาธบดรนท 33)

2554 Ph.D. (Health Informatics), Univ. of Minnesota

อาจารย ภาควชาเวชศาสตรชมชนคณะแพทยศาสตรโรงพยาบาลรามาธบด

ความสนใจ: Health IT, Social Media, Security & Privacy

[email protected]

SlideShare.net/Nawanan

Nawanan Theera-Ampornpunt

Line ID: NawananT

แนะน ำตว

3

Outline

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Privacy ของขอมล

• แนวปฏบตดำน Security ของระบบ

4

ท ำไมเรำตองแครเรอง Security & Privacy?

5

เรองเลำจำกรำมำธบด #1: Privacy & Hoax

http://news.sanook.com/1262964/

6

ภย Privacy กบโรงพยำบำล

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

7

Malware

ตวอยำงภยคกคำมดำน Security

8

เรองเลำจำกรำมำธบด #2: Malware

9

ภย Security กบเมองไทย

https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf

ThaiCERT (2013)

10



ThaiCERT (2013)

11



ThaiCERT (2013)

12


https://www.facebook.com/longhackz

13


(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/

(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-

to-hollywood

14

Confidentiality (ขอมลควำมลบ) Integrity (กำรแกไข/ลบ/เพมขอมลโดยมชอบ) Availability (ระบบลม ใชกำรไมได)

สงทเปนเปำหมำยกำรโจมต: CIA Triad

15

Information risks Unauthorized access & disclosure of confidential information Unauthorized addition, deletion, or modification of information

Operational risks System not functional (Denial of Service - DoS) System wrongly operated

Personal risks Identity thefts Financial losses Disclosure of information that may affect employment or other personal

aspects (e.g. health information) Physical/psychological harms

Organizational risks Financial losses Damage to reputation & trust

ผลกระทบ/ควำมเสยหำย

16

ผลกระทบ/ควำมเสยหำย

• ควำมลบถกเปดเผย

• ควำมเสยงตอชวต สขภำพ จตใจ กำรเงน และกำรงำนของบคคล

• ระบบลม กำรใหบรกำรมปญหำ

• ภำพลกษณขององคกรเสยหำย

17

แหลงทมำของกำรโจมต

• Hackers

• Viruses & Malware

• ระบบทมปญหำขอผดพลำด/ชองโหว

• Insiders (บคลำกรทมเจตนำรำย)

• กำรขำดควำมตระหนกของบคลำกร

• ภยพบต

18

เรองเลำจำกรำมำธบด #3: Privacy

19

Security/Privacy กบขอมลผปวย

20

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

21

Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)

Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)

Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia)

Security & Privacy

22

แนวปฏบตดำน Privacy ของขอมล

23http://www.aclu.org/ordering-pizza

Privacy ของขอมลสวนบคคล

24

เรองเลำจำกรำมำธบด #4: Privacy

http://pantip.com/topic/35330409/

25

หลกจรยธรรมทเกยวกบ Privacy

• Autonomy (หลกเอกสทธ/ควำมเปนอสระของผปวย)

• Beneficence (หลกกำรรกษำประโยชนสงสดของผปวย)

• Non-maleficence (หลกกำรไมท ำอนตรำยตอผปวย)“First, Do No Harm.”

26

Hippocratic Oath...

What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....

http://en.wikipedia.org/wiki/Hippocratic_Oath

27

กฎหมำยทเกยวของกบ Privacy

• พรบ.สขภำพแหงชำต พ.ศ. 2550

• มำตรำ 7 ขอมลดำนสขภำพของบคคล เปนควำมลบสวนบคคล ผใดจะน ำไปเปดเผยในประกำรทนำจะท ำใหบคคลนนเสยหำยไมได เวนแตกำรเปดเผยนนเปนไปตำมควำมประสงคของบคคลนนโดยตรง หรอมกฎหมำยเฉพำะบญญตใหตองเปดเผย แตไมวำในกรณใด ๆ ผใดจะอำศยอ ำนำจหรอสทธตำมกฎหมำยวำดวยขอมลขำวสำรของรำชกำรหรอกฎหมำยอนเพอขอเอกสำรเกยวกบขอมลดำนสขภำพของบคคลทไมใชของตนไมได

28

ประมวลกฎหมำยอำญำ• มำตรำ 323 ผใดลวงรหรอไดมำซงควำมลบของผอนโดยเหตทเปน

เจำพนกงำนผมหนำท โดยเหตทประกอบอำชพเปนแพทย เภสชกร คนจ ำหนำยยำ นำงผดงครรภ ผพยำบำล...หรอโดยเหตทเปนผชวยในกำรประกอบอำชพนน แลวเปดเผยควำมลบนนในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใด ตองระวำงโทษจ ำคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบำท หรอทงจ ำทงปรบ

• ผรบกำรศกษำอบรมในอำชพดงกลำวในวรรคแรก เปดเผยควำมลบของผอน อนตนไดลวงรหรอไดมำในกำรศกษำอบรมนน ในประกำรทนำจะเกดควำมเสยหำยแกผหนงผใดตองระวำงโทษเชนเดยวกน

29

ค ำประกำศสทธและขอพงปฏบตของผปวย

7. ผปวยมสทธไดรบกำรปกปดขอมลของตนเอง เวนแตผปวยจะใหควำมยนยอมหรอเปนกำรปฏบตตำมหนำทของผประกอบวชำชพดำนสขภำพเพอประโยชนโดยตรงของผปวยหรอตำมกฎหมำย

30

ขอควำมจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ

... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"

ขอมลผปวย บน Social Media

31

แนวทำงกำรคมครอง Privacy• Informed consent

• Privacy culture

• User awareness building & education

• Organizational policy & regulations Enforcement Ongoing privacy & security assessments,

monitoring, and protection

32

เรองเลำจำกรำมำธบด #5: Enforcement

Uniform Enforcement:เรองเลำเกยวกบ

ควำมนำรก นำศรทธำของผบรหำร(ทำน ศ. นพ.รชตะ รชตะนำวน)

33

เรองเลำจำกรำมำธบด #6:

PR Nightmareเหตกำรณไมจรง ทสรำงควำม

เสยหำย กลำยเปน viral

34

เรองเลำจำกรำมำธบด #6: PR Nightmare & Response

http://new.khaosod.co.th.khaosod.online/dek3/win.html (อนตรำย! ไมควรเขำเวบน)

ขำวนไมเปนควำมจรง

35

เรองเลำจำกรำมำธบด #6: PR Nightmare & Response

36

แนวปฏบตดำน Security ของระบบ

37

บทควำมใน JAMA เรวๆ น

JAMA. 2015 Apr 14;313(14).

38

Attack

An attempt to breach system security

Threat

A scenario that can harm a system

Vulnerability

The “hole” that is used in the attack

Common Security Terms

39

Identify some possible means an attacker could use to conduct a security attack

Class Exercise

40

Alice

Simplified Attack Scenarios

Server Bob

Eve/Mallory

41

Alice


Server Bob

- Physical access to client computer

- Electronic access (password)

- Tricking user into doing something

(malware, phishing & social

engineering)Eve/Mallory

42

Alice


Server Bob

- Intercepting (eavesdropping or

“sniffing”) data in transit

- Modifying data (“Man-in-the-middle”

attacks)

- “Replay” attacksEve/Mallory

43

Alice


Server Bob

- Unauthorized access to servers through

- Physical means

- User accounts & privileges

- Attacks through software vulnerabilities

- Attacks using protocol weaknesses

- DoS / DDoS attacks Eve/Mallory

44

Alice


Server Bob

Other & newer forms of

attacks possible

Eve/Mallory

45

Alice

Safeguarding Against Attacks

Server Bob

Administrative Security

- Security & privacy policy

- Governance of security risk management & response

- Uniform enforcement of policy & monitoring

- Disaster recovery planning (DRP) & Business continuity

planning/management (BCP/BCM)

- Legal obligations, requirements & disclaimers

46

Alice


Server Bob

Physical Security

- Protecting physical access of clients & servers- Locks & chains, locked rooms, security cameras

- Mobile device security

- Secure storage & secure disposition of storage devices

47

Alice


Server Bob

User Security

- User account management

- Strong p/w policy (length, complexity, expiry, no meaning)

- Principle of Least Privilege

- “Clear desk, clear screen policy”

- Audit trails

- Education, awareness building & policy enforcement

- Alerts & education about phishing & social engineering

48

Alice


Server Bob

System Security

- Antivirus, antispyware, personal firewall, intrusion

detection/prevention system (IDS/IPS), log files, monitoring

- Updates, patches, fixes of operating system vulnerabilities &

application vulnerabilities

- Redundancy (avoid “Single Point of Failure”)

- Honeypots

49

Alice


Server Bob

Software Security

- Software (clients & servers) that is secure by design

- Software testing against failures, bugs, invalid inputs,

performance issues & attacks

- Updates to patch vulnerabilities

50

Alice


Server Bob

Network Security

- Access control (physical & electronic) to network devices

- Use of secure network protocols if possible

- Data encryption during transit if possible

- Bandwidth monitoring & control

51

Alice


Server Bob

Database Security

- Access control to databases & storage devices

- Encryption of data stored in databases if necessary

- Secure destruction of data after use

- Access control to queries/reports

- Security features of database management systems (DBMS)

52

Line เสยงตอกำรละเมด Privacy ผปวยไดอยำงไร?

• ขอมลใน Line group มคนเหนหลายคน• ขอมลถก capture หรอ forward ไป share ตอได• ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว)• ขอมลทสงผาน network ไมไดเขารหส• ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได• มคนเดา Password ได

53

ทำงออกส ำหรบกำร Consult Case ผปวย

• ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม• หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image)• ใช app ทปลอดภยกวา• Limit คนทเขาถง

(เชน ไมคยผาน Line group)• ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

54

เรองเลำจำกรำมำธบด #7: Passwords

Keylogger Attack: เรองเลำจำกกจกรรมชมรมสมยเปนนกศกษำแพทย

55

User Account SecuritySo, two informaticians

walk into a bar...

The bouncer says,

"What's the password."

One says, "Password?"

The bouncer lets them

in.

Credits: @RossMartin & AMIA (2012)

56

What’s the Password?

Unknown Internet sources, via

http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,

via Facebook page “สอนแฮกเวบแบบแมวๆ”

57

Access control Selective restriction of access to the system

Role-based access control Access control based on the person’s role (rather than

identity)

Audit trails Logs/records that provide evidence of sequence of

activities

User Security

58

Identification Identifying who you are

Usually done by user IDs or some other unique codes

Authentication Confirming that you truly are who you identify

Usually done by keys, PIN, passwords or biometrics

Authorization Specifying/verifying how much you have access

Determined based on system owner’s policy & system configurations

“Principle of Least Privilege”

User Security

59

Nonrepudiation Proving integrity, origin, & performer of an activity without

the person’s ability to refute his actions

Most common form: signatures

Electronic signatures offer varying degrees of nonrepudiation

PIN/password vs. biometrics

Digital certificates (in public key infrastructure - PKI) often used to ascertain nonrepudiation

User Security

60

User Account Security

https://www.thaicert.or.th/downloads/files/BROCHURE_security_awareness.png

61

ควำมยำว 8 ตวอกษรขนไป

ควำมซบซอน: 3 ใน 4 กลมตวอกษร Uppercase letters

Lowercase letters

Numbers

Symbols

ไมมควำมหมำย (ปองกน “Dictionary Attacks”)

ไมใช simple patterns (12345678, 11111111)

ไมเกยวกบขอมลสวนตวทคนสนทอำจร (เชน วนเกด ชอคนในครอบครว ชอสตวเลยง)

Passwords

62

เรองเลำจำกรำมำธบด #8: Password ทองงำย (แตก Hack งำย)

Dictionary Attack: เรองเลำจำกกำรเรยน

กำร Hack ระบบ ท USA

63

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

64

แลวจะจ ำ Password ไดยงไง?คดประโยคภำษำองกฤษสก 1 ประโยคประโยคนควรมค ำ 8 ค ำขนไป และควรมตวเลข

หรอสญลกษณพเศษดวย ใชตวอกษรตวแรกของแตละค ำ เปน Password

65

ตวอยำงกำรตง Password

http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/

66

ตวอยำงกำรตง Passwordประโยค:

I love reading all 7 Harry Potter books!

Password:Ilra7HPb!

67

Password Sharing

อยำแชร Passwordกบคนอน

68

Password Expiration

เปลยน Password ทกๆ 3-6 เดอน

69

เรองเลำจำกรำมำธบด #9: Wi-Fi

Wi-Fi Router เถอน: พวกชอบสรำงปญหำให

admin และอำจเปนจอมขโมย Password

70

Logout After Use

อยำลม Logout หลงใชงำนเสมอ โดยเฉพำะเครองสำธำรณะ

(หำกไมอยทหนำจอ แมเพยงชวคร ให Lock Screen เสมอ)

71

Mobile Security

https://www.thaicert.or.th/downloads/files/BROCHURE_mobile_malware.png

72

Mobile Securityตง PIN ส ำหรบ Lock Screen เอำไว ไมเกบขอมลส ำคญเอำไว ระวงไมใหสญหำย หำกสญหำยรบแจงระงบ

73

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

74

E-mail Security

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Mail-Scam.jpg

75

เรองเลำจำกรำมำธบด #10: E-mail หลอกลวง

Phishing

76

Phishing E-mail

77

Phishing E-mail

78

Phishing E-mail

79

Phishing E-mail

80

Phishing Web Site

81

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

82

E-mail & Online Security (Phishing)

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg

83

Secure Log-in ส ำหรบเวบทส ำคญMicrosoft Internet Explorer

84

Secure Log-in ส ำหรบเวบทส ำคญMozilla Firefox

Google Chrome

85

ลกษณะส ำคญทควรสงสย PhishingGrammar หวยแตกตวสะกดผดเยอะพยำยำมอยำงยงใหเปดไฟลแนบ หรอกด link

หรอตอบเมล แตไมคอยใหรำยละเอยดE-mail ทมำจำกคนรจก ไมไดปลอดภยเสมอไป

86

เรองเลำจำกรำมำธบด #11: ถก E-mail หลอก

Phishing Attack: เรองเลำจำกชวต

ประธำนนกเรยนไทยใน Minnesota

87

Don’t be too trusting of people

Always be suspicious & alert

An e-mail with your friend’s name & info doesn’t have to come from him/her

Look for signs of phishing attacks

Don’t open attachments unless you expect them

Scan for viruses before opening attachments

Don’t click links in e-mail. Directly type in browser using known & trusted URLs

Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc.

Ways to Protect against Phishing

88

เรองเลำจำกรำมำธบด #12: เรยกคำไถ

Ransomware

89

ประกำศเตอนภย Ransomware ในรำมำธบด

ขอบคณภำพ Screen Saver จำกฝำยสำรสนเทศ คณะแพทยศำสตรโรงพยำบำลรำมำธบด

90

Ransomware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg

91

Ransomware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Ransomware.jpg

92

เครอขำยดำน IT ในองคกร

Ramathibodi Computer Emergency Readiness Team

(RamaCERT)

93

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

94

PC Security, Virus & Malware

https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg

95

เรองเลำจำกรำมำธบด #13: แชรไฟล

File Sharing: เรองเลำจำกชวต

นกศกษำแพทยรำมำธบด(ทอยำกรอยำกเหน)

96

เรองเลำจำกรำมำธบด #14: Virus & Patch Updates

Virus/Malware Attack & Windows Update: เรองเลำจำกบทบำท

Chief IT Admin รำมำธบด(ทตองดแลระบบลม)

97

เรองเลำจำกรำมำธบด #15: Apple

False Sense of Securityเรองเลำจำก Apple Fanboy

98

เรองเลำจำกรำมำธบด #16:

Back-up Your Data: เรองเลำจำกคนงำนเยอะ

99

World Backup Day:March 31 ของทกป

100

Software Security

101

Most common reason for security bugs is invalid programming assumptions that attackers will look for

Weak input checking

Buffer overflow

Integer overflow

Race condition (Time of Check / Time of Use vulnerabilities)

Running programs in new environments

Software Security

Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271

102

Feeping creaturism (Creeping featurism)

Log files that contain sensitive information

Configuration bugs

Unnecessary privileges

Monoculture

Security bypass

Software Security


103

Consider a log-in form on a web page

Example of Weak Input Checking: SQL Injection

Source code would look

something like this:

statement = "SELECT * FROM users

WHERE name = '" + userName + "';"

Attacker would enter as username:

' or '1'='1

Which leads to this always-true query:

statement = "SELECT * FROM users

WHERE name = '" + "' or '1'='1" + "';"

statement = "SELECT * FROM users WHERE name = '' or '1'='1';"

http://en.wikipedia.org/wiki/SQL_injection

104

Economy of Mechanism Design should be small & simple

Fail-safe default

Complete mediation Check every access to every object

Open design

Separation of privilege / Least Privilege

Secure Software Design Principles

Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271

105

Least common mechanism Minimize complexity of shared components

Psychological acceptability If users don’t buy in to security mechanism or don’t

understand how to use it, system is insecure

Work factor Cost of attack should exceed resources attacker will

spend


Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271

106

Compromise recording If too expensive to prevent a compromise, record it

Tamper evident vs. tamperproof

Log files


Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 Image source: http://www.flickr.com/photos/goobelyga/2340650133/

http://www.flickr.com/photos/goobelyga/2340650133/

107

Defense in Depth Multiple layers of security defense are placed throughout

a system to provide redundancy in the event a security control fails

Secure the weakest link

Promote privacy

Trust no one


Saltzer & Schroeder (1975), Viega & McGraw (2000)Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)

http://en.wikipedia.org/wiki/Defense_in_depth_(computing)

108

Modular design

Check error conditions on return values

Validate inputs (whitelist vs. blacklist)

Avoid infinite loops, memory leaks

Check for integer overflows

Language/library choices

Development processes

Secure Software Best Practices


109

Malware

110

Malicious software - Any code with intentional, undesirable side effects

Virus

Worm

Trojan

Spyware

Logic Bomb/Time Bomb

Backdoor/Trapdoor

Rootkit

Botnet

Malware

111

Virus Propagating malware that requires user action to

propagate

Infects executable files, data files with executable contents (e.g. Macro), boot sectors

Worm Self-propagating malware

Trojan A legitimate program with additional, hidden functionality

Malware

112

Spyware Trojan that spies for & steals personal information

Logic Bomb/Time Bomb Malware that triggers under certain conditions

Backdoor/Trapdoor A hole left behind by malware for future access

Malware

113

Rogue Antispyware Software that tricks or forces users to pay before fixing (real or

hoax) spyware detected

Rootkit A stealth program designed to hide existence of certain processes

or programs from detection

Botnet A collection of Internet-connected computers that have been

compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks)

Malware

114

Installed & updated antivirus, antispyware, & personal firewall

Check for known signatures

Check for improper file changes (integrity failures)

Check for generic patterns of malware (for unknown malware): “Heuristics scan”

Firewall: Block certain network traffic in and out

Sandboxing

Network monitoring & containment

User education

Software patches, more secure protocols

Defense Against Malware

115

Social media spams/scams/clickjacking

Social media privacy issues User privacy settings

Location services

Mobile device malware & other privacy risks

Stuxnet (advanced malware targeting certain countries)

Advanced persistent threats (APT) by governments & corporations against specific targets

Crypto-Ransomware

Newer Threats

116

US-CERT U.S. Computer Emergency Readiness Team

http://www.us-cert.gov/

Subscribe to alerts & news

Microsoft Security Resources http://technet.microsoft.com/en-us/security

http://technet.microsoft.com/en-us/security/bulletin

Common Vulnerabilities & Exposures

http://cve.mitre.org/

More Information

117

ตดตำมอปเดตควำมร

www.facebook.com/InformaticsRound

118

Outline

• ท ำไมเรำตองแครเรอง Security & Privacy?

• Security/Privacy กบขอมลผปวย

• แนวปฏบตดำน Privacy ของขอมล

• แนวปฏบตดำน Security ของระบบ

119

Overview of Information Security & Privacy

นพ.นวนรรน ธระอมพรพนธ

10 ส.ค. 2559

http://www.slideshare.net/nawanan

Overview of Information Security & Privacy (August 10, 2016)

Technology