ch1-introduction.pdf

Datasäkerhet och integritet

Hans Jones

[email protected]



Se kursplanen i fronter



Lärandemål



Innehåll

 DM 1 – Introduktion, kryptering  DM 2 – Vanliga attacker och skydd  DM 3 – Brandväggar, it-forensik, etc.  DM 4 – Attacker och skydd advanced  DM 5 – RSA, it-policy etc.



Litteratur

 Corporate Computer Security, third edition och nyare revisioner  Andra “introduction to computer security” böcker, se fronter  Elektroniska artiklar och manualer

 …

Kursintroduktion

ISBN-10:0132145359



Introduction & Terminology



Employee and Ex-Employee Threats



Malware



Hackers and Attacks



The Criminal Era



Competitor Threats



Cyberwar and Cyberterror



Define the term threat environment



Use basic security terminology



Describe threats from employees and ex-employees



Describe threats from malware writers



Describe traditional external hackers and their attacks, including

break-in processes, social engineering, and denial-of-service

attacks



Know that criminals have become the dominant attackers today,

describe the types of attacks they make, and discuss their methods

of cooperation



Distinguish between cyber war and cyber terror



Kursens huvudbok och dess kapitel



CIA (Confidentiality, Integrity, Availability) security goals



Confidentiality

 _{Confidentiality means that people cannot read sensitive information, either}

while it is on a computer or while it is traveling across a network.



Integrity

 Integrity means that attackers cannot change or destroy information, either

while it is on a computer or while it is traveling across a network. Or, at least, if information is changed or destroyed, then the receiver can detect the

change or restore destroyed data.



Availability

 Availability means that people who are authorized to use information are not

prevented from doing so



Compromises



Successful attacks



Also called incidents



Also called breaches (not breeches)



Countermeasures



Tools used to thwart attacks



Also called safeguards, protections, and controls



Types of countermeasures

 Preventative – keep attacks from succeeding

 Detective – identify when a threat is attacking and if it was successful  Corrective – get back on track after a compromise

Datorattacker generellt 1



Datorer är ständigt utsatta för skadliga attacker (kolla loggfiler)

 AV företag använder “Honey Monkey” datorer som Windows XP SP0 / IE6  Exempel: F-Secure - 250k attacker/dag, varav 20k nya attacker/dag - 2014 

Vem attackerar?



Utifrån / okända

 Enskilda personer

 Organiserad brottslighet  Stater/statsstödda aktörer  Konkurrenter

 Hacktivistgrupper  Inhyrd kompetens  Terrorister

Datorattacker generellt 2



Vem attackerar forts…?

Insidan / insiders



Missnöjda / missbrukande, slarviga / okunniga (tidigare) anställda



Kunder, leverantörer och affärspartners



Konsulter, vikarier, besökare etc.



Skicklighet och kapacitet?



Från ”script kiddies”



Personer med moderat skicklighet



Elit hackers och säkerhetskonsulter



Till organisationer med obegränsade resurser!



Underskatta inte förövare / motståndare på nätet!

Varför gör man det?

Berömmelse

Pengar

Då Nu



Kul, spännade och berömmelse



Idag går det mesta ut på att tjäna pengar

eller skada olika slags datasystem

 Det är här pengarna finns och med rätt

kunskaper kan man tjäna stora pengar!

 Datakraft = pengar (kryptovalutor)

Verizon 2014 Data Breach

Investigation Report

http://www.verizonenterprise.com/DBIR

Stort antal sätt att attackera!

Social Media

Ökande hot! Bring Your Own



Malware

 A generic name for any “evil software”



Viruses

 Programs that attach themselves to legitimate programs on the victim’s

machine (e-mail, file transfers, instant messaging), needs human interaction to spread



Worms

 Full programs that do not attach themselves to other programs but spread in

the same way as virus

 Direct-propagation worms can rapidly jump from one vulnerable computer to

another receiving computer, since no human intervention is needed



Blended Threats

 Malware propagates in several ways—like worms, viruses, compromised

webpages containing mobile code, etc.



Payloads

 Pieces of code that do damage

 Implemented by viruses and worms after propagation  Malicious payloads are designed to do heavy damage



Nonmobile Malware

 Must be placed on the user’s computer through one of a growing number of

attack techniques

 Placed directly on the computer by hackers or by virus or worm as part of its

payload

 Usually the victim can be enticed to download the program from a website or

FTP site etc.

 Mobile code executed on a webpage can download the nonmobile malware



Trojan Horses

 A program that replaces an existing system file, taking its name

 Remote Access Trojans (RATs) which Remotely control the victim’s PC



Downloaders

 Small Trojan horses that download larger Trojan horses after the downloader

is installed



Spyware

 Programs that gather information about you and make it available to the

adversary

 Cookies that store too much sensitive personal information  Keystroke loggers

 Password-stealing spyware  _{Data mining spyware}



Rootkits

 Take control of the super user account (root, administrator, etc.)  Can hide themselves from file system detection

 Extremely difficult to detect (ordinary antivirus programs find few rootkits)



Mobile Code

 Executable code on a webpage which is executed automatically when the

webpage is downloaded

 Browser vulnerability, Java, Javascript, Microsoft Active-X controls, etc.



Social Engineering in Malware

 Social engineering is attempting to trick users into doing something that goes

against security policies

 Spam, Phishing, Hoaxes, etc.

Cybercrime over the past 10 years

 1st _{Generation – Because I can and propaganda}

 _{Worms, defacement of web sites}

 2nd _{Generation – I can make money}

 Botnets appear, denial of service attacks, seeking payment to stop attacks

 3rd _{Generation – Organized crime}

 Large scale management of attacks, coordinated use of tools and techniques, trojans, worms

Phishing, targeted attacks

 4th _{Generation – Selling the tools}

 _{Tools to perform attacks become “vended” with 24/7 support available, Botnet rentals, sophisticated}

Id theft services, Licensed Malware appears, Exploit knowledge is sold. Social Networks just for cybercriminals appear. Cybercrime supply chains are formalized and fine tuned

 ₅th _{Generation - Our new reality is zero-day, Advanced Persistent Threats (APT)}

and state-sponsored attacks as for example the Stuxnet worm

 _{Security is like the Cold War - the faster we implement protections, the faster the}

Varför händer det 1?



Konfigurationsmisstag, programfel

och informationsläckage



Bristande medvetenhet och

kunskaper är dock huvudproblemet!



Vanliga konfigurationsmisstag



Default användarkonto och

lösenord



Felaktiga filsystemrättigheter



Oanvända tjänster aktiverade



Dåliga eller för låga

säkerhetsinställningar



Kan missbrukas med normala tillämpningar

Skadlig kod

Varför händer det 2?



Fel och brister vid programutvecklingen



Buffer overflow



Skriva över minnet



Webbapplikationer



Insyn och

manipulering

SQL-injektion



Förändring av

strängar (frågor)

Missbruk kräver

What is SQL injection?

 SQL injection is an attack that involves sending modified SQL statements to a

web application that will, in turn, modify a database

 _{Attackers can send unexpected input through their web browser which will enable}

them to read from, write to, and even delete entire databases

 _{SQL statement below shows parameters passed to a database for a legitimate}

login

 SELECT FROM Users WHERE username=‘boyle02’ AND password=‘12345678’;

 _{Malformed SQL statement below shows SQL injection by passing unexpected}

parameters through a Web interface

 _{Will always return a true value}

Varför händer det 3?



Informationsläckage



“Clear text” lösenord / information i

nätverkstrafik, krypterat < 15%



Felaktiga dokument på webbservrar



Lösenord på “post-it” lappar i datorn

eller vid datorn



Användaruppgifter i programkodens

kommentarer



Dålig it-säkerhetspolicy eller för lågt

inställda säkerhetsinställningar

Varför händer det 4?



Några bidragande faktorer



Datasäkerhet har inte varit prioriterat i it-lösningar



Programmerare har inte lärt sig datasäkerhet



Få säkerhetsgranskningar



Osäkra programspråk



Programmerare är lata



Konsumenter bryr sig inte om säkerhet



Säkerhet kan göra it-lösningar svårare att använda



Säkerhet är oftast svårt, dyrt och tar tid att implementera

Billigt

Användarvänligt Säkert

Anatomy of a an attack



1. IP address scans to identify possible victims



3. Port scans to learn which services are open on each potential

victim host



5. The specific

attack method

that the attacker

uses to break

into the computer

is called the

IP spoofing

For probes whose replies must be received, attacker sends

probes through a chain of attack computers.

Victim only knows the identity of the last compromised host (123.125.33.101), not that of the

attacker.

For probes whose replies must be received, attacker sends

probes through a chain of attack computers.

Victim only knows the identity of the last compromised host (123.125.33.101), not that of the

Denial-of-Service (DoS) Attacks



Denial-of-Service (DoS) Attacks

 Make a server or entire network unavailable to legitimate users  Typically send a flood of attack messages to the victim



Distributed DoS

(DDoS)

Attacks

 Bots flood

the victim with attack packets

 _Attacker

http://www.cvedetails.com/

RSA attack 2011-03

 RSAs two-factor authentication to generate temporary codes for increased security.

 _{It all started with a well crafted phishing email to a non-technical staff member with the subject line “2011}

recruitment plan”.

 _{Attached to the email was an excel spreadsheet}

that contained an exploit for a known vulnerability in Adobe Flash.

 The exploit installed a hard-to-detect remote

administration tool named Poison Ivy on at least one RSA computer. The end result was that an attacker gained access to the RSA network.

 _{The attackers moved from system to system}

harvesting accounts until they came across those users who had highly privileged access to sensitive systems and data.

 _{An internal staging system was “created” to}

collect, encrypt and transmit back up lists of usernames/passwords to systems.

 _{Confidential material related to SecurID technology was}

FTPed to a remote site.

Ransomware - trojan attack 2012-03

Den digitala kapprustningen



A, B och C finns, nu är det dags för D vapen!

 Internet kommer att spela en avgörande roll för krig i framtiden i syfte att lamslå

datornätverk och infrastruktur



NSA:s och GCHQ:s massövervakning är bara början

 Dokument från Edward Snowden visar att underrättelsetjänster beväpnar sig för

framtida digitala krig

 Sverige ska enligt en artikel (2015-03-18) i DN skaffa sig liknande kapacitet 

http://www.dn.se/nyheter/sverige/ministern-vi-ska-kunna-genomfora-egna-cyberattacker/

Flame / sKyWIper – Worm / rootkit / trojan

 _{Wiki: http://en.wikipedia.org/wiki/Flame_(malware)}

2015 – 1 TeraFlop drar 10W

2000 – 1 TeraFlop behövde 10 000 CPU:er som drog 1 MW

2013 – 25 GPU (grafik) kort med 2-3 TeraFlop var. Klustrade tillsammans via mjukvara som Virtual OpenCL kan de göra omkring 350 miljarder

gissningar/sekund. De knäcker ett standardlösenord på 6h

2015 – GPU kort har nu 6 - 8 TeraFlop

ICS och SCADA system

SCADA (Supervisory Control and Data Acquisition) är inte en specifik teknik utan en typ av applikation. Alla applikationer som samlar in data om ett system för att kontrollera systemet är en SCADA applikation

Många gamla ICS (Industrial Control System) ansluts nu till internet...

The internet of things

Cyberhot realtidskartor

http://cybermap.kaspersky.com/ http://worldmap3.f-secure.com/

WiFi drönare

Parrot AR.Drone 2.0 GPS Edition Quadricopter - Record HD Movies

- Return Home Mode - €300

Network attacks/id-collect/surveillance - Ukraine Maidan protests - SMS

- Hong Kong umbrella protests

NSA - Edward Snowden

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

 Filmen: Citizenfour (2014)

 ES warns about loss of privacy in Christmas message



http://www.theguardian.com/world/video/2013/dec/25/edward-snowden-christmas-message-video

 ES Hong Kong interview part 1 and 2



http://www.theguardian.com/world/video/2013/jun/09/nsa-whistleblower-edward-snowden-interview-video





Lär dig så mycket som möjligt om hur attacker fungerar, hur

man kan begränsa konsekvenser och skydda sig emot dem

Tänk ”säkerhet” vid hantering av digitala enheter och mjukvara

 Använd starka lösenord (> 12 tecken), inte “12345678”, “password” etc.

 _{https://www.google.se/search?q=286755fad04869ca523320acce0dc6a4}

 Kryptera lagringsmedia (speciellt på bärbara enheter)

 Låt operativsystemets uppdateringar få köra och gå igenom direkt  Använd ett AV (antivirusprogram) och en personlig brandvägg  Använd inte trådlösa nätverk (WLAN) med dålig säkerhet

(okrypterat/WEP). WPA / WPA2 är OK om lösenordet är starkt

 Använd en lösenordshanterare som KeePass (plattformsoberoende)  Använd uppdateringsverktyg för trejdeparts mjukvara

 Secunia Personal Software Inspector (PSI)



Tillämpa säkerhetsprinciper för digital information, e-tjänster,

sociala medier etc.

 _{Var inte “för social” (delge för mycket information om dig själv)}

 _{Förstör känslig data och hårdvara som ej ska användas längre ordentligt}  Övervaka finansiell status och kontotransaktioner

 Skydda känslig information som tex. din hälsostatus  Lägg upp en “Google Alert” bevakning på dig själv

 https://www.google.se/alerts

 Aktivera två-stegs verifiering av dina användarkonton

 https://www.google.com/landing/2step/



Handhållna enheter specifikt

 Allt som gäller för vanliga datorer gäller i princip även handhållna enheter!  Notera omdömen om appar ifrån andra användare innan installation

Boktips (2013) 2 ed.



Short, cheap intro to pen-test



Well reviewed book with hands on

examples, ISBN-10: 0124116442



Uses Kali Linux tools



I kursen kan man behöva använda en eller flera virtuella maskiner



En virtuell maskin är en emulation av ett datasystem



Via en programvara som körs i en fysisk maskin kan mjukvara och

hårdvara emuleras



Det finns färdiga maskiner ("virtual appliance”) att ladda hem som

tex. Kali Linux



Skapa egna genom att ladda ner OS via DreamSpark Premium

 Se nyhet i fronter för länk



Hämta VMware Workstation Player (Windows och Linux) från:

https://www.vmware.com/ > Downloads > Workstation Player

VirtualBox från: https://www.virtualbox.org/

 _{DN granskar: Det sårbara digitala samhället}

 _{http://www.dn.se/stories/dn-granskar-det-sarbara-digitala-samhallet/}

 Brottsförebyggande rådets prel. statistik för 2014 visar att

datorbedrägerier ökar kraftigt



http://www.bra.se/bra/nytt-fran-bra/arkiv/nyheter/2015-01-15-anmalda-brott-2014---preliminar-statistik.html

 Säkerhetsexperten Mikko Hypponen, F-Secure



http://www.npr.org/2014/01/31/265386281/why-should-you-be-worried-about-nsa-surveillance

 _{R.I.P. Internet: https://www.youtube.com/watch?v=u93kdtAUn7g}

 _{Encryption Works: How to Protect Your Privacy in the Age of NSA}

Surveillance

 https://freedom.press/encryption-works

 _{The “Equation Group” is probably the most sophisticated computer attack}

group in the world, with almost superhuman technical skills and unlimited resources



http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/