dwdwhnqrorjl rj vlnnhukhw · ± *rg nrpshwdqvh rj ¡nw vlnnhukhw krv wmhqhvwhwloe\ghuqh" ±...
TRANSCRIPT
IN1020 - Introduksjon til datateknologi
Datateknologi og sikkerhet
28.08.2020Autentisitet og autentiseringsmekanismer
Litt om sikkerhetstiltak
Dagens læringsmål
• Forstå sikkerhetsmålet autentisitet, kjenne til de ulike formene for autentisering, samt styrker og svakheter ved ulike autentiseringsfaktorer.
• Vite hva et sikkerhetstiltak er, og forstå sammenhengen mellom sikkerhetsmål og sikkerhetstiltak
• Kjenne til enkelte sikkerhetstiltak på overordnet nivå– Tilgangskontroll
– Sikkerhetstrusler og mulige sikkerhetstiltak i datanettverk
– Sikker lagring av data
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 1
Repetisjon: Informasjonssikkerhet
• Beskytte digital informasjon og verdier.
• Beskytte informasjonsressurser mot skadelige hendelser, både tilsiktet og utilsiktet.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 2
SikkerhetstiltakF.eks. Låser,
kryptering, opplæring
SikkerhetsmålF.eks.
Konfidensialitet, integritet,
tilgjengelighet
Innføres for å oppnå
Repetisjon: Sikkerhetsmål
• Konfidensialitet
• Integritet
• Tilgjengelighet
• Sporbarhet
• Uavviselighet
• Autentisitet
• Personvern
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 3
AUTENTISITET
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 4
Definisjoner
• Identitet: Den eller det noen eller noe er.
• Identifisering: Gi seg til kjenne, etablere eller indikere hvem eller hva noen eller noe er.– Vanligvis ikke hemmelig
– Eks: Navn, brukernavn, IP-adresse, IMEI, MAC-adresse, osv.
• Autentisering: Å bekrefte en hevdet identitet.– Personautentisering
– Autentisering av system/organisasjon (system/organization authentication)
– Autentisering av dataopprinnelse (data-origin authentication/ message authentication)
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 5
Autentisering av dataopprinnelse
At mottager av en melding kan verifisere at en melding/data kommer fra en hevdet sender, og at innhold ikke er blitt endret underveis.
Oppnås gjennom bruk av for eksempel digital signatur.
Minner ikke dette om uavviselighet?
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 6
Autentisering av system/organisasjon
Å verifisere at et datasystem er det det utgir seg for å være.
Å verifisere at en virksomhet/organisasjon er den den utgir seg for å være i en online interaksjon.
Oppnås gjennom bruk av kryptografi.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 7
Personautentisering
Å verifiserer en hevdet identitet for en (lovlig) bruker som ber om tilgang til et system eller et program.
Eks: Logge inn i på UiOs epost-tjenester
– Identifisering: Oppgi brukeridentitet (brukernavn)
– Autentisering: Oppgi passord
Hva er brukernavn?
– Avhenger av system, men: Epost-adresser er navet i din digitale hverdag
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 8
Autentiseringsfaktor(aka «bevismateriale»)
Bevismateriale for identitet deles ofte opp i tre kategorier:
• Noe du vet: Passord, kode
• Noe du har: Kodebrikke, SIM-kort, nøkkel
• Noe du er: Fingeravtrykk, iris-mønster, ansikt
“Always remember the three main authentication factors: what can be easily guessed, what can be left in a cab, and what can be chopped off”
@m8urnett
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 9
Autentiseringsfaktor: Noe du vet
• Passord/-fraser og koder er (fortsatt) den vanligste autentiseringsfaktoren
• Utfordringer?– Lett å glemme, lett å gjette, blir kanskje lagret på disk eller i
minnet på en datamaskin
• Passordhygiene viktig– Styrke: Lengde, sammensetning, bruk av ord og setninger
– Unike passord: Ulike passord for ulike tjenester
Tips: Passordkalkulator https://lastbit.com/pswcalc.asp
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 10
Hvordan knekkes passord? Intelligent søk: Kunnskap om deg?
Brut force: Systematisk gjetting
Utnytte svakheter i datasytemene
Hacket? https://haveibeenpwned.com/28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 11
1. 1234562. Password3. 123456784. qwerty5. 123456. 1234567897. letmein8. 12345679. football10. Iloveyou11. admin12. monkey13. welcome14. login15. abc12316. starwars17. 12312318. dragon19. passw0rd20. master
Autentiseringsfaktor: Noe du har
• Nøkkel til en lås
• Engangspassord - OTP– Kodegenerator, kodekort, minnepinne, mm.
– Noe som genererer engangspassord på bakgrunn av en algoritme (tellerbasert eller klokkebasert)
• SIM-kort
• Kontaktløse brikker (RFID), eks. i nøkkelkort
• Utfordringer?– Lett å miste og dermed enkelt å misbruke
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 12
Autentiseringsfaktor: Noe du er
Eksempler:– Ansiktsgjenkjenning (ID-kort, pass)
– Fingeravtrykk
– Retina/iris scanning
– Signatur (elektronisk eller skriftlig)
– Ganglag
Utfordringer– Unikt nok?
– Sikkert nok? Presentation attacks
– Hvor ressurskrevende er sammenligning
– Behov for ekstra utstyr (sensorer/lesere)
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 13
Eksempel: Ansiktsgjenkjenning
Fordeler:– Universelt
– Lett å måle med et vanlig kamera, evt. 3D
Ulemper:– Forandres ofte (ansiktshår,
sminke, aldring)
– Følsomt for ytre påvirkninger (lys, rotasjon, fokus)
– Enkelt å lure? «Presentation attacks»
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 14
Brukerautentisering: Flerfaktor
Når én autentiseringsfaktor ikke er nok.Passord kan gjettes, objekter kan mistes/stjeles.
To-faktor autentisering– Oftest en kombinasjon av noe du vet og noe du har
– Øker sikkerheten, men gjør autentisering mer tungvint
– Økende antall tjenester tilbyr 2FA
Bruk to-faktor autentisering der det er tilgjengelig!
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 15
Autentiseringsløsninger
Ulike aktører tilbyr elektronisk identitet og autentisering som en tjeneste.
Eksempler:– Weblogin, Feide, Dataporten, Google, Facebook, BankID,
MinID
• Fordeler– God kompetanse og økt sikkerhet hos tjenestetilbyderne?
– Brukerne forholder seg til færre brukeridentiteter/passord
• Ulemper– Knekkes passordet betyr tilgang til flere tjenester
– Vane å logge inn = lett mål for phishing-angrep
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 16
«Å BLI HACKET»?
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 17
vg.no, 14. november 17:
«Nora Mørk (26) har tirsdag gått til flere anmeldelser etter at private bilder ble hacket fra telefonen hennes. Hun vil være nådeløs mot personer som har spredt bildene på nettet.»
Upresist. Så; Hva menes med dette, hvordan kan det skje?
Synkronisering? Er bildene delt? Fra telefonen? Stjålet minnekort?
Les mer her:
https://www.datasikkerhetsboka.no/blogg/2017/11/29/hva-vil-det-si-a-bli-hacket-vil-jeg-kunne-bli-det/
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 18
Hvordan opererer en trusselaktør?
Vanlige angrepsvinkler:• Å tilegne seg urettmessig tilgang til systemer. Utnytte
sårbarhet, benytte skadevare, få tilgang til, forfalske eller slette informasjon.
• Å avlytte eller forfalsker nettverkstrafikk for å få tilgang til eller manipulere informasjon.
• Å skape og utnytte tillitt for å tilegne seg urettmessig tilgang eller gevinst. Lure/svindle.
• Å utilgjengeliggjøre systemer eller tjenester.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 19
SIKKERHETSTILTAK
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 20
Sikkerhetstiltak
Tiltak for å oppnå/ivareta sikkerhetsmål.
Benyttes for å forebygge, å oppdage, eller gjenopprette.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 21
SikkerhetstiltakF.eks. Låser,
kryptering, opplæring
SikkerhetsmålF.eks.
Konfidensialitet, integritet,
tilgjengelighet
Innføres for å oppnå
Kategorier av sikkerhetstiltak
Fysiske tiltakEksempler: Dører, gjerder, lås, overvåkning, tilgangskontroll
Tekniske tiltakEksempler: Tilgangskontroll, kryptografi, autentiseringsmekanisme, sikkerhetskopiering, sikkerhetsoppdatering av programvare, kryptering (kryptografi)
Administrative tiltakEksempler: Retningslinjer (policyer), prosedyrer, opplæring, hendelseshåndtering
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 22
Sikkerhetstiltak for ulike tilstander
Informasjon kan befinne seg i ulike tilstander:– Lagres
– Overføres
– Er i bruk
Ulike tilstander krever ulike sikkerhetstiltak.
Informasjon må beskyttes i alle tilstander!
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 23
Sikkerhetstiltak i ulike faser
• Forebyggende (preventive) tiltak: – Forhindre og avskrekke angrepsforsøk.
• Detekterende (avdekkende) tiltak: – Varsle angrep som forsøkes eller som allerede er skjedd.
• Korrigerende tiltak:– Gjenopprette skade på dataressurser etter angrep.
Det er alltid nødvendig å benytte en kombinasjon av tiltak fra alle tre faser for å opprettholde dekkende beskyttelse.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 24
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 25
Eller: Sikkerhet i alle ledd
• Hvis en inntrenger kommer seg gjennom ett sikkerhetslag, vil du ønske å kunne stoppe dem i det neste. Sørg for:
Fysisk sikring
Sikker lagring
Datamaskiner og IT-systemer uten sårbarheter
Sikre nettverk
Sikker kommunikasjon
Bevisste brukere
TILGANGSKONTROLL
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 26
Autorisering
«Å autorisere er å godkjenne eller gi løyve»snl.no
• Å autorisere er å spesifisere en tilgangs-policy.
• Autorisering er altså ikke teknologi, men policy.
• Eks. på policy: En ansatt i lønnsavdelingen skal ha tilgang til lønnssystemet.
• Dilemma: Betyr det at du har tilgang til en ressurs at du er autorisert?
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 27
Tilgangskontroll(sikkerhetstiltak)
Anta et subjekt vil utføre handling på objekt:
Eksempler:
– Anne vil lese en fil
– Per vil oppdatere kontobalansen på en bankkonto
– En applikasjon vil åpne en nettverksforbindelse
Tilgangskontroll = autentisering + autorisasjon:Tilgangskontroll innebærer å sjekke om et subjekt har tilgang til å utføre den ønskede handlingen på et objekt etter forhåndsdefinerte regler.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 28
Subjekt ObjektBer om tilgang
Hva styrer tilgang?
Ethvert datasystem må ha en tjeneste hvis oppgave er å kontrollerer tilgang fra subjekt til objekt:
– Følger policyen som er satt (feks. av administratorer)
– Tilgang innvilges eller avvises
– Logger hendelser til hendelseslogg (ivaretar sporbarhet).
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 29
SIKKERHET I NETTVERK
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 30
Tradisjonell sikkerhetsmodell: Stoler på endesystemene, nettverket anses upålitelig.
Endesystemer sender og mottar meldinger til og fra nettverket, og nettverket kan levere, slette, endre eller forfalske meldingene.
Metafor: Oppslagstavle som alle kan lese.
Nettverkssikkerhet
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 31
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 32
Nettverkssikkerhet: Sikkerhetstrusler
• Tradisjonelle trusler:– Avlytting: Uvedkommende lytter til nettverkstrafikk og får tak i konfidensiell
informasjon. Passivt angrep.
– Forfalskning: Uvedkommende sender ikke-autentiske meldinger eller later som de er en annen. Aktivt angrep.
– Data modifiseres (Man in the Middle, MitM): Uvedkommende griper inn i kommunikasjonen og modifiserer data. Aktivt angrep.
• Berørte sikkerhetsmål:– Konfidensialitet
– Integritet
– Autentisitet av opphav til data/melding.
• Andre trusler: Eks. tjenestenektangrep, uautorisert bruk
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 33
Nettverkssikkerhet: Konsepter
Nettverkssikkerhet kan dermed sies å bestå av to hovedområder:
– Kommunikasjonssikkerhet: Beskytte data i transporten mellom virksomheter (og endenoder).
– Skallforsvar: Beskytte en virksomhets nettverk mot uautorisert tilgang fra omverdenen.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 34
Kommunikasjonssikkerhet:
Behov for protokoller for sikker nettverkskommunikasjon
Eksempel: En protokoll som heter TLS• Sikkerhet i transportlaget, benyttes bl.a. omfattende for
webtjenester (https).
• Basert på kryptering
Sårbarheter finnes dessverre likevel:– Protokollene er ikke sikrere enn algoritmene de baserer seg på.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 35
Skallforsvar(sikkerhetstiltak)
• Brannmur - førstelinjeforsvar– Avgjør hva som skal slippes inn i og/eller ut fra et lokalt nettverk.
– Fungerer som en slags tilgangskontroll i nettverket
– Implementeres i programvare eller maskinvare (egen hardware laget for akkurat dette formålet)
– Personlig brannmur: Programvare som beskytter maskinen det er installert på.
• Innbruddsdeteksjon (IDS)– Overvåking
– Kan detektere:• Misbruk, både forsøk og suksessfulle innbrudd
• Skadevare (virus, ormer, trojanere)
• Tjenestenektangrep
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 36
Wifi? Trådfast vs trådløs forbindelse
Kommunikasjon i trådløse nett går via radiosignaler:– Radiosignaler følger ikke fysiske grenser, hvilket gir
mulighet for avlytting også utenfor f.eks. en bygning.
– Åpner for uautorisert nettverkstilgang uten fysisk tilgang.
Vanlige sårbarheter– Signalforstyrrelser (tilsiktet eller utilsiktet) kan føre til
utilgjengelighet
– Falske aksesspunkter: En trådløs enhet vil koble seg til aksesspunktet med sterkest signal.
– Kompromitterte aksesspunkter, spesielt åpnenett/aksesspunkter.
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 37
SIKKER LAGRING
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 38
Lagring av informasjon
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 39
Klassifisering av informasjon
Åpeninformasjon
Begrensetinformasjon
Konfidensiell/ sensitiv
informasjon
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 40
Eksempel:UiOs veiledning for dataklassifisering: https://www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/infoklasser.htmlUiOs lagringsguide for informasjon: https://www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/lagringsguide.html
Beskyttelsesbehov
Har all informasjon samme beskyttelsesbehov?
Hvilke sikkerhetstiltak som iverksettes avhenger av beskyttelsesbehovet:
– Kryptering
– Tilgangskontroll
– Skallforsvar
– Sikkerhetskopiering
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 41
Kryptering av data(sikkerhetstiltak)
Kryptering av data bidrar til å sikre konfidensialitet– Data ikke (enkelt) lesbart/tilgjengelig for utenforstående
– Eks: Laptop mistes/stjeles
– Eks: Server/tjener kompromitteres
(Men: Lost decryption key = lost encrypted files…)
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 42
Sikkerhetskopiering(sikkerhetstiltak)
Strategi for å ta vare på informasjon over tid.
Mål: Kunne gjenopprette systemer og data ved uønskede hendelser som endrer eller sletter informasjon.
– Tar vare på ulike versjoner av informasjon.
– Sikkerhetskopien må også sikres: Lagres trygt adskilt fra opprinnelige disker/data.
– Sikkerhetskopi =/= datasynkronisering
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 43
Avhending av data
Utfordring:
Hvordan kvitte seg med fysiske enheter som inneholder data, uten å potensielt lekke data?
28.08.2020 IN1020 - Introduksjon til datateknologi Illustrasjon: colourbox.com 44