Introduktion till säkerhet Grundläggande begrepp

Transkript

1 Introduktion till säkerhet Grundläggande begrepp Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

2 Förändringar Två ytterliga riskanalysmetoder har lagts till. Skapar överlapp med kurserna TDDD17 och TDDC90. 2

3 Dagens föreläsning Idag kommer vi att gå igenom en del inledande definitioner. Vi måste ha ett gemensamt vokabulär som vi använder när vi diskuterar säkerhet. Samtidigt ska ni börja bli security aware, genom att bygga upp en förståelse för säkerhet. Dagens föreläsning har två mål: Börja plantera security awareness. Ge er definitioner för koncept vi använder inom säkerhet. 3

4 4 Första sidan av BBC News Tech den 22:a januari 2014.

5 5 Första sidan av BBC News Tech den 14:e januari 2015.

6 14:e januari 2015 There should be no means of communication which we cannot read 6

7 Credit card details on 20 million South Koreans stolen BBC 20:th of January 2014 Korea Credit Bureau Beräknar kreditvärdighet. Korea Credit Bureau Har tillgång till databaser som drivs av tre stora kreditkortsfirmor i Sydkorea. En IT-konsult som arbetar för Korea Credit Bureau kunde ladda ner all data till en USB sticka. Namn, personnummer, kreditkort blev kopierade för 20 miljoner Sydkoreaner. Det var lätt att stjäla data eftersom det inte var krypterat, och företagen visste inte om attacken innan de blev kontaktade av myndigheterna. Det bor 50 miljoner personer i Sydkorea, 40% blev påverkade av denna attack. 7

8 Andra kända attacker 77 miljoner PlayStation Network konton hackade; Sony ska ha förlorat miljoner (USD) medan deras webbsida var nere i över en månad. 12 miljoner konton hade icke-krypterade kreditkortsnummer. 134 miljoner kreditkort blev exponerade via en SQL injection som ledde till installation av spyware på Heartland's datasystem. I juni MasterCard tillkännagav att upp mot 40 miljoner kreditkort riskerade att få sin data stulen och 200,000 hade definitivt redan stulits en trojan hos ett företag som behandlade kreditkort gjorde detta möjligt. 8

9 Andra kända attacker HM Revenue & Customs I november 2007 tillkännagavs det att två diskar med personlig information om 25 miljoner Brittiska medborgare - alla Brittiska familjer med barn under 16 år hade försvunnit med posten. Detta inkluderade familjens namn, adress, personnummer, och i vissa fall även bankinformation. Diskarna hade skickats med bud via HMRCs interna post, och först försökte man anklaga en medarbetare för att inte följt policy. Medarbetaren argumenterade att sådana försändelser var väldigt vanligt, och snart därefter upptäcktes att så var fallet då flera försändelser hittades. 9

10 Informationssäkerhet Informationssäkerhet är ett väldigt omdebatterat och aktuellt område. För tillfället verkar det inte som att IT bromsar in, tvärt om. IT tar över många delar av vår vardag (smart-phones, smart-homes). När system växer ökar också risken för sårbarheter, och nödvändigheten för säkerhet. På ett företag eller organisation finns ofta säkerhetsansvariga, de ansvarar för att företagets resurser är väl skyddade och anpassar system efter nya riktlinjer, lagar, hot etc. Denna kurs är en introduktion till informationssäkerhet, men man kan lära sig mer från både TDDD17 (information security) och TDDC90 (software security). 10

11 11

12 Confidentiality Integrity - Availability Förkortas oftast CIA och används flitigt i litteraturen. Confidentiality = Sekretess Integrity = Integritet Availability = Tillgänglighet Vi tittar i detalj på dessa tre, de är hörnstenarna i säkerhet, och man skall alltid ha dessa i åtanke när man arbetar med säkert (och skriver tentor i ämnet). 12

13 Confidentiality - Sekretess Sekretess - Att hålla någon information eller resurs hemlig. Att något är hemligt innebär inte att ingen har tillgång till det, men att tillgången är begränsad. Det behövs något sätt att tillåta tillgång och avgöra om någon har tillgång. Militär strategisk information. Personal register. Företagshemligheter. 13

14 Confidentiality - Sekretess Sekretess kan också appliceras på kunskapen om att någon information eller resurs existerar. Att känna till att något existerar kan vara lika hemligt som att känna till detaljerna. Brottsregister. Information om att någon har skadat någon annan. Att intrång har skett hos någon man litade på. Att ett företag hyrde någon typ av maskin eller tjänst. 14

15 Integrity - Integritet Integritet Att informationen eller resursen är tillförlitlig. Data integritet Att informationen eller resursen inte har ändrats på ett otillåtet sätt. Data ursprung Att informationen eller resursen kommer från någon som man litar på. Integritet handlar alltså både om att informationen eller resursen skall vara korrekt och vår tillit till den. 15

16 Integrity - Integritet Integritet påverkas av flera faktorer: Från vem kom informationen eller resursen? Hur väl skyddades informationen eller resursen under transport? Hur väl skyddas informationen eller resursen på den plats där den nu befinner sig? Ett brev skrivs och stoppas i ett kuvert. Brevet läggs i postlådan. Postlådan töms. Posten sorteras. Posten transporteras. Posten delas ut. Mottagaren litar på att innehållet faktiskt kommer från den som skrev brevet, och att ingenstans på vägen har det ändrats eller bytts ut. Man har tillit till hela kedjan. 16

17 Availability - Tillgänglighet Tillgänglighet Möjligheten att kunna använda informationen eller resursen. Information och resurser måste vara tillgängliga när de behövs utan för stora dröjsmål. Systemet måste skyddas mot attacker som försöker ta bort möjligheten att nå information eller resurser. Denial of Service attacks (DoS). 17

18 Availability - Tillgänglighet System som är alldeles för restriktiva går inte att använda, men system som är för tillåtande kan gå ner p.g.a. attacker. Det är en avvägning hur tillgänglig man gör informationen eller en resurs. Säkerheten på en flygplats. Kopiatorrum på arbetsplats. Inloggning på mejlkonto. 18

19 Summering Avklarat: Confidentiality Integrity Availability Nästa steg: Threat/Hot Attack 19

20 Threat/Hot Threat/Hot Något som potentiellt skulle kunna bryta mot önskad säkerhet. Brottet mot säkerheten behöver inte realiseras för att det ska vara ett hot, utan bara att möjligheten till brottet finns gör att det är ett hot. Om endast anställda ska ha tillgång till kopiatorrummet så finns det ett hot att någon som inte är anställd får tillgång till kopiatorrummet. Eftersom ett hot definierar ett potentiellt brott mot säkerheten så måste man skydda sig mot de handlingar som skulle kunna leda till att hotet realiseras. 20

21 Attack Attack Medvetna handlingar som försöker bryta mot säkerheten, dvs ett försök att realisera ett hot. Någon som inte är anställd försöker ta sig in i kopiatorrummet. Det finns många exempel på attacker, så som: Denial of service Snooping Man-in-the-middle Spoofing 21

22 Några typer av attacker Curious attackers Automatiska Ideological attacker attackers Worms och virus Denial of service Brute force testning av lösenord Riktar sig mot low-hanging fruit Väldigt vanliga Du har antagligen blivit attackerad av dessa även om du inte vet om det. Riktade attacker Riktade mot specifika mål Ovanliga Some attackers For-profit attackers Corporate attackers Insiders Terrorists Nation states 22 The type of attacker we deal with affects the risk analysis as well. The motivation, risk adverseness, capabilities, patience of attackers affect how likely they are to be successful, and what the

23 Nyfikna Vem attackerar? Datorer var nya, man ville testa gränser. Attacker av ideologiska skäl Förstöra med politisk agenda. Attacker av vinst skäl Tjäna pengar på att knäcka system. Riktar sig mot system som är av värde för en själv eller arbetsgivare. Företag, terrorister och nationer Exotiska, extremt mycket resurser. Antagligen märks de inte. Konsekvenserna kan vara enorma, lyckligtvis väldigt ovanliga. Vem som attackerar påverkar riskanalysen Att skydda sig mot automatiska attacker är billigt och lätt. Att skydda sig mot nationer är dyrt och svårt. De som attackerar skiljer sig åt vad gäller: motivation, resurser, tålamod, etc. 23

24 Bryta sig in i system Stjäla information Manipulera information Använda resurser Varför attackera? Ta kontroll över system Genomföra nya attacker Manipulera system Minska tillgängligheten till en tjänst (DoS) Utpressning Ge dåligt rykte Göra det möjligt för andra attacker 24

25 Summering Avklarat: Threat Attack Nästa steg: Policy Mekanism Säkert system 25

26 Policy and Mechanism Policy och Mekanism Säkerhetspolicy Definierar vad som är tillåtet, och vad som inte är tillåtet. Endast anställda ska ha tillgång till kopiatorrummet. Delar in ett system i vad som är säkert och vad som inte är säkert. Säkra tillstånd är tillåtna och osäkra tillstånd är inte tillåtna. 26

27 Policy and Mechanism Policy och Mekanism Säkerhetsmekanism En metod, verktyg eller procedur som upprätthåller en policy. En nyckel måste användas för att komma in i kopiatorrummet, och endast anställda får ha en sådan nyckel. Behöver inte vara av teknisk natur (brandvägg, nycklar, etc.) utan kan också vara riktlinjer, regler, lagar. En anställd får aldrig lämna ut sin nyckel till någon annan person. En anställd får aldrig göra en kopia av sin nyckel. 27

28 Säkert system Vi säger att ett system är säkert om: policyn är fullständig, entydig och korrekt. mekanismen tillåter aldrig systemet nå ett osäkert tillstånd. Om något av dessa två antaganden inte stämmer, så är systemet osäkert. Alla system är osäkra, det finns ingen möjlighet att realisera dessa två antaganden. Man måste göra avväganden för vilken nivå och typ av säkerhet man behöver. 28

29 Säkert system Att avgöra vilken nivå och typ av säkerhet som behövs är en grundsten inom säkerhetsarbetet. Säkerhet förlitar sig på antaganden man gjort specifikt till typen av säkerhet: Om det finns ett fönster in till kopiatorrummet, är det verkligen nödvändigt att det skall vara skottsäkert? Om fönstret går att öppna är det rimligt att ha som policy att det inte får stå öppet om inte det finns en anställd i rummet? 29

30 Säkra mekanismer och system Låt P vara mängden av alla tillstånd i systemet S. Låt Q vara mängden av alla säkra tillstånd (definierat av policy). Låt R vara mängden av tillstånd som mekanismen M tillåter. Idealet vore om unionen av alla mekanismer i ett system skapade en exakt mekanism (R = Q). Men i praktiken är alla mekanismer breda: de tillåter att systemet går in i osäkra tillstånd. M är säker (secure) om R Q M är exakt (precise) om R = Q M är bred (broad) om R Q Säker Exakt Bred Säkra tillstånd Q Tillstånd R som kan nås enligt M 30

31 Summering Avklarat: Policy Mekanisk Säkert system Nästa steg: Tillit Utmaningar Cost-benefit Riskanalys Det största hotet mot säkerheten 31

32 Trust/Assurance Tillit/Försäkran Tillit till att en mekanism fungerar kan vi inte mäta. Försäkran är ett sätt att öka tilliten till en mekanism. När vi skapar mekanismer så följer vi tre steg med avseende att öka försäkran. Att följa dessa tre steg garanterar inte att vi kan lita på mekanismen, men det ökar vår försäkran jämfört mot en mekanism som inte genomfört dessa tre steg. Specifikation Ett uttryck för hur mekanismen ska fungera. Detta kan vara matematiska uttryck, logiska uttryck eller på naturligt språk. Design Specifikationen delas upp i de komponenter som behövs för att uppfylla specifikationen. Implementation Från designen så implementeras ett system. Detta inkluderar tester som ser till att implementationen fungerar korrekt. 32

33 Utmaningar Vid införandet av en policy och en mekanism måste man väga fördelarna av skyddet mot kostnaden av design, implementation och användandet av mekanismen. Risken man utsätts för om hotet förverkligas måste vägas mot sannolikheten av att det händer. Samtidigt måste man ta hänsyn till att mekanismer måste accepteras av lagar och samhället i stort. 33

34 Utmaningar Policy: Endast anställda får ha tillgång till kopiatorrummet. Mekanism: Alla anställda har var sin nyckel till kopiatorrummet. Mekanism: Fönstret in till kopiatorrummet ska vara av skottsäkert glas. Mekanism: Alla som kommer in på avdelningen måste genomgå visitering av säkerhetspersonal för att motverka att någon tar med sig vapen in som kan användas för att ta sig in i kopiatorrummet. En mekanism kan vara onödigt dyr, olaglig, och inte accepterad av samhället i stort. Men för att skydda en flygplats är dessa mekanismer lagliga, accepterade och värdefulla. 34

35 Utmaningar Cost-Benefit analysis Om informationen eller resursen som man försöker skydda är värd mindre än skyddet, så är det inte kostnadseffektivt att skydda informationen eller resursen, eftersom den kan återskapas billigare än kostnaden för skyddet. Skrivare kostar inte så mycket att man behöver skottsäkert glas. Ett lås på dörren är billigare än skrivaren. I vissa fall kanske det till och med inte är värt kostnaden av ett lås, och då kan skrivaren stå i ett publikt rum, utan någon säkerhet. 35

36 Riskanalys Riskanalys En bedömning av vad som skall skyddas och till vilken utsträckning. Analys av hot, konsekvenserna av dessa och sannolikheten att de inträffar. Hot med liten sannolikhet, men med stora konsekvenser är oftast viktigare att skydda sig mot än hot med hög sannolikhet med liten konsekvens. Ämnet för nästa föreläsning. 36

37 Det största hotet mot säkerhet - Människan Organisationen Det kan vara svårt att motivera varför man behöver ett skydd eftersom skyddet inte ger direkt värde, utan skyddar annat som har värde. Det finns begränsat med resurser, och de resurser man lägger på säkerhet måste tas ifrån någon annanstans. Det kräver kompetens, inte bara av de som implementerar skyddet men av de som ska sköta det och använda det. 37

38 Det största hotet mot säkerhet - Människan Personer Det största hotet kommer från individer. Givetvis från utomstående som försöker attackera systemet, men ofta (och mer allvarligt) från individer inifrån: En anställd lånar ut sin nyckel till kopiatorrummet. Det spelar inte längre någon roll om vi har skottsäkert glas, visiterar folk när de kommer in eller låter fönstret vara stäng. Andra typer av problem uppstår genom att man har mekanismer som inte individen vet hur man skall använda, eller struntar i att använda. Det kan finnas avsiktliga och oavsiktliga misstag vid implementationen av en mekanism (introduktion av back doors). Social engineering. 38

39