Datasikkerhet Flashcards
Hva er datasikkerhet? hva er datakriminalitet Hvorfor er datakriminalitet lett? Bruce schneiers punkter Typer hacking Triks i social engineering
datasikkerhet
Et fagfelt der man har som formål å forhindre trussler mot et IT-system. Eksempler på ting man kan betegne som trussler, er:
skadevare, avlyttning, hærverk, uautorisert tilgang til data og instillinger.
datakriminalitet
straffbare handlinger som begås ved hjelp av
informasjonsteknologi
Bruce schneiers hovedpunkter automation, action at a distance, technique propagation avstand automatisering teknologisk spredning lett å akjule spor møter aldri offeret
vertkøy for datakriminalitet
metasploit
kali
cyberwarfare hackitivism cyberterrorisme cyberstalking open disclosure
hvorfor fungerer social engineering psykologi autoriteter seksualdrift økonomi og grådighet frykt og krisesituasjoner nysgerrighet tillitt - reverse social engineering informasjon
Punkter om hvorfor det er sikkerhetshull i programmer
Hva kan bruker gjøre med disse punktene
sikkerhet og dusører
Hvordan går det galt
en itkomponent er bygget sammen av flere komponenter.
Hvis man kjenner til svakhet i en komponent, kan man få adgang til flere produkter som bruker
samme komponent
eller så kan det være at flere bruker samme produkt.
Så når svakheten i produktet er kjent, kan man ta seg inn hos mange folk
ingen lang fagtradisjon
det er ikke satte normer og prosedyrer for så mange ting.
Så feil går om og om igjen, selv om de geilene er godt dokumentert.
å skjule feilen er bedre enn å avsløre den
Det kan hende at selskaper dysser ned ingo om at det er et sikkerhetshull,
fordi det å komme ut med informasjonen ville gitt et sp dårlig
omdømme at økonomisk så er det bedre st bedriften ikke yttaler seg om det.
Frks kan avsløringen føre til at kunder behynner å kjøpe et snnet produkt istede.
sikkerhet nedprioriteres
Innen it er det ikke alltid at selskaper som har hatt sikkerhetshull
straffes slik som andre markeder.
Det kan tenkes at produktene er så komplekse at bedriftene ikke kan ta noe særlig skyld.
Så feks itselskaper får ikke like hyppig blter eller andre straffer
som andre markeder. feks hvis en bedrift begår byggefeil eller at arbeider ses på som
å ha uforsvarlig lite beskyttelse, kan bedriften straffes med harde bøter.
kompleksitet
Det kan nesten være umulig å tenke på alle mulige måter det kan være
et sikkerhetshull i et produkt, detimot trenger hacker bare å finne et eneste
hull for så å utnytte det. Det er også slik at det ikke bare skal være sikkert
i hver komponent av produktet, men hvordan komponentene jobber sammen
skal også være sikkert
stillingskrig
Etter at et hull er kjent, tar det tid å utvikle løsninger.
Så mellom da hullet er oppdaget og til det er lukket, finnes det ikke noen
gode mottiltak.
gammel teknologi som ikke lar seg endre
Det kan være at produkter er laget for noen i starten,
men så etterhvert så utvikler produkter seg til å bli mer
Det er altså ikke laget fra starten av med sikkerhet
mot det det uvikler seg til p bli.
Frks var ikke internettbrowsere utviklet med tanke på
at man kunne ha adgang til nettbanken.
Det var heller ikke tenkt at personer skulle komme til å
sende forfalskede emailer.
Andre hensyn
det kan være at produktet med vilje lages med dårligere sikkerhet enn
det egentlig kunne ha hatt, fordi det er et ønske om å kunne overvåke
i situasjoner det dette er legitimt.
hva bruker kan gjøre:
anta at den infoen de har på nett er offentlig, og derfor ikke lagre stort der.
slutte å bruke et produkt hvis det er sikkerhetsbrist, slik at konsekvensene for hull er større for produsent.
holde seg oppdatert på sikkerhetstrussler
ha unike passord
bregrense mengden tjenester man er registrert hos.
firmaer betaler mer til dusører for å oppdage sikkerhetshull
konkurranser med pengepremier for å finne sikkerhetshull
leverandører og tredjepartstjenester krever mer om sikkerhet i produkter
utviklere får rettningalinjer for hvordan produkter skal itvikles
Hvorfor er epost usikkert?
hvorfor er epost usikkert? SMTP
email er et stort system, med mange parter som bruker det.
Det ville vært vanskelig å få med alle parter på å omorganisere sine systemer.
Det er begrenset med autentisering som er mulig.
I nettbanken har man rks en oassirdkalkid, men hvem med email skulle tatt
på seg ansvaret for å sende ut slike npr det kommer til email
mail spoofing - forfalske email
mx lookup online for å finne ip
dette kan brukes i kali for å sende falske eposter
skjekkliste for epost:
vær spektisk til epost med innhold eller skivemåte enn personen normalt bruker
se etter et svar-til-felt
verifiser meistenkelig info med avsender
ansenepost som et sketchy system. Vør like oppfordret som du ville vært på en tilfeldig nettside.
Hva er klassisk svindel
klassisk svindel
spiller på enkle paykologiske triks “de u har en dld arving som har etterlatt penger”
Inneholder ofte flere eposter med steps, der avsender vil bli tilsendt penger
Hva er phising
phising
svindelforsøk der man prøver å få person til å oppgi info som brukernavn, passord, betalingskort osv
phishing skjekkliste
ikke klikk oå lenker i epost, gå heller til sidens side manuelt
ingen seriøs aktør ber deg oppgi ingo via epost
hvis du msitenker svindel, bytt oassord alle steder der det er brukt
benytt egne eposter til kritiske tjenester. da kan phising forsøket avsløres ved at de blir sendt til feil adresse
hva er skadevare
hvorfan spres de via epost
hvordan kan det unngås
skadevare
programmer som bruker ikke vil ha på maskin.
De kan:
Bruke ram på maskinen til bruk for en annen
Lese igjennom filer på datarn
Lese ting som tastetrykk og info man gir til sider
kan spres på epost ved at:
det er et sikkerhetshull i epost som automatisk nedlaster programmet når man klikker på eposten
programmet frister for en eller annen grunn
skadevare kan ungås ved:
vær kritisk til filer
ha oppdatert brannmur
Hvorfan vet svindlere eposten din
Hva kan de spore ved at man klikker link eller åpner epost
Hvordan kan epostn sikkres
Hvordan kan hacker lese epost når den sendes?
Hva er de to måtene eposter kan krypteres på?
Hvordan vet svindlere om eposten din?
De har lister.
eposten dein kan være oppført ved at den
er på en offentlig side
svundler genererer tilfeldige eposter der en av dem er din
du svarer på søppelepost, eller en epost generelt fra svindler
sporing av epost det er en lenke i eposten siden tsr opp ting som: hvilken ip-adresse som etterspurte den når det skjedde sted
det kan også være et bilde i eposten som hentes på nett fra siden.
da trenger bruker simpelt å åpne eposten
kan sikkres ved å:
ha bildevisning avskurdd
ikke vis bilder i epost hvis du ikke er sikker på om det er trygt
ikke klikk på oenker i epost du er usikker på
Lese epost
når man sender epost, går den igjennom flere servere.
den kan hende at hacker har knekket en av disse serverene, eller satt opp sin egen,
slik at eposten blir sendt til hackeren i tillegg til den den orginalt skulle til
datamaskin kan også ha dkadevare som leser det man sender
kryptering av epost kan skje:
ende til ende - her må avsender og mottaker være enig om krypteringform og krypteringsnøkkrl
delstrekninger
i dag er det stadig mer kryptering av eposyer
Hva er pharming
Hvordan kan en side hackes?
Hvordan tyde om en side er falsk
pharming
at man skriver inn en nettadreasse riktig men fortsatt havner feil.
kan skje ved at:
hacker har klart å plassere kode på det orginale nettstedet
PCen kontakter feil DNS server på grunn av noe hacker har gjort
Hvordan hackes eksisterende sider?
Man bruker inputfeltet
får tilgang til webserver eller publiseingssystemer
flask side ved: feilstavet domene - typo pirates feil tld spesialtegn og spesialiteter koetadresser omdirigering
Punkter for å lage et godt passord
Hvorfor ikke få epost hacket
gode passord
unngå passord med oersonlig informasjon
unngå lage vanelige passird - aka basert på ting du ser, tastaturmønstre. Lister med slike passird finnes alt på nett
unngå ordliste passord. hackere kan skrape igjennom ordlister og kombinere irdene med ting som å reversere ordene, bytte ut bokstaver med spesialtegn og tall osv. de skraper igså vokabular fra filmer.
unngå korte passord - hackere har en brute-force metode der tilfeldige tall, bokstaver og tegn blir kombinert. Disse kombinasjonene starter korte og enkle, så blir de mer komplekse etterhvert.
beute force kan også kombineres med ordliste angrep
Lage gode passird
Bruke passird generator - men kan være svindel og vansklig å huske
Baser oassird oå en lang setning, der du legger inn soesialtegn og tall og caps
Ha forskjellige passord på forskjellige steder, kan også hjelpe med forskjellige emails
Bytt passorder jevnlig
verktøy for å knekke passord:
freewordexcel.com
Ikke få epost havket.
Når eposten er havket, kan rn avslutte trafikken på eposten.
sikkerhet og kontrollspm
sikkerhet og to-faktor autentisiteting
Kontrollspm - eks hva er navnet på ljøledyret ditt
svaret på kontrollspm kan lett finnes op sosiale medier
to-faktor autentisering
I tillegg til å må ha passord, må man også ha noe fysisk. Kanskje sms til tlf, kodebrikke, osv
Hva gjør hackere med hackede kontoer?
Passiv bruk - de har den lageet, så selfer de den videre til andre
Aktiv bruk - hacker utgir seg for p vøre deg ved så sende falske messages osv, for å svindle dine kontakter, for denne vruk er soesielt inaktive kontoer attraktive
Hvordan kan hacker få tilgang til filer på pc
Hvordan kan man unngå det
Fysisk tilgang:
tilgsng til oc:
Plukke ut harddisk, da ungpr en autentisering
Bruke cd som er spesialaget for p knekke autentiseringen
Maskinvare
Man kan bruke spesiallaget minnepenn som plukker opp tastaturtrykl, noen slik kan også sende info over nett
podslurping
skjult kopiering av filer til portabelt medie (eks usb)
programvare - hackere kan få spesiell tilgsng til programvaren ved å gjøre ting i visse rekkefølger eller bruke soesialtegn. det er derfor vtiktgi med å alltid oppdatere programmet
avinstaller programmer som ikke brukes
ha færrest applikasjoner installert
fjernstyring - lar en bruke en maskin fra et annet sted, eller hjelpe en med maskinen. Vil vise et vindu av een aktuelle maskinen på maskinen man fjernstyrer fra. - men dette lar hackere få tilgsng til filer fra andre siden av jordkloden
kryptering av: maskinvare operaticsystem krypteringsprogramvare applikasjoner
Kryptering av:
maskinvare - så lenge man ikke bruker maskinen, er ting op den kryptert
operqtivsystemet - enkeltmaooer kan krypteres, vil bare kunne nås når bruker er innlogget
krypteringsprogramvare - tror det er spnn at dataene er kryptert på en disk, så npr man logger inn på operativsystemet vil diskenndekrypteres - altså de krypterte filene finnes bare på disken
applikasjoner - npr man åpner en viss fil vil det bli spurt om et oassord - eks word
Hvorfor kan ikke sletting av data føre til at dataen blir borte?
Hva kan man gjøre for å slette dataene helt?
Sletting av data
Når man sletter data fra endten disken eller en usb eller en harddrive, blir ikke tingene helt slettet.
Når man lagrer data blir forskjellige ting om dataen ført unn i en tabell, der også posisjonen til det lagrede føres inn. Når man sletter data, sier man egentlig bare at dataen skal kunnenoverskrives når det er det absolutt ikke er plass til mer lagring.
For å slette data helt kan man endten ødelegge det som lagrer dataen (eks borre inn i minnepenn), eller bruke disk wipe, som oversikrver posisjonene til dataene.
Hva metadata forteller om fil
hva exif data forteller om fil
metadata
I filer vil metadata være oppgitt, som npr filen ble laget, lagringsposisjon osv.
I microsoft oroduktet hsr man også endringslogg som lagret i fila.
exif-data
excangeble image file format
Kan innholde når bilde er tatt.
I nyere kamreaer inneholder det også lokasjon
For å gjerne metadata kan man bruke verktøy, eller ha det slik at metadata endten lagres mindre av eller ikke inkluderes
Hvorfor skutjenester kan være usikkre
tejenesteleverandører sv skytjenester
disse vil i det skjulte lagre info man har der.
Eks vil de scanne filer feks forbå finne ut om de inneholder barneporno.
Men det kan også være andre ting de gjør, derfor er norske bedrifter og etater noe vikent til å bruke det.
Man vet heller ikke om det er enkeltoersoner som jobber hos eks google som kan bruke dataenentil dårlig
tiltang til skytjeneste
skutjenestennkan bli utsatt for dis, eller gå konkurs som gjør at man ikke lengee fpr adgang til filer
brukeren som bruker skytjenestenn kan ha manglende kunnskap eller bli hacket, som gjør at info uheldig kommer ut
mulige mål for cyberterrorister
Sykehus
Kraftverk
Militær/politi
Flytrafikkovervåkning
Eksempler på cyberearfare
Hacking av irans atomkravftverk
Cyberangrep i ukraina
Mål for cyberearfare/cyberterrorister
Mobiltelefoner digital økonomi Strømforsyning Helse IoT Selvgående biler Ting blir stadig mer koblet til hverandre og digitalisert, eks tuing som at man skal kunne åpne døren og lysene osv digitalt.
Hva gjlr hacking spesielt/Hvirfor er det lettere en tyveri?
Pitensielle hackere
Hvorfor er det vansklig å utvikle datasikkrr programmer
Hva ghør hacking spesielt?
Lett å skjule spor
Lett å lage falske spor
Lite unnskap hos offret
Møter aldri offret
Ingen har dårlig samvittighet
potensielle hackere Ensidig fokus på preventiv sikkerhet Hva med deteksjon og skadesanerin Sikkerhet ovenfra De som ser deg over skuldrea eksen hackere utenfra overornede itdrift atombombe angrep sjefen deg selv
sikkerht hvor lenge?
eks: kryptografi
Vanskelig med å utvikle programmer
Brukere vil ikke ha sikkerhet - de vil ikke ha med ekstra kostnader i programmet
en dialogboks kan være irriterende for brukere. - Folk trykker også bare “ja” automatisk
Folk flest5 har en lav sikkerhets kunnskap, og vet lite om hvborfor sikkerhetstiltak er nødvendige
Ting er et pes, at man må låse opp program, taste inn kode
Stadig mer info ligger online
tap * sannsynelighet < kostnadent il mottiltak
hackere:
fortjeneste * sannsyneligheten for suksess > kostnaden ved å utføre
Er ikke sikkerhetstiltak lønnsomt, gjøres det ikke
Eks koster det 1mill å gjøre et tiltak, og 200k hvis hullet blir utnyttet,
så er det beste økonomiske valget å ikke gjøre tiltaket
Hacker tenker derimot hvor mye tid vil noe ta i forhold til gevinst hvis man lykes
Sikkerhetstiltak kan man hindre at noe dårlig skjer, men man får ikke noe bra ut av det
Det er ikke noen tradisjon for at det skal væøre erstatning fra
programmer som feiler.
Eks hvis hull i windows fører til tap, er det ikke slik at man
ofte stiller erstatningsfeil til windows, eller bytter til noe annet.
Hvordan kan noen btuke mobilen din til å utføre svindel?
Hvordan kan en få tak i filer på mobilen din?
Hva er bluejacking?
Hva er SMiDhing?
Hva teknikker kan apper bruke for svindel?
Hvilke skader kan slike svindler gjøre?
Hvordan berger man seg mot appsvindler?
Juice-jacking: usb kabel ser ut som lader, mens den lader laster den ned skadevare også
Noen kan stjele mobilenog gjøre øko svindel
Minnekort kan plukkes ut, og settes i en minnekortleser
Noen kjøper mobilen din: Når man sletter data, blir den ikke borte, men heller som med vanlig slett at lagrinsposisjon kan overskrives. Dette gjelder ogsåved factory reset
standarder på mobilnett med kommunikasjon:
GSM (2G), UMTS (3G), WiMAX (4G)
Dette går på wifi. man vil spare g ved å gå på wifi, så hvis man er på samme nettverk, kan man utnytte dette
Bluetooth - bluejacking: å sende uønsket melding via bluetooth.
Dette kan feks være forespørsel om å akseptere et mottak, eks visittkort.
Det kan bli da plassert en kontakt på mobilen med navn “banken” og ha nummer til et social engineering angrep.
parrede eneheter. Her kan man gå tilgsng til ting som bilder, kontakter, filer, kalender osv…
falsk sms - sms gang - sms-phishing/SMiShing
Når en app er instrallert, kan den installere flere ukjente apper.
folk kan bruke et alternative app markedplace’er, som feks kan inneholde kopier av andre apper, men med skadevare
Man kan laste ned en app som ser ut som den vanlige, så oppgi brukerinfo, altså phising
så.
_____________________________
Lese av filer
Sende meldinger, der dette koster en penger
Gi deg abonnomenter i det skjulte
Ødelegge mobilen din ved å eks sende hævevis av meldinger så mobilen går tom for strøm
Få greie på innlogginsinformasjon til forskjellige tjenester
Få tak i bilder og videoer
_____________________________
Les kommentarer til app
Se på antall nedlastninger
Nedlast alltid fra google play eller app store
Vær oppmserksom på ting som bluetooth tilkoblinger eller andre tilkoblinger på steder med delt nett
Hvordan kan folk få tak i informasjon på sosiale medier?
Hvordan kan man unngå å bli svindlet på sosiale medier
Folk kan lage falske profiler der de utgir seg for å være deg
Når man poster, kan det stå når og hvor man poster fra - dette gir info
EXIF
“sjekk ut denne videon, er dette deg?” - så må man logge inn for å se video
falske prifler - profiler som utgir seg for å være andre folk.
Kan vøre at folk later som de er en venn av deg, boe oå vennelisten din, eller utgir seg for å være noen du har møtt før men ikke husker.
Indet øyeblikket man legger dem til, henter de masse info og bilder fra prifilen din, og soammer deg med reklame
stjele bilder for utoressing
klikkapring - lure folk til å like noe.
Kan gjøres ved at et bildes grafikk byttes ut etter at man har klikket like
______________________________
Logg oå tjenesten via tjenestens offisielle nettside
Ha på funksjonalitet som varlser innlogging fra annet sted
Når en profil kontakter deg, reverse search profilbildet.
HTTP get
HTTP post
HTTP response
manuell http
https fordeler ved og ulemper
Get
man sender en forespørsel?
eks når man kobler yil ny side
post
MN gjør endringer oå siden?
eks endrer betalingsskjrma
response
responsen til serveren?
manuell http
kan brukes for å hacke en side.
telnet er en måte
https fordeler og ulemper fordeler: keyptering autentisitering beskytter mot "man in the middle" angrep ser om oartner er den dem sier de er steg: server/klient blir enige og krypteringsalgoritme klienten validerer serverens sertifikat serveren validerer klient (sjeldent) blir enige om krypteringsnøkkel
ulemper: brukeren: bryr seg ikke om ugyldige sertifikater vet ikke hva https er, og kontrollerer det ikke brukerens ansvar å bytte til https gir falsk trygghet: eks mot phising sider hva gjør mottaker med data? sikkerhetshull i egen nettleser er signering av setifikat riktig?
Hvordan sikkre CMS system?
Bakveier inn i CMS systemer
HVorfor er nett sårbart?
Hva er security by obscurity? HVordan relaterer dette til å forsikre kode?
HVordan forsikre kode?
Hva burde man kunne til eksamen av noe av dette?
Oppdatere hyppig
Oppdatere webserver, database, kompilator (ek php, os osv)
Vær ktiisk til plugins og themes
Endre default elementer (kontonavn. plassering/navngivning av admin-panel (typisk wp-admin)
Ikke gi personer for mye tilgang, ha et hierarki
Gjern/endre default brukere (spesielt admin)
Lær opp brukere
Ha både en test og produksjonsside
Vær kritisk til guider på nett
Hackerangrep er ofte verre en de ser ut, eks bakdører (blir man hacket burde man heller wipe alt, og starte på nytt, i ti
llegg være kritisk til backups)
Bakveier til system:
Aller fleste webserverer kan nås via FTP og SSH, FTP sender passord i klartekst
Hvis man kommer inn på FTP og SSH kan man se og modifisere filer
Adminpanelet, eks /wp-admin
Hvorfor er nett sårbart:
Gammel teknologi (teknologi fra en annen tid, vansklig å endre protokoller ettersom internett ikke styres sentralt)
Alt flyttes over web
Mange jhobbyprogrammerere og webbyårer som har liten teknisk og sikkerhets kunnskap
Alle har tilgang og alt er tilgjengelig
Få forstår det som ligger bak et system
Tankegang: “Klarer ikke jeg, klarer ikke andre)
Sikkerhet er en kostnad
Mange kjente angrepsmetoder (XSS, CSRF (Web trojaner), Passordlagring, Filopplastning(ikke pensum), sessionsID) [Owasp la
ger nettside over ting man IHVERTFALL burde ha laget sikkerhet mot]
Alt det en netteser gjør, kan en også gjre selv for eksempel når nettleser håndterer cookies og sessionid, så kan man gå
inn selv å endre på det)
Gjettbare url’er, eks medlemsside gjennom å bare slenge på /member
Brukerspesifik data åpen for alle igjennom å kunne gjette url
IKKE: Security by obscurity: Når noe er kjent hvordan det ikke fungerer, så er det en sikekrhetsmekanisme (man vet ikke h
vordan noe heter, hvordan det er laget)
GJØR HELLER: At noe er kjent hvordan det fungerer, så kan man ha flerer som kan se åp det å være enige om at noe er en br
a sikkerhets tiltak, men som fortsatt fungerer selv om det er kjent
Aldri dupliser kode (da vet man ikke hvordan noe fungerer , så vansklig å oppdatere)
Bruk heller funksjoner som kan brukes mange steder i kode
Isoler funksjonalitet
Skriv enkel og forstålig kode (slik at mange kan se på det, og gjøre code reveiws, ikke lag stilig kul kode, men heller e
nkel og forstålig kode)
Kommenter kode, eller selvforstående kode, eks gode navn på funksjoner og annet
Lær særegenheter i programmerinsspråket
Logge hendelser
ALDRI benytt eksempelkode/biblioteker som man ikke forstår selv
Man skal ikke kunne detaljer, eller eksempelkode
Man skal heller kunne: Hva er probelemet med teknikker, hvorfor er det farlig, hva kan man gjøre for å forhindre det (for
detmeste bruker, men også litt utvikler)
-Sessjoner/Session hijacking - cookies
Manipulasjon av parametere
SQL-injection/Command-injection (ikke teknisk hvordan det gjøres, men prinsippet om inputvalidering)
XSS
CSRF (web-trojaner)
Viktig å forklare med egne ord