Sikkerhed Flashcards
Hvad går sikkerhed basalt ud på i et distribueret system?
At begrænse adgangen til information
Hvad er forskellen på http og https?
https er secure. Et SSL-certificat bruges til at kryptere beskederne frem og tilbage.
Hvad er en webservice?
Et API (F.eks. (Døk-Social), som interagerer med andre systemer (F.eks. en server). Typisk serialiseret gennem JSON eller XML.
API’et sender en forespørgsel om at hente noget data via. https-requests. (GET, POST, PUT, DELETE etc.) via den website, man er inde på.
Serveren svarer med et response i form af den serialisering (JSON, XML), der er implementeret.
Hvad betyder serialisering? (Et andet typisk navn for serialisering er marshalling)
Når vi konverterer et objekt til en tekststreng. Deserialisering er det modsatte.
Serialisering er derfor i Døk-Social, når vi går fra en JavaScript objekt til JSON-format.
Hvad er leakage?
Når en uautoriseret modtager, som ikke er registreret til at modtage beskeden, får fat i denne besked.
Hvad er tampering (at forfalske), og hvordan kan man gardere sig i mod det?
Uautoriseret ændring af data, eksempelvis afstemningssnyd eller kilometertæller i biler.
Hvis det er klientside validering, så kan alle gå ind og omskrive den. Man kan lave mange ting, derfor skal der også valideres på serversiden, så det kan tjekkes om det er realistisk.
Hvad er Vandalism? (Tænk hærværk, DDOS)
Interferens med den rigtige operation af et system. Det kan eksempelvis ske ved oprettelsen af ondsindede programmer, der er designet til at udføre skadelige opgaver såsom sletning ad harddisk data eller udvinding af loginoplysninger. Et typisk DDoS angreb.
Hvad er man in the middle?
Et system, der opsnapper data, vigtig information gennem to enheder.
En måde at gardere sig imod dette er ved kryptering og SSL-certifikater.
Hvad er eavesdropping (aflytning), og hvordan kan man beskytte sig?
Folk lytter typsik samtalen mellem hosts på netværk.
Man kan kryptere sin kommunikation. Secret key eller private public key.
Hvad er masquerade?
Man hopper ind i midten og så agerer man som enten modtageren eller senderen.
Svær at beskytte sig mod, for man skal jo stadig kunne modtage trafikken.
Angrebet bruger en falsk identitet, såsom et netværksidentitet, til at få uautoriseret adgang til personlige computeroplysninger via legitimationsadgang. Hvis en valideringsprocess ikke er fuldt beskyttet, kan det blive ekstremt sårbar over for en maskerade angreb.
Hvad er replaying, og hvordan kan man gardere sig i mod det?
Opsnapper data og sender det afsted igen på et senere tidspunkt.
Sætte lås på, så der eks. Ikke kan købes for samme beløb.
Lave tidsvalidering, og se hvor lang tid en pakke er undervejs. Der er forsinkelser, derfor vil man ikke kunne tage tid på en pakke, der sendes med et halvt sekund. Man kan ikke se, hvor langt tid en pakke er undervejs, men man kan se, hvornår den er sendt.
Hvad er et DoS og DDoS, hvordan kan man undgå det?
Når en angriber sender flere 1000 forespørgsler afsted til en server således, at den går ned. Når det kommer fra flere forskellige IP-adresser, er det er DDoS. Et angreb kommer således fra mange forskellige enheder og forespørger den samme internetadresse.
Man kan sende et DDos-angreb ud i Null-routing, dvs. ingenting, via. en firewall. Her tror angriberne så, at de har lagt deres side ned, men det er blot sendt ud i ingenting.
Bonus info:
Man kan udføre et DoS angreb fra sin terminal:
ab -n 10000 -c 10 -t 30 http://www.henrikthorn.dk/
n = Antal forespørgsler
c = Antal gange
t = antal sekunder
Hvad er social engineering?
Man udgiver sig for at være en anden for at få fat i data.
Social engineering er baseret på interaktion med ofret, der overtales eller stresses til at afgive informationer ved, at afsenderen fremstår så autoritær og troværdig som mulig.
De it-kriminelle sender mails med eksempelvis Skat eller Visa-kort som afsender i håbet om, at ofret vil udlevere sine fortrolige skatteoplysninger eller kreditkortinformationer med henblik på, at den sociale ingeniør kan score en økonomisk gevinst.
Et eksempel er phishing.
Hvad er hashing?
Vi tager en streng, som vi laver en hashet værdi af.
Man kan ikke de-hashe, hvorfor hashing er optimalt ved passwords.
For at gøre hashing endnu mere sikkert, Secure hash, kan man tilføje en salt, som er en ekstra værdi, der tilføjes til den hashede streng.
Hvad er kryptering?
Vi tager en streng, og laver den om til noget uforståeligt, men man har mulighed, hvis man kender krypteringsmetoden at dekryptere strengen. Nyttigt til at udveksle informationer med hinanden på.
