Forelesning 12: Applikasjonssikkerhet og GDPR

Transkript

1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 12: Applikasjonssikkerhet og GDPR Spørsmål 1: Cyber Kill Chain a. Hva er «Cyber Kill Chain»? b. Forklar trinnene i Cyber Kill Chain. a. «Cyber Kill Chain» består av trinn som vanligvis er en del av en APT (Advanced persistent Threat). Begrepet "Kill" refererer til det faktum at denne typen angrep kan bli "drept" (stoppet) på et trinn i kjeden, jo tidligere desto bedre selvfølgelig. b. Trinnene i cyber Kill Chain er: - Rekognosering (Reconnaissance): Trusselaktøren samler informasjon om det potensielle offeret, for å finne sårbarheter og muligheter for angrep. - Bevæpning (Weaponisation) Trusselaktøren konstruerer exploit-skadevare basert på f.eks. «zero days», pakket i et egnet format som kan leveres til offeret. Formatet kan f.eks. være et PDF-dokument eller en mediefil. - Overlevering (Delivery): Skadevaren kan f.eks. sendes som vedlegg med en phishing (villedende) epost som har til hensikt å lure mottakeren til å åpne vedlegget eller å installere skadevare. - Utnyttelse (Exploitation): Ved å anta at mottakeren har blitt lurt til å åpne/installere skadevaren, vil exploiten starte å utføre skadel. - Installering( Installation): Den direkte effekten av exploiten er vanligvis å laste ned en bakdør iform av et C&C program fra en ekstern server. Etter dette trinnet har angriperne ekstern tilgang til det infiserte systemet. - Kommando & Styring (Command & Control): Angriperne kan utforske nettverket rundt det infiserte systemet, forplante seg videre til andre systemer, skjule spor, og identifisere ressurser som kan stjeles eller saboteres. - Aksjon/Uthenting (Action/Exfiltration): Data samles inn, klargjøres og sendes ut av nettverket, til servere som kontrolleres av angriperne. Hvis sabotasje er angriperens mål, blir det iverksatt ødeleggende aksjoner. Spørsmål 2: Spredning av nettverksormer Forklar generelt hvordan nettverksormer sprer seg. Ormer sprer seg ved å: 1. Automatisk søke andre systemer å infisere, f.eks. ved å bruke host-tabeller eller lignende kataloger over eksterne systemadresser. 2. Automatisk koble seg til eksterne systemer. 3. Automatisk kopierer seg selv til det eksterne systemet og starte opp kopien av seg selv. 4 Begynn fra 1) igjen. Legg merke til at en nettverksorm sprer seg uten brukermedvirkning.

2 Spørsmål 3: Botnett-angrep a. Hva er et botnett? b. Hva er et DDoS, og hvordan kan et botnett brukes til å gjøre et DDoS-angrep? c. Beskriver to andre angrep som kan utføres med botnett. a. Begrepet "botnet" referere vanligvis til en samling av kompromitterte computere (kalt bots eller zombie-maskiner) som kjører bot-skadevare, vanligvis installert via drive-by nedlastinger utnytte nettleseren sårbarheter, ormer, trojanske hester, eller bakdører, under en felles kommando- og styringsinfrastruktur. b. Et DoS-angrep (tjenestenekt) er et forsøk på å hindre at legitime brukere av en tjeneste bruker denne tjenesten. Når dette angrepet kommer fra en enkel node eller nettverk, så er det bare referert til som et DoS-angrep. En mer alvorlig trussel utgjøres av et DDoS-angrep. I et DDoS-angrep, er en angriper i stand til å rekruttere en rekke noder over Internett til samtidig eller på en koordinert måte lansere et angrep på målet. Et botnet er nettopp et sett av noder som kan koordineres for DDoS-angrep. c. Botnett brukes også til spamming og for innsamling av brukeridentiteter. Spørsmål 4: SQL-Injeksjon a. Hva er et SQL-injeksjonsangrep og hvordan kan det forhindres? b. Hva er et XSS-angrep, og hvordan kan det forhindres? a. SQL Injection er en metode for injeksjon av kode som utnytter en sårbarhet i grensesnittet mot SQL-databaser. Sikkerhetsproblemet oppsstår når brukerinndata feilaktig tolkes som SQL-kommandoer, som betyr at brukere kan sende SQL-kommandoer gjennom et brukergrensesnitt. Det er en type av mer generell sikkerhetssårbarhet som kan forekomme når ett programmerings-eller skriptspråk innkapsles i et annet. SQL-Injectionsangrep kan forebygges ved å ikke tillate brukerinndata til å bli tolket som SQL-kommandoer. I stedet kan man bruke parameterkommandoer, eller brukerinndata må være nøye filtrert. b. XSS (Skripting på tvers av noder) er en angrepsteknikk som lurer en webside til å reflektere mottatte data tilbake til netlesere der dataene blir tolket og eksekvert som skript. Når en nettleser mottar og kjører et XSS-skript, vil angriperen ha tilgang til nettleserebs innhold (informasjonskapsler, logg, programversjon osv.). XSS-angrep bruker Web-server som et springbrett for å angripe nettlesere/klienter. XSS kan forebygges ved at webservere alltid filtrerer bort skadelig kode de mottar, og forhindrer at det legges ut på en webside.

3 Spørsmål 5: SQ-Injeksjon Eksempel En web-applikasjon gjør brukerautentisering ved at inndata fra påloggingsskjermen brukes direkte uten filtrering for å danne SQL-kommandoer sendt til back-end SQL-database, som illustrert i figuren nedenfor. Logikken er at brukerautentiseringen er vellykket hvis det mottatte passordet er lik det lagrede passordet for den valgte brukeren. En angriper ønsker å logge inn som Admin og skriver inn passordet: A OR X = X a. Hva blir SQL-kommandoen som sendes til SQL-databaseserveren? b. Hva er effekten av denne kommandoen? a. SQL-kommandoen blir: SELECT ACCOUNT (*) FROM Users WHERE Username = Admin AND Password = A OR X = X b. Den boolske sjekken til slutt i SQL-kommandoen er alltid TRUE fordi det alltid er sant at X = X. Derfor blir angriperen logget inn som Admin. Spørsamål 6: OWASP a. Hva betyr forkortelsen OWASP? b. Hva er målsettingen til OWASP? c. Hva er OWASP Top 10? d. Hva er nr.1 i OWASP Top 10? e. Hvorfor har nr.1 vært på toppen av listen i så mange år? f. Hva er hensikten med OWASP ASVS? a. OWASP: Open Web Application Security Project b. OWASP jobber for applikasjonssikkerhet og bevissthet for informasjonssikkerhet. c. OWASP Top 10 beskriver utbredte sikkerhetsrisikoer i web-applikasjoner. d. SQL injeksjon er sikkerhetsrisiko nr.1 i web-applikasjoner. e. SQL injeksjion burde ikke være den største sikkerhetsrisikoen fordi det egentlig er et løst problem. Grunnen til at SQL-injeksjon fremdeles er utbredt er at utviklere er late eller ignorante, eller begge deler. f. OWASP ASVS (Application Security Verification Standard) beskriver krav til sikkerhet i programutvikling, og tilbyr mange gratis verktøy for skanning av sikkerhetssårbarheter

4 Spørsmål 7: Sikker Smidig a. På hvilken måte er smidig forskjellig fra systemutvikling med fossefallmetoden? b. Hvordan kan sikkerhet integreres i smidig systemutvikling. a. I fossefallmetoden må all funksjonalitet spesifiseres før programmeringen starter. Dette står i kontrast til smidig utvikling som er sentrert rundt en rekke sprinter som vanligvis varer noen uker. Under hver sprint vil utviklingsteamet implementere et lite sett med funksjoner eller "brukerhistorier". Nye funksjoner og bruker historier kan spesifiseres underveis. b. I sikker smidig må det legges til sikkerhetsorienterte aktiviteter (i) ved initiering av prosjektet (identifisere oppdragsgivers sikkerhets prioriteringer og målsettinger, definere sikkerhetskrav), (ii) under hver sprint (identifisere trusselscenarier, og fjerne sårbarheter for å stoppe trusselenscenariene), (iii) ved den endelige testingen av systemet (test/vurdere at sikkerhetskravene er oppfylt). Spørsmål 8: Innebygd personvern og innebygd informasjonssikkerhet GDPR (General Data Protection Regulation) ble satt ikraft som ny lov i EU den 25. mai GDPR oversatt til norsk kalles PVF (Personvernforordningen). Teksten i denne ble til den nye Personopplysningsloven som ble satt ikraft den 20. juli a. Hva er hovedelementene for innebygd personvern i henhold til GDPR artikkel 5? b. Hva er hovedelementene for utvikling og drift av IT-systemer i samsvar med innebygd personvern og innebygd informasjonssikkerhet ifølge Datatilsynets veileder? a. Ifølge GDPR artikkel 5, skal personopplysninger behandles med: (a) lovlighet, rettferdighet og åpenhet (b) formålsbegrensning (c) dataminimering (d) riktighet (e) lagringsbegrensning (f) integritet og konfidensialitet b. Ifølge Datatilsynets veileder om Programvareutvikling med innebygd personvern skal organisasjoner ha gode prosesser for følgende aktiviteter under utvikling og drift av IT-systemer: - Opplæring - Krav - Design - Koding - Testing - Produksjonssetting - Forvaltning

5 Spørsmål 9: Personvern i skyen Et IT-selskap som behandler persondata bestemmer seg for å overføre lagring og behandling av personopplysninger til en skytjeneste som ligger i utlandet. a. Er dette lovlig i henhold til GDPR (Personopplysningsloven i Norge)? b. Hva må selskapet gjøre for å gjøre outsourcing lovlig i henhold til GDPR? a. Ja, med forbehold om at det gis "nødvendige garantier". For outsourcing bør selskapet ta hensyn til artikkel 46 (Overføringer som omfattes av nødvendige garantier), artikkel 47 (Bindende virksomhetsregler), artikkel 48 (Overføring eller utlevering som ikke er tillatt i henhold til unionsretten) og artikkel 49 (Unntak for særlige situasjoner) i GDPR. Uavhengig av selve outsourcingen, må den behandlingsansvarlige også tydelig spesifisere formål og behandlingsgrunnlag, ta hensyn til forholdsmessighet og nødvendighet for den registrertes rettigheter og friheter, og må alltid gjennomføre en trussel- og risikovurdering for sikkerhet og personvern, hvor risikoen må være akseptabel. b. Selskapet må ta hensyn til artiklene 46, 47, 48 og 49 i GDPR og gjennomføre en trussel- og risikovurdering for både sikkerhet og personvern spesielt knyttet til outsourcing, og etter behov foreta en DPIA (Data Protection Impact Assessment). Spørsmål 10: Straff for brudd på GDPR a. To IT-selskaper, la oss kalle dem Alfa og Omega, utvikler hvert sitt IT-system som skal behandle persondata. Begge selskaper følger prinsipper (a)-(e) i artikkel 5 i GDPR. Alfa foretar ingen trussel/risikovurdering av sikkerhet under systemutviklingen, men systemet blir testet for kjente sårbarheter under drift. Omega, på den annen side, utfører trussel og risikovurdering av sikkerhet, og fjerner sårbarheter som blir oppdaget under utviklingen av systemet. Anta at begge IT-systemer, både det fra Alfa og Omega, blir hacket, noe som resulterer i sikkerhetshendelses med alvorlig personvernkonsekvens og lekkasje av sensitive personopplysninger. I henhold til Perwonopplysningsloven (GDPR), hadde Alfa og/eller Omega lov til å sette sine systemer i drift? b. Kan Alfa og/eller Omega bli bøtelagt etter Personopplysningsloven (GDPR) som følge av sikkerhetshendelser og/eller som følge av hvordan systemene ble utviklet/driftet? c. Hva er maksimale bøtelegging for brudd på Personopplysningsloven (GDPR)? a. Alfa hadde ikke fulgt prinsipp (f) av artikkel 5 (integritet og konfidensialitet) under systemutviklingen, fulgte dermed ikke prinsippene for "innebygd personvern" og "innebygd informasjonssikkerhet", og driftet dermed systemet ulovlig. Omega hadde fulgt alle prinsippene, og driftet derfor systemet lovlig. b. Alfa kan bli bøtelagt fordi system ikke ble utviklet i henhold til prinsippene om "innebygd personvern" og "innebugd informasjonssikkerhet". Alpha kan ikke bøtelegges for selve sikkerhetshendelsen, bare for utilstrekkelig praksis for sikker utvikling av systemet. Omega hadde fulgt prinsippene for "innebygd personvern" og "innebygd informasjonssikkerhet" under utvikling og kan derfor ikke bli bøtelagt, selv om det oppstod en sikkerhetshendelse, forutsatt at Omega ellers hadde et tilfredsstillende ISMS (Information Security Management System) (Styringssystem for informasjonssikkerhet) på plass. c. Brudd på Personopplysningsloven (GDPR) kan bli bøtelagt opp til eller opp til 4% av den årlige verdensomspennende omsetningen i det foregående regnskapsåret for en bedrift, der det høyeste beløp gjelder.