Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet
Stoler du på denne mannen? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 2
Jepp Derfor fant du i januar 40 falske nettsteder som hevdet at Obama trekker seg som president Og mye viktigere: Obama's Social Network Being Used to Spread Malware 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 3
Stoler du på denne mannen? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 4
Nei? Og likevel er du på nettet hver dag? Jack vet du hvor bor - på Ondskapen hotell - og du vet hvem han er. Farene på nettet kan være hvor som helst, hva som helst og når som helst. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 5
Hvilke farer finnes? Virus, ormer, trojaner. Utnyttbare sikkerhetshull i program på nettet og på datamaskinen. Phishing, pharming, sosial manipulering 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 6
Hvilke mål? Før prestisje og ære. Nå penger, penger, penger. Mange folk (kriminelle) lever nå av det de gjør på nettet. Salg av varer og tjenester. Utpressing. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 7
Noen definisjoner Virus og ormer er skadelig program som installeres uten lov. Virus: Trenger en vert for å spre seg. Orm: Selvreproduserende. Trojaner: Programmer som gir seg ut for å være/gjøre noe annet. Kan være et virus eller en orm. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 8
28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 9
Trojanere kan Overvåke alt du gjør Sende søppelpost Deaktivere sikkerhetsprogramvare og gi ekstern tilgang Være med på DOS 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 10
Spredning av virus o.l. Før nettet: Sakte, via disketter eller maskiner som deler minne. Nå: Eksponentielt fort, hele verden kan rammes innen timer. Likevel spres det mye virus via USB og bærbare harddisker. Mobiltelefoner er neste område. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 11
Anti-virus vil aldri virke! Alle bruker anti-virus i dag, men hvorfor sprer virusene seg likevel? Anti-virus basert på svartlisting det er uendelig med muligheter for variasjon. Kun hvitlisting virker det er i alle fall et begrenset antall muligheter. AV tar 85% av kjente virus, men ingen ukjente. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 12
28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 13
Brannvegger vil aldri virke! Brannvegger skal stoppe fremmede maskiner fra å snakke med vår maskin. Alt kan tunneleres over nettet (HTTP). Brannveggen, og programmene som vi tillater å prate over nettet, kan ha feil. Brannvegger nyttig for å stenge bråkemakere ute. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 14
Det meste skjer i nettleseren Flere og flere programmer flytter fra skrivebordet til nettet. (Web 2.0 og rike nettprogrammer.) Flere og flere tjenester er på nett. Vi flytter mer og med data ut på nettet. Vårt neste OS blir Google OS? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 15
Problemet er HTTP og HTML HTTP - Hypertext Transfer Protocol beskriver hvordan man overfører nettsidene. Nettsidene er skrevet i HTML Hypertext Markup Language. Verken HTTP eller HTML ble laget med tanke på sikkerhet. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 16
Problemer HTTP gir klar-tekst kommunikasjon og er tilstandsløs vi må bruke cookies. HTML er tag soup og nettleserne gjør det verre ved å tillate alt. HTML gjøres dynamisk med Javascript som er meget kraftig. HTML i e-post. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 17
Bruk HTTPS når du kan Da vil informasjonen være kryptert og Du er sikret privatliv. Dine cookies kan ikke stjeles. Ditt passord/brukernavn er trygt. Mange tjenester bytter til HTTP etter innlogging farlig. (Fy, Google!) 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 18
Cross Site Scripting (XSS) Kode injisert i nettsider tre typer: Reflektert Lagret DOM En svært vanlig og alvorlig feil. Den vanligste måten å stjele cookies. DEMO 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 19
Cross-site request forgery Minner om XSS, men mye vanskeligere å forsvare seg mot. Når brukeren besøker et nettsted blir det automatisk sendt kommandoer til et annet. DEMO 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 20
Konklusjon Kan vi være vi trygge? Definitivt ikke. Kan vi beskytte oss? Ja, men det blir vanskeligere og vanskeligere og til hvilken pris? Bør vi slå av nettet Nei, men det er det eneste trygge. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 21
Anbefalinger Bruk Firefox med utvidelsene NoScript slik at du kontrollerer hva som kjøres i din nettleser. ProfileSwitcher slik at du har en profil for vanlig surfing og en for sensitive ting (som nettbank). Greasemonkey og GM-skriptet Secureem-All slik at du bruker HTTPS så mye som mulig. Perspectives for bedre sertifikatkontroll. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 22
Anbefalinger Logg ut fra tjenester når du er ferdig (eller lukk ekstravinduet startet med ProfileSwitcher). Slutt å bruke/vise HTML i e-poster. Bruk kryptering på trådløse nettverk (WPA) og på nettet (HTTPS). Bruk mer enn ett passord Passpack eller Clipperz. 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 23
Prosjekt Jeg har et lite prosjekt som jeg trenger hjelp til vil du være med? LES MER Brukernavn: AalesundVGS, Passord: HiMolde 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 24