HØGSKOLEN I SØR-TRØNDELAG AVDELING FOR INFORMATIKK OG E-LÆRING Kandidatnr: Eksamensdato: 9.mai 2005 Varighet: Fagnummer: Fagnavn: 3 timer LV 252 D Internett og sikkerhet Klasse(r): Studiepoeng: 6 Faglærer(e): Hjelpemidler: Oppgavesettet består av: Svend Andreas Horgen 73 55 92 69 Ingen hjelpemidler Forsiden og 2 sider med totalt 3 oppgaver. Merknad: Les alle deloppgaver før du svarer. Planlegg tiden godt. Innenfor hver oppgave kan deloppgavene vektes ulikt.
Oppgave 1 Virusproblematikken (25%) a) Det er viktig å ha systemer som er trygge å jobbe i. Gitt en norsk mellomstor bedrift med mange arbeidsstasjoner i et nettverk. De ansatte bruker stort sett Windowsbaserte bærbare maskiner og jobber mye med regneark og tekst. De mottar informasjon fra kunder per e-post, telefon, websøk og av og til via direkte overføring av data (CD-plate, minnepenn). De fleste har litt reising inkludert i jobben. Mange bruker maskinen hjemme til private formål, for eksempel til betaling av regninger. Hva kan den enkelte arbeidstaker gjøre for å beskytte seg best mulig mot de farer som truer? Vise fornuft og forsiktighet på web AV-prog installert og oppdatert Patchet system Evt. brannmur E-post og vedlegg Ikke kjøre skumle programmer Slå på varsel om makrovirus b) Hvorfor tror du virus og andre ulumskheter utvikles? Er det forskjell på dagens situasjon og tidligere? Årsaker: Kriminalitet, økonomiske hensikter Status, morsomt Idealisme Angrep, spionasje Påføre skade Nå vs før: Mer profesjonelt Større konsekvens Enklere å skrive virus. Fins programmer som hjelper med dette Mer bruk av internett => raskere spredning c) Hva kan systemansvarlig i en bedrift som beskrevet i oppgave a gjøre for å unngå problemer? Mer arbeid på virusfokus Oppdatert kunnskap Patching av systemer Ha + kjenne til policy ved feilsituasjoner Begrense ansattes rettigheter Bruke logger og gjennomgå disse Gjennomtenkt konfigurering og valg av systemer Opplæring av brukere Vurdere kryptering av informasjon Unngå bakdører (oppringt-modem, trådløst nett) Sikre nettverket Backup
Oppgave 2 Beskyttelse av informasjon (40%) a) Forklar grunnlaget for hvordan asymmetrisk kryptering fungerer. Hva kan asymmetrisk kryptering brukes til, og hvordan? Svar kort. Grunnlag: Krypter med en og dekrypter med den andre Offentlig nøkkel distribueres Privat holdes hemmelig Matematikk i bunnen Kan brukes til: Kryptering bruk mottakers offentlige Dekryptering mottaker bruker sin private Signering bruk din private Verifisering mottaker bruker din offentlige Mer spesielt: I digitale sertifikater. b) Du skal sende e-post, her melding, til Berit. Hun skal kunne autentisere meldingen (vite sikkert at det er du som har sendt den), og meldingen skal bare kunne leses av dere (konfidensialitet). For å oppnå dette kan asymmetrisk kryptering brukes. Her er et forslag på fremgangsmåte: Du lager en sjekksum av meldingen din med for eksempel algoritmen md5. Du signerer sjekksummen og kaller resultatet for M2. Du krypterer meldingen din med Berits offentlige nøkkel og kaller resultatet for M1. Berit mottar M1 og M2. I og med denne oppskriften er det lagt til rette for autentisering og konfidensialitet når du kommuniserer med Berit. Hva kan Berit gjøre videre for å få lese meldingen og sjekke at det er du som har sendt den? 1. Berit bruker sin private for å pakke opp M1. Dette kan bare B gjøre. 2. B bruker md5 på meldingen for å lage hash. 3. B bruker din offentlige til å dekryptere M2. Dette kan alle gjøre. Da får B en hash. 4. Sammenlikner hashen med mottatt hash. c) Det kan synes tungvindt å lage en sjekksum i første punkt av oppskriften i oppgave b. Er dette strengt tatt nødvendig? Begrunn svaret. For å vite hvem som har sendt meldingen, må Berit verifisere signaturen. Hva er så signaturen? Dersom meldingen signeres direkte, vil alle kunne pakke opp og dermed brytes konfidensialiteten. Det er derfor nødvendig med omveien med å lage en sjekksum. d) Forklar hva angrep av typen man-in-the-middle og replay attacks er. Hvorfor er ikke replay attacks et problem ved bruk av asymmetrisk kryptering? Man in the middle er situasjoner hvor en tredjepart utgir seg for å være den andre personen i en kommunikasjon.
Replay attacks er situasjoner hvor en tredjeperson snapper opp en melding og avspiller denne flere ganger etter hverandre. Det kan være spesielt skummelt dersom dette involverer pengetransaksjoner. I forbindelse med passord, kan et oppsnappet passord brukes til å gi uønsket tilgang i lang tid framover. Hvordan kan så asymmetrisk kryptering stoppe slike? (antar her at web brukes) Tjeneren sender en utfordring (challenge) Du signerer denne sammen med meldingen med din private nøkkelen (som aldri blir sendt) Tjeneren bruker den offentlige nøkkelen til å verifisere at mottakeren er riktig. Flere etterfølgende forsøk på å sende meldingen vil avsløres, siden tjeneren vet hvilken For å fake dette må tredjepersonen faktisk ha din private nøkkel. Oppgave 3 Sikkerhet i lokale nettverk og generelt (40%) a) Hvorfor er det lurt å bruke logging i et lokalnettverk (LAN)? Hvordan bør en slik logging utføres? Svar, hvorfor: Få oversikt over trafikken Lettere oppdage innbrudd Oppklare innbrudd eller kilden til innbrudd Fange opp hvor systemet belastes mest, og hvor det er mest behov for å sette inn ekstra ressurser Svar, hvordan: Logge all trafikk gjennom brannmur Logge webtrafikk og all trafikk til servere Være i tråd med policy Sjekk av loggene jevnlig er nødvendig opp mot normale forhold. Slik kan angrep og avvik oppdages. Bruk programvare for analyse av loggene, men lær deg også å lese disse manuelt. Klare regler for hvem som skal ha tilgang til loggene. Backup av loggene disse er veldig verdifulle! Logger som det er mulig å manipulere gir ingen verdi. b) Er en brannmur i seg selv et godt nok tiltak for å få god sikkerhet i en større virksomhet? Utdyp svaret. Ikke nok, fordi: Fins mange bakveier inn i nettverket: Virus/ormer/trojanere, social engineering, crack, sikkerhetshull i OS, modem som ikke har tilknyttet brannmur, passord på avveie, med mer. Må oppdateres jevnlig. Krever at systemansvarlig er oppdatert selv. Må konfigureres riktig. Løsningen bør være godt dokumentert i tilfelle noen andre overtar jobben ved sykdom eller nyansettelse. c) Hvis du er systemansvarlig hvordan må du gå fram om du oppdager innbrudd i datasystemet? Hva bør gjøres videre? Diskuter. Punkter å ha med (ikke i rekkefølge):
Generelt skal den strategien som er planlagt og dokumentert på forhånd følges Ikke få panikk Sikre loggene. Disse vil være verdifulle for en evt. politietterforskning og til analyse for å vite hva som gikk galt. Informere ledelsen Vurdere hvor alvorlig innbruddet er skal pluggen trekkes ut (pull the plug) eller skal hun overvåke hva forbryteren gjør for å lære mest mulig? Sammenlikne systemet med tidligere backup som er ren og evt. reinstallere systemet. Fang opp tidspunkt for angrep slik vet du hvilken backup som er første rene kandidat. Benytte sjansen til å overbevise ledelsen om at det er på tide å investere i nytt utstyr (!) Lære av innbruddet og kartlegge mangler slik at disse kan utbedres Anmelde forholdet til politiet, forsøke å finne ut hvem som står bak, sikre bevis. Finn ut om innbruddet skyldes uforsiktige ansatte, og eventuelt iverksette tiltak Vurder skaden og handle deretter. Må for eksempel alle passord byttes ut? Bør kontakte ekstern ekspertise, om ikke annet for å kvalitetssikre at hun har handlet riktig. Ved innbrudd kan det være en gylden mulighet til å prioritere total reinstallasjon av systemet. Da får du garantert siste versjoner av programvare, og dette kan være lettere enn å gå gjennom alt og bli sikker på at systemet er rent.