För utbildningsprogrammet Mobila applikationer och nätverkstjänster för Android Föreläsning 11: Malware. Skydd mot dataintrång. Välkommen till kursen Öppen källkod, IT-rätt och säkerhet, IG020G! Text (ej bilder) fritt tillgängligt under Creative Commons BY-SA 3.0BY-SA
Kursuppläggning Ulf Jennehag – Fö 1: Kursintroduktion. Introduktion till mobila operativsystem, smartphones, Android och appar. (Magnus definierar begrepp.) Magnus Eriksson – Fö 2: Immaterialrätt: patent, IP-avtal, upphovsrätt, designskydd, verkshöjd. (Ulf berättar om egna erfarenheter av patentansökning.) – Fö 3: Öppet innehåll: wikier, creative commons licenser, gpdl – Lab 1: Öppet innehåll och wikipublicering – Fö 4: IT-juridik: PUL, BBS-lagen, lagen om elektronisk kommunikation, offentlighetsprincipen, FRA-lagen, Ipred Robert Olofsson, gästföreläsare från Nordic Peak – För 5-6: Öppen källkod: Licenser, utvecklingsverktyg och samarbetsformer Olle Nilsson – Fö 7-9: Open Innovation: grundläggande principer, samarbetsformer, typfall. Samhällsvetenskapliga aspekter. Magnus Eriksson – Fö 10-12: IT-säkerhet: Lösenord, certifikat, policier, malware, säkerhet i trådlösa nätverk och vid molntjänster, riskanalys – Lab 2: Lösenord – Lab 3: Nätverkssäkerhet – Fö 13: Repetition, återkoppling på redovisningsuppgifter.
Malicious software, malware (sabotageprogram, elakartad kod) Virus – self-replicating program that can infect other programs by modifying them to include a version of itself, often carrying a logic bomb as a payload (Cohen, 1984), e.g. Boot sector virus Root kit – Operating-system modification to hide intrusion Worm (mask) – self-replicating program that spreads onto other computers by breaking into them via network connections and – unlike a virus – starts itself on the remote machine without infecting other programs Trojan horse (trojansk häst), parasite program – useful application software with hidden/undocumented malicious side-effects (e.g. “AIDS Information Disk”, 1989) Backdoor (bakdörr) – function in a Trojan Horse that enables unauthorised access (or left open intentionally by developed)
Malware (forts.) Logic bomb – a Trojan Horse that executes its malicious function only when a specific trigger condition is met (e.g., a timeout after the employee who authored it left the organisation), for example to start send s or carry out a Denial of Service (DoS) atack or Distributed DoS atack (DDoS) from several computers simultaneously. Spyware – (spionprogram) may find out your friends addresses, or your login information. Web sites that share cookies via embedded pictures, may share information about your web surfing. Adware – (annonsprogram) byter ur reklambanners på webben mot annan reklam, startar popupfönster på webben och sänder spammail.
Spoofing attack - adressförfalskningsattack Spoof sajter – Bluffwebbsajter eller parodier på webbsajter, ofta med webbadress (URL) som liknar vanliga webbadresser. IP Spoofing – Fejkad avsändar-IP-adress som ser ut att komma från dator inom intranätet DNS spoofing (genom cashe poisoning) – Lurar DNS- systemet Mac spoofing/ARP flooding/poisoning – Lurar systemet vilken IP-adress som motsvarar vilken fysisk MAC-adress Läs
Tekniska skydd mot dataintrång Access control lists (ACL) – reglerar vilka användare som får tillgång till vilken fil eller nätverksresurs Switchar (paketväxlar) istället för hubbar och bussnät Antivirusprogram – skyddar mot lagring av filer med kända ”mönster” på hårddisken. Nätverksbrandvägg – I anslutning till routern. Stoppar fräsmt externa klienter att gå in på interna servrar. Kan minska möjlighet till Personlig brandvägg – kan dessutom be användaren om bekräftelse om ett nyinstallerat program vill kommunicera. På så sätt kan trojaner stoppas. Leaktest = ”godartat trojan”. Klient som testar säkerheten. Innefattar portskanning. Automatisk uppdatering till senaste versionen av viktiga filer. Minskar möjlighet till buffer overflow och liknande. Kryptering och digitala signaturer baserade på certifikat från tillförlitlig Certification Authority (CA) exempelvis : WEP (svagt) och WPA i trådlösa nätverk Virtuella privata nätverk (VPN) Https, ftps, sftp – krypterad kommunikation mot webb/filserver. Hindrar man-in-the-middle-atacker. Webb proxy
Unix file access control list (åtkomstkontroll)
Windows file access control
9 TCP/IP-modellen H – header (pakethuvud): control data added at the front end of the data unit T – trailer (svans): control data added at the back end of the data unit Trailers are usually added only at layer 2. Portnr, sekvensnr IP-adress MAC-adress
Network Address Translation (NAT)-proxy Router + NAT server Router Private IP: Public IP: MAC addr: 31BE4A19273A A0C11222F53B DD Host D Private IP: Public IP: MAC addr: AE Host A B BB D3 IP: MAC: Privat IP: MAC: 02CB239B Host CHost B Syfte med NAT: Flera kan dela på samma publika IP-adress. Även vissa säkerhetsfördelar – det fungerar som brandvägg. Exempel: D sänder till C. Spion A och B kör ”snifferprogram”. Vilken avsändar- och mottagar-MAC-address och vilka IP-adresser ser spion A? Vad ser spion B?
Brandväggar (firewalls) Läs Syftar främst till att stoppa externa klienter från att komma åt interna servrar. Stoppar paket till fel portnummer TCP- och UDP-portnummer. Hål kan öppnas för servrar man vill att en server ska vara åtkomlig utifrån. Det kallas för port forwarding. Nätverksbrandvägg (idag oftast ”hårdvarubrandvägg”) är en proxyserver som kan finnas kan finnas i en router. Personlig brandvägg är ett program i en vanlig dator. Den kontrollerar även vilket applikationsprogram som har rätt att porta, och han hindra trojaner från att kommunicera ut på nätet. Exempel: ZoneAlarm, Windows firewall, brandväggar som medföljer i vissa antivirusprogram. DMZ = Demilitariserad zon: IP-adresser till vilka alla portar öppnas. Port scanning = extern server för test av vilka portar som är öppna.
Proxy firewall
Windows security center
Windows firewall – default on
Stack smashing/buffer overflow attack
Virtuella privata nätverk (VPN) Syfte: VPN möjliggör säker kommunikation över trådlösa nätverk eller över Internet. En person som arbetar i hemmet kan komma åt resurser (delade diskar och skrivare) i företagets Intranet/LAN och komma åt företagets lokala resurser. Princip: IP-paket tunnlas=inkapslas inuti andra IP-paket, som kan vara krypterade.
HTTP vs HTTPS När en webbläsare begär innehåll från en webbserver görs detta via HTTP- protokollet. Exempel på begäran: – GET /path/to/ file /index.html HTTP/1.0 Exempel på svar: – HTTP/ Not found. Därefter följer HTML-kod för en felsida. HTTP överförs okrypterat över Telnet HTTPS är HTTP över TLS/SSL, dvs ”krypterad Telnet” Servern för över sitt certifikat. Klienten (webbläsaren) krypterar ett slumptal med serverns publika nyckel. Bara den som har den motsvarande privata nyckeln kan avkryptera. Slumptalet används för att kryptera kommunikationssessionen. tillhandahålles från ett företag som callas Certification authority (CA).