1 / 24

TIES326 - Tietoturva Viikkoharjoitus 26.10.2011

TIES326 - Tietoturva Viikkoharjoitus 26.10.2011. Petri Sandström && Antti Kolehmainen && Teemu Alviola. 1 ) Sosiaalisten verkkosovellusten tietoturvariskit. Identiteetin suoja Kriittinen osa tietoturvaa, koska esiintymällä toisena henkilönä voit hyötyä ihmisen heikkoudesta.

onofre
Download Presentation

TIES326 - Tietoturva Viikkoharjoitus 26.10.2011

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. TIES326 - Tietoturva Viikkoharjoitus 26.10.2011 Petri Sandström && Antti Kolehmainen && Teemu Alviola

  2. 1) Sosiaalisten verkkosovellusten tietoturvariskit Identiteetin suoja • Kriittinen osa tietoturvaa, koska esiintymällä toisena henkilönä voit hyötyä ihmisen heikkoudesta. • Kilpailijan maineen pilaaminen on mahdollista. • Rahan kiristäminen. • Wikipedian mukaan identiteettivarkaus ei ole Suomessa rikollista. • The average American that faces identity theft spends 440 hours trying to restore their credit, finances and other issues that can occur. http://EzineArticles.com/1335679 Joidenkin sosiaalisten verkkosovellusten merkittävyys on jo niin suuri, että vaikka et olisikaan kyseisessä palvelussa, voi joku hyötyä siitä, että tekeytyy sinuksi kyseisessä palvelussa.

  3. 1) Sosiaalisten verkkosovellusten tietoturvariskit Sovellusliittymät • Sosiaalisten palveluiden käyttöliittymät ovat web-pohjaisia. Web-pohjaisen käyttöliittymän ja ennen kaikkea taustalla pyörivän palvelun on kyettävä selviämään kaikenlaisista käyttöliittymäsyötteistä. Web-käyttöliittymä toteuttaa halutut toiminnot, mutta asiakaspään koodia muuttamalla voidaan tuottaa sovelluskerrokselle uusia haastavia syötteitä. • Sosiaalisen median käyttäjäyhteisö on erittäin laaja ja tietotekninen ja varsinkin tietoturvallisuusosaaminen on massaan nähden alhainen. On erittäin tärkeää, että palvelut on suunniteltu siten, ettei käyttäjä tietämättään aiheuta itselleen tai muille harmia. Ongelmana tässä voisi olla esim. tiedon liian laaja jakaminen. ”Hey! Itsa [SEND EVERYTHING TO EVERYONE] -button”

  4. 1) Sosiaalisten verkkosovellusten tietoturvariskit Kohdennetut hyökkäykset • Usein pitkän tiedusteluprosessin tulos: kohteesta kerätään tiedonmurusia, joita hyödyntämällä pyritään etsimään haavoittuvuuksia. • Henkilöön kohdistuessaan usein erittäin tehokkaita ja valmisteltuja. Mikäli uhri saa asian selville, tapahtuu se usein jälkeenpäin. • Kohdennettu hyökkäys on helppo kohdentaa jokaiselle yksilölle henkilökohtaisen tuntuisesti, sillä henkilöt jakavat itsestään yhteisössä paljon tietoa jonka avulla kohdentaminen on helppoa. Hyökätäänpä vaikka tämän tietyn sosiaalisen verkkosovelluksen käyttäjien kimppuun tässä tietyssä maassa. Saamme siitä hyötyä näiden syiden takia: . . .

  5. 1) Sosiaalisten verkkosovellusten tietoturvariskit Haitalliset linkit • Haitallinen linkki voi tulla lähes mistä vain. Linkkejä saa nykypäivänä laitettua lähes kaiken tekstin sekaan. • Linkkiä ei tarvitse välttämättä edes klikata, vaan jo pelkkä hiiren liikuttaminen sen päälle riittää. Tältä suojautuakseen jotkin palvelut seulovat linkkejä jo etukäteen. • Jos linkki on lyhennetty, ei siitäkään voi päätellä mitään. On kuitenkin olemassa palveluita, joiden avulla voi etsiä alkuperäisen osoitteen. • Tietoturvayhtiö Nortonin mukaan joka kolmas suosittu haku palauttaa haitallisia linkkejä. http://5z8.info/launchexe_b1h1af_38--start.spamBot--this-ip--

  6. 1) Sosiaalisten verkkosovellusten tietoturvariskit Epäsosiaaliset verkostot • Antisocial Networks are distributed systems based on social networking Web sites that can be exploited by attackers, and directed to carry out network attacks. Malicious users are able to take control of the visitors of social sites by remotely manipulating their browsers through legitimate Web control functionality such as image-loading HTML tags, JavaScript instructions, etc. Social Network web sites have the ideal properties to become attack platforms. http://www.metapress.com/content/t80237u5182v8h75/ • Facebookissa leviää uusi huijaus, joka leviää tykkää-toiminnon avulla. Käyttäjä itse ei yleensä huomaa levittävänsä huijausta Facebook-kavereilleen. Houkuttimena ovat esimerkiksi Paramore-yhteen laulajan alastonkuvat. http://www.digitoday.fi/tietoturva/2010/06/02/uusi-facebook-huijaus-leviaa-paramoren-alastonkuvilla/20107900/66 Ovat turvallisia, sillä kukaan ei käytä niitä. Esim. Google+

  7. 1) Sosiaalisten verkkosovellusten tietoturvariskit Mitä riskejä siinä on, että kertoo liikaa itsestään? • Identiteettivarkauden ja kohdennettujen hyökkäysten riski kasvaa. • Tieto on erittäin pysyväistä sen jälkeen kun se on kerran julkistettu. Tämä on riskinä esim. nuorilla, jotka eivät tiedä tulevaisuuden uratavoitteistaan vielä mitään. • Kuka tahansa pystyy keräämään kenestä tahansa tietoa Internetistä. Tähän kun lisätään vielä sosiaalisten verkkosovellusten tiedon tulva, saadaan henkilöitä helposti profiloitua. • Kovinkaan moni sosiaalisten verkkosovellusten käyttäjä ei ymmärrä tiedon pysyvyyttä, tai elää siinä luulossa, että jaettu sisältö voidaan poistaa napin klikkauksella. Usein poistettu sisältö kuitenkin jää kätköön palvelusta riippuen. Jätätkö tietokoneen vartioimatta auki kotibileissä? Onko kiva huomata aamulla, että seinälläsi lukee: ”Olen alasti” ja äitisi on tykännyt siitä?

  8. 2) Millaisia uhkia/hyökkäyksiä löytyy? Social engineering • Luvaton tunkeutuminen tietojärjestelmään ei välttämättä edellytä tietokoneen avulla tehtyä murtoa, vaan muitakin keinoja käytetään. Taitava hämärämies voi käyttää hyväkseen erilaisia taivuttelu- ja hämäystekniikoita saadakseen yrityksen varomattoman työntekijän avaamaan pääsyn luottamuksellisiin tietoihin. http://www.digitoday.fi/tietoturva/2002/03/08/social-engineering-mita-se-on/20029075/66 • Reformed computer criminal and later security consultant Kevin Mitnick popularized the term "social engineering", pointing out that it is much easier to trick someone into giving a password for a system than to spend the effort to crack into the system. He claims it was the single most effective method in his arsenal. Mitnick, K., & Simon, W. (2005). The Art Of Intrusion. Indianapolis, IN: Wiley Publishing. Social engineering pohjautuu siis ihmisen heikkouksiin. On helpompi soittaa it-tuen neidille ja puhua pehmoisia hänen koirastaan facebook-tarkkailun jälkeen.

  9. 2) Millaisia uhkia/hyökkäyksiä löytyy? Phishing • Sanastokeskus TSK:n määritelmää mukaillenphishingon sellaista toimintaa, jossa pyritään sähköpostin tai Internet-sivun välityksellä hankkimaan luottamuksellista tietoa tekeytymällä tiedon käyttöön oikeutetuksi tahoksi. Esimerkiksi pankin asiakkaalta voidaan sähköpostitse pyytää pankin nimissä luottokortin numeroa ja tunnuslukua, joita sitten käytetään väärin taloudellisen edun saamiseksi. http://www.kotus.fi/index.phtml?s=583 • Vain murto-osa huijauksista onnistuu, mutta saavutetut hyödyt ovat silti erittäin merkittäviä. Samaa neitiä voitaisiin taas kiusata lähettämällä hänelle pomonsa sähköpostiosoitteen kaltaisesta osoitteesta salasanatiedusteluja.

  10. 2) Millaisia uhkia/hyökkäyksiä löytyy? Spam • Spam voi sisältää haittaohjelmia, haitallisia linkkejä, tarjouksen tuotteesta jota oikeasti myydään, mutta joka ei toimikaan. • Liittyy oleellisesti edelliseen phishingiin. Spam on roskapostia, jonka tavoitteena on ohjata käyttäjä haitalliselle sivustolle. Usein linkit näyttävät kunnollisilta, mutta todellisuudessa takana voi olla mitä vain. • Sosiaalisen median kontekstissa spam voisi olla esim. facebookissa käyttäjältä toiselle puoliautomaattisesti tykkäysperustaisesti leviävä seinäviesti. Onko K-kaupan mainoskirje spammia? Itse yleistämme kaikki tuotemainokset ja haluamattamme saapuvat sähköpostiviestit spammiksi.

  11. 2) Millaisia uhkia/hyökkäyksiä löytyy? Koodi-injektiot • Hyväksikäytetään esim. web-lomakkeelle syötetyn tiedon käsittelyssä olevia haavoittuvuuksia syöttämällä virheellistä/haitallista syötettä. • Injektion tyypistä riippuen hyökkääjälle voi avautua mahdollisuuksia web-sivun ulkoasun sotkemisesta aina arkaluontoisen tiedon käsittelyyn asti. Uhka on siis suuri. • Injektiotyyppejä • SQL-injektio • PHP/ASP-injektio • HTML/Skripti-injektio • Jne. Periaatteessa kaikki internetissä julkisesti saatavilla olevat syötekentät pitäisi suojata injektioilta. Käytännössä monet sivustot eivät kuitenkaan edelleenkään pysty vastaamaan kaikkiin mahdollisiin injektiohaavoittuvuuksiin ja viat löydetään kun vahinko on jo tapahtunut.

  12. 2) Millaisia uhkia/hyökkäyksiä löytyy? Cross-sitescripting (XSS) • Injektio-ongelma, jossa vahingollisia skriptejä syötetään esim. muuten luotettaville web-sivustoille, jolloin hyökkääjä voi lähettää haitallisen skriptin suoraan toisen loppukäyttäjän selaimeen. https://www.owasp.org/index.php/XSS • XSS-tyyppejä • Ei-pysyvät • Injektoitu skripti (esim. haitallisessa linkissä) viedään web-palvelun palvelimen kautta (HTTP-request) ja hyökkäys palautetaan (HTTP-response) käyttäjän selaimeen. • Pysyvät • Injektoitu skripti tallentuu kohdejärjestelmään pysyvästi (tietokanta, viestifoorumi..) jolloin se voi palautua käyttäjille jopa ilman että käyttäjä klikkaa haitallista linkkiä. • DOM-pohjaiset • Perustuvat HTML-dokumentin/javascript koodin muokkaukseen XSS-haavoittuvuuksia on vaikea havaita ja siksi täydellinen suojautuminen ennalta on hankalaa.

  13. 2) Millaisia uhkia/hyökkäyksiä löytyy? Cross-siteRequestForgery (CSRF)/(XSRF) • Hyökkäys, jossa käyttäjä saadaan ajamaan haitallisia toimintoja samalla, kun kirjautumissessio web-sovellukseen on vielä auki. https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) • Hyökkäyksen onnistumiseen voi riittää haitallinen linkki sähköpostissa. CSRF-hyökkäyksen onnistuminen mahdollistaa lähes minkä tahansa kohdejärjestelmän toiminnon haltuunoton uhrin käyttöoikeuksilla.

  14. 2) Millaisia uhkia/hyökkäyksiä löytyy? Distributed Denial of Service attack (DDoS) • Hyökkäys, jossa pyritään estämään tietyn sovelluksen/palvelun toiminta suuntaamalla sitä kohti liian suuri verkkokuorma. • Perustuu yksinkertaisesti siihen, että web-palvelimet tukehtuvat liian suuren verkkokuorman alla. • Hyökkäyksissä voidaan hyödyntää esim. bottiverkkoja. Mikä tahansa tietokone tehoistaan riippumatta voi verkkoyhteyden kautta osallistua DDoS-hyökkäykseen.

  15. 3) Miten uhkia/hyökkäyksiä vastaan voi suojautua? Yleisesti • Asentamalla uusimmat tietoturvapäivitykset tietokoneeseen - ja etenkin pitämällä kone jatkuvasti päivitettynä. • Käyttämällä ”maalaisjärkeä” sen suhteen mitä linkkejä kannattaa klikkailla auki. Koskee etenkin tuntemattomilta tulleita viestejä niin sähköpostitse kuin myös esim. sosiaalisen median kautta. • Käyttämällä virustentorjuntaohjelmaa. Monissa nykyisissä virustorjuntaohjelmissa on jo sen verran älyä, että ne osaavat suodattaa virusten lisäksi myös muuta haitallista sisältöä. • Erilaiset selaimen lisäosat, esim. NoScript tuovat lisäturvaa, mutteivät kuitenkaan lopulta pelasta tietokonetta itse käyttäjältä.

  16. 3) Miten uhkia/hyökkäyksiä vastaan voi suojautua? Liika informaatio • Yksinkertaisesti, järki käteen. Älä kerro liikaa itsestäsi ja harkitse ennen kuin liityt verkkopalveluun ”X”! Social Engineering • Suojautuminen vaikeaa, koska usein perustuu ihmisen normaalille sosiaaliselle toiminnalle kaikkine puutteineen ja hyökkäyksiin voi kompastua alitajuisestikin esim. stressavassa tilanteessa. Phishing • Käytettäviin asiakassovelluksiin ja virustutkiin voidaan kehittää suodatussääntöjä ja mustia listoja, joilla tunnetut huijaukset suodatetaan automaattisesti pois esim. sähköpostista. Tämä ei kuitenkaan toimi kuin tunnettujen Phishing-huijausten kanssa. Phishingiltäkin voi suojautua maalaisjärjellä. Se Nigerialainen prinssi EI tarvitse rahansiirtoon kymmentätuhatta euroa.

  17. 3) Miten uhkia/hyökkäyksiä vastaan voi suojautua? Spam • Paras tapa suojautua roskapostilta on lopettaa levittelemästä sähköpostiosoitettaan julkisesti. • On tapoja ilmaista sähköpostiosoite julkisesti muussa kuin sen virallisessa muodossa, jolloin voidaan suojautua esim. nettisivuja sähköpostiosoitteiden toivossa nuuskivilta boteilta. Koodi-injektiot • Web-palveluiden toteuttajien on otettava injektion mahdollisuus huomioon jokaisessa syötettä käsittelevässä ohjelmakoodissa. Ainakin itse henkilökohtaisesti käytän web-palveluihin rekisteröitymiseen epävirallista sähköpostiosoitettani. Tällä tavalla voin minimoida roskapostin saapumisen viralliseen postiini.

  18. 3) Miten uhkia/hyökkäyksiä vastaan voi suojautua? XSS • Web-palveluiden toteuttajien on otettava injektion mahdollisuus huomioon HTTP-pyyntöjä käsittelevässä ohjelmakoodissa. • XSS-haavoittuvuuksien löytäminen on vaikeaa, joten suojautuminenkin on haastavaa. CSRF • Käyttäjät voivat yrittää suojautua huijauksilta kirjautumalla ulos palvelusta ennen siirtymistä toiselle sivustolle ja pyyhkimällä selaimen keksit käytön päätteeksi. DDoS • Täydellinen suojautuminen lähes mahdotonta, koska haitallisen verkkokuorman tunnistaminen on todella vaikeaa. Oman verkkopalvelunsa voi DDoS:sata esim. saamalla siitä uutisen slashdot.orgiin.

  19. 4) Web 2.0- teknologian uhkia ja mahdollisuuksia Asynchronous JavaScript (AJAX) + Nopeuttaa käyttäjän selausta + Mahdollistaa rikkaampien käyttöliittymien tekemisen • Tekee asioita käyttäjän tietämättä • Ylläpitäminen monimutkaistuu ja sitä kautta myös virheen mahdollisuudet ja tietoturva-aukot kasvavat AJAX-koodia kirjoitettaessa Ajaxissa itsessään ei ole tietoturvaongelmia, mutta sen käyttämissä muissa teknologioissa niitä voi olla. https://www.net-security.org/article.php?id=956

  20. 4) Web 2.0- teknologian uhkia ja mahdollisuuksia Flash • Adoben Flash-alusta on kerännyt paljon huonoa mainetta lukuisten tietoturvaongelmiensa, sekä verrattain hitaan päivityssyklinsä vuoksi. Tämä on huomattu myös krakkeripiireissä, jossa Flashistaon muodostunut hyvin suosittu tietomurtovektori. • Flash on integroitunut hyvin tiukasti internetin jokapäiväiseen käyttöön mukaan, sen avulla on toteutettu sosiaalisessa mediassa mm. paljon pelejä, videosoittimia, mainoksia, erilaisia pienoisohjelmia jne. • Flash on asennettu yli 99% tietokoneista, joten potentiaaliset tietoturvauhat koskettavat lähes kaikkia tietokoneiden käyttäjiä. http://www.macromedia.com/software/player_census/npd/ http://www.adobe.com/products/player_census/flashplayer/ Google Chrome osaa päivittää Flashin itsestään.

  21. 4) Web 2.0- teknologian uhkia ja mahdollisuuksia eXtensibleMarkupLanguage (XML) • XML tarjoaa universaalin yleispätevän formaatin tiedon tallentamiseen ja välittämiseen. XML:än hyödyt ovat lähes rajattomat, eikä niitä kannata listata. • Teos XML Hacksby Michael Fitzegald sisältää useita XML:n heikkouksia. Yllättävää on, että näinkin staattinen tiedonesitysformaatti mahdollistaa useita eri haavoittuvuuksia.

  22. 4) Web 2.0- teknologian uhkia ja mahdollisuuksia JavaScript ObjectNotation (JSON) - JSON aspires to be nothing more than a simple, and elegant data format for the exchange of information between the browser and server;http://www.hunlock.com/blogs/Mastering_JSON_(_JavaScript_Object_Notation_) - Esimerkkiongelma: JSON/Array hack that allows a user to steal JSON data on Mozilla and any other platform with a modern JavaScript interpreter. http://directwebremoting.org/blog/joe/2007/03/05/json_is_not_as_safe_as_people_think_it_is.html

  23. 4) Web 2.0- teknologian uhkia ja mahdollisuuksia CascadingStyleSheet (CSS) • Huijaussivusta saadaan helposti samannäköinen • Turvallisen linkin päälle voidaan lisätä elementti jossa onkin haitallinen linkki • Selaimista (IE) on löytynyt etäkäyttöä mahdollistavia tietoturva-aukkoja. https://technet.microsoft.com/en-us/security/advisory/2488013 • JavaScriptin sisällyttäminen CSS:n tuo mukanaan JS:n ongelmat. https://code.google.com/p/browsersec/wiki/Part1

  24. Kiitos

More Related