Uploaded byjapijapi
262 views

Tieturi-internet-ohjelmointi-1998

Esitys web-palvelujen tietoturvasta joulukuussa 1998

Internetâ—¦

Embed presentation

Download to read offline
Tietoturvan toteuttaminen web-palvelussa Internet-ohjelmoijan ajankohtaispäivät 17.-18.12 1998 Jari Pirhonen, CISSP (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com/
Määritelmä “Trustworthiness of an Networked Information System does what it is required - despite environmental disruption, human user and operator errors, and attacks by hostile parties - and that it does not do other things. Design and implementation errors must be avoided, eliminated, or somewhat tolerated. Addressing only some aspects of the problem is not sufficient. Moreover, achieving trustworthiness requires more than just assembling components that are themselves trustworthy.” “Insecurity exists; insecurity cannot be destroyed; insecurity can be moved around” Trust in Cyberspace Committee on Information Systems Trustworthiness Editor Fred B. Schneider
“Turvallinen” … EI tarkoita yhtään mitään ellet tiedä • mitä riskeeraat, jos tieto ei ole suojassa • keneltä suojaat tietosi • mitä tapahtuu, jos menetät tietosi • kuinka paljon olet valmis panostamaan tietojen turvaamiseksi • mitkä ovat vastuusi ja velvollisuutesi
Tietoturva on liiketoimintaongelma • Tietoturva EI OLE teknologiaongelma DATA Tietoturvakerrokset Organisaatio + hallinto Henkilökunta Fyysinen Laitteistot Tietoliikenne Ohjelmistot Hallinta
Tavoite • Tunnista tarpeesi ja velvollisuutesi! • Luottamuksellisuus - eheys - käytettävyys “Tietoturvakaava” Tietoturvallisuus = uhka-analyysi + tietoturvapolitiikka + tekninen implementointi + monitorointi ja auditointi + reagointi rikkomuksiin
Uhat Internetissä WWW Henkilöllisyyden väärentäminen Verkkoviestien väärentäminen Verkkoviestien kuuntelu Palvelujen kuormitus Palvelun “imitointi” Protokollat Reititys Sovellukset Käyttöjärjestelmät Löysä tietoturvapolitiikka Tiukka tietoturvapolitiikka Puolueeton alue Selain Java/ActiveX Pluginit Internet
Hyökkäykset “TOP 10” 1. sosiaaliset keinot 2. salasanat 3. luottamusmalli 4. tietoturvatoteutus 5. versiot ja konfigurointi 6. vaarallinen linkki 7. hyökkäysten tunnistaminen 8. laitteisto 9. salausalgoritmien toteutus 10. salausalgoritmit
Tutkimuksia • 1996 CSI/FBI Computer Security Survey – 42% kyselyyn osallistuneista Fortune 500 yrityksistä oli joutunut hyökkäyksen kohteeksi. – 32% ilmoitti menettäneensä yhteensä yli 100 miljoonaa dollaria tietoturvarikkomuksissa. • 1997 CSI/FBI Computer Security Survey (http://www.njh.com/general/fbi.html) – kysely kohdistettu 520 tietoturva-ammattilaiselle USAn yrityksissä, virastoissa finanssilaitoksissa ja yliopistoissa – virukset, laitevarkaudet, verkkohyökkäykset, sabotaasi – 64% joutunut hyökkäyksen kohteeksi viimeisen 12 kk:n aikana – 75% kärsi taloudellisia vahinkoja – 46% ilmoitti menettäneensä yhteensä yli 136 miljoonaa dollaria tietoturvarikkomuksissa – Sisäinen/ulkoinen: 80/20 => 50/50
Tutkimuksia • FBI 1997 / USAn yritysten raportoimat vahingot – finanssirikokset $11.2 miljoonaa – televiestintärikokset $17.2 miljoonaa – yrityskohtaisen tiedon varkaudet $33.5 miljoonaa – tiedon tai verkkojen sabotointi $2.1 miljoonaa – virukset $7 miljoonaa – kannettavien tietokoneiden varkaudet $5.2 miljoonaa • EU 1996 – 1300 yritystä – 54% oli huomannut tietoturvarikkeitä – 25% menetti vahingoissa yli $250 000 – 70% ei osannut arvioida vahinkoja – 48% kärsi oman henkilökunnan rikkomuksista
Tutkimuksia • Dan Farmer web-site survey 1996 – 2200 tutkitusta web-palvelusta n. 70% olisi helposti murtauduttavissa – kriittiset, näkyvät palvelut haavoittuvampia kuin satunnainen testiryhmä • Prowatch Secure verkkomonitorointi tuotteen asiakaskunta 1997 – 556 464 häytystä, vakavia hyökkäyksiä 0.5-5 kpl/kk/asiakas – www-palveluihin kohdistetuista hyökkäyksistä 100% kauppa-paikkoihin – “A hacker? That’s just the price of doing business on the Internet, son”
Tapauksia • Panix SYN flooding 1997 – Internet palveluntarjoaja “pommitettiin” toimintakyvyttömäksi • SexyGirls 1997 – Käyttäjän modeemiyhteys ohjattiin Moldovialaisen puhelinyhtiön kautta • InterNIC DNS / Kashpureff 1997 – Nimipalvelun muutos: www.internic.com => www.alternic.com • Salgado / varasti 100,000 luottokorttinumeroa yritysten tietokannoista 1997 – lankesi FBI:n ansaan myydessään numeroita 260 000 dollarilla • Pentagon HackAttack 1998 – USA:n hallituksen koneisiin murtauduttiin
Tapauksia • Chaos Computer Club / ActiveX + Intuit 1997 – ActiveX-komponentti ajasti automaattisen maksun käyttäjän tililtä • Web-graffiti: FOX, Yahoo, UNICEF,CIA,DoJ,Rolling Stones,Telia, NASA, Kriegsman Fur,US Air Force,Cyberpromotions,Crack a Mac,Pentagon, Whitepower – hacked.net tilastoi vuonna 1997 368 muutettua web-palvelua, 1998 tammi- helmikuussa jo yli 200 kpl. • New Tear attack1998: Nasa, Navy, lukuisia yliopistoja – Vastalause Microsoftille Bill Gatesin esiintyessä senaatille • Worcesterin lentokenttä 1997: hakkerit saivat pois toiminnasta mm. lennonjohdon puhelinpalvelut, sääpalvelut, lentokentän turvapalvelut ja paloaseman järjestelmät.
Tapauksia • AUSnet 1995: Skeeve Stevens vei 1250 luottokortin tiedot ja välitti ne Internetiin, yrityksen kotisivu muutettiin. 500 luottokorttia jouduttiin peruuttamaan ja korvauksia käyttäjille maksettiin $300.000, Paljon negatiivista julkisuutta. Stevens tuomittiin 3 vuodeksi vankeuteen. • Deutche Telekom/T-Online 1998: kaksi 16-vuotiasta tunkeutui ISP:n järjestelmiin ja varasti satoja pankkiyhteystietoja
• Tutkimus 1990 ja 1995: komennoille (>80 kpl) generoitiin satunnaissyöte ja tutkittiin käyttäytymistä • SunOS, Solaris, HP-UX, AIX, IRIX, Ultrix, Nextstep, Linux, GNU työkalut • Komennot eivät osanneet käsitellä virheellistä syötettä: komento tai kone kaatui, komento jäi epämääräiseen tilaan • virheellisesti toimivien osuus: kaupalliset Unixit 18-23%, Linux 9%, GNU 6% • 1990 ja 1995 tutkimuksissa löydettiin samoja virheitä Unix-komentojen luotettavuus ftp://grilled.cs.wisc.edu/technical_papers/fuzz-revisited.ps Solaris 7 has 12 million lines of code with less than10% new, in contrast with Windows NT 5.0 with million lines of code and over 50% new
Web-palvelun turvaaminenVahvasalaus Vahva käyttäjätunnistus Valtuutus Käyttäjähallinta Liitynnätoper. järjestelmiin Maksaminen Operointi Seuranta Perustoimet: minimaalinen kj, patchit, palvelimen sijoitus, palomuuri Web-palvelin: oikeaoppinen asennus, SSL, varmenteet, ACL, tunnus/salasana
Sovellusnäkökulma WWW Cobol, Java, C, C++, Tuxedo,… Oracle, Informix, Solid, SQL Server,... RMI, DCOM, IIOP, MQ, JDBC,... HTML, Corba, CGI, COM, ASP, VB, JavaScript, Perl, Java, LDAP,... Java, JavaScript, COM, Corba, VB,... HTTP, RMI, DCOM,IIOP,...
Sovelluskehityksen haasteet • kiire, kiire, kiire • beta-kulttuuri • kilpailevat standardit • välineiden ja protokollien runsaus, nopea kehitys • ympäristön vaikeus: hajautettu oliomalli, C++ • valmiskomponentit • tietoturva koetaan add-on piirteenä • sovelluksista testataan toiminnallisuutta ei tietoturvaa => toimiva sovellus ei välttämättä ole turvallinen • tietoturva ei ole hauskaa
The Mythical Man-Month Ohjelma 1 aikayksikkö Ohjelmistotuote • testaus • dokumentaatio • yleiskäyttöisyys • ylläpito Ohjelmistokomponentti • määritellyt rajapinnat • integrointi • yhteistoiminta Tuotteistettu ohjelmistokomponentti 3x 3x 9x Frederick P. Brooks
Vinkkejä • Tietoturva mietittävä alusta pitäen sovelluksen osaksi • Tietoturvaexpertti mukaan projektiin • Käytetään koeteltuja välineitä ja komponentteja • Käytä mahdollisimman “riisuttua” ajoalustaa (NT, Unix) • Tehdään sovelluksista siirrettäviä => alustaa voidaan vaihtaa • Kaikki on suojattava: sulje paitsi etuovi, myös takaovi ja ikkunat. Varmista savupiippu ja saranat. Pääseekö autotallin kautta sisään? • KISS
Vinkkejä • Älä luota käyttäjään • Älä luota client tai server-sovellukseen • Älä luota alla olevaan järjestelmään • Ohjelmalla oltava vain välttämättömät oikeudet • Tekeehän ohjelma vain sen mitä pitää? • Tarkista kutsujen paluuarvot • Älä luota systeemin tilaan • Älä pidä luottamuksellista tietoa salaamattomana tiedostoissa tai puskureissa • Ajattele niin kuin hakkeri
Häpeänaiheita • Salasanat käyttäjän tunnistamiseksi web-palvelussa - selväkielisenä verkossa • Luottokorttinumeroiden varastointi web-palvelimen tietokantoihin • Loppukäyttäjä tekee tietoturvapäätökset
Internet Suojausarkkitehtuuri Hakemistopalvelu Varmennepalvelu Tietokannat Kehitys WWW Kauppa Hakemistopalvelu VPN VPN SSH SSL/SSH Kumppanit, kauppiaat Asiakkaat Yritysverkko Palveluverkko HTTP/SSL CA
Motto? "History has taught us: never underestimate the amount of money, time, and effort someone will expend to thwart a security system. It's always better to assume the worst. Assume your adversaries are better than they are...Give yourself a margin for error. Give yourself more security than you need today. When the unexpected happens you'll be glad you did.” Bruce Schneier, Counterpane Systems

More Related Content

PDF
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
byDeittisirkus
 
PPTX
Tietoturva ja käyttätytyminen intranetissä
byJyrki Kasvi
 
PDF
Tietoturvan perusteet
byTomi Toivio
 
PPTX
Tietoturva ja internet luento 22.1.2016
byrierjarv
 
PDF
Tietoturvaa it kehitykselle 12 2012
byTomppa Kuusi (formerly Järvinen)
 
PDF
Hyökkays haavoittuvaan verkkopalveluun
by2NS
 
PDF
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
byNixu Corporation
 
PDF
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
byMirva Tapaninen
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
byDeittisirkus
 
Tietoturva ja käyttätytyminen intranetissä
byJyrki Kasvi
 
Tietoturvan perusteet
byTomi Toivio
 
Tietoturva ja internet luento 22.1.2016
byrierjarv
 
Tietoturvaa it kehitykselle 12 2012
byTomppa Kuusi (formerly Järvinen)
 
Hyökkays haavoittuvaan verkkopalveluun
by2NS
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
byNixu Corporation
 
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
byMirva Tapaninen
 

Similar to Tieturi-internet-ohjelmointi-1998

PDF
Tietoturva 2011, Tietoturvamyytit
byPete Nieminen
 
PPTX
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
byTieturi Oy
 
PPTX
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
byNixu Corporation
 
PDF
Yliopistojen Projekti SIG 2015
byTomppa Kuusi (formerly Järvinen)
 
PDF
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
bySonera
 
PDF
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
byTomppa Kuusi (formerly Järvinen)
 
PDF
Verkkoturvallisuuskuukausi: Ovatko tilisi ja tietosi turvassa?
byFinanssivalvonta
 
PDF
Tietoturva ja IT-arkkitehtuuri
byThomas Malmberg
 
PDF
Tietoturva - onko sinulla varaa olla investoimatta siihen?
bySovelto
 
PDF
Tietoturva ja Internet (luento)
byTieto- ja viestintätekniikkakoulu
 
PDF
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
byNixu Corporation
 
PPT
Verkkosovellusten tietoturvastrategia 20.4.2010
byjapijapi
 
PDF
Palveluiden ja tietoturvan valtuushallinta
byThomas Malmberg
 
PPT
Tietoturvallisuuden ajankohtaiset haasteet
byjapijapi
 
PPTX
Pilvipalveluhanke tietoturvan nakokulmasta
byTomppa Kuusi (formerly Järvinen)
 
PPTX
Mitä minun pitäisi tietää tietokoneiden tietoturvasta
byTowo Toivola
 
PPT
Mainostoimisto Kanava.to – Webortaasi2013
byMainostoimisto Kanava.to
 
PPTX
Verkkopalvelun tietoturva
by2NS
 
PPT
Petteri jarvinen tietoturva ja tietosuoja 120510_ramk
byMirva Tapaninen
 
PDF
8 opettajan tietoturva
byMikko Horila
 
Tietoturva 2011, Tietoturvamyytit
byPete Nieminen
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
byTieturi Oy
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
byNixu Corporation
 
Yliopistojen Projekti SIG 2015
byTomppa Kuusi (formerly Järvinen)
 
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
bySonera
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
byTomppa Kuusi (formerly Järvinen)
 
Verkkoturvallisuuskuukausi: Ovatko tilisi ja tietosi turvassa?
byFinanssivalvonta
 
Tietoturva ja IT-arkkitehtuuri
byThomas Malmberg
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
bySovelto
 
Tietoturva ja Internet (luento)
byTieto- ja viestintätekniikkakoulu
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
byNixu Corporation
 
Verkkosovellusten tietoturvastrategia 20.4.2010
byjapijapi
 
Palveluiden ja tietoturvan valtuushallinta
byThomas Malmberg
 
Tietoturvallisuuden ajankohtaiset haasteet
byjapijapi
 
Pilvipalveluhanke tietoturvan nakokulmasta
byTomppa Kuusi (formerly Järvinen)
 
Mitä minun pitäisi tietää tietokoneiden tietoturvasta
byTowo Toivola
 
Mainostoimisto Kanava.to – Webortaasi2013
byMainostoimisto Kanava.to
 
Verkkopalvelun tietoturva
by2NS
 
Petteri jarvinen tietoturva ja tietosuoja 120510_ramk
byMirva Tapaninen
 
8 opettajan tietoturva
byMikko Horila
 

More from japijapi

PDF
Map of security related EU legislations.
byjapijapi
 
PDF
Palveluntarjoajan tietoturvakyvykkyyden varmistaminen-22.10.24.pdf
byjapijapi
 
PDF
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
byjapijapi
 
PDF
Tietoturvakatsaus 2022
byjapijapi
 
PDF
Management Events kybervoimavara 16.2.22.pdf
byjapijapi
 
PDF
EK kyberosaaminen 26.1.22
byjapijapi
 
PDF
Kyberosaaja 17.5.21
byjapijapi
 
PDF
Cybersecurity skills-gap 2021
byjapijapi
 
PDF
TTRY etatyon tietoturva_28.5.20
byjapijapi
 
PDF
Aalto PRO turvallisuus 2.0
byjapijapi
 
PDF
Cybersecurity skills gap 2020
byjapijapi
 
PDF
Digiturva sovellusturva-11.2.19
byjapijapi
 
PPTX
Aalto cyber-10.4.18
byjapijapi
 
PDF
Digiturva17 sovellusturva-16.10.17
byjapijapi
 
PDF
Reality of cybersecurity 11.4.2017
byjapijapi
 
PDF
Digitaalinen turvallisuus muuttuvassa ympäristössä
byjapijapi
 
PPTX
Samlink-sd-drinks-10.2.15
byjapijapi
 
PPTX
Kokemuksia tietoturvallisuuden johtamisesta
byjapijapi
 
PPT
Turvallisuus- ja yritysjohdon yhteistyö
byjapijapi
 
PPT
Talentum palvelujen-tietoturva-12.6.13
byjapijapi
 
Map of security related EU legislations.
byjapijapi
 
Palveluntarjoajan tietoturvakyvykkyyden varmistaminen-22.10.24.pdf
byjapijapi
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
byjapijapi
 
Tietoturvakatsaus 2022
byjapijapi
 
Management Events kybervoimavara 16.2.22.pdf
byjapijapi
 
EK kyberosaaminen 26.1.22
byjapijapi
 
Kyberosaaja 17.5.21
byjapijapi
 
Cybersecurity skills-gap 2021
byjapijapi
 
TTRY etatyon tietoturva_28.5.20
byjapijapi
 
Aalto PRO turvallisuus 2.0
byjapijapi
 
Cybersecurity skills gap 2020
byjapijapi
 
Digiturva sovellusturva-11.2.19
byjapijapi
 
Aalto cyber-10.4.18
byjapijapi
 
Digiturva17 sovellusturva-16.10.17
byjapijapi
 
Reality of cybersecurity 11.4.2017
byjapijapi
 
Digitaalinen turvallisuus muuttuvassa ympäristössä
byjapijapi
 
Samlink-sd-drinks-10.2.15
byjapijapi
 
Kokemuksia tietoturvallisuuden johtamisesta
byjapijapi
 
Turvallisuus- ja yritysjohdon yhteistyö
byjapijapi
 
Talentum palvelujen-tietoturva-12.6.13
byjapijapi
 

Tieturi-internet-ohjelmointi-1998

  • 1.
    Tietoturvan toteuttaminen web-palvelussa Internet-ohjelmoijan ajankohtaispäivät17.-18.12 1998 Jari Pirhonen, CISSP (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com/
  • 2.
    Määritelmä “Trustworthiness of anNetworked Information System does what it is required - despite environmental disruption, human user and operator errors, and attacks by hostile parties - and that it does not do other things. Design and implementation errors must be avoided, eliminated, or somewhat tolerated. Addressing only some aspects of the problem is not sufficient. Moreover, achieving trustworthiness requires more than just assembling components that are themselves trustworthy.” “Insecurity exists; insecurity cannot be destroyed; insecurity can be moved around” Trust in Cyberspace Committee on Information Systems Trustworthiness Editor Fred B. Schneider
  • 3.
    “Turvallinen” … EI tarkoitayhtään mitään ellet tiedä • mitä riskeeraat, jos tieto ei ole suojassa • keneltä suojaat tietosi • mitä tapahtuu, jos menetät tietosi • kuinka paljon olet valmis panostamaan tietojen turvaamiseksi • mitkä ovat vastuusi ja velvollisuutesi
  • 4.
    Tietoturva on liiketoimintaongelma • TietoturvaEI OLE teknologiaongelma DATA Tietoturvakerrokset Organisaatio + hallinto Henkilökunta Fyysinen Laitteistot Tietoliikenne Ohjelmistot Hallinta
  • 5.
    Tavoite • Tunnista tarpeesija velvollisuutesi! • Luottamuksellisuus - eheys - käytettävyys “Tietoturvakaava” Tietoturvallisuus = uhka-analyysi + tietoturvapolitiikka + tekninen implementointi + monitorointi ja auditointi + reagointi rikkomuksiin
  • 6.
    Uhat Internetissä WWW Henkilöllisyyden väärentäminen Verkkoviestienväärentäminen Verkkoviestien kuuntelu Palvelujen kuormitus Palvelun “imitointi” Protokollat Reititys Sovellukset Käyttöjärjestelmät Löysä tietoturvapolitiikka Tiukka tietoturvapolitiikka Puolueeton alue Selain Java/ActiveX Pluginit Internet
  • 7.
    Hyökkäykset “TOP 10” 1.sosiaaliset keinot 2. salasanat 3. luottamusmalli 4. tietoturvatoteutus 5. versiot ja konfigurointi 6. vaarallinen linkki 7. hyökkäysten tunnistaminen 8. laitteisto 9. salausalgoritmien toteutus 10. salausalgoritmit
  • 8.
    Tutkimuksia • 1996 CSI/FBIComputer Security Survey – 42% kyselyyn osallistuneista Fortune 500 yrityksistä oli joutunut hyökkäyksen kohteeksi. – 32% ilmoitti menettäneensä yhteensä yli 100 miljoonaa dollaria tietoturvarikkomuksissa. • 1997 CSI/FBI Computer Security Survey (http://www.njh.com/general/fbi.html) – kysely kohdistettu 520 tietoturva-ammattilaiselle USAn yrityksissä, virastoissa finanssilaitoksissa ja yliopistoissa – virukset, laitevarkaudet, verkkohyökkäykset, sabotaasi – 64% joutunut hyökkäyksen kohteeksi viimeisen 12 kk:n aikana – 75% kärsi taloudellisia vahinkoja – 46% ilmoitti menettäneensä yhteensä yli 136 miljoonaa dollaria tietoturvarikkomuksissa – Sisäinen/ulkoinen: 80/20 => 50/50
  • 9.
    Tutkimuksia • FBI 1997/ USAn yritysten raportoimat vahingot – finanssirikokset $11.2 miljoonaa – televiestintärikokset $17.2 miljoonaa – yrityskohtaisen tiedon varkaudet $33.5 miljoonaa – tiedon tai verkkojen sabotointi $2.1 miljoonaa – virukset $7 miljoonaa – kannettavien tietokoneiden varkaudet $5.2 miljoonaa • EU 1996 – 1300 yritystä – 54% oli huomannut tietoturvarikkeitä – 25% menetti vahingoissa yli $250 000 – 70% ei osannut arvioida vahinkoja – 48% kärsi oman henkilökunnan rikkomuksista
  • 10.
    Tutkimuksia • Dan Farmerweb-site survey 1996 – 2200 tutkitusta web-palvelusta n. 70% olisi helposti murtauduttavissa – kriittiset, näkyvät palvelut haavoittuvampia kuin satunnainen testiryhmä • Prowatch Secure verkkomonitorointi tuotteen asiakaskunta 1997 – 556 464 häytystä, vakavia hyökkäyksiä 0.5-5 kpl/kk/asiakas – www-palveluihin kohdistetuista hyökkäyksistä 100% kauppa-paikkoihin – “A hacker? That’s just the price of doing business on the Internet, son”
  • 11.
    Tapauksia • Panix SYNflooding 1997 – Internet palveluntarjoaja “pommitettiin” toimintakyvyttömäksi • SexyGirls 1997 – Käyttäjän modeemiyhteys ohjattiin Moldovialaisen puhelinyhtiön kautta • InterNIC DNS / Kashpureff 1997 – Nimipalvelun muutos: www.internic.com => www.alternic.com • Salgado / varasti 100,000 luottokorttinumeroa yritysten tietokannoista 1997 – lankesi FBI:n ansaan myydessään numeroita 260 000 dollarilla • Pentagon HackAttack 1998 – USA:n hallituksen koneisiin murtauduttiin
  • 12.
    Tapauksia • Chaos ComputerClub / ActiveX + Intuit 1997 – ActiveX-komponentti ajasti automaattisen maksun käyttäjän tililtä • Web-graffiti: FOX, Yahoo, UNICEF,CIA,DoJ,Rolling Stones,Telia, NASA, Kriegsman Fur,US Air Force,Cyberpromotions,Crack a Mac,Pentagon, Whitepower – hacked.net tilastoi vuonna 1997 368 muutettua web-palvelua, 1998 tammi- helmikuussa jo yli 200 kpl. • New Tear attack1998: Nasa, Navy, lukuisia yliopistoja – Vastalause Microsoftille Bill Gatesin esiintyessä senaatille • Worcesterin lentokenttä 1997: hakkerit saivat pois toiminnasta mm. lennonjohdon puhelinpalvelut, sääpalvelut, lentokentän turvapalvelut ja paloaseman järjestelmät.
  • 13.
    Tapauksia • AUSnet 1995:Skeeve Stevens vei 1250 luottokortin tiedot ja välitti ne Internetiin, yrityksen kotisivu muutettiin. 500 luottokorttia jouduttiin peruuttamaan ja korvauksia käyttäjille maksettiin $300.000, Paljon negatiivista julkisuutta. Stevens tuomittiin 3 vuodeksi vankeuteen. • Deutche Telekom/T-Online 1998: kaksi 16-vuotiasta tunkeutui ISP:n järjestelmiin ja varasti satoja pankkiyhteystietoja
  • 14.
    • Tutkimus 1990ja 1995: komennoille (>80 kpl) generoitiin satunnaissyöte ja tutkittiin käyttäytymistä • SunOS, Solaris, HP-UX, AIX, IRIX, Ultrix, Nextstep, Linux, GNU työkalut • Komennot eivät osanneet käsitellä virheellistä syötettä: komento tai kone kaatui, komento jäi epämääräiseen tilaan • virheellisesti toimivien osuus: kaupalliset Unixit 18-23%, Linux 9%, GNU 6% • 1990 ja 1995 tutkimuksissa löydettiin samoja virheitä Unix-komentojen luotettavuus ftp://grilled.cs.wisc.edu/technical_papers/fuzz-revisited.ps Solaris 7 has 12 million lines of code with less than10% new, in contrast with Windows NT 5.0 with million lines of code and over 50% new
  • 15.
  • 16.
    Sovellusnäkökulma WWW Cobol, Java, C,C++, Tuxedo,… Oracle, Informix, Solid, SQL Server,... RMI, DCOM, IIOP, MQ, JDBC,... HTML, Corba, CGI, COM, ASP, VB, JavaScript, Perl, Java, LDAP,... Java, JavaScript, COM, Corba, VB,... HTTP, RMI, DCOM,IIOP,...
  • 17.
    Sovelluskehityksen haasteet • kiire,kiire, kiire • beta-kulttuuri • kilpailevat standardit • välineiden ja protokollien runsaus, nopea kehitys • ympäristön vaikeus: hajautettu oliomalli, C++ • valmiskomponentit • tietoturva koetaan add-on piirteenä • sovelluksista testataan toiminnallisuutta ei tietoturvaa => toimiva sovellus ei välttämättä ole turvallinen • tietoturva ei ole hauskaa
  • 18.
    The Mythical Man-Month Ohjelma 1aikayksikkö Ohjelmistotuote • testaus • dokumentaatio • yleiskäyttöisyys • ylläpito Ohjelmistokomponentti • määritellyt rajapinnat • integrointi • yhteistoiminta Tuotteistettu ohjelmistokomponentti 3x 3x 9x Frederick P. Brooks
  • 19.
    Vinkkejä • Tietoturva mietittäväalusta pitäen sovelluksen osaksi • Tietoturvaexpertti mukaan projektiin • Käytetään koeteltuja välineitä ja komponentteja • Käytä mahdollisimman “riisuttua” ajoalustaa (NT, Unix) • Tehdään sovelluksista siirrettäviä => alustaa voidaan vaihtaa • Kaikki on suojattava: sulje paitsi etuovi, myös takaovi ja ikkunat. Varmista savupiippu ja saranat. Pääseekö autotallin kautta sisään? • KISS
  • 20.
    Vinkkejä • Älä luotakäyttäjään • Älä luota client tai server-sovellukseen • Älä luota alla olevaan järjestelmään • Ohjelmalla oltava vain välttämättömät oikeudet • Tekeehän ohjelma vain sen mitä pitää? • Tarkista kutsujen paluuarvot • Älä luota systeemin tilaan • Älä pidä luottamuksellista tietoa salaamattomana tiedostoissa tai puskureissa • Ajattele niin kuin hakkeri
  • 21.
    Häpeänaiheita • Salasanat käyttäjäntunnistamiseksi web-palvelussa - selväkielisenä verkossa • Luottokorttinumeroiden varastointi web-palvelimen tietokantoihin • Loppukäyttäjä tekee tietoturvapäätökset
  • 22.
  • 23.
    Motto? "History has taughtus: never underestimate the amount of money, time, and effort someone will expend to thwart a security system. It's always better to assume the worst. Assume your adversaries are better than they are...Give yourself a margin for error. Give yourself more security than you need today. When the unexpected happens you'll be glad you did.” Bruce Schneier, Counterpane Systems