Välkommen till kursen Öppen källkod, IT-rätt och säkerhet, IG020G !

1. 2014-10-09 Välkommen till kursenÖppen källkod, IT-rätt och säkerhet, IG020G! Magnus.eriksson@miun.se För utbildningsprogrammetMobilaapplikationer och nätverkstjänster för Android Föreläsning 11: Malware. Skydd mot dataintrång. Text (ej bilder) fritt tillgängligt under Creative Commons BY-SA 3.0

2. Kursuppläggning • Ulf Jennehag • Fö 1: Kursintroduktion. Introduktion till mobila operativsystem, smartphones, Android och appar. (Magnus definierar begrepp.) • Magnus Eriksson • Fö 2: Immaterialrätt: patent, IP-avtal, upphovsrätt, designskydd, verkshöjd. (Ulf berättar om egna erfarenheter av patentansökning.) • Fö 3: Öppet innehåll: wikier, creativecommons licenser, gpdl • Lab 1: Öppet innehåll och wikipublicering • Fö 4: IT-juridik: PUL, BBS-lagen, lagen om elektronisk kommunikation, offentlighetsprincipen, FRA-lagen, Ipred • Robert Olofsson, gästföreläsare från Nordic Peak • För 5-6: Öppen källkod: Licenser, utvecklingsverktyg och samarbetsformer  • Olle Nilsson • Fö 7-9: Open Innovation: grundläggande principer, samarbetsformer, typfall. Samhällsvetenskapliga aspekter.  • Magnus Eriksson • Fö 10-12: IT-säkerhet: Lösenord, certifikat, policier, malware, säkerhet i trådlösa nätverk och vid molntjänster, riskanalys • Lab 2: Lösenord • Lab 3: Nätverkssäkerhet • Fö 13: Repetition, återkoppling på redovisningsuppgifter.

3. Malicious software, malware (sabotageprogram, elakartad kod) Virus – self-replicating program that can infect other programs by modifying them to include a version of itself, often carrying a logic bomb as a payload (Cohen, 1984), e.g. Boot sector virus Root kit – Operating-system modification to hide intrusion Worm (mask) – self-replicating program that spreads onto other computers by breaking into them via network connections and – unlike a virus – starts itself on the remote machine without infecting other programs Trojan horse (trojansk häst), parasite program – useful application software with hidden/undocumented malicious side-effects (e.g. “AIDS Information Disk”, 1989) Backdoor (bakdörr) – function in a Trojan Horse that enables unauthorised access (or left open intentionally by developed)

4. Malware (forts.) Logic bomb – a Trojan Horse that executes its malicious function only when a specific trigger condition is met (e.g., a timeout after the employee who authored it left the organisation), for example to start send emails or carry out a Denial of Service (DoS) atack or Distributed DoS atack (DDoS) from several computers simultaneously. Spyware – (spionprogram) may find out your friends email addresses, or your login information. Web sites that share cookies via embedded pictures, may share information about your web surfing. Adware– (annonsprogram) byter ur reklambanners på webben mot annan reklam, startar popupfönster på webben och sänder spammail.

5. Spoofing attack - adressförfalskningsattack Spoof sajter – Bluffwebbsajter eller parodier på webbsajter, ofta med webbadress (URL) som liknar vanliga webbadresser. IP Spoofing – Fejkad avsändar-IP-adress som ser ut att komma från dator inom intranätet DNS spoofing (genom cashe poisoning) – Lurar DNS-systemet Mac spoofing/ARP flooding/poisoning – Lurar systemet vilken IP-adress som motsvarar vilken fysisk MAC-adress Läs http://sv.wikipedia.org/wiki/Spoofing

6. Tekniska skydd mot dataintrång Access control lists (ACL) – reglerar vilka användare som får tillgång till vilken fil eller nätverksresurs Switchar (paketväxlar) istället för hubbar och bussnät Antivirusprogram – skyddar mot lagring av filer med kända ”mönster” på hårddisken. Nätverksbrandvägg – I anslutning till routern. Stoppar fräsmt externa klienter att gå in på interna servrar. Kan minska möjlighet till Personlig brandvägg – kan dessutom be användaren om bekräftelse om ett nyinstallerat program vill kommunicera. På så sätt kan trojaner stoppas. Leaktest = ”godartat trojan”. Klient som testar säkerheten. Innefattar portskanning. Automatisk uppdatering till senaste versionen av viktiga filer. Minskar möjlighet till buffer overflow och liknande. Kryptering och digitala signaturer baserade på certifikat från tillförlitlig Certification Authority (CA) exempelvis : WEP (svagt) och WPA i trådlösa nätverk Virtuella privata nätverk (VPN) Https , ftps, sftp – krypterad kommunikation mot webb/filserver. Hindrar man-in-the-middle-atacker. Webb proxy

7. Unix file access control list (åtkomstkontroll)

8. Windows file access control

9. TCP/IP-modellen Portnr, sekvensnr IP-adress MAC-adress H – header (pakethuvud): control data added at the front end of the data unit T – trailer (svans): control data added at the back end of the data unit Trailers are usually added only at layer 2.

10. Network Address Translation (NAT)-proxy Host C Host B IP: 130.16.4.1 MAC: 015100212983 130.16.4.2 70DD35530178 130.16.4.3 BB26165274D3 Host D Router + NAT server Privat IP: 10.14.5.2 MAC: 02CB239B Host A 172.16.5.255 Private IP: 10.14.5.1 Public IP: 193.10.250.187 MAC addr: 0013020764AE Router 10.2.1.2 193.10.250.187 A0C11222F53B Private IP: 10.2.1.1 Public IP: 193.10.250.187 MAC addr: 31BE4A19273A 10.2.1.3 001B55301781 Syfte med NAT: Flera kan dela på samma publika IP-adress. Även vissasäkerhetsfördelar – det fungerar som brandvägg.Exempel: D sänder till C. Spion A och B kör ”snifferprogram”. Vilken avsändar- och mottagar-MAC-address och vilka IP-adresser ser spion A? Vad ser spion B?

11. Brandväggar (firewalls) Läs http://sv.wikipedia.org/wiki/Brandv%C3%A4gg Syftar främst till att stoppa externa klienter från att komma åt interna servrar. Stoppar paket till fel portnummer TCP- och UDP-portnummer. Hål kan öppnas för servrar man vill att en server ska vara åtkomlig utifrån. Det kallas för port forwarding. Nätverksbrandvägg (idag oftast ”hårdvarubrandvägg”) är en proxyserver som kan finnas kan finnas i en router. Personlig brandvägg är ett program i en vanlig dator. Den kontrollerar även vilket applikationsprogram som har rätt att porta, och han hindra trojaner från att kommunicera ut på nätet. Exempel: ZoneAlarm, Windows firewall, brandväggar som medföljer i vissa antivirusprogram. DMZ = Demilitariserad zon: IP-adresser till vilka alla portar öppnas. Port scanning = extern server för test av vilka portar som är öppna.

12. Proxy firewall

13. Windows security center

14. Windows firewall – default on

15. Stack smashing/buffer overflow attack

16. Virtuella privata nätverk (VPN) Syfte: VPN möjliggör säker kommunikation över trådlösa nätverk eller över Internet. En person som arbetar i hemmet kan komma åt resurser (delade diskar och skrivare) i företagets Intranet/LAN och komma åt företagets lokala resurser. Princip: IP-paket tunnlas=inkapslas inuti andra IP-paket, som kan vara krypterade.

17. HTTP vs HTTPS • När en webbläsare begär innehåll från en webbserver görs detta via HTTP-protokollet. • Exempel på begäran: • GET /path/to/ file /index.html HTTP/1.0 • Exempel på svar: • HTTP/1.0 404 Not found. Därefter följer HTML-kod för en felsida. • HTTP överförs okrypterat över Telnet • HTTPS är HTTP över TLS/SSL, dvs ”krypterad Telnet” • Servern för över sitt certifikat. Klienten (webbläsaren) krypterar ett slumptal med serverns publika nyckel. Bara den som har den motsvarande privata nyckeln kan avkryptera. Slumptalet används för att kryptera kommunikationssessionen. • tillhandahålles från ett företag som callas Certification authority (CA).