1 / 67

สรุปเตรียมสอบกลางภาค 2/50

สรุปเตรียมสอบกลางภาค 2/50. Data. Information. คุณลักษณะสำคัญของ สารสนเทศ (Information) มี 3 ประการ คือ เป็นข้อมูลที่ผ่านการประมวลผลแล้ว มีรูปแบบที่มีประโยชน์นำไปใช้งานได้ มีคุณค่าสำหรับใช้ในการดำเนินงาน หรือตัดสินใจ. CSI/FBI Survey Report 2004. #1 Virus.

acton
Télécharger la présentation

สรุปเตรียมสอบกลางภาค 2/50

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. สรุปเตรียมสอบกลางภาค 2/50

  2. Data Information • คุณลักษณะสำคัญของ สารสนเทศ (Information) มี 3 ประการ คือ • เป็นข้อมูลที่ผ่านการประมวลผลแล้ว • มีรูปแบบที่มีประโยชน์นำไปใช้งานได้ • มีคุณค่าสำหรับใช้ในการดำเนินงาน หรือตัดสินใจ

  3. CSI/FBI Survey Report 2004 #1 Virus #2 Insider Abuse of Net Access #3 Laptop/mobile theft แหล่งที่มา: 2004 CSI/FBI Computer Crime and Security Survey (Computer Security Institute)

  4. CSI/FBI Survey Report 2005 #1 Virus #2 Insider Abuse of Net Access #3 Laptop/mobile theft แหล่งที่มา: 2005 CSI/FBI Computer Crime and Security Survey (Computer Security Institute)

  5. CSI/FBI Survey Report 2006 #1 Virus #2 Laptop/mobile theft #3 Insider Abuse of Net Access

  6. CSI/FBI Survey Report 2004 #1 Antivirus Software 99% #2 Firewalls 98% #3 Server-based Access Control Lists 71% แหล่งที่มา: 2004 CSI/FBI Computer Crime and Security Survey (Computer Security Institute)

  7. CSI/FBI Survey Report 2005 #1 Firewall 97% #2 Anti-Virus Software 96% #3 Instrusion Detection Systems 72% แหล่งที่มา: 2005 CSI/FBI Computer Crime and Security Survey (Computer Security Institute)

  8. CSI/FBI Survey Report 2006 #1 Firewall 98% #2 Anti-Virus Software 97% #3 Ansi-Spyware Softwares 79%

  9. Integrity Confidentiality Availability เป้าหมายของการรักษาความมั่นคงปลอดภัยทางสารสนเทศ Confidentiality คือการรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้มีสิทธิเท่านั้นจึงจะเข้าถึงข้อมูลนั้นได้ Integrity คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นโดย อุบัติเหตุหรือโดยเจตนา Availability คือการรับรองว่าข้อมูลและบริการการสื่อสารต่าง ๆ พร้อมที่จะใช้งานได้เมื่อต้องการ

  10. การรักษาความลับของข้อมูล (Confidentiality) • การป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาต (Unauthorized User) เข้าถึงแหล่งข้อมูลได้ • ถ้ามีการเข้าถึงแหล่งข้อมูลโดยบุคคลที่ไม่ได้รับอนุญาต ก็ไม่สามารถนำไปใช้งานได้เนื่องจากมีวิธีการปกป้องความปลอดภัยของข้อมูลอย่างเพียงพอ ทำให้ไม่สามารถเข้าใจเนื้อหาของข้อมูลหรือไม่สามารถเปิดดูเนื้อหาของข้อมูลนั้นได้ การป้องกันการปลอมแปลงข้อมูล (Integrity) • การรักษาความถูกต้องและความสมบูรณ์ของข้อมูลไว้เสมอ • ป้องกันไม่ให้มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต ความพร้อมใช้งาน (Availability) เพื่อให้ระบบนั้นสามารถที่จะทำงานได้ตามปกติและเต็มประสิทธิภาพ ต้องมีขีดความสามารถดังนี้ • ปฏิบัติงานได้ตามปริมาณที่ต้องการได้ • ปฏิบัติงานได้ภายในเวลาที่กำหนด

  11. Figure 1-2: Other Empirical Attack Data • Riptech • Analyzed 5.5 billion firewall log entries in 300 firms in five-month period • Detected 128,678 attacks—an annual rate of 1,000 per firm • Only 39% of attacks after viruses were removed were directed at individual firms

  12. Figure 1-2: Other Empirical Attack Data • SecurityFocus • Data from 10,000 firms in 2001 • Attack Frequency • 129 million network scanning probes (13,000 per firm) • 29 million website attacks (3,000 per firm) • 6 million denial-of-service attacks (600 per firm)

  13. Figure 1-2: Other Empirical Attack Data • SecurityFocus • Attack Targets • 31 million Windows-specific attacks • 22 million UNIX/LINUX attacks • 7 million Cisco IOS attacks • All operating systems are attacked!

  14. Figure 1-2: Other Empirical Attack Data • Honeynet project • Networks set up for adversaries to attack • Windows 98 PC with open shares and no password compromised 5 times in 4 days • LINUX PCs took 3 days on average to compromise

  15. Figure 1-3: Attack Trends • Growing Randomness in Victim Selection • In the past, large firms were targeted • Now, targeting is increasingly random • No more security through obscurity for small firms and individuals

  16. Figure 1-3: Attack Trends • Growing Malevolence • Most early attacks were not malicious • Malicious attacks are becoming the norm

  17. Figure 1-3: Attack Trends • Growing Attack Automation • Attacks are automated, rather than humanly-directed • Essentially, viruses and worms are attack robots that travel among computers • Attack many computers in minutes or hours

  18. Figure 1-4: Framework for Attackers • Elite Hackers • Hacking: intentional access without authorization or in excess of authorization • Some call this cracking, not hacking, which they equate to any skilled computer use • Characterized by technical expertise and dogged persistence, not just a bag of tools • Use attack scripts to automate actions, but this is not the essence of what they do • Deviants and often part of hacker groups that reinforce deviant behavior

  19. Figure 1-4: Framework for Attackers • Script Kiddies • Use pre-written attack scripts (kiddie scripts) • Viewed as lamers and script kiddies • Large numbers make dangerous • Noise of kiddie script attacks masks more sophisticated attacks

  20. Figure 1-4: Framework for Attackers • You may hear the terms “white hat” (good guys) and “black hat” bad guys • “gray Hat” (Back and Forth between “white hat” and “black hat” • “Black hat” hackers break in for their own purposes • “White hat” can mean multiple things • Strictest: Hack only by invitation as part of vulnerability testing • Some who hack without permission but report vulnerabilities (not for pay) also call themselves white hat hackers

  21. Figure 1-5: Framework for Attacks Attacks Social Engineering -- Opening Attachments Password Theft Information Theft Phishing Physical Access Attacks -- Wiretapping Server Hacking Vandalism Dialog Attacks -- Eavesdropping Impersonation Message Alteration Penetration Attacks Malware -- Viruses Worms Denial of Service Scanning (Probing) Break-in

  22. ระดับ ของ Security ที่ดี คือ จุดที่ พอดี กับความต้องการของระบบ “Not the Best” But “Just Enough”

  23. Who is who? การพิสูจน์ตัวตน คือขั้นตอนการยืนยันความถูกต้องของหลักฐาน (Identity) ที่แสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ในทางปฏิบัติจะแบ่งออกเป็น 2 ขั้นตอน คือ - การระบุตัวตน (Identification) คือขั้นตอนที่ผู้ใช้แสดงหลักฐานว่าตนเองคือใคร เช่น Username- การพิสูจน์ตัวตน (Authentication) คือขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง เช่น Password

  24. Who can access it? การกำหนดสิทธิ์ คือขั้นตอนในการอนุญาตให้แต่ละบุคคลสามารถเข้าถึงข้อมูลหรือระบบใดได้บ้าง ก่อนอื่นต้องทราบก่อนว่าบุคคลที่กล่าวอ้างนั้นคือใครตามขั้นตอนการพิสูจน์ตัวตนและต้องให้แน่ใจด้วยว่าการพิสูจน์ตัวตนนั้นถูกต้อง

  25. Who can see it? การเข้ารหัส คือการเก็บข้อมูลด้วยวิธีการพิเศษเพื่อป้องกันข้อมูลไว้ให้ผู้ที่มีสิทธิเท่านั้น (ปกป้องข้อมูลจากบุคคลอื่นที่ไม่ได้รับอนุญาต)

  26. Who can change it? การรักษาความสมบูรณ์ คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไปจากต้นฉบับ (source) ไม่ว่าจะเป็นโดยบังเอิญหรือโดยเจตนา

  27. Who done it? การตรวจสอบ คือการตรวจสอบหลักฐานทางอิเล็กทรอนิกส์ ซึ่งสามารถใช้ในการติดตามการดำเนินการเพื่อตรวจสอบความถูกต้องของการใช้งาน เช่นการตรวจสอบบัญชีชื่อผู้ใช้ โดยผู้ตรวจบัญชี ซึ่งการตรวจสอบความถูกต้องของการดำเนินการเพื่อให้แน่ใจว่าหลักฐานทางอิเล็กทรอนิกส์นั้นได้ถูกสร้างและสั่งให้ทำงานโดยบุคคลที่ได้รับอนุญาต และในการเชื่อมต่อเหตุการณ์เข้ากับบุคคลจะต้องทำการตรวจสอบหลักฐานของบุคคลนั้นด้วย ซึ่งถือเป็นหลักการพื้นฐานของขั้นตอนการทำงานของการพิสูจน์ตัวตนด้วย

  28. กระบวนการในการควบคุมการเข้าถึงกระบวนการในการควบคุมการเข้าถึง 1. แจกแจงรายละเอียดที่สำคัญในระบบ (Enumeration of Resources) 2. วิเคราะห์ความสำคัญและความอ่อนไหวของแหล่งข้อมูล (Sensitivity of Each Resources) 3. กำหนดผู้ที่สามารถเข้าถึงแหล่งข้อมูล (Determine who should have access) 4. กำหนดสิทธ์ในการเข้าถึง (Access Permissions – Authorizations) 5. กำหนดขอบเขตในการป้องกันการเข้าถึงให้แก่แต่ละแหล่งข้อมูล (Determine Access Control Protection for Each Resources)

  29. Access Control • Access Control • Access control is the policy-driven limitation of access to systems, data, and dialogs • Prevent attackers from gaining access, stopping them if they do

  30. Access Control • First Steps • Enumeration of Resources • Sensitivity of Each Resource • Next, who Should Have Access? • Can be made individual by individual • More efficient to define by roles (logged-in users, system administrators, project team members, etc.)

  31. Access Control • What Access Permissions (Authorizations) Should They Have? • Access permissions (authorizations) define whether a role or individual should have any access at all • If so, exactly what the role or individual should be allowed to do to the resource. • Usually given as a list of permissions for users to be able to do things (read, change, execute program, etc.) for each resource

  32. Access Control • How Should Access Control Be Implemented? • For each resource, need an access protection plan for how to implement protection in keeping with the selected control policy • For a file on a server, for instance, limit authorizations to a small group, harden the server against attack, use a firewall to thwart external attackers, etc. • …

  33. Access Control • Policy-Based Access Control and Protection • Have a specific access control policy and an access protection policy for each resource • Focuses attention on each resource • Guides the selection and configuration of firewalls and other protections • Guides the periodic auditing and testing of protection plans

  34. Server Password Cracking • Hacking Root • Super accounts (can take any action in any directory) • Hacking root in UNIX • Super accounts in Windows (administrator) and NetWare (supervisor) • Hacking root is rare; usually can only hack an ordinary user account • May be able to elevate the privileges of the user account to take root action

  35. Server Password Cracking • Physical Access Password Cracking • l0phtcrack • Lower-case L, zero, phtcrack • Password cracking program • Run on a server (need physical access) • Or copy password file and run l0phtcrack on another machine. • System Administrators can test the host hardening with this program.

  36. Server Password Cracking • Physical Access Password Cracking • Brute-force password guessing • Try all possible character combinations • Longer passwords take longer to crack • Using more characters also takes longer • Alphabetic, no case (26 possibilities) • Alphabetic, case (52) • Alphanumeric (letters and numbers) (62) • All keyboard characters (~80)

  37. Server Password Cracking • Physical Access Password Cracking • Brute Force Attacks • Try all possible character combinations • Slow with long passwords length • Dictionary attacks • Try common words (“password”, “ouch,” etc.) • There are only a few thousand of these • Cracked very rapidly • Hybrid attacks • Common word with single digit at end, etc.

  38. Server Password Cracking • Password Policies • Good passwords • At least 6 characters long • Change of case not at beginning • Digit (0 through 9) not at end • Other keyboard character not at end • Example: triV6#ial

  39. Password Protection การป้องกันรหัสผ่านสามารถทำได้โดยการใช้รหัสผ่านที่ดี เช่น 1. มีจำนวนอักษรหรือสัญลักษณ์ไม่น้อยกว่า 6 - 8 ตัว 2. ควรประกอบด้วย ตัวหนังสือ ตัวเลข และ สัญลักษณ์ 3. ช่วงตำแหน่งที่ 2 - 6 ควรมีสัญลักษณ์อย่างน้อย 1 ตัว 4. ควรมีความแตกต่างอย่างมากจากรหัสผ่านที่เคยใช้ 5. ไม่ควรใช้ชื่อผู้ใช้หรือคนใกล้ชิด 6. ไม่ใช้คำที่เป็นที่รู้จักกันโดยทั่วไป เช่น ศัพท์ในพจนานุกรม

  40. Server Password Cracking • Password Policies • Password sharing policies: Generally, forbid shared passwords • Removes ability to learn who took actions; loses accountability • Usually is not changed often or at all because of need to inform all sharers

  41. Server Password Cracking • Password Policies • Lost passwords • Password resets: Help desk gives new password for the account (need proved) • Opportunities for social engineering attacks • Leave changed password on answering machine • Biometrics: voice print identification for requestor (but considerable false rejection rate)

  42. Server Password Cracking • Password Policies • Lost passwords • Automated password resets • Employee goes to website • Must answer a question, such as “In what city were you born?” • Problem of easily-guessed questions that can be answered with research

  43. User Name User ID GCOS Shell plee:6babc345d7256:47:3:Pat Lee:/usr/plee/:/bin/csh Group ID Password Home Directory Figure 2-5: UNIX/etc/passwd File Entries Without Shadow Password File With Shadow Password File Plee:x:47:3:Pat Lee:/usr/plee/:/bin/csh The x indicates that the password is stored in a separate shadow password file

  44. Figure 2-5: UNIX/etc/passwd File Entries Unfortunately, many software processes run with root privileges and so can read the password file. If the attacker can take over such a program, the attacker will have access to the shadow password file.

  45. Figure 2-2: Server Password Cracking • Password Policies • Windows passwords • Obsolete LAN manager passwords (7 characters maximum) should not be used • Two 7-character strings are available but very easy to be cracked. • Windows NTLMpasswords are better • Option (not default) to enforce strong passwords

  46. Windows Client PC Passwords • Login Password - Bypass by hitting escape. • BIOS Password - Remove the small battery. • Screensaver Password - Should com quickly after user steps away.

  47. Figure 2-6: Building Security • Building Security Basics • Single point of (normal) entry to building • Fire doors, etc.: use closed-circuit television (CCTV) and alarms to monitor them • Security centers • Monitors for closed-circuit TV (CCTV) • Videotapes that must be retained (Don’t reuse too much or the quality will be bad) • Alarms

  48. Figure 2-8: Access Cards • Magnetic Stripe Cards • บัตรเครดิต, บัตรประจำตัวนักศึกษาที่มีแถบแม่เหล็กด้านหลัง เป็นต้น • Smart Cards • Have a microprocessor and RAM • More sophisticated than mag stripe cards • Release only selected information to different access devices

  49. ความเป็นมาของ TCP/IP • ค.ศ.1969 Defence Advanced Research Projects Agency (DARPA) ต้องการพัฒนาเครือข่ายเพื่อเชื่อต่อคอมพิวเตอร์ของหน่วยทหารต่างๆ ของสหรัฐ โดยใช้ชื่อว่า Advanced Research Project Agency Network (ARPAnet) • ค.ศ.1983ARPAnet ได้แบ่งเครือข่ายออกเป็น MILnet สำหรับให้บริการทางทหารอย่างเดียว และ ARPAnet ได้พัฒนาต่อเนื่องเป็นอินเตอร์เน็ต (Internet) • ต่อมาได้มีการเชื่อมต่อเครือข่าย NSFNET (National Science Foundation Network) เข้ากับ ARPAnet

More Related