IN1020 Øvingsoppgaver med løsningsforslag 12.-16.11.2018 Oppgave 1, 2 og 3 er diskutert i lærebokas bloggartikkel https://www.datasikkerhetsboka.no/blogg/2018/03/23/hva-vet-tjenestene-om-deg-og-hva-betyr-dette-for-din-sikkerhet-og-ditt-personvern/. 1. Gjør følgende øvelse: a) Lag en liste over alle steder du har en brukerkonto (eller ihvertfall de du husker...). b) Legg så til hvilken informasjon disse lagrer om deg, og hva informasjonen benyttes til i tjenesten (hvis du vet det). c) Fyll også på hvor trygt du mener informasjonen håndteres og lagres, og hvilke konsekvenser det ville hatt om den ble offentlig kjent. 2. Er det så farlig om det er lagret data om deg? a) Hvis data identifisert i oppgave 1 kommer på avveie, hva kan det medføre av farer og ubehag? På hvilken måte er dataene _verdifulle_ for deg? b) Tenk gjennom og diskuter hva denne type data om deg kan brukes til av de som behandler dataene. c) Vet du egentlig hva du har samtykket til når du har inngått en avtale med de som behandler dataene? 3. Hvordan kommer data på avveie? Tenk gjennom og diskuter ulike scenarier. 4. Sikkerhetsmål. Sikkerhetsmål er altså egenskaper ved informasjonssikkerhet, egenskaper vi ønsker å oppnå eller tilby, og som på sett og vis beskriver informasjonssikkerhet. Definer og diskuter de syv egenskapene ved informasjonssikkerhet nevnt på forelesning 9/11: a) Konfidensialitet Konfidensialitet betyr at informasjon ikke tilgjengeliggjøres for annet enn de entiteter, systemer og/eller prosesser som er autorisert for tilgang til informasjonen. Det kan gjelde forretningshemmeligheter, personopplysninger, eller å f.eks. sikre anonymitet der dette er nødvendig. Konfidensialitet omfatter alle typer informasjon/data, alt fra forretningshemmeligheter, personopplysninger til konfigurering av systemer og da data som er med på å styre datamaskiner. Som sikkerhetstiltak benyttes kryptering (lagring og kommunikasjon), tilgangskontroll (god styring på hvem som har tilgang til hva) og det som kalles skallforsvar (hindre uvedkommende tilgang innenfor et "skall", jmfr et godt gjerde rundt en bygning. Helseopplysninger er eksempler på konfidensielle opplysninger som skal beskyttes særlig. b) Integritet Integritet handler om å kunne stole på at informasjon eller systemer ikke er endret eller slettet av entiteter, systemer eller prosesser som ikke er autorisert for handlingen. Brudd på integritet kan skyldes både angrep utenfra og feil i systemer som fører til korrupte data. I likhet med konfidensialitet omfatter integritet også alle typer informasjon/data. Som tiltak er autentisering og logging av andringer viktig, dessuten kryptering, gjerne i form av hash-algoritmer ved deling av data, samt digitalt signert programvare. Når du f.eks. skal laste ned programvare fra nett får du ofte programvaren sammen med en sjekksum, slik at du selv kan sjekke om programvaren stemmer med sjekksummen etter nedlasting (sikrer både mot korrupt programvare og nedlastingsfeil). c) Tilgjengelighet Tilgjengelighet dreier seg om at informasjon til enhver tid skal være tilgjengelig for den som skal ha tilgang til informasjonen. Mobilnett, nødnett, pasientsystemer, banksystemer, betalingssystemer er viktige systemer vi i dag er forholdsvis avhengige av i hverdagen, og som dermed bør ha sterkt fokus på tilgjengelighet. Samtidig vil det for en nettbutikk føre til svikt i omsetningen hvis deres nettbutikk gjøres utilgjengelig for en periode, selv om det kanskje ikke berører oss forbrukere på samme måte (vi velger en annen butikk...). DDOS-angrep eller andre angrep som tar ned et system/en tjeneste er en trussel, men det samme er f.eks. systemfeil, naturkatastrofer eller strømbrudd. Som sikkerhetstiltak benyttes gjerne backup (av både informasjon og programvare, slik at gjenoppretting blir enkelt, samt å ha redundante systemer tilgjengelig. d) Autentisering Autentisering er å sikre at alle parter er de som de utgir seg for å være. F.eks. at nettsiden du besøker er den nettsiden du mente å besøke, og ikke en identisk kopi. Hovedtrusselen er at noe eller noen klarer å utgi seg for å være noen/noe de ikke er. Passord er f.eks. enkelt å stjele/gjette/knekke, og falske nettsider ganske enkelt å lage. Som sikkerhetstiltak benyttes først og fremst ulike autentiseringsfaktorerog kryptografiske protokoller. Dette kommer vi nærmere inn på i forelesning om autentisering. e) Uavviselighet (tidligere ikke-fornektelse). Det skal ikke være mulig å påstå at man ikke har gjort noe man har gjort, og at man har gjort noe man ikke har gjort. Dette gjelder f.eks om man har undertegnet en kontrakt (f.eks for boliglån), eller glemmer å overføre penger i nettbanken. Uavviselighet er altså å bekrefte at en handling eller et informasjonselement er uendret (integritet) og at det kan knyttes til en bestemt identitet. Uavviselighet er i mange sammenhenger også omtalt om ikke-benekting. En løsning for uavviselighet er en løsning som gjør det mulig for også en tredjepart å innhente tilstrekkelig dokumentasjon for at en annen part ikke kan nekte for å ha gjennomført en handlig eller ha valgt å bekrefte/vedgå seg et informasjonselement. En løsning for uavviselighet er bygget opp på samme måte som løsninger for autentisering. Forskjellen er at brukeren skal være i stand til ikke bare å bekrefte hvem man er over nettet, men også å legge igjen dokumentasjon som entydig knytter personen til en handling eller et uendret informasjonselement. f) Sporbarhet Sporbarhet, også omtalt som etterprøvbarhet, er egenskapen som sikrer at alle handlinger kan spores tilbake til en entydig entitet. Sporbarhet garanterer at alle operasjoner som utføres av individer (brukere, personer, systemer eller prosesser som kjøres kan identifiseres, og at sporene bevares (logges) for senere bruk. Ved et datainnbrudd øker dette muligheten for å spore en kriminell handling tilbake til den eller de som utfører handlingen. Men fortsatt er det dessverre slik at det på tvers av landegrenser, uten felles lovverk, kan være svært vanskelig å stille gjerningsmenn til ansvar for kriminelle handlinger. Å sørge for sporbarhet i et system vil i mange tilfeller også være med på å rette opp feil som skjer. Et eksempel er, som nevnt på forelesning, hvis du plutselig oppdager at karakteren din plutselig er endret fra en ståkarakter til stryk, uten grunn. I et system som sikrer sporbarhet vil denne endringen kunne spores, og handlingen knyttes til f.eks. en identifiserbar bruker. Personen vil kunne stilles til ansvar for handlingen, og man kan finne ut om det er en feil, sabotasje, el. For å kunne sikre sporbarhet brukes de preventive tiltakene autentisering og logging, mens etterforskning er et tiltak som benyttes i etterkant, som et korrigerende tiltak når en hendelse er avdekket og man må nøste i hva som har skjedd og til slutt "rydde opp". g) Personvern (privacy) Ved innføring av EUs Personvernforordning har man fått på plass et felles lovverk for behanding av personopplysninger (opplysninger som kan knyttes til "ekte"/fysiske personer) innen EU/EØS, som også vil gjelde alle som leverer tjenester til borgere i EU/EØS. Personvern forordningen stiller krav til hjemmel (lovligheten) av behandling (og oppbevaring) av denne type informasjon, at det gis samtykke, osv. 5. Personopplysninger Ta utgangspunkt i datatilsynets artikkel "Hva er en personopplysning?" (https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger/). Diskuter personopplysninger og særlige kategorier personopplysninger. Hvilke opplysninger faller under hvilke kategori, og kan du tenke deg hvorfor? Se gjerne på GDPR artikkel 4, 9 og 10. SVAR: Ingen fasit her, diskuter med utgangpunkt i artikkelen. Det viktige er å forstå hva som er personopplysninger. Tenk også spesielt over hvorfor opplysningene som er kategorisert som særlige kategorier data er nettopp det. 6. Diskusjonoppgave: Jim jobber i justisdepartementet. Han er veldig fornøyd med å få jobbe med deres nye satsningsområde, automatisert saksbehandling, de neste to årene. Han har fått beskjed om å bytte kontorplass fordi alle som jobber i prosjektet skal sitte samlet i et åpent landskap i øverste etasje. Samtidig som de flytter inn i landskapet får de utdelt nye PC-er. På disse er det et klistremerke med budskapet «Lås PC-en når du går fra den!». Jim husker at informasjonssikkerhetsansvarlig snakket om dette på nyansattkurset han deltok på for lenge siden, men har egentlig aldri forstått hvorfor han skal låse PC-en sin. Alle i landskapet jobber på det samme prosjektet. Hvorfor skal de egentlig låse PC-en sin? SVAR: Alle sider av informasjonssikkerhet må vurderes, men spesielt konfidensialitet, integritet, autentisitet og sporbarhet (etterprøvbarhet). Skal alle alltid ha tilgang til all informasjon selv om man jobber på samme prosjekt? Hvis alle kan bruke en ulåst pc vet man ikke hvem som har endret/lagt til/slettet informasjon. Hvilke konsekvenser vil dette få, og for hvem? (Arbeidsplassen, deg selv, andre brukere) Kan du få problemer dersom en kollega bruker din pc til å utføre handlinger som ikke er tillatt? F.eks. spre informasjon som ikke skal spres, laste ned filer ulovlig eller utført andre handlinger i strid med intern sikkerhetsinstruks. 7. (Praktisk oppgave uten løsningsforslag) a) SSL/TLS: Finn ut når sertifikatet for https://devilry.ifi.uio.no utløper. Kan du se hvem som har utstedt sertifikatet? En nettleser inneholder oversikt over alle betrodde sertifikatutstedere (Certificate Authority, CA). Disse kan du finne i nettleserens oppsett. For Firefox finner du listen under Edit -> Preferences -> Advanced -> Ceritficates -> View certificates. 8. (Praktisk oppgave uten løsningsforslag) a) Bruk https://www.ssllabs.com/ for å sjekke browseren din. Browser på Ifi, laptop, mobil, nettbrett, etc. Er den sårbar? Hvilke protokoller støtter den? b) Bruk https://www.ssllabs.com/ for å sjekke kjente web-servers sertifikat og konfigurasjon (f.eks. devilry.ifi.uio.no). Finner du sårbarheter? Kan du si noe om sertifikater, nøkler, protokoller og Cipher Suites de støtter? c) Ta også en kikk på https://www.ssllabs.com/ssl-pulse/