Professional Documents
Culture Documents
http://www.informationssakerhet.se
LIS = Ledningssystem för
Informationssäkerhet
• Dokumenterad informationssäkerhetspolicy med
verksamhetskraven som utgångspunkt
• Riktlinjer för informationssäkerhet som pekar ut ansvar,
säkerhetsprocesser och mål
• Anvisningar och regler på lämpliga nivåer som anger hur
och vilka säkerhetsåtgärder som skall vidtas
• Definierad modell för för riskanalys och riskhantering
• Definierad modell för uppföljning och förbättring av
säkerheten
• Införda säkerhetsåtgärder och rutiner för riskhantering och
uppföljning
• Personal som är medveten om och följer gällande regler
Styrande dokument
• Policyn uttrycker ledningens viljeinriktning på en
övergripande nivå.
• På informationssäkerhetsområdet kan policyn
kallas för informationssäkerhetspolicy - om den
tar höjd för allt säkerhetsarbete kallas den för
säkerhetspolicy.
• Under policyn ska styrdokument innehållande
bindande regler finnas, ”skaregler” eller
interna föreskrifter.
• I de fall när inte bindande regler behövs
kan styrdokument som inte utesluter
alternativa handlingssätt tas fram.
Dessa kallar vi för riktlinjer och
innehåller regler med en stark presumtion för att de ska följas, ”bör-regler”,
men alltså inte helt utesluter alternativa handlingssätt.
• Som stöd för att följa de interna föreskrifterna och riktlinjerna kan
vägledningar tas fram. I dessa redovisas de regler som gäller för
vägledningens område. Här kan också praxis och exempel på bra
arbetssätt redovisas.
• Reglering av hur arbetet ska bedrivas på detaljnivå ges i
rutinbeskrivningar/instruktioner. Sådana behövs ofta avseende tex. hur
och när säkerhetskopiering genomförs eller hur loggning av händelser
övervakas och hur loggar ska hanteras.
Informationssäkerhetspolicyn ska
tex. besvara följande frågor
• Vad är det som ska skyddas?
• På vilken nivå ska skyddet vara?
• Vem är ansvarig för informationssäkerheten?
• Hur bedrivs informationssäkerhetsarbetet?
• Var gäller informationssäkerhetspolicyn?
• Hur ska informationssäkerhetspolicyn följa
verksamheten och hotbilden?
• Vilka rättigheter och skyldigheter har
medarbetarna?
• Hur ska incidenter hanteras?
• Påföljder då informationssäkerhetspolicyn ej följs?
Framtagning av informationssäkerhetspolicy
Från: http://www.sis.se - handbok i
informationssäkerhetsarbete)
En informationssäkerhetspolicy (ISP) kan tas fram enligt
följande steg:
1. Gå igenom frågelistan (se Underlag för att skriva en ISP)
och skaffa fram svar på frågorna.
Välj struktur och mall (se Exempel på ISP) för hur ISP ska
utformas
2. Ta ställning till de svar du fått på frågorna
3. Stäm av relevansen i ISP genom att intervjua
nyckelpersoner i verksamheten
4. Förankra ISP i verksamheten
5. Fastställ ISP i ledningen
6. Inför och förankra ISP i organisationen
7. Vid behov, minst årligen, revidera ISP
Information security resources
Figure 1.1
FIGURE 15.3 Beginning of a JPEG-encoded EXIF file.
FIGURE 16.5 Additional class characteristics of EXIF file displayed using ACDSee. The date and time embedded
Figurethe1.1
in this file (15:53 on June 11, 2000) is inaccurate because camera’s clock was not set to the correct time,
emphasizing the importance of documenting system time when collecting any kind of computerized device.
Copyright
©2011 Eoghan Casey. © 2011byAcademic
Published Press
Elsevier Inc. AllInc.
rights reserved.
Crime
Figure 1.1
Figure 1.1
FIGURE 8.2 Diagram depicting intruder gaining access to accounting server.
From: Digital forensics on the cheap: teaching forensics using open source tools
Richard D. Austin
Preserve the
crime scene!
Document
everything!
Maintain
chain
of custody!
• Preserve the state for so many digital objects
as possible and document the crime scene
• Remove the battery on laptops
Figureetc.!
1.1
FIGURE 7.7 An overview of the decision process
Copyright © 2011when preserving
Academic Press Inc.a computer.
©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.
Order of volatility
Figure 1.1
FIGURE 7.6 FTK Imager Lite running on a live computer to acquire an encrypted volume.
©2011 Eoghan Casey.
Copyright
Published
© 2011byAcademic
Elsevier Inc.
PressAllInc.
rights reserved.
Finding Live Evidence
• When to Perform Live Response?
– Sophisticated attack methods and crypto technologies requests
new forensic evidence collection methods
– Time stamps are very important and doing live-analysis will alter
non-volatile data in the computer! Locard’s Exchange Principle
– On the other hand – pulling the power cable may cause corruption
– Sometimes there is no other option - mission-critical server
• The key components to any live-analysis are as follows
– Keep interaction with the target system to a bare minimum
– Bring your own trusted tools
– Think before you act, and then think again before you act. Once
you take any action on a live system, there is no changing the
outcome
– Getting evidence got precedence over maintaining state!
– Document all your actions, repeat that twice…
Preserving other evidence
Radio Frequency (RF) shielding
Figure 1.1
FIGURE 7.3 Photograph of a Windows mobile device with a scale
showing all modes of network communication have been disabled in
order to isolate the device. Copyright © 2011 Academic Press Inc.
©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.
Search for and document evidence
• Search for digital incidents, events and their time
• Digital objects that contain evidence is documented
Reconstruction of digital evidence
• Evidence must be connected to events!
• This is usually not a built-in functionality in the most
common forensic tools
Event reconstruction
Case report
• Forensic tools can usually produce a case report in some
way, a HTML report for example
• The forensic investigator must write a report or protocol
that ordinary people understands
• There is no standards for this report/protocol - the client
decide this!
Utföra en undersökning
- En sammanfattning -
• Bemöta och evaluera potentiella IT-brott/incidenter
• Samla in digitala bevis och bevara dess integritet
– Återvinna försvunnen eller avsiktlig gömd information
• Använda verktyg och data för att analysera och
rekonstruera detaljer om brottet/incidenten
– Ta reda på vad som hände även om ingen är skyldigt till
något fel
• Ta fram en rapport och underhålla dokumentation
(om nödvändigt) för en rättslig process
• Underhålla och se till att ”chain of custody” (”bevis-
kedjan”) följs, vilka har hanterat vad osv.
– Detaljerad logg av bevis för hela fallet
• Arkivera
– En viss tid efter fällande dom makulera bevis
Hashes and images
• Use MD5 (Message Digest,16 byte) or SHAx
(Secure Hash Algorithm, SHA1 20 byte) hash
algorithms
– Storage media, partitions, files, (any digital stream)
• Called OWF (One Way Function)
– Generate a unique number - 128 bits or 160 bits length
indipendent of input, 2^128 eller 2^160 combinations…
– Can also be viewed as a improved check sum (CRC)
• Tyskarna, WW II
• Elektromekanisk
• Tekniska museet i
Stockholm har ett
exemplar!
• Alan Turing
• http://sv.wikipedia.org/wiki/Enigma_%28krypteringsmaskin%29
Symmetrisk kryptering
och dekryptering
• Vid symmetrisk kryptering används samma krypteringsalgoritm
och (privata/hemliga) nyckel av sändare och mottagare
• Används oftast då säkerhetskraven är mycket höga
• Nackdelen är säker skötsel av nycklar i ett distribuerat system
• Det finns två typer av symmetrisk kryptering
– Ström chiffer
– Block chiffer
Symmetrisk kryptering
och dekryptering
• Block chiffer
– Meddelandet delas upp i fixerade block av bitar som
behandlas i olika substitutions boxar
– Om längden på data är mindre än blocklängden
måste man ”padda” (fylla i) data
– Implementeras mest i mjukvara
• AES, Advanced Encryption Standard
• DES, Digital Encryption Standard
• 3DES (tripple DES)
• RC5, RC6
• Blowfish, Twofish
• IDEA (International Data Encryption Algorithm)
Symmetrisk kryptering
och dekryptering
• Ström chiffer
– Behandlar meddelandet som en ström av bitar/bytes och gör
matematiska funktioner för dem individuellt tex. XOR
– Används när längden på sändningen av data inte är känd, t.ex. i
trådlösa tillämpningar
– Implementeras oftast i hårdvara men även i mjukvara
• Ex, RC4 (WEP/WPA-WLAN, MS Office, RDP), A5/1 och A5/2 (GSM)
• Attacken för att knäcka båda metoderna är ”brute force”
(om algoritmen är bra)
– Pröva dekrypteringsnycklar tills output är läsbar
– Generellt gäller att en längre nyckel gör det svårare att knäcka
krypteringen (precis som för ett lösenord - i bästa fall)
– Om man knäckt nyckeln kan man läsa alla meddelanden
Asymmetrisk (publik)
kryptering och dekryptering
• Två olika nycklar används för kryptering och dekryptering
– Den privata nyckeln är hemlig
– Den publika nyckeln kan läsas av vem som helst
• Funktionen är möjlig tack vare att det alltid finns ett nyckelpar
som matchar varandra
– Irrelevant i vilken ordning eller med vilken nyckel kryptering och
dekryptering sker
– Samma nyckel kan inte kryptera och dekryptera i nyckelparet
– Meddelanden som t.ex. krypterats med en publik nyckel kan endast
dekrypteras med den matchande privata nyckeln
• Svagheter är ett lättare forcerat skydd och att mer datakraft krävs
vid kryptering/dekryptering
Asymmetrisk (publik)
kryptering och dekryptering
• Iom. att publik kryptering är långsamt i jämförelse mot symmetrisk
kryptering brukar man ofta endast kryptera en symmetrisk nyckel som
kallas för ”sessions nyckel”, vilken sedan används för att dekryptera
själva meddelandet
• En symmetrisk nyckel är ca: 4-10 ggr. så ”stark” som en asymmetrisk
• Attacken mot publik kryptering är matematisk - faktorering av stora tal
– Bryt ner ett heltal i dess faktorer, t.ex. 15 = 5 och 3
– Faktorerna måste vara primtal, enkelt för små tal men otroligt svårt för
stora tal (kallas NP-kompletta i matematiken – finns ingen lösning utom att
prova alla kombinationer)
• Militärt värde
– Exportrestriktioner har gällt tex. från USA. Max 40 bits symmetrisk och 512
bitar asymmetrisk
Asymmetrisk (publik)
kryptering och dekryptering
Bob har fått två nycklar. En kallas för Public
Key (grön), den andra Private Key (röd)
Bob
Vemsomhelst kan få Bobs publika nyckel,
men den privata behåller han själv
P=5
- Första primtalet (förvaras säkert eller raderas) • För att kryptera plain-text värdet
Q = 11 m = 8, beräknar vi
- Andra primtalet (förvaras säkert eller raderas)
n = P*Q = 55
– encrypt(8) =>
- Modulo (blir publik och privat) 8^7 mod 55 =>
x = (P-1)*(Q-1) = 40 2097152 mod 55 = 2
e = 7, talet måste ha endast en gemensam • För att dekryptera chiffertext
nämnare med x som är 1 samt < x, > 1
- e är publik exponent (publik åtkomst)
värdet c = 2, beräknar vi
Vi beräknar d = 1/e mod x => d*e mod 40 = 1 – decrypt(2) =>
d * 7 mod 40 = 1 => d = 23 (23*7 mod 40=1) 2^23 mod 55 =>
- d är privat exponent (förvaras hemligt) 8388608 mod 55 = 8
Digitala signaturer
• Principen är grovt att om ett känt värde hashas
och krypteras av avsändaren (M, meddelandet)
och tolkas likadant hos mottagare efter
dekryptering anses avsändarens identitet och
meddelande vara styrkt
Vad är en digital signatur?
Med en privat nyckel och den rätta mjukvaran kan Bob sätta
digitala signaturer på dokument och annan data. Den digitala
signaturen ”stämpeln” är väldigt svår att förfalska, minsta lilla
förändring i datat kommer att märkas
Bob
För att signera dokumentet bearbetar Bobs mjukvara datat till några
få rader med hexadecimala tal i en process som kallas hashing.
Dessa tal kallas för message digest
Vad är en digital signatur?
Bobs mjukvara krypterar sedan message digest med sin
privata nyckel och resultatet är den digitala signaturen
Bob
Ove
Först dekrypterar Oves mjukvara signaturen (med Bobs publika nyckel) tillbaka
till en message digest. Om det fungerade så bevisar det att det var Bob som
signerade dokumentet (Bobs privata nyckel)
Oves mjukvara hashar sedan dokumentet till message digest, om denna
message digest är samma message digest som den dekrypterade signaturen
har inte det signerade datat ändrats sedan signaturen blev krypterad, dvs.
dokumentets innehåll har inte ändrats efter det lämnat Bob
Vad är en digital signatur?
För andra verkligen skall veta att Bob är Bob så kan Bob be ett certifikat-
utfärdningscenter (Sven) låta tillverka ett digitalt certifikat åt honom
Bob info
Name
Certificate info
Serial #
Expire date
Bobs Public Key
Sven
Bobs bekanta kan nu kontrollera Bobs betrodda certifikat så att det verkligen
är Bobs publika nyckel som tillhör Bob
Bobs bekanta accepterar dessutom inte andra signaturer än de som har ett
certifikat utfärdat av Svens certifikat-utfärdningscenter
Läs mera: http://en.wikipedia.org/wiki/Digital_signature
Certifikathanteringen
• Hur kan man vara säker på att en viss nyckel hör ihop
med en viss person?
• Certifieringsinstansens (CA) roll är att knyta
innehavares identitet till en uppsättning nycklar
• Certifikatet innehåller bl.a. följande information
– Ett objekt (X.500 format)
– Vem som utfärdat certifikatet
– Objektets publika nyckel
– Certifikatets giltighetstid
– Hashat värde av hela innehållet
• Certifikatet lagras av innehavaren efter att certifikatet
offentliggjorts
• IE > Tools > Internet Options > Content > Certificates
PGP/MIME och OpenPGP/GPG
http://www.bretschneidernet.de/tips/secmua.html
CrypTool (Freeware)
Crypt methods
Analysis
Visualisations
Etc. etc...
http://www.cryptool.org/