VGXC104 Gvrgbirexbg

Wbuqnagbn gvrgbirexxbvuva wngxhh, 26.3.2015

Irexxbwra ivfhnyvfbvagrwn

Wbuqnagbn gvrgbirexxbvuva wngxhh...

• Xreebfnexxvgrughhev
• Qngna xncfrybvagv
• Ivvir wn Cnxrggvra chqbghf irexbvffn
• Irexbg wn gvrgbghein
Salauksen purkaminen
• Fr byv EBG13 fnynhfgn

Kerrosarkkitehtuuri

Laita TCP/IP (Internet protocol suite) ja OSI -viitemallin mukaiset protokollakerrokset oikeaan järjestykseen

OSI kerrokset järjestykseen

Kapselointi

Viive ja hävikki pakettivälitteisissä verkoissa

Visualisointeja viiveestä ja pakettien putoamisesta

Verkot ja tietoturva

• Haittaohjelmat - pääsy laitteeseen Internetistä
  • Virus - vaatii käyttäjän toimenpiteen
  • Mato - esim. haavoittuvan verkkosovelluksen kautta
• Palveluiden esto
  • (D)DoS (Hajautettu) Palvelunesto Hyökkäys
  • Tukahdutetaan palvelin tai sen liityntälinkki paketeilla
• Pakettien kaappaaminen
  • onnistuu helposti salaamattomassa WLAN verkossa
  • salatussa WLAN verkossa vie jonkin aikaa purkaa salaus (Lisää TIES327 Tietoverkkoturvallisuus kurssilla)
  • HTTPS vs. HTTP protokolla

Kuinka NSA et al. pyrkivät kiertämään tietoturvaa (spekulointia)

• Kontrolloidaan kansainvälistä salausstandardointia
  • Aiemmin rajoittamalla salausavainten bituuden 56 bittiin
  • Esim. patentoimalla salaustekniikoita, jotta niitä ei voi käyttää
• Hyväksikäyttämällä implementoinnin haavoittuvuuksia
  • Tekemällä 'yhteistyötä' salausteknologioista vastaavien yritysten kanssa - lisäten haavoittuvuuksia
  • Käyttämällä hyväksi löytämäänsä haavoittuvuutta, sen sijaan että julkaistaan se jotta sen voisi korjata
• Supertietokoneiden brute force laskenta
  • Kaikki salausmenetelmät voi purkaa tuntemalla salausavaimen, joten etsitään salausavain
  • Käytetään järjetön määrä lasketatehoa salausavainten etsimiseen (käydään kaikki vaihtoehdot läpi)
  • Varastetaan tai muuten saadaan tietoon salausavaimia, jolloin ei tarvitse testata kaikkia vaihtoehtoja

Joitain tietoturvaan liittyviä haavoittuvuuksia

• The Heartbleed Bug
  • Julkisuuteen 11.4.2014,Viestintäviraston tiedote
  • SSL/TLS salauksen implementointiin liittyvä ongelma
  • SSL/TLS liikenne pysyy salattuna, ei siis tietoverkkohaavoittuvuus, vaan ohjelmistohaavoittuvuus
  • ns. Buffer overflow -bugi, jossa (palvelin)koodi ei tarkista SSL/TLS viestin ilmoittamaa puskurinkoon arvoa
  • Muuttamalla arvon suuremmaksi kuin palvelimen puskurin todellinen koko, voidaan lukea palvelimen muistiin tallentamaa tietoa, sisältäen esim. sertifikaatit, käyttäjätunnukset sekä salasanat
• Gemalton SIM korttien K_i avainten varkaus
  • Julkisuuteen 20.2.2015, tapahtunut vuonna 2010, Viestintäviraston tiedote
  • K_i avaimella käyttäjä tunnistetaan sekä generoidaan avain liikenteen salaukseen
  • GSM autentikointi ja GSM liikenteen salaus
• Joidenkin TLS -yhteyksien FREAK-haavoittuvuus
  • Julkisuuteen 4.3.2015, Viestintäviraston tiedote
  • SSL FREAK-check

Mitä on SSL/TLS

• SSL on Secure Socket Layer
  • Uusin SSL versio 3.0, vuonna 2015 alkaa olla ei-turvallinen
  • TLS 1.0 on oikeastaan SSL 3.1 versio
  • Eli SSL on oikeastaan TLS:n edeltäjä ja monesti termejä käytetään tarkoittamaan samaa asiaa joko erikseen (SSL tai TLS) tai yhdistetynä SSL/TLS...
  • ...ja saman suojauksen ne takaavatkin, ja se riippuu palvelimen asetuksista
  • TLS 1.0 on nykyään sekin jo ei-turvallinen
• TLS on Transport Layer Security
  • TLS versiot 1.1 ja 1.2 ovat paljon turvallisempia kuin versio 1.0
  • Mutta testaapa itse palvelinten SSL/TLS valmius https://www.ssllabs.com/ssltest/

Salausten murtaminen

• 128 bittinen SSL salausavain
  • Avainvaihtoehtoja on 2¹²⁸ = 340282366920938463463374607431768211456 = 34 × 10³⁷
  • Oletetaan että 50 supertietokonetta tarkistaa 10¹⁸ (miljardi miljardia) avainta sekunnissa
  • Avainten läpi käyminen kestää 340282366920938463463 = 34 × 10¹⁹ sekuntia
  • vuodessa on 31 556 926 sekunttia, joten vaadittu aika on 10783127828133 vuotta eli noin 10783 miljardia vuotta.
• Salasana esim. jyu thk ohjeet hyvälle salasanalle
  • Tehdään väärin minimin mukainen eli vähintään 8 merkkiä, esim. 'salasana' → kräkätään heti 'sanakirjan' avulla, kokeilepa itse:
  • Koodataan salasana SHA-256 hash calculator ja kräkätään salasana Password Hash Cracker
  • Kokeilepa muuttaa osa kirjaimista isoiksi ja testaa, sitten osa kirjaimista numeroiksi ja viimeisenä kokeile tuplata salasana 'salasana salasana', välilyönnillä tai ilman.
  • Pieniä kirjaimia 26, salasanan pituus 8 = 26⁸ = n. 208 miljardia läpikäytävää kombinaatiota
  • Tämän päivän tietokone laskee n. 4 miljardia vaihtoehtoa sekunnissa -> Kokeilee kaikki vaihtoehdot 52 sekunnissa. Testaa salasanojen turvallisuutta itse
  • Hyvä järjestelmä ei tietenkään saisi antaa kokeilla rajattomasti eri vaihtoehtoja

Yksityisyydestä

• Tietoturva ei ole vain turvallisia protokollia, turvallista ohjelmointi sekä salausta
• Myös yksityisyys (eng. privacy) liittyy tietoturvaan
• Eli se mitä tietoa jokainen jakaa itsestään sosiaalisessa mediassa
• Video kertonee enemmän kuin sanat...
• http://www.takethislollipop.com/

Takaisin kurssin kotisivulle tai Teoria 1 osioon