Infosüsteemide ründed ja kaitse

Allikas: Lambda

Kursuse kood: ITX8032
Link: http://www.lambda.ee/index.php?title=Infosüsteemide_ründed_ja_kaitse ehk http://www.lambda.ee/index/itx8032
Õppejõud: [Jaan Priisalu, Rain Ottis, Kaur Kasak, Aivo Jürgenson, Heli Tiirma-Klaar]

Kontakt: Kaur Kasak, 52 17 946, kaur at tac.ee

Kuulub Küberturbe magistrimoodulisse

Sisukord

Koht, aeg, tulemus

Semester: sügissemester
Tulemus: eksam
Nõuded: kodutöö 40%, laboratoorsed tööd 30% ja eksam kursuse lõpus 30%
Punkte: 3

Eeldusained: Andmeside protokollid

Loengud üle nädala laupäeval SIVAKis, Filtri tee 12. Esimene loeng on 6. septembril 1000-1330.

Praktikumid üle nädala neljapäeval SIVAKis. Esimene praktikum on 25. septembril 1700-2015.

Küberkaitse harjutus 5.-6. detsember SIVAKis.

SIVAKisse sissessaamiseks tuleb kaasa võtta isikuttõendav dokument!

06.09 25.09 27.09 02.10 04.10 16.10 18.10 30.10 01.11 13.11 22.11 05.12 06.12 11.12 13.12
L P L P L P L P L P L H H P L

Kodutöö

Esimeses loengus valitakse kodutöö teemad. Teema valimisel arvestatakse tudengi seniseid teadmisi, huvi ja kogemusi. Kodutöö peaks olema tulevase magistritöö sissejuhatus.

Kodutöö osa lõpptulemuses on 40%, sellest 20% on kirjalik töö ja 20% on kaitsmine.Töö tähtaeg on 8. november, hilinemise hind on 2.5% maksimumhindest päevas.

Kodutöö tuleb saata meili teel kaur at tac.ee. Kodutöö pannakse üles antud wiki'sse. Kui töö sisaldab informatsiooni, mida ei tohi avalikustada, tuleb see e-kirjas ära märkida!

Kodutöö teemad ja hinded tulevad siia ITX8032 kodutööd 2008

Praktikumid

Korraldab Kaur Kasak. Praktikumides tuleb lahendada individuaalselt ülesandeid ning osaleda kahepäevases küberkaitse harjutuses. Viimases moodustatakse kõikidest kursusel osalejatest grupid, kellel tuleb esmalt üles ehitada etteantud nõuetele vastav väike arvutivõrk ning harjutuse ajal kaitsta ehitatud süsteeme rünnete vastu.

Osakaal lõpphindes on 30%.

Laborite hinded tulevad siia ITX8032 laborid 2008

Eksam

Eksamiajad: 08.01.2009 ja 15.01.2009 kell 17.00 SIVAKis

Eksam on suuline ja kirjaliku ettevalmistusega. Materjale tohib kohapeal kasutada.

1) Technology News Portal: kõikidel on eksam sooritatud ja hindeks on A

2) Ministry of Energy: kõikidel on 60% sooritatud, seega keegi läbi keegi ei kuku ja hindeks on vähemalt E. Ülejäänud 40% sõltub eksamist, mille üks osa on ka kodutöö.

Eksamitulemused ilmuvad siia ITX8032 eksamitulemused 2008.

Annotatsioon

Kursuse eesmärk on anda ülevaade infosüsteemide rünnete ja kaitse planeerimisest ning juhtimisest. Teemad: Rünnete jaotus, planeerimine ja läbiviimine. Kaitse planeerimine ja läbiviimine (turvaaugud; vastumeetmed; intsidentide käsitlemine ja järelanalüüs; taastamine).

Kirjandus

  • Infosüsteemide turve I. Turvarisk. Küberneetika AS, 1997.
  • Infosüsteemide turve II. Turbe tehnoloogia. Küberneetika AS, 1998.
  • Sun Tzu. The Art of War.

Loengud

Esimene

Cyber Attacks brief

6. september

Lektor(id): kõik

Sissejuhatus, õppejõudude tutvustus. Seosed teiste ainetega.

Kodutööde teemade jaotamine.

Strateegia ja taktika.

Teine

Cyber_Warfare

27. september

Lektor(id): Ottis

Rünnak ja kaitse sõjalises mõttes ning ülekantuna küberruumis.

Küberründed riikide poolt ja vastu.

Kolmas

Cyber_Terrorism

Cyber_Security_Challenges.pdf

4. oktoober

Lektor(id): Ottis, Geers

Luure ja vastuluure küberruumis.

Külalislektoriks hr Kenneth Geers NATO kooperatiivsest küberkaitsekeskusest

Neljas

18. oktoober

Strateegia, operatsiooni ja taktika kokkuvõte.
Lektor: Rain Ottis.
Riigi poliitika ja küberkaitsestrateegia.
Lektor: Heli Tiirma-Klaar

Viies

Kuidas_Internet_toimib.pdf

1. november

Lektor: Aivo Jürgenson

Võrguoperaatorite vaheline koostöö, halduspiirkonnad ja kokkulepped

Protokollidel DNS ja BGP realiseeritavad kokkulepped.

Nimeteenus on raamistik millel realiseeritakse võrgus osalejate arvutite nimede ja aadresside vaheline vastavus. Sellega kaasneb raamistik, mis määrab kuidas nimede kasutamise kokkuleppeid tehakse. DNS-i rünnete ja väärkasutusega üritatakse neid kokkuleppeid ründaja kasuks tööle panna.

BGP on võrguteenuse pakkujate vaheline suhtlusprotokoll. Selle töötamise aluseks on jällegi vastutuspiiride kokkuleppimine võrgus. Väärkasutusega üritatakse kellegi teise vastutusalas endale sobivaid tegemisi toimetada.

Operaatoritel on väärkasutuse tõkestamisel ja teenuse katkestamisel piirangud. Sellega võidakse kellegi seaduslik teenus halvata. Seetõttu muutub ka väärkasutuse tõkestamine ise ründevahendiks. Ja samas takistab kohest reageerimist tarbijakaitse ning konkurentsi tõkestamise vastase kaitse reeglite kogu.

Tiimijuhtide nägemus rollide jaotusest:

  • Süsteemi ehitamisel
  • Operatsiooni käigus

Kuues

22. november

Mehis Hakkaja: "Rahvusvaheline koostöö; CERT-id, ENISA, WARP": IR and SecCom Models

Intsidendid

  • Intsidentideks valmistumine - talitluspidevus.
  • Intsidentide käsitlemine - reaktsiooni aeg ja testimise olulisus
  • Turvaintsidentide eripära
  • Kriminaalprotsessi koht intsidentide käsitluses

Seitsmes

Kalmer Viska "Kriminaalprotsess"

13. detsember

  • Mõjude hindamine - kuidas väärtus kaob
  • Analüüsi lihtsustamine standardiseerimise kaudu - etalonturve ja selle negatiivne mõju haavatavusele
  • Ründajate motivatsioon
  • Turvajuhi roll ettevõttes

Praktikumid

Kõik praktikumid toimuvad SIVAKi arvutiklassis. Korraga kuni 4x45 min

Praktikumide sisu:

  • ülesannete lahendamine
  • küberkaitse harjutuseks ettevalmistamine

Ülesannete lahendamiseks peab SIVAKisse kohale tulema.

Praktikumide tulemused ITX8032 laborid 2008

Esimene

25. september 17.00

  • Network Scanning: host discovery, port scanning, application version and OS detection, vulnerability scanning
  • Brute Force Attacks: remote login brute-forcing (passwords, vulnerable SSH keys)
  • Tools: nmap, amap, unicornscan, medusa, thc-hydra, Nessus, xprobe2

Teine

2. oktoober 17.00

  • Man In The Middle attacks. ARP spoofing and network sniffing in LAN.
  • Exploiting network services. Exploitation frameworks
  • Privilege escalation
  • Tools: arpspoof, dnsspoof, ettercap, Metasploit

Kolmas

16. oktoober 17.00

  • Web application security
    • Code injection: SQL injection, File Inclusion
    • Bypassing Client Side Controls
    • Attacking Session Management
  • Password cracking?
  • Tools: webscarab

Neljas

30. oktoober 17.00

  • SQLi ülesannete lahenduste ülevaatamine
  • SQLi ülesannete lõpetamine, kes eelmisel korral ei jõudnud (Blind SQLi said valmis 3 tudengit)
  • Ettevalmistus küberkaitse harjutuseks (Jaan Priisalu juhtimisel):
    • Ülesande tutvustus (vt allpool jaotist Küberkaitse harjutus)
    • Vajalikud rollid. Meeskondade moodustamine.
    • Lahenduste brainstorm.
    • Kaitselahenduste brainstorm.
    • Ülesannete jagamine

Viies

13. november 17.00

Ettevalmistus küberkaitse harjutuseks.

Kaasame välise turvaarhitekti ja vaatame üle lahenduste vaheversiooni. 1. Platvorm 2. Rakendus 3. Situatsioonianalüüs

Eelduseks on lahenduste olemasolu, mida üle vaadata.

Kuues

11. detsember 17.00

  • Web Application Security
    • OS Command injection
    • Code injection
    • Cross Site Scripting (XSS)
    • Cross Site Request Forgery (CSRF)

Küberkaitse harjutus

Harjutuse tutvustus

Algne dok: Media:SWE-EST.CDX.Description.For.Students.doc Täiendatud nõudeid vt allpool

Meeskonnad, kes on paremad kui mõlemad rootsi sinised meeskonnad saavad eksami maksimaalsed punktid.

Kuskil pole öeldud, et Eesti meeskonnad ei või omavahel koostööd teha. Robotexi aastaid võitnud IT Kolledzhi meeskonna edu taga oli õige projektijuhtimine ja ressursside jagamine võistlevate meeskondade vahel. Sellega suudeti edestada nii TÜ kui ka TTÜ meeskondi.

Ajakava

  • 30.10 Tiimideks jagamine, esimene brainstorm
  • 1.11 Organisatsiooni nägemuse esimene tutvustus ja arutelu. Kommunikatsioon peab paigas olema. Milliseid kommunikatsioonikanaleid on vaja? Skype conference ja wiki?
  • 13.11 Vaatame esimese süsteemi setupi üle. Esimene versioon peab mängukeskkonnas olemas olema
  • 22.11 Vaatame security community-le otsa ja küsime arvamust. Vaatame operatsiooni plaani üle.
  • 30. november: kaitstavad süsteemid valmis
  • 1. detsember: White Team vaatab teenuste nõutetele vastavuse üle
  • 2. detsember: Red Team võib alustada probe'imist
  • 5. detsember: ettevalmistus, süsteemide testimine, kommunikatsioonikanalite testimine
  • 6. detsember 10.00 - 16.00: harjutus, kokku 6 tundi

Meeskonnad

  • Ministry of Energy
    • Rain (Team Leader)
    • Konstantin
    • Raido
    • Vladimir
    • Andri
    • Hendrik
    • Olga
    • Ants
    • Karpo
    • MaitK
  • Technology News Portal
    • Siim (Team Leader)
    • Rein
    • Juri
    • Romi
    • Raul
    • Julia
    • Ülar
    • Mait
    • Jaanus

Kaitstavad süsteemid

News portals

Exersian Daily News (SWE) Technology News Portal (EST)

  • Dynamic web page having content management possibilities
  • The owners of the portal should have interfaces to change the content (news, articles, ads)
  • The registered users of the portal should have possibility to comment the articles
  • Obviously there should be a user registration form
  • The portal must have an option to ban impolite users
  • Search functionality: search from the news archive
  • Must have back-end database
  • Content must be in English
  • Must be run over both HTTP and HTTPS
  • The index page that is loaded into the users browser after accessing e.g www.tnp.news.ex should contain also images in addition to plain html. The size of the content loaded into the browser when accessing index page should be at least 1000KB (?) and there should be at least 25 different files (.html, .css, .jpg, .gif, .js,...).
  • The Blue Team has to give the White Team permissions to change the contents of this CMS e.g. add additional news to the portal

Governmental websites

Exersian Energy Commission (SWE) Ministry of Energy (EST)

  • Dynamic web page having content management possibilities
  • The owners of the portal should have interfaces to change the content (press releases, announcements to citizens, add downloadable documents etc)
  • The site should contain
    • Press releases: information for the press about present and past events
    • Information for the citizens
    • Application forms for downloading
    • A place where the registered users can post their new create ideas how the govermnment could make their life easier. The other registered users should have possibility to comment these ideas. Obviously there should be a user registration form
    • Search functionality: e.g search from document register. The point is to have many forms on the page that accept user input
    • Contact information
  • Must have back-end database
  • Must be run over both HTTP and HTTPS
  • The index page that is loaded into the users browser after accessing e.g www.eec.news.ex should contain also images in addition to plain html. The size of the content loaded into the browser when accessing index page should be at least 500KB and there should be at least 25 different files (.html, .css, .jpg, .gif, .js,...).
  • The Blue Team has to give the White Team permissions to change the contents of this CMS e.g. add additional press release

DNS

  • Authoritative DNS server for the domain under the Blue Teams administration
  • Some of the clients (and scoring bots) of the Blue Teams systems will use ISPs' DNS servers and some directly Blue Teams DNS servers for resolving the names of Blue Teams systems

SMTP

  • Each Blue Team should have an e-mail server in their infrastructure
  • The Blue Teams have to set up at least the following accounts: postmaster, abuse, info, tasks
  • These accounts will be used for in-game communication
  • For instance the judges are going to send the teams additional tasks to this e-mail account. If the White Team gets response in predefined amount of time the Blue Team gets plus points for the specific task
Personaalsed tööriistad
Nimeruumid
Variandid
Toimingud
Navigeerimine
Kasulikku
Tööriistad