Infosüsteemide ründed ja kaitse
Kursuse kood: ITX8032
Link: http://www.lambda.ee/index.php?title=Infosüsteemide_ründed_ja_kaitse ehk http://www.lambda.ee/index/itx8032
Õppejõud: [Jaan Priisalu, Rain Ottis, Kaur Kasak, Aivo Jürgenson, Heli Tiirma-Klaar]
Kontakt: Kaur Kasak, 52 17 946, kaur at tac.ee
Kuulub Küberturbe magistrimoodulisse
Sisukord
Koht, aeg, tulemus
Semester: sügissemester
Tulemus: eksam
Nõuded: kodutöö 40%, laboratoorsed tööd 30% ja eksam kursuse lõpus 30%
Punkte: 3
Eeldusained: Andmeside protokollid
Loengud üle nädala laupäeval SIVAKis, Filtri tee 12. Esimene loeng on 6. septembril 1000-1330.
Praktikumid üle nädala neljapäeval SIVAKis. Esimene praktikum on 25. septembril 1700-2015.
Küberkaitse harjutus 5.-6. detsember SIVAKis.
SIVAKisse sissessaamiseks tuleb kaasa võtta isikuttõendav dokument!
06.09 | 25.09 | 27.09 | 02.10 | 04.10 | 16.10 | 18.10 | 30.10 | 01.11 | 13.11 | 22.11 | 05.12 | 06.12 | 11.12 | 13.12 |
L | P | L | P | L | P | L | P | L | P | L | H | H | P | L |
Kodutöö
Esimeses loengus valitakse kodutöö teemad. Teema valimisel arvestatakse tudengi seniseid teadmisi, huvi ja kogemusi. Kodutöö peaks olema tulevase magistritöö sissejuhatus.
Kodutöö osa lõpptulemuses on 40%, sellest 20% on kirjalik töö ja 20% on kaitsmine.Töö tähtaeg on 8. november, hilinemise hind on 2.5% maksimumhindest päevas.
Kodutöö tuleb saata meili teel kaur at tac.ee. Kodutöö pannakse üles antud wiki'sse. Kui töö sisaldab informatsiooni, mida ei tohi avalikustada, tuleb see e-kirjas ära märkida!
Kodutöö teemad ja hinded tulevad siia ITX8032 kodutööd 2008
Praktikumid
Korraldab Kaur Kasak. Praktikumides tuleb lahendada individuaalselt ülesandeid ning osaleda kahepäevases küberkaitse harjutuses. Viimases moodustatakse kõikidest kursusel osalejatest grupid, kellel tuleb esmalt üles ehitada etteantud nõuetele vastav väike arvutivõrk ning harjutuse ajal kaitsta ehitatud süsteeme rünnete vastu.
Osakaal lõpphindes on 30%.
Laborite hinded tulevad siia ITX8032 laborid 2008
Eksam
Eksamiajad: 08.01.2009 ja 15.01.2009 kell 17.00 SIVAKis
Eksam on suuline ja kirjaliku ettevalmistusega. Materjale tohib kohapeal kasutada.
1) Technology News Portal: kõikidel on eksam sooritatud ja hindeks on A
2) Ministry of Energy: kõikidel on 60% sooritatud, seega keegi läbi keegi ei kuku ja hindeks on vähemalt E. Ülejäänud 40% sõltub eksamist, mille üks osa on ka kodutöö.
Eksamitulemused ilmuvad siia ITX8032 eksamitulemused 2008.
Annotatsioon
Kursuse eesmärk on anda ülevaade infosüsteemide rünnete ja kaitse planeerimisest ning juhtimisest. Teemad: Rünnete jaotus, planeerimine ja läbiviimine. Kaitse planeerimine ja läbiviimine (turvaaugud; vastumeetmed; intsidentide käsitlemine ja järelanalüüs; taastamine).
Kirjandus
- Infosüsteemide turve I. Turvarisk. Küberneetika AS, 1997.
- Infosüsteemide turve II. Turbe tehnoloogia. Küberneetika AS, 1998.
- Sun Tzu. The Art of War.
Loengud
Esimene
6. september
Lektor(id): kõik
Sissejuhatus, õppejõudude tutvustus. Seosed teiste ainetega.
Kodutööde teemade jaotamine.
Strateegia ja taktika.
Teine
27. september
Lektor(id): Ottis
Rünnak ja kaitse sõjalises mõttes ning ülekantuna küberruumis.
Küberründed riikide poolt ja vastu.
Kolmas
4. oktoober
Lektor(id): Ottis, Geers
Luure ja vastuluure küberruumis.
Külalislektoriks hr Kenneth Geers NATO kooperatiivsest küberkaitsekeskusest
Neljas
18. oktoober
Strateegia, operatsiooni ja taktika kokkuvõte. Lektor: Rain Ottis.
Riigi poliitika ja küberkaitsestrateegia. Lektor: Heli Tiirma-Klaar
Viies
1. november
Lektor: Aivo Jürgenson
Võrguoperaatorite vaheline koostöö, halduspiirkonnad ja kokkulepped
Protokollidel DNS ja BGP realiseeritavad kokkulepped.
Nimeteenus on raamistik millel realiseeritakse võrgus osalejate arvutite nimede ja aadresside vaheline vastavus. Sellega kaasneb raamistik, mis määrab kuidas nimede kasutamise kokkuleppeid tehakse. DNS-i rünnete ja väärkasutusega üritatakse neid kokkuleppeid ründaja kasuks tööle panna.
BGP on võrguteenuse pakkujate vaheline suhtlusprotokoll. Selle töötamise aluseks on jällegi vastutuspiiride kokkuleppimine võrgus. Väärkasutusega üritatakse kellegi teise vastutusalas endale sobivaid tegemisi toimetada.
Operaatoritel on väärkasutuse tõkestamisel ja teenuse katkestamisel piirangud. Sellega võidakse kellegi seaduslik teenus halvata. Seetõttu muutub ka väärkasutuse tõkestamine ise ründevahendiks. Ja samas takistab kohest reageerimist tarbijakaitse ning konkurentsi tõkestamise vastase kaitse reeglite kogu.
Tiimijuhtide nägemus rollide jaotusest:
- Süsteemi ehitamisel
- Operatsiooni käigus
Kuues
22. november
Mehis Hakkaja: "Rahvusvaheline koostöö; CERT-id, ENISA, WARP": IR and SecCom Models
- Intsidentideks valmistumine - talitluspidevus.
- Intsidentide käsitlemine - reaktsiooni aeg ja testimise olulisus
- Turvaintsidentide eripära
- Kriminaalprotsessi koht intsidentide käsitluses
Seitsmes
Kalmer Viska "Kriminaalprotsess"
13. detsember
- Mõjude hindamine - kuidas väärtus kaob
- Analüüsi lihtsustamine standardiseerimise kaudu - etalonturve ja selle negatiivne mõju haavatavusele
- Ründajate motivatsioon
- Turvajuhi roll ettevõttes
Praktikumid
Kõik praktikumid toimuvad SIVAKi arvutiklassis. Korraga kuni 4x45 min
Praktikumide sisu:
- ülesannete lahendamine
- küberkaitse harjutuseks ettevalmistamine
Ülesannete lahendamiseks peab SIVAKisse kohale tulema.
Praktikumide tulemused ITX8032 laborid 2008
Esimene
25. september 17.00
- Network Scanning: host discovery, port scanning, application version and OS detection, vulnerability scanning
- Brute Force Attacks: remote login brute-forcing (passwords, vulnerable SSH keys)
- Tools: nmap, amap, unicornscan, medusa, thc-hydra, Nessus, xprobe2
Teine
2. oktoober 17.00
- Man In The Middle attacks. ARP spoofing and network sniffing in LAN.
- Exploiting network services. Exploitation frameworks
- Privilege escalation
- Tools: arpspoof, dnsspoof, ettercap, Metasploit
Kolmas
16. oktoober 17.00
- Web application security
- Code injection: SQL injection, File Inclusion
- Bypassing Client Side Controls
- Attacking Session Management
- Password cracking?
- Tools: webscarab
Neljas
30. oktoober 17.00
- SQLi ülesannete lahenduste ülevaatamine
- SQLi ülesannete lõpetamine, kes eelmisel korral ei jõudnud (Blind SQLi said valmis 3 tudengit)
- Ettevalmistus küberkaitse harjutuseks (Jaan Priisalu juhtimisel):
- Ülesande tutvustus (vt allpool jaotist Küberkaitse harjutus)
- Vajalikud rollid. Meeskondade moodustamine.
- Lahenduste brainstorm.
- Kaitselahenduste brainstorm.
- Ülesannete jagamine
Viies
13. november 17.00
Ettevalmistus küberkaitse harjutuseks.
Kaasame välise turvaarhitekti ja vaatame üle lahenduste vaheversiooni. 1. Platvorm 2. Rakendus 3. Situatsioonianalüüs
Eelduseks on lahenduste olemasolu, mida üle vaadata.
Kuues
11. detsember 17.00
- Web Application Security
- OS Command injection
- Code injection
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
Küberkaitse harjutus
Harjutuse tutvustus
Algne dok: Media:SWE-EST.CDX.Description.For.Students.doc Täiendatud nõudeid vt allpool
Meeskonnad, kes on paremad kui mõlemad rootsi sinised meeskonnad saavad eksami maksimaalsed punktid.
Kuskil pole öeldud, et Eesti meeskonnad ei või omavahel koostööd teha. Robotexi aastaid võitnud IT Kolledzhi meeskonna edu taga oli õige projektijuhtimine ja ressursside jagamine võistlevate meeskondade vahel. Sellega suudeti edestada nii TÜ kui ka TTÜ meeskondi.
Ajakava
- 30.10 Tiimideks jagamine, esimene brainstorm
- 1.11 Organisatsiooni nägemuse esimene tutvustus ja arutelu. Kommunikatsioon peab paigas olema. Milliseid kommunikatsioonikanaleid on vaja? Skype conference ja wiki?
- 13.11 Vaatame esimese süsteemi setupi üle. Esimene versioon peab mängukeskkonnas olemas olema
- 22.11 Vaatame security community-le otsa ja küsime arvamust. Vaatame operatsiooni plaani üle.
- 30. november: kaitstavad süsteemid valmis
- 1. detsember: White Team vaatab teenuste nõutetele vastavuse üle
- 2. detsember: Red Team võib alustada probe'imist
- 5. detsember: ettevalmistus, süsteemide testimine, kommunikatsioonikanalite testimine
- 6. detsember 10.00 - 16.00: harjutus, kokku 6 tundi
Meeskonnad
- Ministry of Energy
- Rain (Team Leader)
- Konstantin
- Raido
- Vladimir
- Andri
- Hendrik
- Olga
- Ants
- Karpo
- MaitK
- Technology News Portal
- Siim (Team Leader)
- Rein
- Juri
- Romi
- Raul
- Julia
- Ülar
- Mait
- Jaanus
Kaitstavad süsteemid
News portals
Exersian Daily News (SWE) Technology News Portal (EST)
- Dynamic web page having content management possibilities
- The owners of the portal should have interfaces to change the content (news, articles, ads)
- The registered users of the portal should have possibility to comment the articles
- Obviously there should be a user registration form
- The portal must have an option to ban impolite users
- Search functionality: search from the news archive
- Must have back-end database
- Content must be in English
- Must be run over both HTTP and HTTPS
- The index page that is loaded into the users browser after accessing e.g www.tnp.news.ex should contain also images in addition to plain html. The size of the content loaded into the browser when accessing index page should be at least 1000KB (?) and there should be at least 25 different files (.html, .css, .jpg, .gif, .js,...).
- The Blue Team has to give the White Team permissions to change the contents of this CMS e.g. add additional news to the portal
Governmental websites
Exersian Energy Commission (SWE) Ministry of Energy (EST)
- Dynamic web page having content management possibilities
- The owners of the portal should have interfaces to change the content (press releases, announcements to citizens, add downloadable documents etc)
- The site should contain
- Press releases: information for the press about present and past events
- Information for the citizens
- Application forms for downloading
- A place where the registered users can post their new create ideas how the govermnment could make their life easier. The other registered users should have possibility to comment these ideas. Obviously there should be a user registration form
- Search functionality: e.g search from document register. The point is to have many forms on the page that accept user input
- Contact information
- Must have back-end database
- Must be run over both HTTP and HTTPS
- The index page that is loaded into the users browser after accessing e.g www.eec.news.ex should contain also images in addition to plain html. The size of the content loaded into the browser when accessing index page should be at least 500KB and there should be at least 25 different files (.html, .css, .jpg, .gif, .js,...).
- The Blue Team has to give the White Team permissions to change the contents of this CMS e.g. add additional press release
DNS
- Authoritative DNS server for the domain under the Blue Teams administration
- Some of the clients (and scoring bots) of the Blue Teams systems will use ISPs' DNS servers and some directly Blue Teams DNS servers for resolving the names of Blue Teams systems
SMTP
- Each Blue Team should have an e-mail server in their infrastructure
- The Blue Teams have to set up at least the following accounts: postmaster, abuse, info, tasks
- These accounts will be used for in-game communication
- For instance the judges are going to send the teams additional tasks to this e-mail account. If the White Team gets response in predefined amount of time the Blue Team gets plus points for the specific task