Turvaline ssteemiarendus ehk ainult krptograafiast ei piisa Margus

Turvaline süsteemiarendus ehk ainult krüptograafiast ei piisa Margus Freudenthal

Sisukord n n n Üldine jutt: miks ja milleks Turvalise süsteemiarenduse põhimõtteid Näide: raamatupidamine ja pangandus

Algatuseks: vaatlusobjekt n Käesolevas loengus vaatleme (info)süsteemi selle mõiste laias tähenduses, mis hõlmab n n n n Rakendustarkvara Süsteemitarkvara Riistvara Kasutajaid Juhtkonda Organisatsiooni kliente ja partnereid Ümbritsevat keskkonda (meediat, konkurente, seadusi)

Algatuseks: turvameetmete roll n Turvalisus ei ole eesmärk iseeneses, vaadelda tuleb (info)süsteemi rakendava organisatsiooni eesmärke n n Firmade eesmärk on valdavalt kasumi teenimine Turvarisk on sarnane muude äririskidega (börsikrahh, seaduste muutumine, jms. )

Turvameetmete roll jätkub n n Turvalisem süsteem ei pruugi olla kasulikum süsteem Näide: supermarketid n n n Varastatakse oluliselt rohkem kui väikestes poodides Suurema efektiivsuse tõttu on tulusamad Meeldetuletus: turvameetmed üldjuhul midagi sisse ei too

Turvalisus = riskihaldus n n Turvainseneri ülesandeks on piirata tekkida võivat kahju Süsteem on turvaline siis, kui riskid on kontrolli all

Inimene on kõigi asjade mõõt n n n Meie süsteemi kasutavad inimesed Inimestel on tegutsemismotiivid, harjumused Infosüsteemi projekteerimisel esitada alati küsimusi: n n Milline on X huvi seoses antud tegevusega (andmeelemendiga)? Mida võidab Y, kui juhtub Z?

Otsi huvide konflikte n n Turvaprobleemid algavad huvide konfliktist Näide: n n n Minu huvides on olla oma auto ainuvaldaja Varga huvides on olla minu auto ainuvaldaja Veel näiteid: n n Veebipoe kliendi huvides on ostu eest mitte tasuda Töötaja huvides on eemale juhtida maksimaalses koguses firma raha

Turvameetmete planeerimisest n n Mida me kaitseme? Mille eest? Kelle eest? Millised on motiivid? n n n Pahade motiivid Heade motiivid Milline on turvameetmete hind?

Süsteemiarenduse printsiipe n Ära kuhja sihtmärke kokku n n Ühe turvameetme lahti murdnud ründaja võiks ligi pääseda vaid ühele varale Näiteks NATO reeglid keelavad raha ka konfidentsiaalseid andmeid koos transportida

Printsiip: KISS n n Kett on sama tugev kui kõige nõrgem lüli Teeme hästi lühikese keti

Printsiip: defence in depth n n Teineteist dubleerivad turvamehhanismid Tulemus on sama tugev kui kõige tugevama keti nõrgim lüli Raske on teha nii, et dubleerivad mehhanismid ei omaks ühiseid nõrkusi Konfliktis KISS printsiibiga

Turvapoliitika kolm vaala n n Ära hoidmine (prevention) Avastamine (detection) Taastamine (recovery) Nõrkusi ühes valdkonnas on võimalik kompenseerida teises valdkonnas

Eelduste haldus n n Oluline turvarikete allikas: arendajate poolt tehtud eeldused ei ole täidetud Keskkonna muutus võib muuta eeldused valedeks n n Näide: algselt firma sisemiseks tarbeks arendatud teenus muudetakse avalikuks Eeldused tuleb ilmutatult kirja panna ning aeg-ajalt uuesti üle vaadata

Turvamehhanismide omadused n Tee endale selgeks, mida turvamehhanism tegelikult pakub n n Näide: kiipkaart pakub enam-vähem turvalist võtmehoidlat ning RSA signatuuri arvutamise keskkonda Titanicu efekt: mingile popile tehnoloogiale lootma jäämine

Trust no one n Ära usalda protsesse, mis ei ole sinu kontrolli all n Näiteks ära looda, et kliendi brauseris töötav Java. Script teeb sisendi kontrolli korrektselt

Mõtle inimestele n n Enamik turvarikkeid on seotud inimeste omadustega Tee turvameetmed kasutajasõbralikuks Muuda turvameetmed tööprotsessi loomulikuks osaks Motiveeri inimesi turvameetmeid kasutama n Näide: aeglukustusega seifid kaitsevad inimröövide eest

Turvaomaduste pingerida n n n Kõik andmed peavad olema terviklikud Kõik andmed peavad olema käideldavad Mõned andmed peavad olema konfidentsiaalsed

Oluline mõte n Whoever thinks his problem can be solved using cryptography, doesn’t understand his problem and doesn’t understand cryptography. Roger Needham / Butler Lampson

Näide: raamatupidamine ja pangandus n n Väga vanad turvameetmed Turvanõuded: n n Konfidentsiaalsus ei ole oluline Terviklus on oluline Kord salvestatud andmete hilisema muutmise vältimine on oluline Insaiderid on oluline (olulisim) risk

Kahekordne kirjendamine n n n Iga transaktsioon kantakse kahte erinevasse raamatusse Perioodi lõpus peavad arved klappima Raamatuid peavad harilikult erinevad inimesed Vastutuse jagamine – pettus eeldab kahe raamatupidaja koostööd Arvutipõhistes süsteemides kahjuks nii hästi ei tööta

Kohustuste lahutamine n Topeltkontroll n n Mitu isikut peab autoriseerima sama tehingu Kohustuste funktsionaalne lahutamine n Üks tehing käib läbi mitme erineva isiku käest

Pettuste statistika n n n 82 protsenti pettustest sooritasid oma töötajad Pooled neist olid samas kohas töötanud üle viie aasta Kolmandik neist kuulus juhtkonda

Pettuste statistika n Õnnestunud pettused kasutasid põhiliselt ära protseduurilisi nõrkusi n n n Garantiikirjade võltsimine Fiktiivsed toetuste/kindlustuse saajad Programmeerijate poolt teostatavad ründed kukkusid sageli läbi protseduuride ja auditeerimisreeglite mittetundmise tõttu

ATM pettused n Sisemised ründed n n Teadete või PIN-ide krüptimiseks kasutatavate PIN-ide teada saamine programmeerijate/administraatorite/osakon najuhatajate poolt Välised ründed n n Võltsautomaatide üles seadmine Kaartide vargus/PIN-ide piilumine

Olulisi tähelepanekuid n n Alati on olemas ametikohti, kelle pettusi on raske avastada Turvapoliitika ei ole 100% range, alati tehakse neisse praktika tõttu mugandusi. n n Sageli on raske eristada pettusi vigadest n n Mõned neist mugandustest on turvaaugud Mida vähem loomulikke vigu, seda lihtsam on avastada pettusi. Tehnilised ja protseduurilised kontrollid ei tohiks kattuda

Kõik Küsimusi, kommentaare?