Digitaalinen haavoittuvuus MATINE Tampere

Samankaltaiset tiedostot
PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Paikkatietorajapinnat IT arkkitehtuurin näkökulmasta

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Toiminnallinen turvallisuus

Salasanan vaihto uuteen / How to change password

Attribuuttipohjainen käyttövaltuuksien hallinta Case Dreamspark Premium

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Sulautettu tietotekniikka Kimmo Ahola

Security server v6 installation requirements

Network to Get Work. Tehtäviä opiskelijoille Assignments for students.

Avoimen lähdekoodin kehitysmallit

Security server v6 installation requirements

TW-LTE 4G/3G. USB-modeemi (USB 2.0)

Sosiaalisen median liiketoimintamallit ja käyttöön oton suunnitelma 9/23/2012

Tech Conference Office 365 tietoturvan heikoin #TechConfFI

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

XEROXIN TURVATIEDOTE XRX Http-palvelimen haavoittuvuus ESS:ssä/verkko-ohjaimessa saattaa mahdollistaa järjestelmän luvattoman käytön.

20 SYYTÄ, MIKSI JOKAISEN SEURAAVAN TIETOKONEEN TULISI OLLA THINKPAD TAI THINKCENTRE

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Käyttöjärjestelmät(CT50A2602)

WAMS 2010,Ylivieska Monitoring service of energy efficiency in housing Jan Nyman,

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

VTT EXPERT SERVICES OY VTT EXPERT SERVICES LTD.

Ohjelmistoarkkitehtuurit Kevät 2016 Johdantoa

Linux rakenne. Linux-järjestelmä koostuu useasta erillisestä osasta. Eräs jaottelu: Ydin Komentotulkki X-ikkunointijärjestelmä Sovellusohjelmat

Käytettävyys ja käyttäjätutkimus. Yhteisöt ja kommunikaatiosuunnittelu 2012 / Tero Köpsi

Tässä ohjeessa käydään läpi sosiaalisen median verkkopalveluiden lisätoimintojen lisääminen verkkosivuillesi.

Älyvaatteet työympäristössä

IBM Iptorin pilven reunalla

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä

Lisensointikuulumisia - Kustannustehokkuus Oracle lisensoinnissa

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

Vaivattomasti parasta tietoturvaa

WP3 Decision Support Technologies

You can check above like this: Start->Control Panel->Programs->find if Microsoft Lync or Microsoft Lync Attendeed is listed

Sulautettu tietotekniikka Ubiquitous Real World Real Time

Yritysturvallisuuden perusteet

Suorituskyvyn varmistaminen sovelluskehityksen eri vaiheissa Paavo Häkkinen, Presales Teamleader Compuware Finland

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Kattava tietoturva kerralla

Microsoft Lync 2010 Attendee

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

truck Check In. truck Check Net. ewaybill ja ajat suoraan terminaaliin

Tietoturvallinen liikkuva työ. Juha Tschokkinen

Käyttöjärjestelmät. 1pJÄKÄ1 KÄYTTÖJÄRJESTELMÄN HALLINTA, 12 OSP

Osoitteena O365. Toimisto ja yhteydet pilvestä

VTT and growth oriented SME companies

Tietoyhteiskunnan taudit ja rohdot 2000-luvulla Erkki Mustonen tietoturva-asiantuntija

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Digitalisaation hyödyt teollisuudessa

What does the Open Finland Challenge 2015 tell us about the state of open data in Finland? Open Finland Challenge

EU FP7 EURATOM vuoden 2011 työohjelman valmistelu, mitä tiedetää. ään n? Reaktoriturvallisuus

Verkostoautomaatiojärjestelmien tietoturva

Teollisuuden uudistuminen - innovaatiot uuden nousun mahdollistajana

Backup Exec 3600 Appliance

FinFamily Installation and importing data ( ) FinFamily Asennus / Installation

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

Opas verkkopalvelun tietoturvan varmentamiseen

Teollinen Internet & Digitalisaatio 2015

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

TeleWell TW-LTE/4G/3G USB -modeemi Cat 4 150/50 Mbps

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

KYSELYTUTKIMUS: Yritysten verkkopalvelut sekä hankaluudet niiden hankinnassa ja määrittelyssä

Ubisecuren palvelut Katsohyödyntäjille UBISECURE SOLUTIONS, INC.

Miten luodaan tehokas ja sertifioitu laatujärjestelmä?

TIETOJÄRJESTELMIEN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

Osaa käyttää työvälineohjelmia, tekstinkäsittelyä taulukkolaskentaa ja esitysgrafiikkaa monipuolisesti asiakasviestintään.

Lähde / Source: Macrobond

AsioEduERP v12 - Tietoturvaparannukset

Ulkoiset mediakortit. Asiakirjan osanumero: Tässä oppaassa kerrotaan ulkoisten tallennusvälinekorttien käytöstä.

Lahti is a green-clean-event -design city. Riikka Salokannel Muotoilun kehitysjohtaja Lahden alueen kehitysyhtiö Ladec Oy

UX NÄKÖKULMA - KONECRANES

Tutkimus web-palveluista (1996)

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

ICT:n sosiaalinen käytettävyys

Avoimen lähdekoodin vaarat

Intel Threading Building Blocks

OpenSSL Heartbleed-haavoittuvuus

eduroamin käyttöohje Windows

Juha Henriksson. Digitointiprojektin hallinta ja ulkoistaminen Dr. Juha Henriksson Finnish Jazz & Pop Archive

Ti Tietoturvan Perusteet

Millainen on viihtyisä kaupunki ja miten sitä mitataan?

Hakkerin henkilökuva. [Avaa linkki valmiiksi ja poista presentaatiosta]

Suomen 2011 osallistumiskriteerit

API:Hack Tournee 2014

Avoimen datan liiketoimintamallit. Matti Rossi, Aalto University School of Business

08:30 Uuden aallon ratkaisuliiketoimintamalli; Sanoma ja WSOYpro Oy Salla Vainio, toimitusjohtaja ja Liisa Lempinen, myyntijohtaja, WSOYpro Oy

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Pirkko Kanerva. Tieinfo. Keski-Suomen tiepliri / L / ',/i TIEH!LL!::TO. Kirjasto. OtriEbi /lc

Venttiilit ja Automaatio

BDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET.

Missä mennään BI? Mikko Kontio

Terveysalan uudistaminen yritysten, korkeakoulujen ja palvelujärjestelmän yhteistyöllä

Ympäristöjalanjäljet - miten niitä lasketaan ja mihin niitä käytetään? Hiilijalanjälki

Bachelor level exams by date in Otaniemi

Cloud, Convergence, Ubiquity ja muita uudissanoja - ICT toimialan näkymät 2011

Transkriptio:

VTT TECHNICAL RESEARCH CENTRE OF FINLAND LTD Digitaalinen haavoittuvuus MATINE 8.5.2018 Tampere Mika.Rautila@vtt.fi

Sisältö Mikä on digitaalinen haavoittuvuus Millaisista tekijöistä digitaaliset haavoittuvuudet muodostuvat Miten haavoittuvuuksia voisi estää 08/05/2018 2

Digitaalinen haavoittuvuus Järjestelmä voidaan jakaa digitaaliseen ja analogiseen osaan Digitaalinen haavoittuvuus on järjestelmän digitaalisessa osassa oleva ominaisuus, joka tekee mahdolliseksi järjestelmän käyttämisen ei-tarkoitetulla (tietoturvapolitiikan vastaisella) tavalla Analoginen Digitaalinen 08/05/2018 3

Morris worm Tarkoituksena levittäytyä verkossa mahdollisimman moneen koneeseen Levittäytyminen käynnistyi lokakuussa 1988 yhdestä MIT:n koneesta 08/05/2018 4

Morris worm Tarkoituksena levittäytyä verkossa mahdollisimman moneen koneeseen Levittäytyminen käynnistyi lokakuussa 1988 yhdestä MIT:n koneesta 08/05/2018 5

Morris worm Käytti kolmea eri haavoittuvuutta: 1. Helppokäyttöinen ohjelmien etäsuoritus (rsh) Kaikkien käyttäjien salasanat oli saatavilla salatussa muodossa Helposti arvattavia salasanoja B Allow user `abc from A A C Allow user `abc from A D 08/05/2018 6

Morris worm Käytti kolmea eri haavoittuvuutta: 1. Helppokäyttöinen ohjelmien etäsuoritus (rsh) Kaikkien käyttäjien salasanat oli saatavilla salatussa muodossa Helposti arvattavia salasanoja B Allow user `abc from A A C Allow user `abc from A D 08/05/2018 7

Morris worm Käytti kolmea vaihtoehtoista haavoittuvuutta: 2. Yhden verkkopalvelun toteuttavan ohjelman ohjelmointivirhe (fingerd) Virhe mahdollisti käyttäjän antaman koodin suorittamisen kohdekoneessa finger fingerd 08/05/2018 8

Morris worm Käytti kolmea vaihtoehtoista haavoittuvuutta: 2. Yhden verkkopalvelun toteuttavan ohjelman ohjelmointivirhe (fingerd) Virhe mahdollisti käyttäjän antaman koodin suorittamisen kohdekoneessa finger fingerd 08/05/2018 9

Morris worm Käytti kolmea vaihtoehtoista haavoittuvuutta: 3. Sähköpostiongelmien ratkaisemista helpottava takaportti (sendmail) Ominaisuus oli tarkoitettu käytettäväksi kehitysvaiheessa sendmail 08/05/2018 10

Morris worm Käytti kolmea vaihtoehtoista haavoittuvuutta: 3. Sähköpostiongelmien ratkaisemista helpottava takaportti (sendmail) Ominaisuus oli tarkoitettu käytettäväksi kehitysvaiheessa sendmail 08/05/2018 11

Morris worm Käytti kolmea eri haavoittuvuutta: 1. Helppokäyttöinen ohjelmien etäsuoritus (rsh) Kaikkien käyttäjien salasanat oli saatavilla salatussa muodossa Helposti arvattavia salasanoja 2. Yhden verkkopalvelun toteuttavan ohjelman ohjelmointivirhe (fingerd) Virhe mahdollisti käyttäjän antaman koodin suorittamisen kohdekoneessa 3. Sähköpostiongelmien ratkaisemista helpottava takaportti (sendmail) Ominaisuus oli tarkoitettu käytettäväksi kehitysvaiheessa 08/05/2018 12

Silent bob Haavoittuvuus raportoitu alkuvuodesta 2017 Intelin PC-arkkitehtuuriin on kehitetty laitteiden etähallinnan mahdollistavat ominaisuudet (Active Management Technology) Etähallinta on tehty riippumattomaksi hallittavassa koneessa olevasta käyttöjärjestelmästä Hallintaominaisuudet on lähes kaikissa Intelin piireillä valmistetuissa PC-laitteissa Etähallinta on toteutettu web-palveluna Haavoittuvuus autentikoinnissa web-palveluun 08/05/2018 13

Silent bob Admin Halittava kone Authenticate: nounce Authorization: response 08/05/2018 14

Silent bob Halittava Admin kone Authenticate: nounce Authorization: response if ( strncmp( computed_response, { } user_response, response_len )!= 0 ) // Authentication failed. // 08/05/2018 15

Silent bob Admin Halittava kone Authenticate: nounce Authorization: if ( strncmp( computed_response, user_response, response_len )!= 0 ) { // Authentication failed. // } 08/05/2018 16

Silent bob Source: Intel product brief -- Intel Q57 Chipset and Intel 3450 Chipset Embedded Computing 08/05/2018 17

Silent bob app lib OS ME/ AMT Source: Intel product brief -- Intel Q57 Chipset and Intel 3450 Chipset Embedded Computing 08/05/2018 18

Miten haavoittuvuuksia torjutaan? 08/05/2018 19

Miten haavoittuvuuksia torjutaan? Pidetään huoli, ettei ohjelmistoissa ole haavoittuvuuksia Toteutusvaiheen aikainen varmistus Staattinen ja dynaaminen tietoturvan varmistus Miten analysoida vielä tuntemattomien hyökkäystapojen suhteen 08/05/2018 20

Miten haavoittuvuuksia torjutaan? Pidetään huoli, ettei ohjelmistoissa ole haavoittuvuuksia Toteutusvaiheen aikainen varmistus Staattinen ja dynaaminen tietoturvan varmistus Miten analysoida vielä tuntemattomien hyökkäystapojen suhteen Jos haavoittuvuuksia kuitenkin on, niin pidetään huoli, ettei niitä voi käyttää Defence-in-depth Tietoturvapäivitykset 08/05/2018 21

Miten haavoittuvuuksia torjutaan? Pidetään huoli, ettei ohjelmistoissa ole haavoittuvuuksia Toteutusvaiheen aikainen varmistus Staattinen ja dynaaminen tietoturvan varmistus Miten analysoida vielä tuntemattomien hyökkäystapojen suhteen Jos haavoittuvuuksia kuitenkin on, niin pidetään huoli, ettei niitä voi käyttää Defence-in-depth Tietoturvapäivitykset Pidetään huoli, että käyttäjät käyttävät laitteita turvallisella tavalla 08/05/2018 22

Miten haavoittuvuuksia torjutaan? Huono suunnittelu ja konfigurointi Miten analysoida suunnitelmista eri elementtien tietoturvavaikutukset 08/05/2018 23

Miten haavoittuvuuksia torjutaan? Huono suunnittelu ja konfigurointi Miten analysoida suunnitelmista eri elementtien tietoturvavaikutukset Ohjelman tuotantoversiossa mukana vain kehitysversioon tarkoitettua koodia Miten varmistetaan ettei ole ylimääräistä koodia Miten varmistetaan kaikkien toimittajien osuus Insider-riski Logistiikkariski 08/05/2018 24

Miten haavoittuvuuksia torjutaan? Huono suunnittelu ja konfigurointi Miten analysoida suunnitelmista eri elementtien tietoturvavaikutukset Ohjelman tuotantoversiossa mukana vain kehitysversioon tarkoitettua koodia Miten varmistetaan ettei ole ylimääräistä koodia Miten varmistetaan kaikkien toimittajien osuus Insider-riski Logistiikkariski Ohjelmointivirheet Miten estetään kriittiset ohjelmointivirheet 08/05/2018 25

Miten haavoittuvuuksia torjutaan? Huono suunnittelu ja konfigurointi Miten analysoida suunnitelmista eri elementtien tietoturvavaikutukset Ohjelman tuotantoversiossa mukana vain kehitysversioon tarkoitettua koodia Miten varmistetaan ettei ole ylimääräistä koodia Miten varmistetaan kaikkien toimittajien osuus Insider-riski Logistiikkariski Ohjelmointivirheet Miten estetään kriittiset ohjelmointivirheet Hardwaren turvallisuus 08/05/2018 26

Miten haavoittuvuuksia torjutaan? You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code. Ken Thompson: Reflections on trusting trust, 1984 08/05/2018 27

Miten haavoittuvuuksia torjutaan? You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code. Ken Thompson: Reflections on trusting trust, 1984 You can t even trust code that you did totally create yourself Eric Allman 08/05/2018 28

TECHNOLOGY FOR BUSINESS

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute