สรุปเตรียมสอบกลางภาค 2/50

คุณลักษณะสำคัญของ สารสนเทศ (Information) มี 3 ประการ คือ Data Information คุณลักษณะสำคัญของ สารสนเทศ (Information) มี 3 ประการ คือ เป็นข้อมูลที่ผ่านการประมวลผลแล้ว มีรูปแบบที่มีประโยชน์นำไปใช้งานได้ มีคุณค่าสำหรับใช้ในการดำเนินงาน หรือตัดสินใจ 4/8/2017

#2 Insider Abuse of Net Access CSI/FBI Survey Report 2004 #1 Virus #2 Insider Abuse of Net Access #3 Laptop/mobile theft 4/8/2017 แหล่งที่มา: 2004 CSI/FBI Computer Crime and Security Survey (Computer Security Institute)

#2 Insider Abuse of Net Access CSI/FBI Survey Report 2005 #1 Virus #2 Insider Abuse of Net Access #3 Laptop/mobile theft แหล่งที่มา: 2005 CSI/FBI Computer Crime and Security Survey (Computer Security Institute) 4/8/2017

#3 Insider Abuse of Net Access CSI/FBI Survey Report 2006 #1 Virus #2 Laptop/mobile theft #3 Insider Abuse of Net Access

#3 Server-based Access Control Lists 71% CSI/FBI Survey Report 2004 #1 Antivirus Software 99% #2 Firewalls 98% #3 Server-based Access Control Lists 71% แหล่งที่มา: 2004 CSI/FBI Computer Crime and Security Survey (Computer Security Institute) 4/8/2017

#2 Anti-Virus Software 96% #3 Instrusion Detection Systems 72% CSI/FBI Survey Report 2005 #1 Firewall 97% #2 Anti-Virus Software 96% #3 Instrusion Detection Systems 72% แหล่งที่มา: 2005 CSI/FBI Computer Crime and Security Survey (Computer Security Institute) 4/8/2017

#2 Anti-Virus Software 97% #3 Ansi-Spyware Softwares 79% CSI/FBI Survey Report 2006 #1 Firewall 98% #2 Anti-Virus Software 97% #3 Ansi-Spyware Softwares 79%

เป้าหมายของการรักษาความมั่นคงปลอดภัยทางสารสนเทศ Confidentiality คือการรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้มีสิทธิเท่านั้นจึงจะเข้าถึงข้อมูลนั้นได้ Confidentiality Integrity Availability Integrity คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นโดย อุบัติเหตุหรือโดยเจตนา Availability คือการรับรองว่าข้อมูลและบริการการสื่อสารต่าง ๆ พร้อมที่จะใช้งานได้เมื่อต้องการ 4/8/2017

การรักษาความลับของข้อมูล (Confidentiality) การป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาต (Unauthorized User) เข้าถึงแหล่งข้อมูลได้ ถ้ามีการเข้าถึงแหล่งข้อมูลโดยบุคคลที่ไม่ได้รับอนุญาต ก็ไม่สามารถนำไปใช้งานได้เนื่องจากมีวิธีการปกป้องความปลอดภัยของข้อมูลอย่างเพียงพอ ทำให้ไม่สามารถเข้าใจเนื้อหาของข้อมูลหรือไม่สามารถเปิดดูเนื้อหาของข้อมูลนั้นได้ การป้องกันการปลอมแปลงข้อมูล (Integrity) การรักษาความถูกต้องและความสมบูรณ์ของข้อมูลไว้เสมอ ป้องกันไม่ให้มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต ความพร้อมใช้งาน (Availability) เพื่อให้ระบบนั้นสามารถที่จะทำงานได้ตามปกติและเต็มประสิทธิภาพ ต้องมีขีดความสามารถดังนี้ ปฏิบัติงานได้ตามปริมาณที่ต้องการได้ ปฏิบัติงานได้ภายในเวลาที่กำหนด 4/8/2017

Figure 1-2: Other Empirical Attack Data Riptech Analyzed 5.5 billion firewall log entries in 300 firms in five-month period Detected 128,678 attacks—an annual rate of 1,000 per firm Only 39% of attacks after viruses were removed were directed at individual firms

Figure 1-2: Other Empirical Attack Data SecurityFocus Data from 10,000 firms in 2001 Attack Frequency 129 million network scanning probes (13,000 per firm) 29 million website attacks (3,000 per firm) 6 million denial-of-service attacks (600 per firm)

Figure 1-2: Other Empirical Attack Data SecurityFocus Attack Targets 31 million Windows-specific attacks 22 million UNIX/LINUX attacks 7 million Cisco IOS attacks All operating systems are attacked!

Figure 1-2: Other Empirical Attack Data Honeynet project Networks set up for adversaries to attack Windows 98 PC with open shares and no password compromised 5 times in 4 days LINUX PCs took 3 days on average to compromise

Figure 1-3: Attack Trends Growing Randomness in Victim Selection In the past, large firms were targeted Now, targeting is increasingly random No more security through obscurity for small firms and individuals

Figure 1-3: Attack Trends Growing Malevolence Most early attacks were not malicious Malicious attacks are becoming the norm

Figure 1-3: Attack Trends Growing Attack Automation Attacks are automated, rather than humanly-directed Essentially, viruses and worms are attack robots that travel among computers Attack many computers in minutes or hours

Figure 1-4: Framework for Attackers Elite Hackers Hacking: intentional access without authorization or in excess of authorization Some call this cracking, not hacking, which they equate to any skilled computer use Characterized by technical expertise and dogged persistence, not just a bag of tools Use attack scripts to automate actions, but this is not the essence of what they do Deviants and often part of hacker groups that reinforce deviant behavior

Figure 1-4: Framework for Attackers Script Kiddies Use pre-written attack scripts (kiddie scripts) Viewed as lamers and script kiddies Large numbers make dangerous Noise of kiddie script attacks masks more sophisticated attacks

Figure 1-4: Framework for Attackers You may hear the terms “white hat” (good guys) and “black hat” bad guys “gray Hat” (Back and Forth between “white hat” and “black hat” “Black hat” hackers break in for their own purposes “White hat” can mean multiple things Strictest: Hack only by invitation as part of vulnerability testing Some who hack without permission but report vulnerabilities (not for pay) also call themselves white hat hackers

Figure 1-5: Framework for Attacks Physical Access Attacks -- Wiretapping Server Hacking Vandalism Social Engineering -- Opening Attachments Password Theft Information Theft Phishing Dialog Attacks -- Eavesdropping Impersonation Message Alteration Penetration Attacks Malware -- Viruses Worms Denial of Service Scanning (Probing) Break-in

ระดับ ของ Security ที่ดี คือ จุดที่ พอดี กับความต้องการของระบบ “Not the Best” But “Just Enough” 4/8/2017

Who is who? การพิสูจน์ตัวตน คือขั้นตอนการยืนยันความถูกต้องของหลักฐาน (Identity) ที่แสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ในทางปฏิบัติจะแบ่งออกเป็น 2 ขั้นตอน คือ - การระบุตัวตน (Identification) คือขั้นตอนที่ผู้ใช้แสดงหลักฐานว่าตนเองคือใคร เช่น Username - การพิสูจน์ตัวตน (Authentication) คือขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง เช่น Password

Who can access it? การกำหนดสิทธิ์ คือขั้นตอนในการอนุญาตให้แต่ละบุคคลสามารถเข้าถึงข้อมูลหรือระบบใดได้บ้าง ก่อนอื่นต้องทราบก่อนว่าบุคคลที่กล่าวอ้างนั้นคือใครตามขั้นตอนการพิสูจน์ตัวตนและต้องให้แน่ใจด้วยว่าการพิสูจน์ตัวตนนั้นถูกต้อง

Who can see it? การเข้ารหัส คือการเก็บข้อมูลด้วยวิธีการพิเศษเพื่อป้องกันข้อมูลไว้ให้ผู้ที่มีสิทธิเท่านั้น (ปกป้องข้อมูลจากบุคคลอื่นที่ไม่ได้รับอนุญาต)

Who can change it? การรักษาความสมบูรณ์ คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไปจากต้นฉบับ (source) ไม่ว่าจะเป็นโดยบังเอิญหรือโดยเจตนา

Who done it? การตรวจสอบ คือการตรวจสอบหลักฐานทางอิเล็กทรอนิกส์ ซึ่งสามารถใช้ในการติดตามการดำเนินการเพื่อตรวจสอบความถูกต้องของการใช้งาน เช่นการตรวจสอบบัญชีชื่อผู้ใช้ โดยผู้ตรวจบัญชี ซึ่งการตรวจสอบความถูกต้องของการดำเนินการเพื่อให้แน่ใจว่าหลักฐานทางอิเล็กทรอนิกส์นั้นได้ถูกสร้างและสั่งให้ทำงานโดยบุคคลที่ได้รับอนุญาต และในการเชื่อมต่อเหตุการณ์เข้ากับบุคคลจะต้องทำการตรวจสอบหลักฐานของบุคคลนั้นด้วย ซึ่งถือเป็นหลักการพื้นฐานของขั้นตอนการทำงานของการพิสูจน์ตัวตนด้วย

กระบวนการในการควบคุมการเข้าถึง 1. แจกแจงรายละเอียดที่สำคัญในระบบ (Enumeration of Resources) 2. วิเคราะห์ความสำคัญและความอ่อนไหวของแหล่งข้อมูล (Sensitivity of Each Resources) 3. กำหนดผู้ที่สามารถเข้าถึงแหล่งข้อมูล (Determine who should have access) 4. กำหนดสิทธ์ในการเข้าถึง (Access Permissions – Authorizations) 5. กำหนดขอบเขตในการป้องกันการเข้าถึงให้แก่แต่ละแหล่งข้อมูล (Determine Access Control Protection for Each Resources)

Access Control Access Control Access control is the policy-driven limitation of access to systems, data, and dialogs Prevent attackers from gaining access, stopping them if they do

Access Control First Steps Next, who Should Have Access? Enumeration of Resources Sensitivity of Each Resource Next, who Should Have Access? Can be made individual by individual More efficient to define by roles (logged-in users, system administrators, project team members, etc.)

Access Control What Access Permissions (Authorizations) Should They Have? Access permissions (authorizations) define whether a role or individual should have any access at all If so, exactly what the role or individual should be allowed to do to the resource. Usually given as a list of permissions for users to be able to do things (read, change, execute program, etc.) for each resource

Access Control How Should Access Control Be Implemented? For each resource, need an access protection plan for how to implement protection in keeping with the selected control policy For a file on a server, for instance, limit authorizations to a small group, harden the server against attack, use a firewall to thwart external attackers, etc. …

Access Control Policy-Based Access Control and Protection Have a specific access control policy and an access protection policy for each resource Focuses attention on each resource Guides the selection and configuration of firewalls and other protections Guides the periodic auditing and testing of protection plans

Server Password Cracking Hacking Root Super accounts (can take any action in any directory) Hacking root in UNIX Super accounts in Windows (administrator) and NetWare (supervisor) Hacking root is rare; usually can only hack an ordinary user account May be able to elevate the privileges of the user account to take root action

Server Password Cracking Physical Access Password Cracking l0phtcrack Lower-case L, zero, phtcrack Password cracking program Run on a server (need physical access) Or copy password file and run l0phtcrack on another machine. System Administrators can test the host hardening with this program.

Server Password Cracking Physical Access Password Cracking Brute-force password guessing Try all possible character combinations Longer passwords take longer to crack Using more characters also takes longer Alphabetic, no case (26 possibilities) Alphabetic, case (52) Alphanumeric (letters and numbers) (62) All keyboard characters (~80)

Server Password Cracking Physical Access Password Cracking Brute Force Attacks Try all possible character combinations Slow with long passwords length Dictionary attacks Try common words (“password”, “ouch,” etc.) There are only a few thousand of these Cracked very rapidly Hybrid attacks Common word with single digit at end, etc.

Server Password Cracking Password Policies Good passwords At least 6 characters long Change of case not at beginning Digit (0 through 9) not at end Other keyboard character not at end Example: triV6#ial

Password Protection การป้องกันรหัสผ่านสามารถทำได้โดยการใช้รหัสผ่านที่ดี เช่น 1. มีจำนวนอักษรหรือสัญลักษณ์ไม่น้อยกว่า 6 - 8 ตัว 2. ควรประกอบด้วย ตัวหนังสือ ตัวเลข และ สัญลักษณ์ 3. ช่วงตำแหน่งที่ 2 - 6 ควรมีสัญลักษณ์อย่างน้อย 1 ตัว 4. ควรมีความแตกต่างอย่างมากจากรหัสผ่านที่เคยใช้ 5. ไม่ควรใช้ชื่อผู้ใช้หรือคนใกล้ชิด 6. ไม่ใช้คำที่เป็นที่รู้จักกันโดยทั่วไป เช่น ศัพท์ในพจนานุกรม

Server Password Cracking Password Policies Password sharing policies: Generally, forbid shared passwords Removes ability to learn who took actions; loses accountability Usually is not changed often or at all because of need to inform all sharers

Server Password Cracking Password Policies Lost passwords Password resets: Help desk gives new password for the account (need proved) Opportunities for social engineering attacks Leave changed password on answering machine Biometrics: voice print identification for requestor (but considerable false rejection rate)

Server Password Cracking Password Policies Lost passwords Automated password resets Employee goes to website Must answer a question, such as “In what city were you born?” Problem of easily-guessed questions that can be answered with research

Figure 2-5: UNIX/etc/passwd File Entries Without Shadow Password File plee:6babc345d7256:47:3:Pat Lee:/usr/plee/:/bin/csh Password Group ID Home Directory User Name User ID GCOS Shell With Shadow Password File Plee:x:47:3:Pat Lee:/usr/plee/:/bin/csh The x indicates that the password is stored in a separate shadow password file

Figure 2-5: UNIX/etc/passwd File Entries Unfortunately, many software processes run with root privileges and so can read the password file. If the attacker can take over such a program, the attacker will have access to the shadow password file.

Figure 2-2: Server Password Cracking Password Policies Windows passwords Obsolete LAN manager passwords (7 characters maximum) should not be used Two 7-character strings are available but very easy to be cracked. Windows NTLM passwords are better Option (not default) to enforce strong passwords

Windows Client PC Passwords Login Password - Bypass by hitting escape. BIOS Password - Remove the small battery. Screensaver Password - Should com quickly after user steps away.

Figure 2-6: Building Security Building Security Basics Single point of (normal) entry to building Fire doors, etc.: use closed-circuit television (CCTV) and alarms to monitor them Security centers Monitors for closed-circuit TV (CCTV) Videotapes that must be retained (Don’t reuse too much or the quality will be bad) Alarms

Figure 2-8: Access Cards Magnetic Stripe Cards บัตรเครดิต, บัตรประจำตัวนักศึกษาที่มีแถบแม่เหล็กด้านหลัง เป็นต้น Smart Cards Have a microprocessor and RAM More sophisticated than mag stripe cards Release only selected information to different access devices

ความเป็นมาของ TCP/IP ค.ศ.1969 Defence Advanced Research Projects Agency (DARPA) ต้องการพัฒนาเครือข่ายเพื่อเชื่อต่อคอมพิวเตอร์ของหน่วยทหารต่างๆ ของสหรัฐ โดยใช้ชื่อว่า Advanced Research Project Agency Network (ARPAnet) ค.ศ.1983 ARPAnet ได้แบ่งเครือข่ายออกเป็น MILnet สำหรับให้บริการทางทหารอย่างเดียว และ ARPAnet ได้พัฒนาต่อเนื่องเป็นอินเตอร์เน็ต (Internet) ต่อมาได้มีการเชื่อมต่อเครือข่าย NSFNET (National Science Foundation Network) เข้ากับ ARPAnet

TCP/IP Standards Hybrid TCP/IP-OSI Architecture Combines TCP/IP standards at layers 3-5 with OSI standards at layers 1-2 TCP/IP OSI Hybrid TCP/IP-OSI Application Application Application Presentation Session Transport Transport Transport Internet Network Internet Subnet Access: Use OSI Standards Here Data Link Data Link Physical Physical

TCP/IP Standards Frames and Packets Frames are messages at the data link layer Packets are messages at the internet layer Packets are carried (encapsulated) in frames There is only a single packet that is delivered from source to destination host This packet is carried in a separate frame in each network

Layer Cooperation Through Encapsulation on the Source Host Application Process HTTP Message Encapsulation of HTTP message in data field of a TCP segment Transport Process HTTP Message TCP Hdr Encapsulation of TCP segment in data field of an IP packet Internet Process HTTP Message TCP Hdr IP Hdr

Layer Cooperation Through Encapsulation on the Source Host Internet Process HTTP Message TCP Hdr IP Hdr Encapsulation of IP packet in data field of a frame Data Link Process DL Trlr HTTP Message TCP Hdr IP Hdr DL Hdr Physical Process Converts Bits of Frame into Signals

Layer Cooperation Through Encapsulation on the Source Host Note: The following is the final frame for supervisory TCP segments: DL Trlr TCP Hdr IP Hdr DL Hdr

Layer Cooperation Through Decapsulation on the Destination Host Application Process HTTP Message Decapsulation of HTTP message from data field of a TCP segment Transport Process HTTP Message TCP Hdr Decapsulation of TCP segment from data field of an IP packet Internet Process HTTP Message TCP Hdr IP Hdr

Layer Cooperation Through Decapsulation on the Destination Host Internet Process HTTP Message TCP Hdr IP Hdr Decapsulation of IP packet from data field of a frame Data Link Process DL Hdr HTTP Message TCP Hdr IP Hdr DL Hdr Physical Process Converts Signals into the Bits of the Frame

TCP/IP Standards Internet and Transport Layers Internet Protocol (IP) IP at the internet layer is unreliable — does not correct errors in each hop between routers This is good: reduces the work each router along the route must do so the cost of the router itself is much cheaper.

TCP/IP Standards Transport Layer Standards Transmission Control Protocol (TCP) Reliable and connection-oriented service at the transport layer Corrects errors User Datagram Protocol (UDP) Unreliable and connectionless service at the transport layer Lightweight protocol good when catching errors is not important

Internet Protocol (IP) Connection-Oriented Service and Connectionless Service Connection-oriented services have distinct starts and closes (telephone calls) (ต้องทำการจองช่องทางก่อน เริ่มการส่งข้อมูล) Connectionless services merely send messages (postal letters) (ไม่ต้องจองช่องทางก่อนการส่งข้อมูล) IP is connectionless, TCP is connection-oriented

Hierarchical IP Address Network Part (not always 16 bits) Subnet Part (not always 8 bits) Host Part (not always 8 bits) Total always is 32 bits. 128.171.17.13 The Internet UH Network (128.171) CBA Subnet (17) Host 13 128.171.17.13

IP Address Classes 8 bits 8 bits 8 bits 8 bits Class A: Class B: Network Host Class A: Class B: Class C: Class D: Multicast Class E: Research Network Host Network Host Purpose: This graphic describes the three most common classes of IP address. Emphasize: Discuss classes of addresses. Each address contains information about the network number and the host number of the device. Class A addresses are for very large organizations. Class B addresses are for smaller organizations, and Class C addresses for even smaller ones. As the number of networks grows, classes may eventually be replaced by another addressing mechanism, such as classless interdomain routing (CIDR). RFC 1467, Status of CIDR Deployment in the Internet, presents information about CIDR. RFC 1817, CIDR and Classful Routing, also presents CIDR information.

IP Address Masking with Network and Subnet Masks Example 1 Network Masking Subnet Masking IP Address 128.171.17.13 Mask 255.255.0. 0 255.255.255.0 Result 128.171.0. 0 128.171.17.0 Meaning 16-bit network part is 128.171 Combined 24-bit network plus subnet part are 128.171.17 Example 2 60.47.123.7 255.0.0.0 255.255.0.0 60.0.0.0 60.47.0.0 8-bit network part is 60 Combined 16-bit network plus subnet parts are 60.47

IP Address Spoofing 1. Trust Relationship 3. Server Accepts Attack Packet Trusted Server 60.168.4.6 Victim Server 60.168.47.47 2. Attack Packet Spoofed Source IP Address 60.168.4.6 Attacker’s Identity is Not Revealed Attacker’s Client PC 1.34.150.37

Transmission Control Protocol (TCP) Connections: Opens and Closes Formal open and close Three-way open: SYN, SYN/ACK, ACK Normal four-way close: FIN, ACK, FIN, ACK Abrupt close: RST

Transmission Control Protocol (TCP) Port Number Port numbers identify applications Well-known ports (0-1023) used by applications that run as root Registered ports (1024-49152) for other applications with lower authority Ephemeral/Private/Dynamic ports (43153-65535) for Clients HTTP=80, Telnet=23, FTP=21 for supervision, 20 for data transfer, SMTP=25 Source Port Number (16 bits) Destination Port Number (16 bits)

End of Slides