Kapittel 8: Brukerautentisering - Tillegg 1

Biometriske Faktorer

Fingeravtrykksgjenkjenning

Fingeravtrykksgjenkjenning tillater unike identifikasjoner basert på fingeravtrykk, som regnes som unike for hver person. Teknologien måler flere punkter og faktorer på fingeravtrykket for å identifisere personen.

Eksempler på Bruk:

• Smarttelefoner med fingeravtrykkslesere for å låse opp enheten.
• Sikkerhetsdører i høyteknologiske fasiliteter.
• Tidsregistreringssystemer på arbeidsplasser.

Netthinneskannere og Irisskannere

Netthinneskannere leser det bakre av øyet, mens irisskannere analyserer mønstrene i iris. Begge teknologiene gir unike identifikasjoner basert på øyets unike mønstre.

Eksempler på Bruk:

• Høy sikkerhetstilgang i militære installasjoner.
• Flyplasser for rask identitetsbekreftelse.
• Banker og finansinstitusjoner for kundeverifisering.

Stemmegjenkjenning

Stemmegjenkjenning bruker en persons unike stemmemønstre for autentisering. Brukeren gjentar en passfrase, og systemet lærer stemmens unike egenskaper.

Eksempler på Bruk:

• Kundeserviceautentisering over telefon.
• Smarthøyttalere som Google Home og Amazon Echo.
• Hjemmesikkerhetssystemer.

Ansiktsgjenkjenning

Ansiktsgjenkjenningsteknologi bruker programvare for å identifisere en person basert på ansiktskarakteristikker. Nye 3D-teknologier har økt nøyaktigheten.

Eksempler på Bruk:

• Overvåking ved offentlige arrangementer og konserter.
• Åpning av smarttelefoner.
• Sikkerhetssystemer i kjøpesentre og kontorbygg.

Potensielle Svakheter:

• Lavoppløselige bilder kan redusere nøyaktigheten.
• Endringer i utseende som skjegg, hatter, og solbriller kan påvirke systemets effektivitet.
• Anti-ansiktsgjenkjenningsteknologier som reflekterende briller og infrarøde briller.

Vengemønsteranalyse

Biometrisk autentisering basert på venenettverket i en finger. En infrarød LED-lysstråle brukes for å belyse venenettverket, som er unikt for hver person.

Eksempler på Bruk:

• Høy sikkerhetsautentisering i finansinstitusjoner.
• Adgangskontroll i datasentre.
• Biometriske ID-kort.

Gangartanalyse

Identifisering basert på en persons unike gangmønster. Dette inkluderer skrittlengde, ganghastighet, rotasjon av leddene, og vinkler på ben og føtter.

Eksempler på Bruk:

• Kriminaletterforskning.
• Nasjonal sikkerhetsovervåking.
• Adgangskontroll i høysikkerhetsområder.

Effektivitetsrater

FAR (False Acceptance Rate)

Sannsynligheten for at systemet feilaktig autoriserer en uautorisert person.

FRR (False Rejection Rate)

Sannsynligheten for at systemet feilaktig avviser en autorisert person.

CER (Crossover Error Rate)

Punktet hvor både FAR og FRR er like. Et riktig innstilt system bør ha like mange falske aksepteringer som falske avvisninger.

Identifikasjon vs. Autentisering vs. Autorisasjon

Identifikasjon

• Definisjon: Hvem du er.
• Eksempler: Brukernavn, sikkerhets-ID, smartkort.

Autentisering

• Definisjon: Bevis hvem du er.
• Eksempler: Brukernavn og passord, PIN-kode, biometriske data.

Autorisasjon

• Definisjon: Hva du kan gjøre.
• Eksempler: Tilgangsrettigheter, fil- og mappetilgang.

Multifaktor Autentisering

Bruk av to eller flere faktorer fra forskjellige kategorier for å autentisere en bruker.

Kategorier:

• Noe du vet: Passord, PIN-kode.
• Noe du har: Smartkort, USB-token.
• Noe du er: Fingeravtrykk, irisskanning.

Eksempel på Multifaktor Autentisering:

1. Passord (Noe du vet)
2. Smartkort (Noe du har)

Autentiseringsfaktorer

1. Noe du vet: Passord, PIN-kode.
2. Noe du har: Smartkort, USB-token.
3. Noe du er: Fingeravtrykk, irisskanning.
4. Noe du gjør: Signatur, skrivehastighet.
5. Hvor du er: Geolokasjon, IP-adresse.

AAA (Authentication, Authorization, and Accounting)

1. Autentisering: Identifiserer brukeren og tillater eller nekter tilgang.
2. Autorisasjon: Definerer hva brukeren kan gjøre etter autentisering.
3. Regnskap (Accounting): Sporer start- og stopptid for hver økt for fakturering eller oppfølging.

On-prem vs. Skykrav

On-prem Krav:

• Lokalt administrert autentisering.
• Alle brukere og ressurser er under ett tak.
• Krever vedlikehold av nettverk, konfigurasjon, og livssyklusadministrasjon.

Skykrav:

• Skybasert identitets- og tilgangsadministrasjon (IAM).
• Tillater arbeidere og ressurser å være hvor som helst.
• Sky-leverandører håndterer administrasjon, overvåking og konfigurasjon.

Ressurser og Referanser

Viktige Dokumenter og Rapporter:

• Consolidated Annual Activity Report 2023
• Cybersecurity Education Maturity report
• Foresight Cybersecurity Threats for 2030 Update-fullreport_en.pdf
• Cyber Resilience Act Requirements Standards Mapping
• ENISA Telecom Incident Reporting
• Trust Services-Annual Incident Reporting 2022

Læringsressurser og Verktøy:

• Metasploit Unleashed
• John the Ripper Documentation
• Wireshark Documentation
• hashcat

Konklusjon

Ved å forstå og implementere disse konseptene og verktøyene kan vi bedre beskytte systemer mot uautorisert tilgang og eskalering av privilegier. Dette tillegget gir en dypere innsikt i avanserte autentiseringsmetoder og hvordan man sikrer mot potensielle trusler.

This detailed appendix provides an in-depth understanding of Chapter 8, covering various authentication methods, including biometrics, NTLM, Kerberos, and multifactor authentication. It also includes relevant code examples, practical applications, and references to essential documents and learning resources.

Kapittel 8: Brukerautentisering - Tillegg 2

NTLM (New Technology LAN Manager) Autentisering

NTLM brukes av Microsoft når Kerberos ikke kan brukes. Dette kan skyldes manglende tillit mellom skog, autentisering via IP-adresse, eller systemer som ikke er en del av samme domene. NTLM bruker en utfordrings-respons mekanisme der passord aldri sendes, noe som gjør det sikrere enn eldre metoder.

Slik fungerer NTLM:

1. Klient forespørsel: Klienten sender en forespørsel om autentisering til serveren.
2. Server utfordring: Serveren sender en tilfeldig utfordring tilbake til klienten.
3. Klientrespons: Klienten kombinerer passordet med utfordringen, hasher resultatet og sender det tilbake til serveren.
4. Server verifikasjon: Serveren utfører samme hashingprosedyre og sammenligner resultatet med klientens respons.

Kerberos Autentisering

Kerberos er den foretrukne autentiseringsmetoden brukt av Microsoft i dag. Det er et billettbasert system som unngår overføring av passord, noe som gjør det sikrere enn NTLM. Systemklokker må imidlertid være synkronisert med Primary Domain Controller (PDC).

Slik fungerer Kerberos:

1. Bruker autentisering: Brukeren logger inn og mottar en billett som bevis på autentisering.
2. Tjenestebillett: For å få tilgang til en tjeneste, presenterer brukeren sin autentiseringsbillett til Key Distribution Center (KDC) for å få en tjenestebillett.
3. Tilgang til tjeneste: Brukeren presenterer tjenestebilletten til tjenesten for tilgang.

Salting av Passord

Salting legger til tilfeldige strenger til passord før de hasjes. Dette forhindrer dupliserte hasjer for samme passord og gjør det vanskeligere for angripere å knekke passord. Hver salt bør være unik for hvert passord.

Eksempel på passordsalting i Python:

import hashlib
import os

def hash_password(password):
    salt = os.urandom(16)
    hashed_password = hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), salt, 100000)
    return salt + hashed_password

def verify_password(stored_password, provided_password):
    salt = stored_password[:16]
    stored_hash = stored_password[16:]
    provided_hash = hashlib.pbkdf2_hmac('sha256', provided_password.encode('utf-8'), salt, 100000)
    return stored_hash == provided_hash

password = "secure_password"
hashed = hash_password(password)
print(verify_password(hashed, password))

Rainbow Tables og Lookup Tables

Rainbow-tabeller er forhåndsberegnede tabeller som lagrer hash-verdier. Angripere kan bruke disse tabellene til raskt å knekke passord ved å sammenligne hash-verdier. Nye teknologier som GPU-er og skybasert databehandling tillater angripere å lage rainbow-tabeller med utrolig hastighet.

Hvordan lage en Rainbow Table:

• Bruk verktøyet RainbowCrack.
• Rainbow-tabeller kan være store, opptil terabyte i størrelse.
• Gratis rainbow-tabeller er tilgjengelige online, men betalte tabeller kan være dyre.
• RainbowCrack kan brukes til å lage og sortere rainbow-tabeller, samt knekke hasher ved bruk av rcrack-kommandoen.

Demonstrasjon: Cain & Abel

Cain og Abel er et verktøy brukt for å knekke passord og utføre andre angrep.

• Kan dumpe SAM-databasen, som lagrer Windows-passord.
• SAM-databasen kan eksporteres fra registeret og importeres i Cain og Abel.
• Cain og Abel kan utføre ordbokangrep, brute force-angrep, og rainbow table-angrep for å knekke passord.

Bruk av Cain & Abel:

1. Dumpe SAM-databasen:

   • Åpne Cain & Abel, gå til fanen "Cracker".
   • Velg "LM & NTLM Hashes" og klikk på "Add to list".
   • Velg "Import Hashes from SAM Database".

2. Utføre et Angrep:

   • Velg en hash fra listen.
   • Velg angrepstype (Dictionary, Brute Force, Rainbow Table).
   • Start angrepet og vent på resultatet.

Verktøy for Passordgjenoppretting

Populære passordgjenopprettingsverktøy inkluderer John the Ripper, hashcat, THC-Hydra og Medusa. Mottiltak mot disse verktøyene inkluderer bruk av programvareinventar, deaktivering av LLMNR og NetBIOS over TCP/IP, og bruk av sterke passord.

Eksempler på Passordgjenopprettingsverktøy:

• John the Ripper: Et kraftig verktøy som kan brukes til å knekke hasher fra ulike kilder.
• hashcat: Bruker GPU-er for rask passordgjenoppretting.
• THC-Hydra: Spesialisert på nettbaserte brute force-angrep.
• Medusa: Et parallelt passordgjenopprettingsverktøy som støtter mange protokoller.

Privilegiumeskalering

Etter å ha fått tilgang til et system, søker angripere ofte å eskalere sine privilegier for å få mer kontroll. Dette kan oppnås gjennom ulike metoder, inkludert utnyttelse av sårbarheter i applikasjoner eller operativsystemet, bruk av spesialiserte verktøy som Metasploit, eller gjennom sosial manipulering.

Metoder for Privilegiumeskalering:

• Vertikal Eskalering: Brukeren får administrativ tilgang når de ikke burde.
• Horisontal Eskalering: En angriper bruker en normal konto for å få tilgang til andre brukeres kontoer.

Eksempler på Angrepsmetoder:

• DLL Hijacking: Angripere utnytter måten applikasjoner laster dynamiske lenkebiblioteker på.
• Spectre og Meltdown: Utnytter sårbarheter i CPU-chips for å få tilgang til begrensede data.
• Access Token Manipulation: Manipulere sikkerhetstokener for å øke privilegier.
• Path Interception: Utnytte søkebaner for å kjøre ondsinnet kode.
• Scheduled Tasks: Bruke planlagte oppgaver for å kjøre ondsinnet kode med høyere privilegier.

Eksempler på Privilegiumeskalering i Windows:

• HiveNightmare: En sårbarhet som tillater angripere å eskalere privilegier ved å utnytte svakheter i beskyttelsen av SAM-databasen.
• Metasploit: Et verktøy for å automatisere oppdagelse og utnyttelse av sårbarheter for å eskalere privilegier.

Mottiltak mot Privilegiumeskalering:

• Holde programvare oppdatert med de nyeste sikkerhetsoppdateringene.
• Implementere sterke tilgangskontroller.
• Overvåke systemlogger for uvanlige aktiviteter.
• Bruke sikkerhetsverktøy for å oppdage og forhindre utnyttelse av sårbarheter.

---

Ressurser og Referanser

Viktige Dokumenter og Rapporter:

• Consolidated Annual Activity Report 2023
• Cybersecurity Education Maturity report
• Foresight Cybersecurity Threats for 2030 Update-fullreport_en.pdf
• Cyber Resilience Act Requirements Standards Mapping
• ENISA Telecom Incident Reporting
• Trust Services-Annual Incident Reporting 2022

Læringsressurser og Verktøy:

• Metasploit Unleashed
• John the Ripper Documentation
• Wireshark Documentation
• hashcat

Ved å forstå og implementere disse konseptene og verktøyene, kan du bedre beskytte systemer mot uautorisert tilgang og eskalering av privilegier. Dette tillegget gir en dypere innsikt i avanserte autentiseringsmetoder og hvordan man sikrer mot potensielle trusler.

Kapittel 8: Brukerautentisering - Tillegg 3

Efficacy Rates

False Acceptance Rate (FAR)

FAR er sannsynligheten for at systemet feilaktig autoriserer en uautorisert person. Dette innebærer at noen får tilgang som ikke burde hatt det.

False Rejection Rate (FRR)

FRR er sannsynligheten for at systemet feilaktig avviser en autorisert person. Selv om dette ikke er like kritisk som en feilaktig aksept, er det likevel uakseptabelt at en godkjent bruker blir avvist.

Crossover Error Rate (CER)

CER er punktet hvor både FAR og FRR er like. Et riktig innstilt system bør ha like mange falske aksepteringer som falske avvisninger. Hvis en av disse er høyere enn den andre, er systemet ikke riktig innstilt og må justeres.

Bilde: Eksempel på en graf som viser Crossover Error Rate (CER)

Identifikasjon vs. Autentisering vs. Autorisasjon

Identifikasjon

• Definisjon: Hvem du er.
• Eksempler: Brukernavn, sikkerhets-ID, smartkort.

Autentisering

• Definisjon: Bevis hvem du er.
• Eksempler: Brukernavn og passord, PIN-kode, biometriske data.

Autorisasjon

• Definisjon: Hva du kan gjøre.
• Eksempler: Tilgangsrettigheter, fil- og mappetilgang.

Multifaktor Autentisering

Multifaktor autentisering bruker to eller flere faktorer fra forskjellige kategorier for å autentisere en bruker.

Kategorier:

• Noe du vet: Passord, PIN-kode.
• Noe du har: Smartkort, USB-token.
• Noe du er: Fingeravtrykk, irisskanning.

Eksempel på Multifaktor Autentisering:

1. Passord (Noe du vet)
2. Smartkort (Noe du har)

Autentiseringsfaktorer

1. Noe du vet: Passord, PIN-kode.
2. Noe du har: Smartkort, USB-token.
3. Noe du er: Fingeravtrykk, irisskanning.
4. Noe du gjør: Signatur, skrivehastighet.
5. Hvor du er: Geolokasjon, IP-adresse.

Biometriske Faktorer

Fingeravtrykksgjenkjenning

Fingeravtrykksgjenkjenning tillater unike identifikasjoner basert på fingeravtrykk, som regnes som unike for hver person.

Netthinneskannere og Irisskannere

Netthinneskannere leser det bakre av øyet, mens irisskannere analyserer mønstrene i iris.

Stemmegjenkjenning

Stemmegjenkjenning bruker en persons unike stemmemønstre for autentisering.

Ansiktsgjenkjenning

Ansiktsgjenkjenningsteknologi bruker programvare for å identifisere en person basert på ansiktskarakteristikker.

Vengemønsteranalyse

Biometrisk autentisering basert på venenettverket i en finger. En infrarød LED-lysstråle brukes for å belyse venenettverket.

Gangartanalyse

Identifisering basert på en persons unike gangmønster.

AAA (Authentication, Authorization, and Accounting)

1. Autentisering: Identifiserer brukeren og tillater eller nekter tilgang.
2. Autorisasjon: Definerer hva brukeren kan gjøre etter autentisering.
3. Regnskap (Accounting): Sporer start- og stopptid for hver økt for fakturering eller oppfølging.

On-prem vs. Skykrav

On-prem Krav:

• Lokalt administrert autentisering.
• Alle brukere og ressurser er under ett tak.
• Krever vedlikehold av nettverk, konfigurasjon, og livssyklusadministrasjon.

Skykrav:

• Skybasert identitets- og tilgangsadministrasjon (IAM).
• Tillater arbeidere og ressurser å være hvor som helst.
• Sky-leverandører håndterer administrasjon, overvåking og konfigurasjon.

Ressurser og Referanser

Viktige Dokumenter og Rapporter:

• Consolidated Annual Activity Report 2023
• Cybersecurity Education Maturity Report
• Foresight Cybersecurity Threats for 2030
• Cyber Resilience Act Requirements Standards Mapping
• ENISA Telecom Incident Reporting