20TD02S_Informasjonssikkerhet_K03 - itnett/FTD02H-N GitHub Wiki

Kapittel 3: Systemsikkerhet

Innholdsfortegnelse

1. Introduksjon til Systemsikkerhet
2. Systemarkitektur
3. Sikkerhet i Operativsystemer
4. Virtualisering
5. Tiltrodd Beregning
6. Sikker Oppstart
7. Sidekanaler og Skjulte Kanaler
8. Intel Management Engine og AMT
9. Hindre Sporing av Mobiltelefoner
10. Beskyttelse av Minnet
11. TPM (Trusted Platform Module)

---

1. Introduksjon til Systemsikkerhet

Viktigheten av Systemsikkerhet:

• God kommunikasjonssikkerhet er bortkastet hvis systemsikkerheten er svak.
• Kontinuerlig sikkerhetsoppdatering er nødvendig for å beskytte mot nye sårbarheter.

2. Systemarkitektur

Komponenter:

• Mikroprosessor (CPU)
• Minne (RAM)
• Lagringsenheter (Disk)
• Nettverksgrensesnitt

3. Sikkerhet i Operativsystemer

Kontinuerlig Sikkerhetsoppdatering:

• Nye sårbarheter oppdages kontinuerlig.
• Krever kontinuerlig online sikkerhetsoppdatering og patching.

CVE (Common Vulnerability Enumeration):

• CVSS (Common Vulnerability Scoring System): Beregner alvorlighet av en sårbarhet fra 0 til 10.

4. Virtualisering

Typer Virtualisering:

• Type 1 (Native): Direkte installasjon på maskinvare.
• Type 2 (Hosted): Kjører som en applikasjon på vertsoperativsystemet.

Virtualiseringsteknologi:

• Beskytter prosesser ved å separere virtuelle maskiner.
• Brukes av skyleverandører for å dele maskinvare mellom kunder.

5. Tiltrodd Beregning

Tiltrodd Beregning (Trusted Computing):

• Sikkerhet er forankret i maskinvare.
• Eksempler: TPM (Trusted Platform Module), Intel SGX (Software Guard Extensions).

6. Sikker Oppstart

UEFI (Unified Extensible Firmware Interface):

• Erstattet BIOS i moderne datamaskiner.
• Kontrollerer oppstartsekvensen og verifiserer digitale signaturer.

7. Sidekanaler og Skjulte Kanaler

Sidekanaler:

• Informasjonslekkasje gjennom fysiske implementeringer som strømforbruk eller tidsforbruk.

Skjulte Kanaler:

• Misbruk av ikke-kommunikasjonsmekanismer for å overføre informasjon.

Eksempel:

• Meltdown og Spectre: Utnytter sidekanaler i mikroprosessorer.

8. Intel Management Engine og AMT

Intel ME (Management Engine):

• Lite subsystem integrert i Intel mikroprosessorer.
• Kjører MINIX-OS og har full tilgang til systemmaskinvare.

Intel AMT (Active Management Technology):

• Fjernadministrasjonsløsning for arbeidsstasjoner.
• Kan fjernstyre og konfigurere systemer selv uten operativsystem.

9. Hindre Sporing av Mobiltelefoner

Tiltak for å Hindre Sporing:

• Fjern batteriet for å sikre at enheten er helt av.
• Bruk Faraday-bur for å blokkere signaler.

10. Beskyttelse av Minnet

Beskyttelsestiltak:

• Stack Canaries: Tilfeldig verdi som sjekker om data er blitt overskrevet.
• ASLR (Address Space Layout Randomization): Gjør det vanskeligere å finne spesifikke minneadresser.

11. TPM (Trusted Platform Module)

Viktigste TPM-tjenester:

• Autentisert/Sikker Oppstart: Sikrer at systemet starter opp med riktig programvare.
• Forseglet Lagring (Sealed Storage): Beskytter data med kryptografiske nøkler.
• Fjernattestering (Remote Attestation): Verifiserer systemets tilstand for eksterne parter.

Bruk av TPM:

• Windows Bitlocker: Bruker TPM for disk-kryptering.

---

Videre Læring og Kilder

Offisielle Rapporter

1. ENISA Reports

   • Trust Services: Annual Incident Reporting 2022
   • Consolidated Annual Activity Report 2023
   • Cyber Resilience Act Requirements Standards Mapping

2. Nasjonal Sikkerhetsmyndighet (NSM)

   • Nasjonalt digitalt risikobilde 2023
   • Risiko 2024
   • Sikkerhetsfaglig råd - Et motstandsdyktig Norge

Akademiske Artikler og Bøker

1. Jøsang, A. (2023). Informasjonssikkerhet: Teori og praksis. Universitetsforlaget.
2. Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W.W. Norton & Company.

Nettressurser

1. NIST Cybersecurity Framework - NIST
2. OWASP (Open Web Application Security Project) - OWASP
3. SANS Institute - SANS

Disse ressursene gir en omfattende forståelse av systemsikkerhet, og dekker alt fra tekniske detaljer om operativsystemer og virtualisering til strategiske tiltak for å beskytte organisasjoner mot cybertrusler. Ved å utforske disse kildene kan man utvikle en dypere forståelse av hvordan systemsikkerhet kan implementeres og opprettholdes i ulike kontekster.

Oppgaver i Kapittel 3: Systemsikkerhet

Oppgave 1: Hva er Systemarkitektur og hvorfor er det viktig for systemsikkerhet?

Systemarkitektur refererer til den grunnleggende strukturen av et datasystem, inkludert dets komponenter og deres samhandling. Viktigheten for systemsikkerhet ligger i følgende aspekter:

• Isolering av prosesser: Sikrer at feil eller angrep i en prosess ikke påvirker andre prosesser.
• Kontroll over dataflyt: Gir mulighet til å begrense og overvåke dataflyt mellom komponenter.
• Implementering av sikkerhetskontroller: Gjør det mulig å plassere brannmurer, inntrengingsdeteksjonssystemer (IDS) og andre sikkerhetsmekanismer på strategiske punkter i arkitekturen.

Eksempler:

• I et nettverksarkitekturdiagram kan man se hvor brannmurer er plassert for å beskytte interne nettverk fra eksterne trusler.
• Et eksempel på dårlig systemarkitektur kan være manglende segmentering av nettverk, noe som kan gjøre det lettere for angripere å bevege seg lateralt etter en vellykket infiltrasjon.

Ressurser:

• NIST Cybersecurity Framework
• ENISA: Guidelines for Securing the IoT

---

Oppgave 2: Forklar prinsippene for kontinuerlig sikkerhetsoppdatering og hvorfor det er kritisk.

Kontinuerlig sikkerhetsoppdatering innebærer regelmessig oppdatering av systemer for å fikse sårbarheter som oppdages over tid.

Viktige prinsipper:

• Regelmessige oppdateringer: Implementering av oppdateringer og patcher så snart de blir tilgjengelige.
• Zero-day sårbarheter: Sårbarheter som utnyttes av angripere før en patch er tilgjengelig.
• Automatisering: Bruk av verktøy for automatisk distribusjon av oppdateringer.

Eksempler:

• Wannacry-angrepet: Et kjent eksempel hvor manglende oppdatering av Windows-systemer førte til massiv spredning av ransomware.
• Heartbleed-sårbarheten: Påviste viktigheten av raskt å oppdatere SSL/TLS-biblioteker for å sikre kommunikasjon.

Ressurser:

• Microsoft Security Response Center
• CVE Details

---

Oppgave 3: Diskuter ulike typer virtualisering og deres sikkerhetsimplikasjoner.

Virtualisering refererer til opprettelsen av en virtuell (i stedet for fysisk) versjon av en ressurs, som en server, lagringsenhet, nettverksressurs eller operativsystem.

Typer Virtualisering:

• Type 1 (Native): Kjører direkte på maskinvare uten vertssystem. Eksempler: VMware ESXi, Microsoft Hyper-V.
• Type 2 (Hosted): Kjører som en applikasjon på et vertsoperativsystem. Eksempler: VMware Workstation, VirtualBox.
• Containervirtualisering: Applikasjoner kjører i isolerte brukermiljøer (containere). Eksempel: Docker.

Sikkerhetsimplikasjoner:

• Isolasjon: Virtualisering gir bedre isolasjon mellom applikasjoner og tjenester.
• Overhead: Type 2 virtualisering har større overhead enn Type 1, noe som kan påvirke ytelsen og sikkerheten.
• Containere: Tilbyr effektiv ressursbruk, men kan ha sikkerhetsutfordringer knyttet til delte ressurser og kjerne.

Eksempler:

• Hypervisor-sårbarheter: Sårbarheter i hypervisoren kan gi angripere tilgang til alle virtuelle maskiner på en vert.
• Containerlekkasjer: Feilkonfigurerte containere kan tillate at data lekker mellom dem.

Ressurser:

• VMware Security Advisories
• Docker Security Documentation

---

Oppgave 4: Forklar hva tiltrodd beregning er og gi eksempler på bruksområder.

Tiltrodd beregning (Trusted Computing) innebærer at sikkerheten i et system er forankret i maskinvare.

Eksempler på Tiltrodd Beregningsteknologier:

• TPM (Trusted Platform Module): Brukt til sikker oppstart, disk-kryptering, og attestering.
• Intel SGX (Software Guard Extensions): Beskytter data og beregninger i et isolert miljø.
• Secure Boot med UEFI: Forhindrer at skadelig programvare laster under oppstart.

Bruksområder:

• Disk-kryptering: Beskytter sensitive data på lagringsenheter.
• Fjernattestering: Verifiserer at en systemtilstand er sikker for eksterne parter.
• Beskyttelse mot fysisk manipulering: Bruk av TPM for å slette kryptonøkler ved forsøk på manipulering.

Eksempler:

• BitLocker: Bruker TPM for disk-kryptering.
• Google Cloud: Bruker Intel SGX for å beskytte data i skyløsninger.

Ressurser:

• Trusted Computing Group
• Intel SGX Overview

---

Oppgave 5: Beskriv sikker oppstart og hvorfor det er viktig.

Sikker oppstart (Secure Boot) sikrer at en datamaskin bare kjører programvare som er betrodd av produsenten.

Hvordan det fungerer:

• UEFI kontrollerer digitale signaturer av alle oppstartsmoduler.
• Hvis en modul ikke har en gyldig signatur, stoppes oppstarten.

Eksempler:

• UEFI Secure Boot: Forhindrer skadelig programvare fra å lastes under oppstart.
• Android Verified Boot: Sikrer at Android-enheter bare kjører betrodd programvare.

Ressurser:

• UEFI Secure Boot
• Android Verified Boot

---

Oppgave 6: Hva er sidekanaler og skjulte kanaler? Gi eksempler.

Sidekanaler er utilsiktede kanaler som avgir informasjon på grunn av den fysiske implementeringen av et system.

Eksempler:

• Meltdown og Spectre: Utnytter forsinkelser i prosessorinstruksjoner for å få tilgang til beskyttet minne.
• Strømforbruk: Variasjoner i strømforbruk kan avsløre krypteringsnøkler.

Skjulte Kanaler er mekanismer som ikke er designet for kommunikasjon, men som misbrukes for å overføre informasjon.

Eksempler:

• Cache-timing Attacks: Utnytter tidsforskjeller i cache-tilgang for å utlede informasjon.
• Elektromagnetiske Lekkasjer: Analyse av elektromagnetiske strålinger for å hente ut data.

Ressurser:

• Meltdown and Spectre
• Cache Timing Attacks

---

Disse besvarelsene gir en grundig forståelse av systemsikkerhet, inkludert eksempler og ressurser for videre læring. Dette vil hjelpe med å forstå de ulike konseptene og hvordan de kan anvendes for å beskytte systemer mot ulike trusler.