Fordi sikkerhet!!! – {{r.rant}}

View Github Repository Open presentation in a new window

kvangaball

See all presentation from kvangaball

Fordi sikkerhet!!! – {{r.rant}}

1 0

fordi-sikkerhet

On Github kvangaball / fordi-sikkerhet

Fordi sikkerhet!!!

Jeg husker ikke passordet mitt

Identifikasjon

Jeg må være sikker på at du er du

Brukernavn og passord

Et navn og en delt hemmelighet

Meeen...
  • Passordet må være langt for å være bra
  • Dårlige passord kan gjettes
  • Mindre dårlige passord kan knekkes
  • Passordene gjenbrukes over alt
  • Passorddatabaser blir jevnlig hacket
Konklusjon:

Funker brukbart om du stoler på brukerne dine, og ikke trenger enormt høy sikkerhet

Yikes. Noen har hacka gmailen og facebooken min

Identifikasjon

Brukernavn + Passord er en ganske så svak sikkerhetsmekanisme

2 - faktor autentisering

Brukernavn + Passord + ENGANGSPASSORD

Meeen...
  • Du må alltid kunne få tak et nytt engangspassord
  • Distribusjon av engangspassord er komplisert
  • Passer ikke i alle kontekster
Konklusjon:

Veldig effektivt så lenge du får tak i engangspassordet

Jeg gidder ikke huske passord, brukernavn eller noe som helst

Identifikasjon

Tasting av langt brukernavn og passord er ikke så kult når du skal åpne ei dør, eller når du skal låse opp telefonen

Fingeravtrykksleser

Ta bilde av fingeren din

Meeen...
  • Bare så bra som sensoren er
  • Relativt kostbart
  • Brukbart bare der du har en sensor
  • Du kan ikke bytte 'passord'
Konklusjon:

Funker bra der du skal ha tilgang til en ting eller et sted

Aaaargh, jeg orker ikke lage enda et brukernavn og passord for dette nettstedet

Identifikasjon

Alle websider spør om et nytt passord

SSO og innlogging med f.eks Facebook eller Google

La en tiltrodd 3.part håndterer håndtere innloggingen

Meeen...
  • Alle nettsteder i ett passord...
  • Stoler du på google?
  • Stoler yahoo eller microsoft eller apple på google?
Konklusjon:

Veldig hendig. Og kan være veldig bra sikkerhetsmessig. Forutsatt at 3.parten gjør jobben sin, og at man bruker 2-faktor auth

Hva betyr den derre hengelåsen??

Sikker kommunikasjon

Det er i utangspunktet veeeldig enkelt å avlytte og tukle med kommunikasjon på Internett

SSL/TLS

Lag KRYPTO-magi som kan brukes av praktisk talt all kommunikasjon på internett. Pålitelige 3.parter og masse røverspråk

Meeen...
  • Må bygges inn i alle browsere og applikasjoner som skal bruke det
  • Krever solide 3.parter
Konklusjon:

JA. Det funker steinbra og du vet kanskje ikke at det er i bruk en gang.

Det WiFi-passordet er så sykt vanskelig

Sikker kommunikasjon

Du vil gjerne kunne bruke trådløst nettverk uten at alle kan avlytte det

WiFi

Krypto-magi på all trådløs kommunikasjon med et hemmelig men delt passord

Meeen...
  • Passordet må være langt for å være ordentlig bra
  • Kan hackes likevel avhengig av protokoll (WEP)
Konklusjon:

Til og med et dårlig passord på WiFi gir betydelig økt sikkerhet

Føkkings JAVA

Sikker kommunikasjon

Hvordan lage et superdupert sikkerhetsopplegg som brukbart på alle norske banker sitt nettsted. Og slikt.

BankID Java-applet

Vi lager en JAVA-applet som kjører på alle browsere. Yeah!

Meeen...
  • Java fungerer ikke på iPad
  • Java fungerer ikke på iPhone
  • Java fungerer ikke på Android
  • Java fungerer ikke spesielt bra på Mac
  • Java har i det siste fått masse sikkerhetsgreier som er brukerfiendlige så de holder
  • Java må oppdateres jevnlig på alle maskiner som har det installert
  • Java blir ikke oppdatert jevnlig
  • Java installerer Ask-toolbar når det blir oppdatert....
Konklusjon:

I 2004 var det fett. Men nå er 2015.

Jeg klarer ikke logge in på LinkedIn fordi de har en ubrukelig Captcha

Internett er vanskelig

Noen synes det er gøy å automatisk legge inn kommentarer på internettforum (og andre steder)

Captcha

Mennesker er sykt bra på å gjenkjenne mønster, så vi bruker et bilde

Meeen...
  • Datamaskiner blir kjappere og kjappere
  • Mennesker kan leies for en billig penge
  • Mønstrene blir må da bli vanskeligere og vanskeligere
  • UFATTELIG irriterende når du har bomma mer enn en gang
Konklusjon:

Det har en effekt, men er syyykt irriterende

Jeg klikka på en link på twitter og så står det bare [Blocked by proxy: Social media]

Internett er vanskelig

Våre ansatte surfer mye på sider som har XXX i navnet

Filtrerende Web-Proxy

Send all internettrafikk gjennom en mellomtjener som kan luke vekk alt som er farlig, uønsket, uproduktivt eller smakløst

Meeen...
  • Falske positiver
  • Kan fort misbrukes av overivrige administratorer
  • Personvernmessig litt betenkelig
Konklusjon:

Til en viss grad, men får deg til å føle deg som en forbryter

Argh, jeg får ikke BitTorrent til å fungere

Internett er vanskelig

Bare det som skal være tilgjengelig på internett bør være det

Brannmur

La spesial-software eller hardware kontrollere all nettverkstrafikk

Meeen...
  • Noen brannmurer stopper litt i overkant mye
  • Gode muligheter for galskap om man har brannmurer på sentraliserte steder
  • Gode muligheter for galskap om feil fyr administrerer brannmureren
Konklusjon:

Om den står på en fornuftig plass, gir en brannmur bra beskyttelse mot mye rart. Og du merker ikke at den er der

Hvorfor føles det som om jeg jobber med sirup på tastaturet???

Beskyttelse

Du skal kunne bruke PCen fra hvor som helst, f.eks en tynn og billig pc. Og det skal samtidig være supersikkert.

Virtuell desktop

Lag en Supersikker virtuell PC som du kan logge på og fjernstyre fra _nesten_ hvor som helst

Meeen...
  • Vil så og si alltid oppleves som tregere enn en vanlig PC
  • Blir ikke bedre enn nettverket det brukes over
  • IT-avdelinger liker å låse ned ting
  • Kommer nesten alltid i tillegg til en PC
Konklusjon:

Til sitt bruk. Men brukes ofte til helt andre ting.

Herre min hatt. Datan er blir så syyyykt treg - sikkert antivirus

Beskyttelse

Noen lager spesialprogramvare for styre eller ødelegge din PC

Antivirus

Et program som overvåker alt som skjer på maskina

Meeen...
  • Krever en god del ressurser
  • Vanskelig å kjenne igjen virus-aktig aktivitet
  • Noen av problemene kan løses på andre måter enn antivirus
  • Må være _kontinuerlig_ oppdatert
  • Våpenkappløp
Konklusjon:

Kan være effektivt, men er ikke alltid helt nødvendig

Aaargh. Det passer ikke å oppdatere JAVA akkurat nå.

Beskyttelse

All programvare har sikkerhetsproblemer som oppdages etter første release

Auto-oppdatering

Programmer oppdaterer seg selv, slik at sikkerhetsproblemer enkelt kan fikses

Meeen...
  • Må gjøres enkelt nok til at det blir gjort, og helst fullautomatisk
  • Kan ikke alltid gjøres _helt_ i bakgrunnen (restart nå?? *stønn*)
  • Brukes ofte til oppdateringer som forandrer funksjonalitet - som man kanskje ikke ønsker
Konklusjon:

Kanskje den beste mekanismen for å unngå virus

Helsike. Jeg får ikke installert Spotify på kontorpcen

Beskyttelse

At ting blir installert uten at man legger merke til det

Admin-konto

Du må ha Administrator-rettigheter på din bruker for å få innstallere programmer (og evt gjøre andre potensielt skadelige ting)

Meeen...
  • Begrenser brukeren (tildels veldig) om man ikke har admin
  • De med admin bruker det hele tiden (f.eks Windows)
Konklusjon:

Kan være effektivt, men da er det klønete

Ja. Jeg vil faktisk installere Spotify. Ikke mas!

Beskyttelse

Bare sikkerhetsnerder kjører uten admin

Admin-eskalering

Be bruker om å godkjenne at man bruker Admin

Meeen...
  • Blir gjort automatisk om man må eskalere for ofte
  • Gir ikke så god beskyttelse om man eskaleres sjelden
  • Noen av problemene kan løses på andre måter enn antivirus
  • Må være _kontinuerlig_ oppdatert
Konklusjon:

Et bra kompromiss mellom årntli admin-konto og å kjøre alt med alle rettigheter

Vann koster 70 kr på Gardermoen

Fly er spesielt

Noen putta en gang ei bombe i ei colaflaske

Væskeforbudet

Forby all væske gjennom sikkerhetskontroll

Meeen...
  • Shampo
  • Barnemat
  • MME
  • Deodorant
  • Ekte bombemenn bruker andre mekanismer
Konklusjon:

Sikkerhetsteater av beste sort. Koster enormt mye.

Takk!