Inhoud leereenheid 1 Security en IT: inleiding Introductie 15 Leerkern 15 1.1 What Does Secure Mean? 15 1.2 Attacks 16 1.3 The Meaning of Computer Security 16 1.4 Computer Criminals 16 1.5 Methods of Defense 16 1.6 What s Next 17 1.7 Summary 17 Terugkoppeling 18 Uitwerking van de opgaven 18 14
Leereenheid 1 Security en IT: inleiding I have every sympathy with the American who was so horrified by what he had read about the effects of smoking that he gave up reading. Henry G. Strauss I N T R O D U C T I E Security en IT is een breed vakgebied. Het eerste hoofdstuk van het boek geeft een inleiding in diverse aspecten van dit vakgebied. Daarnaast komen diverse basisconcepten en principes aan de orde: wat bedoelen we met security, wat zijn bedreigingen, welke bedreigingen bestaan er, enzovoort. LEERDOELEN Na het bestuderen van deze leereenheid wordt verwacht dat u kunt uitleggen wat de termen vulnerability, threat, attack en control betekenen vier soorten threats (bedreigingen) kunt noemen en beschrijven de betekenis van de termen confidentiality, integrity en availability kunt uitleggen de principes van Easiest Penetration, Adequate Protection, Effectiveness en Weakest Link kunt uitleggen vijf soorten controls (tegenmaatregelen) tegen attacks (aanvallen) kunt noemen en beschrijven. Deze leereenheid hoort bij hoofdstuk 1 van het boek en geeft een impressie van diverse onderwerpen die later uitvoeriger aan bod komen. Voor een groot deel van het hoofdstuk kunt u volstaan met het doorlezen ervan, een aantal onderwerpen is verplichte stof. Dit wordt in de leereenheid, bij de genummerde secties, in detail aangegeven. Bij deze leereenheid is geen zelftoets. De studielast is 4 uur. L E E R K E R N 1.1 What Does Secure Mean? De verplichte stof in de sectie 1.1 heeft betrekking op het Principle of Easiest Penetration (pagina 5). Voor de rest kunt u volstaan met oppervlakkig doorlezen. OUN 15
Security en IT PROTECTING VALUABLES We herinneren u eraan dat de zogenoemde sidebars in het boek niet tot de verplichte stof behoren, tenzij dat expliciet wordt vermeld. De niet-genummerde secties worden in de leereenheid uitsluitend genoemd als we daarbij een opmerking maken, zoals we nu doen bij de sectie Protecting Valuables. Genummerde secties worden altijd genoemd. 1.2 Attacks De sectie Vulnerabilities, Threats, Attacks, and Controls is verplichte stof. Voor de rest kunt u volstaan met oppervlakkig doorlezen. OPGAVE 1.1 Het systeem op uw werk vraagt voordat u inlogt om een wachtwoord. Het wachtwoord dat u gebruikt is uw voornaam. Kunt u een kwetsbaarheid (vulnerability) en een bedreiging (threat) aangeven? 1.3 The Meaning of Computer Security De sectie Security Goals is verplichte stof (tot en met pagina 12). De rest kunt u oppervlakkig doorlezen, met uitzondering van het Principle of Adequate Protection (pagina 17). Dat is verplichte stof. OPGAVE 1.2 Geef aan wat in de volgende voorbeelden in het geding is: confidentiality, integrity of availability? a Uw buurman schrijft tijdens een tentamen de uitwerking van een opgave van u over en levert die in als eigen werk. b U maakt met een overschrijvingsformulier 100, over naar een goed doel. Als de bank het formulier ontvangt, is het bedrag veranderd in 1000,. c Op uw werk heeft een onbekende ervoor gezorgd dat uw pc is gecrasht. 1.4 Computer Criminals U kunt volstaan met deze sectie oppervlakkig door te lezen. TERRORISTS Denial-of-service attacks en web site defacements komen uitvoerig aan de orde in hoofdstuk 7. Web site defacement houdt in dat een hacker toegang krijgt tot een server en bestaande websites verandert. 1.5 Methods of Defense De sectie Controls is verplichte stof. De sectie Effectiveness of Controls kunt u oppervlakkig doorlezen, met uitzondering van de principes van Effectiveness en Weakest Link. Die behoren tot de leerstof. 16 OUN
Leereenheid 1 Security en IT: inleiding CONTROLS Het woord Faux in Faux Environment (Figure 1-6) is afkomstig uit het Frans en betekent vals. Een voorbeeld van een faux environment is de zogenoemde honeypot: een computersysteem om attackers aan te trekken. Zulke systemen kunnen bedoeld zijn om achter de identiteit van een attacker te komen en hun werkwijze te bestuderen. In hoofdstuk 7 gaan we hierop dieper in. OPGAVE 1.3 Welke tegenmaatregelen (controls) liggen voor de hand bij de kwetsbaarheid uit opgave 1.1? 1.6 What s Next Deze sectie kunt u oppervlakkig doorlezen. In sectie 1.6 wordt beschreven dat het boek uit vier delen bestaat. In de cursus is ervoor gekozen om het accent te leggen op de eerste twee delen, namelijk Encryptie Overview en Hardware and Software Security. Uit het derde deel Human Controls in Security zijn enkele onderdelen gekozen. Het laatste deel Encryption In-Depth komt niet aan bod in deze cursus. 1.7 Summary Het principe van Timeliness werd eerder het principe van Adequate Protection genoemd. Het boek eindigt elk hoofdstuk op een vaste manier. Er wordt een Summary gegeven, gevolgd door een sectie met Terms and Concepts, meestal een sectie Where the Field is Headed en een sectie To Learn More. Deze secties kunt u in alle leereenheden overslaan. OUN 17
Security en IT T E R U G K O P P E L I N G Uitwerking van de opgaven 1.1 Een kwetsbaarheid is dat het systeem een wachtwoord accepteert dat gemakkelijk te raden is. Het is een bedreiging als iemand door het wachtwoord te raden toegang kan krijgen tot uw systeem en daarvan vervolgens misbruik kan maken. 1.2 a Als er gespiekt wordt, is de vertrouwelijkheid (confidentiality) in het geding. Het gemaakte werk, de tentamenopgave, is in deze context vertrouwelijk. b Het overschrijvingsformulier is veranderd, hier is de integriteit in het geding. Als u het niet op prijs stelt dat anderen weet hebben van uw overboeking, is ook de confidentiality in het geding. c Uw pc is voor u niet meer beschikbaar, dus is de availability in het geding. 1.3 Van de vijf genoemde controls liggen de volgende voor de hand: software controls en policies and procedures. Softwarematig kan worden afgedwongen dat wachtwoorden die bestaan uit namen, niet worden geaccepteerd. Ook kan worden afgedwongen dat wachtwoorden regelmatig veranderen. Het bedrijf waar u werkt kan zijn werknemers bewustmaken van de gevaren van gemakkelijk te kraken wachtwoorden en suggesties doen voor goede wachtwoorden. 18 OUN