Inhoud leereenheid 1
Security en IT: inleiding Introductie Leerkern 1.1 1.2 1.3 1.4 1.5 1.6 1.7
15 15
What Does ‘Secure’ Mean? 15 Attacks 16 The Meaning of Computer Security Computer Criminals 16 Methods of Defense 16 What’s Next 17 Summary 17
Terugkoppeling –
14
18
Uitwerking van de opgaven
18
16
Leereenheid 1
Security en IT: inleiding ‘I have every sympathy with the American who was so horrified by what he had read about the effects of smoking that he gave up reading.’ Henry G. Strauss
INTRODUCTIE
Security en IT is een breed vakgebied. Het eerste hoofdstuk van het boek geeft een inleiding in diverse aspecten van dit vakgebied. Daarnaast komen diverse basisconcepten en principes aan de orde: wat bedoelen we met security, wat zijn bedreigingen, welke bedreigingen bestaan er, enzovoort. LEERDOELEN
Na het bestuderen van deze leereenheid wordt verwacht dat u – kunt uitleggen wat de termen vulnerability, threat, attack en control betekenen – vier soorten threats (bedreigingen) kunt noemen en beschrijven – de betekenis van de termen confidentiality, integrity en availability kunt uitleggen – de principes van Easiest Penetration, Adequate Protection, Effectiveness en Weakest Link kunt uitleggen – vijf soorten controls (tegenmaatregelen) tegen attacks (aanvallen) kunt noemen en beschrijven. Studeeraanwijzing Deze leereenheid hoort bij hoofdstuk 1 van het boek en geeft een impressie van diverse onderwerpen die later uitvoeriger aan bod komen. Voor een groot deel van het hoofdstuk kunt u volstaan met het doorlezen ervan, een aantal onderwerpen is verplichte stof. Dit wordt in de leereenheid, bij de genummerde secties, in detail aangegeven. Bij deze leereenheid is geen zelftoets. De studielast is 4 uur.
LEERKERN 1.1 Studeeraanwijzing
What Does ‘Secure’ Mean?
De verplichte stof in de sectie 1.1 heeft betrekking op het Principle of Easiest Penetration (pagina 5). Voor de rest kunt u volstaan met oppervlakkig doorlezen.
OUN
15
Security en IT
PROTECTING VALUABLES Studeeraanwijzing
We herinneren u eraan dat de zogenoemde sidebars in het boek niet tot de verplichte stof behoren, tenzij dat expliciet wordt vermeld. De niet-genummerde secties worden in de leereenheid uitsluitend genoemd als we daarbij een opmerking maken, zoals we nu doen bij de sectie ‘Protecting Valuables’. Genummerde secties worden altijd genoemd. 1.2
Studeeraanwijzing
Attacks
De sectie ‘Vulnerabilities, Threats, Attacks, and Controls’ is verplichte stof. Voor de rest kunt u volstaan met oppervlakkig doorlezen.
OPGAVE 1.1
Het systeem op uw werk vraagt voordat u inlogt om een wachtwoord. Het wachtwoord dat u gebruikt is uw voornaam. Kunt u een kwetsbaarheid (vulnerability) en een bedreiging (threat) aangeven? 1.3 Studeeraanwijzing
The Meaning of Computer Security
De sectie ‘Security Goals’ is verplichte stof (tot en met pagina 12). De rest kunt u oppervlakkig doorlezen, met uitzondering van het Principle of Adequate Protection (pagina 17). Dat is verplichte stof.
OPGAVE 1.2
Geef aan wat in de volgende voorbeelden in het geding is: confidentiality, integrity of availability? a Uw buurman schrijft tijdens een tentamen de uitwerking van een opgave van u over en levert die in als eigen werk. b U maakt met een overschrijvingsformulier € 100,– over naar een goed doel. Als de bank het formulier ontvangt, is het bedrag veranderd in € 1000,–. c Op uw werk heeft een onbekende ervoor gezorgd dat uw pc is gecrasht. 1.4 Studeeraanwijzing
Computer Criminals
U kunt volstaan met deze sectie oppervlakkig door te lezen. TERRORISTS
Toelichting
Denial-of-service attacks en web site defacements komen uitvoerig aan de orde in hoofdstuk 7. Web site defacement houdt in dat een hacker toegang krijgt tot een server en bestaande websites verandert. 1.5
Studeeraanwijzing
16
Methods of Defense
De sectie ‘Controls’ is verplichte stof. De sectie ‘Effectiveness of Controls’ kunt u oppervlakkig doorlezen, met uitzondering van de principes van ‘Effectiveness en Weakest Link’. Die behoren tot de leerstof.
OUN
Leereenheid 1 Security en IT: inleiding
CONTROLS Toelichting
Het woord Faux in Faux Environment (Figure 1-6) is afkomstig uit het Frans en betekent vals. Een voorbeeld van een faux environment is de zogenoemde honeypot: een computersysteem om attackers aan te trekken. Zulke systemen kunnen bedoeld zijn om achter de identiteit van een attacker te komen en hun werkwijze te bestuderen. In hoofdstuk 7 gaan we hierop dieper in.
OPGAVE 1.3
Welke tegenmaatregelen (controls) liggen voor de hand bij de kwetsbaarheid uit opgave 1.1? 1.6
What’s Next
Studeeraanwijzing
Deze sectie kunt u oppervlakkig doorlezen.
Toelichting
In sectie 1.6 wordt beschreven dat het boek uit vier delen bestaat. In de cursus is ervoor gekozen om het accent te leggen op de eerste twee delen, namelijk ‘Encryptie Overview’ en ‘Hardware and Software Security’. Uit het derde deel ‘Human Controls in Security’ zijn enkele onderdelen gekozen. Het laatste deel ‘Encryption In-Depth’ komt niet aan bod in deze cursus. 1.7
Summary
Toelichting
Het principe van Timeliness werd eerder het principe van Adequate Protection genoemd.
Studeeraanwijzing
Het boek eindigt elk hoofdstuk op een vaste manier. Er wordt een ‘Summary’ gegeven, gevolgd door een sectie met ‘Terms and Concepts’, meestal een sectie ‘Where the Field is Headed’ en een sectie ‘To Learn More’. Deze secties kunt u in alle leereenheden overslaan.
OUN
17
Security en IT
TERUGKOPPELING
Uitwerking van de opgaven
18
1.1
Een kwetsbaarheid is dat het systeem een wachtwoord accepteert dat gemakkelijk te raden is. Het is een bedreiging als iemand door het wachtwoord te raden toegang kan krijgen tot uw systeem en daarvan vervolgens misbruik kan maken.
1.2
a Als er gespiekt wordt, is de vertrouwelijkheid (confidentiality) in het geding. Het gemaakte werk, de tentamenopgave, is in deze context vertrouwelijk. b Het overschrijvingsformulier is veranderd, hier is de integriteit in het geding. Als u het niet op prijs stelt dat anderen weet hebben van uw overboeking, is ook de confidentiality in het geding. c Uw pc is voor u niet meer beschikbaar, dus is de availability in het geding.
1.3
Van de vijf genoemde controls liggen de volgende voor de hand: software controls en policies and procedures. Softwarematig kan worden afgedwongen dat wachtwoorden die bestaan uit namen, niet worden geaccepteerd. Ook kan worden afgedwongen dat wachtwoorden regelmatig veranderen. Het bedrijf waar u werkt kan zijn werknemers bewustmaken van de gevaren van gemakkelijk te kraken wachtwoorden en suggesties doen voor goede wachtwoorden.
OUN
