Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Hakkerin näkökulma avoimeen dataan

JulkaistuHanna-Mari Tamminen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Hakkerin näkökulma avoimeen dataan"— Esityksen transkriptio:

1 Hakkerin näkökulma avoimeen dataan
4/5/2017 Hakkerin näkökulma avoimeen dataan Esitys käsittelee pahantahtoisen hakkerin näkökulmaa avoimen datan palveluihin. Ari Kesäniemi Senior Security Architect Nixu Oy © Nixu 2012

2 Ketkä hyökkäävät? Miksi hyökätä? Ketä vastaan? Mikä vaikutus?
Miten hyökätään? Miten suojaudutaan? © Nixu 2012

3 Hyökkääjät? Sisäiset Aktivistit Automaattiset
Hyökkääjiä on usein vaikea ennakoida, mutta jonkinlaista haarukointia voidaan tehdä todennäköisimmistä hyökkääjistä. Lisäksi pitää muistaa, että tietoturvaongelmia voi syntyä myös tahattomista erehdyksistä tai onnettomuuksista. Niitä ei käsitellä tässä esityksessä. Valtiot Harrastelijat Yritykset Ammattilaiset Yksityishenkilöt photo by dphershman

4 Miksi hyökätä? Sosiaalinen hyväksyntä Raha Kiusaaminen Raha Kosto
Ideologia Uteliaisuus Kokeilunhalu Raha on ylivoimaisesti voimakkain motiivi. Muut motiivit ovat usein henkilökohtaisempia. Motiivi voi liittyä nimenomaan kyseiseen dataan/palveluun/tarjoajaan (esim. kosto, uteliaisuus) tai olla pitkälti kohteesta riippumaton (esim. kokeilunhalu). Miksi hyökätä? photo by ricardo.martins

5 Keitä vastaan hyökätä? Datan käyttäjä Datan tarjoaja
Datan tarjoaja on ilmeisin hyökkäyksen kohde. Datasta voi myös kuitenkin pystyä kaivamaan tiedon kohteeseen liittyviä tietoja. Kohteena voi myös olla tiedon käyttäjä eli usein toiset järjestelmät tai palvelut. Tiedon kohde photo by kretyen

6 Mikä vaikutus? Tietojen vääris-tyminen Saatavuuskatkos
Tietojen vuotaminen Tietojen vuotaminen on ongelma, kun datassa on sellaista tietoa, jota siellä ei saisi olla Tietojen vääristyminen on datan käyttäjille ongelma, pahimmillaan johtaen käyttäjiä harhaan Saatavuuskatkos häiritsee datasta riippuvaisia käyttäjiä ja pahimmillaan leviää sekä datan tarjoajan että käyttäjien muihin palveluihin Usein tietoturvaongelmat johtavat jonkinlaiseen maineen tahraantumiseen Maineen tahraantuminen photo by Swissdave

7 Luottamuksellisuus Saatavuus Eheys
4/5/2017 Anonymiteetti (anonymity) Yksityisyys (privacy) Luottamuksellisuus (confidentiality) Saatavuus (availability) Eheys (integrity) Löydettävyys (discoverability) Alkuperäisyys (authenticity) Oikea-aikaisuus (timeliness) Oikeellisuus (correctness) Edellä kuvatut vaikutukset voidaan liittää usein käytettyyn tietojen tietoturvaominaisuuksien "CIA"-jaotteluun: Luottamuksellisuus Eheys Saatavuus Näihin voidaan liittää muitakin tietoturvaan liittyviä ominaisuuksia. Jäljitettävyys (traceability) Kiistämättömyys (non-repudiability) © Nixu 2012

8 eli tietojen vuotaminen
Luottamuksellisuus eli tietojen vuotaminen © Nixu 2012

9 4/5/2017 Luottamuksellisuuteen liittyviä tietoturvaseikkoja voi luonnostella uhka-analyysipuun avulla. Ylhäällä on mahdollisia hyökkäyksiä tai tilanteita, jotka johtavat seurauksiin ja edelleen vaikutuksiin ja motiiveihin (alhaalla). Näihin puun solmuihin voidaan liittää suojauksia (käsitellään esityksen lopussa). Merkittävin varsinaisesti avoimeen dataan liittyvä uhka on tietojen päättely toisista tiedoista. Esimerkkinä tästä AOL:n tapaus, jossa yritys julkaisi 20 miljoonaa web-hakukyselyä käyttäjältä: Vaikka tiedot oli anonymisoitu, niistä pystyi päättelemään yksittäisten käyttäjien henkilöllisyyden ja kiinnostuksen kohteet. © Nixu 2012

10 eli tietojen vääristyminen
Eheys eli tietojen vääristyminen © Nixu 2012

11 4/5/2017 Datan eheys rikkoontuu, jos sitä on salaa muutettu, joko itse palvelussa tai matkalla käyttäjälle. Tämä hyökkäys voi olla vaikeahko suorittaa, mutta sillä on merkittäviä seurauksia. Vaikka datan käyttäjän identiteetti ei ole tärkeä, datan tarjoajan on. Käyttäjien pitäisi voida todentaa, että saatu data tulee oikeasta lähteestä ja on muuttumatonta. © Nixu 2012

12 Saatavuus © Nixu 2012

13 4/5/2017 Saatavuuteen voi tyypillisemmin vaikuttaa palvelunestohyökkäyksellä, erityisesti koska datan jakelurajapinta on avoin eikä datan kyselijöitä tunnisteta. Vaikutus voi ulottua paitsi itse avoimen datan jakelupalveluun, myös organisaation muihin (sisäisiinkin) palveluihin ja erityisesti datasta riippuvaisiin ulkoisiin palveluihin. © Nixu 2012

14 Suojautuminen Poikkeustilanteiden suunnitelma Hyökkäyspinnan Lokitus
minimointi Lokitus Uhka-analyysi Sovellus- palomuuri Järjestelmien eriyttäminen Valvonta Julkisen ja kriittisen rajapinnan eriyttäminen IDS/IPS Suojautumista tulee tehdä monella eri tasolla: Hallinnollisella tasolla (vasemmalla) Järjestelmän design-tasolla (keskellä) Toteutustasolla (oikealla) Palvelutason määrittely Datan anonymisointi Kerroksellinen suojaus Datan jäljitettävyys Palvelimen todentaminen (TLS) Datan validointi ja oikea käsittely photo by laszlo-photo 14

15 Mitä jos avoimen datan tarjoaja onkin pahantahtoinen?
5-Apr-17 Pahantahtoinen datan tarjoaja saattaa esimerkiksi: Seurata datan käyttäjien kyselyjä ja päätellä niistä käyttäjään liittyviä tietoja Tarkoituksella tarjota valheellista tai rikkinäistä dataa Lopuksi: Mitä jos avoimen datan tarjoaja onkin pahantahtoinen? © Nixu 2012

16 ari.kesaniemi@nixu.com www.nixu.fi
5-Apr-17 Kiitos! © Nixu 2012

Lataa ppt "Hakkerin näkökulma avoimeen dataan"

Samankaltaiset esitykset

Kouvolansanomat.fi SPOT®- kävijäprofiilitutkimusraportti Maaliskuu 2013.

Kouvolansanomat.fi SPOT®- kävijäprofiilitutkimusraportti Maaliskuu 2013.
Pk-yritysbarometri, kevät 2014 Alueraportti, Satakunta.

Pk-yritysbarometri, kevät 2014 Alueraportti, Satakunta.
Työmarkkinajärjestökysely tasa-arvosuunnitelmista ja palkkakartoituksista 2012 Akava 19.9.2012.

Työmarkkinajärjestökysely tasa-arvosuunnitelmista ja palkkakartoituksista 2012 Akava
1.

1.
Kouvolansanomat.fi SPOT®- kävijäprofiilitutkimusraportti Maaliskuu 2014.

Kouvolansanomat.fi SPOT®- kävijäprofiilitutkimusraportti Maaliskuu 2014.
Esaimaa.fi SPOT®- kävijäprofiilitutkimusraportti Maaliskuu 2014.

Esaimaa.fi SPOT®- kävijäprofiilitutkimusraportti Maaliskuu 2014.
Tietoturva, 2 ov jukka.harju@ksao.fi.

Tietoturva, 2 ov
Digibarometri 2014 Huipputason edellytyksillä keskinkertaisia tuloksia. Miten tästä eteenpäin? Petri Rouvinen Etlatieto Oy Seminaari: Mitä mobiilissa tapahtuu?

Digibarometri 2014 Huipputason edellytyksillä keskinkertaisia tuloksia. Miten tästä eteenpäin? Petri Rouvinen Etlatieto Oy Seminaari: Mitä mobiilissa tapahtuu?
Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus

Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus
Tietoturvakoulutus Tietojenkäsittelyn koulutus-ohjelmassa

Tietoturvakoulutus Tietojenkäsittelyn koulutus-ohjelmassa
SUOMEN PANKKI | FINLANDS BANK | BANK OF FINLAND Yritysrahoituskysely 2012.

SUOMEN PANKKI | FINLANDS BANK | BANK OF FINLAND Yritysrahoituskysely 2012.
Viikon 40 eurotehtävät •Tehtäväruudussa oli 7 € •Vastauksia jätettiin yhteensä 26. •Oikeita vastuksia oli yhteensä 13.

Viikon 40 eurotehtävät •Tehtäväruudussa oli 7 € •Vastauksia jätettiin yhteensä 26. •Oikeita vastuksia oli yhteensä 13.
PlugIT-seminaari 27.-28.10.2003 Työpaja 2, ma 27.10: Kertomus- ja koodistoliittymät ja kansallisten hankkeiden yhteistyö Kertomus(arkisto)rajapinnat, klo.

PlugIT-seminaari Työpaja 2, ma 27.10: Kertomus- ja koodistoliittymät ja kansallisten hankkeiden yhteistyö Kertomus(arkisto)rajapinnat, klo.
Pk-yritysbarometri, kevät 2014 Alueraportti, Keski-Pohjanmaan Yrittäjät.

Pk-yritysbarometri, kevät 2014 Alueraportti, Keski-Pohjanmaan Yrittäjät.
Pk-yritysbarometri, kevät 2014 Alueraportti, Pohjois-Pohjanmaa.

Pk-yritysbarometri, kevät 2014 Alueraportti, Pohjois-Pohjanmaa.
Pk-yritysbarometri, kevät 2014 Alueraportti, Etelä-Karjala.

Pk-yritysbarometri, kevät 2014 Alueraportti, Etelä-Karjala.
Elinkeinopoliittinen mittaristo 2014 Pelkosenniemi 1.

Elinkeinopoliittinen mittaristo 2014 Pelkosenniemi 1.
Elinkeinopoliittinen mittaristo 2014 Kittilä 1. ELINKEINOPOLITIIKAN TILA 2.

Elinkeinopoliittinen mittaristo 2014 Kittilä 1. ELINKEINOPOLITIIKAN TILA 2.
Elinkeinopoliittinen mittaristo 2014 Kemi 1. ELINKEINOPOLITIIKAN TILA 2.

Elinkeinopoliittinen mittaristo 2014 Kemi 1. ELINKEINOPOLITIIKAN TILA 2.
*) Työttömät ilman lomautettuja Lähde: Työ- ja elinkeinoministeriön työttömyystilastot 22.10.2014 Työttömät* työnhakijat 1994–2014, syyskuu Yleisimmät.

*) Työttömät ilman lomautettuja Lähde: Työ- ja elinkeinoministeriön työttömyystilastot Työttömät* työnhakijat 1994–2014, syyskuu Yleisimmät.

Samankaltaiset esitykset

Iklan oleh Google