Strid i IT-domänen. Strid i IT-domänen MARTIN KARRESAND, MATS PERSSON. FOI-R SE Användarrapport Ledningssystem FOI-R SE - PDF

Description
Strid i IT-domänen Strid i IT-domänen MARTIN KARRESAND, MATS PERSSON MARTIN KARRESAND, MATS PERSSON FOI är en huvudsakligen uppdragsfinansierad myndighet under Försvarsdepartementet. Kärnverksamheten är

Please download to get full document.

View again

of 91
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Information
Category:

News & Politics

Publish on:

Views: 17 | Pages: 91

Extension: PDF | Download: 0

Share
Transcript
Strid i IT-domänen Strid i IT-domänen MARTIN KARRESAND, MATS PERSSON MARTIN KARRESAND, MATS PERSSON FOI är en huvudsakligen uppdragsfinansierad myndighet under Försvarsdepartementet. Kärnverksamheten är forskning, metod- och teknikutveckling till nytta för försvar och säkerhet. Organisationen har cirka 1250 anställda varav ungefär 900 är forskare. Detta gör organisationen till Sveriges största forskningsinstitut. FOI ger kunderna tillgång till ledande expertis inom ett stort antal tillämpningsområden såsom säkerhetspolitiska studier och analyser inom försvar och säkerhet, bedömning av olika typer av hot, system för ledning och hantering av kriser, skydd mot och hantering av farliga ämnen, IT-säkerhet och nya sensorers möjligheter. FOI Totalförsvarets forskningsinstitut Tel: Ledningssystem Fax: Box Linköping FOI-R SE Användarrapport Ledningssystem FOI-R SE ISSN December Användarrapport 2006 Ledningssystem ISSN December 2006 Martin Karresand, Mats Persson Strid i IT-domänen Utgivare Rapportnummer, ISRN Klassificering Totalförsvarets Forskningsinstitut FOI Ledningssystem Box LINKÖPING FOI-R SE Månad år Projektnummer December 2006 E 7091 Forskningsområde Ledning, informationsteknik och sensorer Delområde Ledning med samband, telekom och IT-system Delområde 2 Användarrapport Författare Martin Karresand, Mats Persson Projektledare Mikael Wedlin Godkänd av Johan Allgurén IC, Institutionen för Systemutveckling och IT-säkerhet Tekniskt och/eller vetenskapligt ansvarig Rapporttitel Strid i IT-domänen Uppdragsgivare/kundbeteckning FM Sammanfattning Den här rapporten behandlar de resultat som producerats i FoT-projektet Strid i IT-domänen. Den största delen av arbetet har gjorts med inriktning på intrångsanalys. Bland annat har en metod (Oscar) för att identifiera filtyp hos datafragment tagits fram. Möjligheten att använda mer tekniskt orienterade scenarion inom Försvarsmakten har studerats. Det har även gjorts en studie av hur program för radering av hårddiskar hanterar ATA-standarden. Programmen visade sig inte kunna hantera hela standarden, varför de heller inte kan garanteras kunna radera allt innehåll på en hårddisk. Nyckelord informationssäkerhet, parametrar för intrångsdetektering, ATA-gränssnitt, scenario Övriga bibliografiska uppgifter Omslagsbild: Martin Karresand, 2005 ISSN Antal sidor Språk ISSN Svenska Distribution Enligt missiv Pris Enligt prislista Sekretess Öppen 2 Issuing organisation Report number, ISRN Report type FOI Swedish Defence Research Agency Command and Control Systems P.O. Box 1165 SE LINKÖPING FOI-R SE Month year Project number December 2006 E 7091 Research area code C 4 ISTAR Sub area code C 4 I Sub area code 2 User report Author(s) Martin Karresand, Mats Persson Project manager Mikael Wedlin Approved by Johan Allgurén Head, Systems Developement and IT Security Scientifically and technically responsible Report title Warfare in the IT domain Sponsoring agency FM Abstract This report presents the results from the project Strid i IT-domänen (Warfare in the IT domain). The main part of the work has been done in the intrusion analysis field. A method called Oscar to identify the file type of data fragments has been developed. The possibility to use more technically oriented scenarios within the Defence Forces has been studied. There has also been a study of how software to erase the contents of hard disks handles the ATA standard. The result shows that the softwares studied did not fully comply to the standard, hence they cannot be guaranteed to be able to erase all information on a hard disk. Keywords information security, intrusion detection parameters, ATA interface, scenario Further bibliographic information Cover photo: Martin Karresand, 2005 ISSN Pages Language ISSN Swedish Distribution By sendlist Price According to price list Security classification Unclassified 3 FOI-R SE Innehåll 1 Inledning Bakgrund Syfte och omfattning Frågeställning Inkluderadepublikationer Verksamhet VirtuelltRödaKorsmärke Testmiljö Intrångsanalys Sammanfattning av publikationer Scenarion VirtuelltRödaKors-märke Testmiljö Intrångsanalys Rapporter Vetenskapliga artiklar Framtida arbete 21 Litteraturförteckning 23 A Förevisning av CNA IECCNIHL B Oscar IFIPSec C Oscar West Point D WLAN testbed West Point E Oscar ACSF F P2P-IDS PDMST G Oscar WDFIA FOI-R SE 1 Inledning Det här är resultatrapporten för FoT-projektet Strid i IT-domänen (SiITD), som har pågått åren Rapporten kommer att övergripande behandla de resultat och publikationer som framkommit inom projektet. De publikationer som gjorts på internationella konferenser och workshops har bifogats i sin helhet som bilagor sist i rapporten. Det stora flertalet av de internationella publikationerna har gjorts under det sista året av projektet, eftersom de bygger på den forskning som gjorts under de två föregående åren. En av publikationerna har gjorts i samarbete med Institutionen för datavetenskap vid Linköpings universitet och i en har personal från Institutionen för Telekrigvärdering, FOI deltagit som projektmedlemmar. Övriga publikationer är framtagna internt av IT-säkerhetsgruppen på Institutionen för Systemutveckling och IT-säkerhet, FOI. Arbetet är indelat i fyra delområden som alla har gemensamma beröringspunkter. Områdena är; scenarion omfattar arbete (två rapporter) där försök till utformning av scenarion med ett mer tekniskt innehåll ur IT-säkerhetssynvinkel gjorts, virtuellt RödaKors-märke för skydd av IT-infrastruktur hos samhällsnyttiga funktioner, testmiljö för att emulera en trådlös miljö för utvärdering av IT-strid och intrångsanalys med tyngdpunkten lagd på att identifiera de parametrar som är viktiga vid detektion och analys av intrång. Den röda tråd som binder ihop de olika delarna kan ses som stammen på ett träd bestående av konceptet strid i IT-domänen med de fyra områdena som grenar. Det finns även en logisk koppling mellan dem på så sätt att scenariona beskriver olika situationer där intrångsanalys kan appliceras och ett virtuellt RödaKors-märke faller in som en del där militära och civila system blandas, vilket är mer verklighetsnära. Det hela avslutas med praktiska implementationer av de idéer som kan ses som frukterna på trädet. 1.1 Bakgrund Projektet är en fortsättning på FoT-projektet IT-vapen i en laborativ miljö vars främsta syfte var att bygga upp en allmän kompetens inom området. Den kompetens som byggts upp har i det här projektet konsoliderats och fördjupats inom relevanta områden, med särskilt fokus på militära ledningssystem och deras speciella egenskaper. 7 FOI-R SE Löptiden för projektet har varit tre år och det har under dessa år förändrats i takt med att forskningen gått framåt och därigenom visat på viktiga och intressanta aspekter att studera närmare. Förändringarna har också gjorts med hänsyn till planerade internationella samarbeten, allt i samråd med kund. 1.2 Syfte och omfattning Syftet med den här rapporten är att redovisa de resultat som erhållits i projektet. Resultaten redovisas separat för respektive forskningsområde (scenarion, virtuellt RödaKors-märke, testmiljö och intrångsanalys). De mest djupgående resultaten finns att hämta inom intrångsanalysområdet och testmiljö. Syftet med projekt SiITD har varit att svara på de frågeställningar som redovisas i kap. 1.3, samt att ge en ökad förståelse för hur IT-domänen är beskaffad ur ett militärt perspektiv. Projektet är ämnat att täcka hela området med särskild fördjupning inom intrångsanalys, IT-spaning och intrångsdetektering. 1.3 Frågeställning De frågeställningar som legat till grund för arbetet inom projektet har varit: Kan man med IT-baserade vapen föra en framgångsrik strid och vilken samverkan behövs i så fall med konventionella vapen? Vilka är IT-hoten? Vilka metoder kan eller skall användas för IT-spaning och intrångsanalys och vilka krav ställer detta på egen struktur? Hur gör man i omvärlden? Dessa frågor har i besvarats i varierande grad i och med slutförandet av projektet. 1.4 Inkluderade publikationer Följande vetenskapliga publikationer är bifogade till rapporten i form av bilagor namngivna med versaler i enlighet med nedanstående lista. Referenser i den löpande texten är gjorda med de siffror som anges vid respektive publikation i listan. A [10] David Lindahl och Mikael Wedlin. A CNA Demonstration. Proceedings of the International Expert Conference on Computer Network Attacks and the Applicability of International Humanitarian Law 2004, ss 80 84, Officershögskolan (FHS). 8 FOI-R SE B [8] Martin Karresand och Nahid Shahmehri. Oscar File Type Identification of Binary Data in Disk Clusters and RAM Pages. Proceedings of IFIP International Information Security Conference: Security and Privacy in Dynamic Environments (SEC2006), ss , Springer Verlag. C [6] Martin Karresand och Nahid Shahmehri. File Type Identification of Data Fragments by Their Binary Structure. Proceedings of the Seventh Annual IEEE Systems, Man and Cybernetics (SMC) Information Assurance Workshop 2006, ss , IEEE. D [2] Erika Johansson och Mats Persson. Test Bed for Assessment of CNO and EW Against Emulated Wireless Ad Hoc Networks. Proceedings of the Seventh Annual IEEE Systems, Man and Cybernetics (SMC) Information Assurance Workshop, 2006, ss , IEEE. E [7] Martin Karresand och Nahid Shahmehri. Oscar File Type and Camera Identification Using the Structure of Binary Data Fragments. Proceedings of the 1st Conference on Advances in Computer Security and Forensics, ACSF, ss 11 20, The School of Computing and Mathematical Sciences, John Moores University. F [1] Claudiu Duma, Martin Karresand, Nahid Shahmehri och Germano Caronni. A Trust-Aware, P2P-Based Overlay for Intrusion Detection. Proceedings of the 3rd IEEE International Workshop on P2P Data Management, Security and Trust (PDMST 2006), ss , IEEE Press. G [9] Martin Karresand och Nahid Shahmehri. Oscar Using Byte Pairs to Find File Type and Camera Make of Data Fragments. Proceedings of the 2nd European Conference on Computer Network Defence, in conjunction with the First Workshop on Digital Forensics and Incident Analysis (EC2ND 2006), ss 85 94, Springer Verlag. 9 FOI-R SE 2 Verksamhet Det här kapitlet beskriver kortfattat den verksamhet som bedrivits inom tre av de fyra inriktningarna i SiITD. Speciell tyngd har lagts på den mer praktiska verksamheten i form av implementationer och programutveckling, men även mer allmän information om tankar och idéer kring vad som åstadkommits finns med. 2.1 Virtuellt RödaKorsmärke Tanken på ett virtuellt RödaKorsmärke för att skydda IT-system hos de funktioner och inrättningar som idag är fredade för angrepp vid konflikter dök upp efter en konferens där FOI deltog Arbetet med att utveckla ett dylikt märke har drivits under flera år och bland annat resulterat i en enkel demonstrator. Vidare har kontakt hållits och diskussioner förts med specialister inom folkrätts- och konfliktfrågor. Ett flertal arbetsdokument har framställts för att utgöra underlag till ett framtida konferensbidrag. I väntan på lämpligt publiceringsforum har arbetet tills vidare lagts på is för att kunna fortsätt om eller vid positiv respons även internationellt. 2.2 Testmiljö Idén till att bygga en testmiljö för trådlösa ad hoc-nätverk dök upp någon gång under År 2006 ägnades till att försöka förstå vilka begränsningarna var och att sedan räkna ut hur detta skulle kunna realiseras. Sedan tidigare fanns det en lämplig grafisk miljö som passade bra, nämligen Freke-Tavastsystemet. Dessutom hade vi redan tillgång till lämplig hårdvara för att bygga testmiljön, bestående av mer avancerade HP-switchar. Testmiljön byggdes och programmerades ihop under våren. Det krävdes lite modifieringar av Freke-Tavast så att det kunde kommunicera med resten av systemet och samtidigt visa nätverket med dess datatakter på bildskärmen. Programkod för att styra och taktbegränsa nätkopplingarna fick skrivas i stort sett från grunden. Det fanns dock en del stöd för datataktsbegränsning och hantering av virtuella nät i Linuxkärnan, vilket gjorde det hela mycket enklare att implementera. När testmiljön fungerade tillräckligt bra för enkla demonstrationer, ansåg vi att prototypen var klar. Resultatet var så pass bra att vi bestämde att systemetkonceptet skulle publiceras i form av ett konferensbidrag. 11 FOI-R SE 2.3 Intrångsanalys Den största delen av arbetet i SiITD har samlats under det gemensamma namnet intrångsanalys. Verksamheten har framför allt varit inriktad på att från grunden sätta sig in i de problem och möjligheter som intrångsanalys erbjuder ur ett tekniskt perspektiv. Som ett led i detta arbete har bland andra MUST varit delaktiga, men även civila myndigheter såsom SKL, RKP, SÄPO och FRA. Tanken med verksamheten har varit att hitta parametrar som är viktiga för att påvisa intrång, både pågående och redan genomförda och på kända eller ännu okända sätt. Dessa kan sedan bland annat användas som bas för att skapa bättre intrångsdetekteringssystem och säkerhetstillämpningar, optimera säkerhetsnivån i system, få en korrekt lägesbild vid intrång eller andra IT-relaterade incidenter, förbättra de grundläggande säkerhetsfunktionerna i framtida ledningssystem och öka kompetensen vad gäller CNO. För att få en bättre förståelse för verkliga problem och möjligheter inom intrångsanalysområdet har arbetet präglats av tillämpad forskning med en hög grad av programutveckling för att kunna verifiera den teoretiska delen av arbetet. Genom publicering av delresultat på konferenser har vi fått en stor mängd återkoppling från internationella auktoriteter inom området och på så sätt bra förslag på fortsatt väg framåt. Konferensdeltagandet har också bidragit till att höja kvalitén på forskningen och gett oss en god insyn hur vi ligger till på den internationella akademiska forskningsfronten. Likaså har mycket inspiration hämtats från kontakter med den operativa delen inom IT-brottsbekämpning, både hos polisen och SKL, men även från andra myndigheter. Dessa kontakter har främst bestått av studiebesök och tekniskt orienterade möten där vi fått inblick i de problem som kan uppstå i samband med intrångsanalys och utredning av IT-relaterade brott. 12 FOI-R SE 3 Sammanfattning av publikationer Det här kapitlet sammanfattar de publikationer som producerats inom SiITD, både till internationella konferenser och workshops, men även FOI-rapporter och memon. De publikationer som presenterats på den internationella vetenskapliga arenan återfinns i sin helhet som bilagor sist i rapporten. 3.1 Scenarion Inom spåret för scenarioutveckling har skrivits två FOI-rapporter [5, 14] där den första utgör underlag för den andra rapporten. Rapporten Scenarion och trender inom framtida informationskrigföring ur ett tekniskt perspektiv [5] tar upp tre scenarion (två färdiga och ett förslag) som alla behandlar konflikter med inslag av IT-strid (Computer Network Operations (CNO)). Dessa scenarion har först sammanfattats utifrån ett IT-tekniskt perspektiv, för att sedan analyseras. Resultatet av analysen är att precisionen i scenariona är för dålig vad gäller IT-stridsbeskrivningar, de sägs utspela sig 10 till 15 år framåt i tiden ( ), men är mycket övergripande beskrivningar av attacker mot dagens system. De anmärkningar som riktas mot de nuvarande scenariona kan sammanfattas i följande punkter: Det görs implicita antaganden om att de egna datorsystemen har så bra skydd att endast insider-hot är relevanta, det talas aldrig om huruvida de resurser i form av personal och hårdvara som krävs för att upprätthålla den implicit antagna säkerhetsnivån verkligen finns tillgängliga hela tiden, det talas inte heller om det faktum att IT-striden är asymmetrisk, det vill säga den med mest utbredd teknikalisering också är den mest sårbara, slutligen är inte eventuella IT-angrepp mot det eventuellt mer sårbara civila samhället medtagna i scenariona. Rapporten avslutas med att konstaterande om att det fortsatta arbetet med att utveckla bra scenarior för IT-angrepp kommer att inriktas mot att utveckla metoder eller teorier för att koppla samman övergripande scenarior och teknik. Rapport nummer två [14] i serien om scenarior behandlar två förslag på egna, tekniskt detaljerade scenarior som är tänkta att kunna inlemmas i de stora övergripande scenariorna. De tekniska scenariorna behandlar alla dagens teknik på grund av den mycket stora osäkerhet om den tekniska utvecklingen 13 FOI-R SE om år. Tyngdpunkten har lagts på en ur IT-säkerhetssynpunkt korrekt beskrivning av möjliga attackvägar. Dessa har sedan klätts med relevanta kringhändelser som tillsammans bygger upp ett fungerande scenario. Kringhändelserna är dock enbart baserade på rapportförfattarens egen fantasi och generella kunskap om världspolitik och kan mycket väl behöva korrigeras innan de sätts samman med de stora scenariorna. Det första scenariot baseras på upptäckten av en trojan i en dator och ger sedan tre olika alternativa spår med stegrande inblandning av offensiv verksamhet. Scenario nummer två behandlar injicering av trafik i ett koalitionsnät via manipulerade trådlösa noder. Liksom i scenarion nummer ett beskrivs ett antal varianter av händelseförloppet med stegrande grad av offensiv verksamhet. I rapportens slutsatser tas ett par intressanta frågeställningar gällande det fortsatta arbetet upp. I korthet går de ut på att det finns svåröverbryggbara skillnader i koncepts- och föreställningsvärld mellan tekniska scenarior och övergripande typscenarior, skärningsytorna mellan tekniska scenarior och övergripande typscenarior misstänks vara små, tekniska scenarior kanske inte fyller sitt syfte, och det är därför kanske bättre med tekniska experiment på riktiga system i stället. 3.2 Virtuellt RödaKors-märke Idén om ett virtuellt RödaKors-märke för civila funktioner såsom sjukhus och andra vårdinrättningar dök upp år 2004 efter en demonstration av nätverksattacker (Computer Network Attack (CNA)) vid en konferens om folkrätt och IT-säkerhet. FOI:s CNA-demonstation berörs i ett kapitel [10] i dokumentationen från konferensen. I bakgrunden till demonstrationen pekar författarna på skillnader mellan konventionell krigföring och IT-krigföring, skillnader som innebär att IT-vapen är mer autonoma och därmed svårstyrda. Likaså kan de ej fatta egna beslut om någonting i förutsättningarna för attacken har förändrats, ett exempel är att en soldat som fått order om att slå ut en byggnad själv kan avgöra att någonting är fel och därmed undvika att icke-kombattanter dödas. Ett IT-vapen däremot slår blint och följer slaviskt de order det fått. Ett annat problem är motsättningen mellan användbarhet och säkerhet. Meningen med att införa datorer är att underlätta informationshantering. Om säkerhetsnivån är för hög i relation till användbarheten faller nyttan med datorsystemet. Det ger i slutänden i stället en för låg säkerhetsnivå. Ytterligare en orsak till dålig IT-säkerhet som anges är att det kostar pengar att skydda sig mot någonting som kanske inte ens händer. Dessutom är trenden att använda allt mindre specialanpassad hårdvara och i stället utnyttja vad som finns tillgängligt på den öppna marknaden. Det gör att system som egentligen har höga krav på säkerhet kanske inte ens har möjlighet att ge den säkerhetsnivå som krävs. 14 FOI-R SE Det påpekas i konferensbidraget att en viktig orsak till de problem som finns är den brist på kunskap som genomsyrar hela IT-etablissemanget, från
Related Search
Similar documents
View more...
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks