Blogg (page 19)

Tingenes internett er her – men er sikkerheten?

Det har lenge vært snakket om tingenes internett – IP over alt, alt over IP. Dette er framtiden og store forskningsprogrammer både i norsk og europeisk sammenheng lyser ut midler for å forske mer på mulighetene nettverkstilkoblede enheter vil kunne by på. Vi begynner allerede i dag å se potensialet: I min egen stue har jeg en TV som er koblet rett på internett. Med den kan jeg bruke youtube, yr.no og andre tjenester uten å koble til en PC. En kollega skaffet seg internettradio for noen år siden. Med ethernet-kontakten plugget inn kan han lytte til all verdens radiokanaler. Utbredelsen av nettbrett og smartmobiler har eksplodert. Tjenestene som tilbys er mange og fantastiske.

Continue reading “Tingenes internett er her – men er sikkerheten?”

Vi bidrar til verdenslitteraturen

A Multidisciplinary Introduction to Information Security To nye informasjonssikkerhetsbøker er nettopp kommet på markedet, og vi har bidratt med et kapittel i hver av dem.

“A Multidisciplinary Introduction to Information Security” er redigert av Stig Frode Mjølsnes fra NTNU, og den kan bestilles fra CRC Press. Vårt kapittel heter “A Lightweight Approach to Secure Software Engineering” og er skrevet av Martin Gilje Jaatun, Jostein Jensen, Per Håkon Meland og Inger Anne Tøndel.

Continue reading “Vi bidrar til verdenslitteraturen”

Skal det være nødvendig å stole på storebror hele tiden?

Etter en uke i Hellas (med overraskende få opptøyer) er det på sin plass å nevne presentasjonen av artikkelen “A Cryptographic Protocol for Anonymous Communication in a Redundant Array of Independent Net-storages” på årets utgave av IEEE CloudCom i Athen.

Dette er en del av et pågående arbeid for å se om det er mulig å oppnå tilstrekkelig sikkerhet i nettskyen uten å kryptere data, men kun ved å dele dem opp og spre dem på forskjellige nettskytilbydere.

Continue reading “Skal det være nødvendig å stole på storebror hele tiden?”

SmartGrid-sikkerhet på konferanse

Poster presentert på konferansen
Poster presentert på konferansen

Økt bruk av IKT i kraftnettet er som kjent et av de viktigste stegene i veien mot Smart Grids. Dette innebærer nye utfordringer knyttet til informasjonssikkerhet og personvern, som må adresseres på riktig måte fra begynnelsen av. I tillegg må menneskelige faktorer knyttet til nye arbeidsprosesser og nye tankesett også adresseres. Det er mye å lære fra oljebransjen, som allerede har jobbet med integrerte operasjoner i noen år.

Dette har vi skrevet om i artikkelen Cyber Security Challenges in Smart Grids. Maria B. Line presenterte denne på konferansen IEEE PES Innovative Smart Grid Technologies 2011 Europe i Manchester denne uka.

Continue reading “SmartGrid-sikkerhet på konferanse”

Trøbbel med trojanske tjenester

Når du benytter en tjeneste på nettet levert av en eller annen aktør er det ofte et sett med underleverandører til denne som du ikke har oversikt over. Sist gang du bestilte en reise gjennom en reiseportal benyttet du sannsynligvis et sett med forskjellige tjenesteunderleverandører for å ordne med fly, hotell, bil, betaling, osv. Vi kaller dette tjenestekomposisjon, og prinsippet er omtrent det samme som når en sluttbruker bestiller et hus fra en totalentreprenør. Sluttbrukeren trenger da bare å forholde seg til den med det overordnede avsvaret dersom noe skulle gå galt.

Continue reading “Trøbbel med trojanske tjenester”

Energiteknikk: “AMS truer sikkerheten”

Faksimile fra Energiteknikk

Fagbladet Energiteknikk har i november-nummeret intervjuet forsker Maria B. Line om utfordringer knyttet til informasjonssikkerhet og AMS (avanserte måle- og styresystemer) og utviklingen av smarte nett (SmartGrids). I artikkelen nevnes oppdraget som SINTEF i høst har fått fra NVE om å utføre en overordnet risikovurdering av AMS. Dessuten pekes det på forskjellene i sikkerhetstankegangen mellom prosessverdenen, som kraftforsyningen i all hovedsak har vært en del av, og IT-verdenen, som nå kommer for fullt inn med SmartGrids-visjonen.

Continue reading “Energiteknikk: “AMS truer sikkerheten””

Ikke la lommelykt-app’en få tilgang til telefonlisten din!

Apps for Android og iPhone har blitt ekstremt populært og stadig flere gjør stadig mer ved hjelp av en smarttelefon.

Men hva kan egentlig app-utviklere få tilgang til når vi installerer apps? Har appene behov for den tilgangen de ønsker?

For å sitere Ove Skåra i Datatilsynet: “Hvorfor skal en lommelykt-app ha tilgang til telefonlisten din?”.

Continue reading “Ikke la lommelykt-app’en få tilgang til telefonlisten din!”

På vegne av vår syke mor

Vi er forskere ansatt i et uavhengig forskningsinstitutt, noe som betyr at vi må selv bidra til å skaffe finansieringen som betaler lønna vår. I praksis betyr dette å skrive søknader til Norges forskningsråd og EUs 7ende rammeprogram. Når vi søker på forskningsrådets ulysninger i VERDIKT-programmet, konkurrerer vi med andre norske forskningsinstittutter som Norsk Regnesentral og Christian Michelsens Institutt, men også mot alle norske universiteter og høgskoler. Når det gjelder sistnevnte, er det noe som skurrer.

Continue reading “På vegne av vår syke mor”

Hva er programvaresikkerhet?

I siste nummer av The International Journal of Secure Software Engineering (IJSSE) var undertegnede og Martin Gilje Jaatun gjesteredaktører, og skrev i den forbindelse en introduksjon for å gjøre selve begrepet “software security” noe mer håndgripelig. Bakgrunnen for skrive om nettopp dette er at vi opplever at begrepet ofte benyttes i en veldig vid forstand.

Continue reading “Hva er programvaresikkerhet?”

Hvor sårbart er kraftnettet?

Kraftnettet er en kritisk ressurs i et moderne samfunn, og dermed er det nødvendig å forstå hvilke trusler kraftnettet kan være utsatt for og hvordan de kan håndteres. IKT blir mer og mer integrert også i strømforsyningen og forståelsen for hvordan dette påvirker risiko trenger å økes.

Nå skal et nytt EU-prosjekt kalt AFTER a tak i risiko og sårbarheter relatert til kraftnettet og foreslå metoder og verktøy som kan brukes for å få bedre oversikt over sårbarheter og hvordan de skal håndteres.

Continue reading “Hvor sårbart er kraftnettet?”

Prototyper: Sikre så lenge de ikke faller i hendene på gale forskere?

I de senere år har vi i flere sammenhenger støtt på tilfeller der programvareprototyper som har vært utviklet i en fei (uten at noen har tenkt så mye på sikkerhet, for “det er jo bare en protoype…”), på mystisk vis likevel plutselig ender opp i det ferdige produktet. Like fullt finnes det store selskaper ute i verden som hardnakket påstår at det er bortkastet å tenke programvaresikkerhet når man lager prototyper, “for de skal jo kastes likevel”.

Continue reading “Prototyper: Sikre så lenge de ikke faller i hendene på gale forskere?”

Personvern for Android

Ill.: Richárd Rácz (Creative Commons 3.0)

“Apps” för mobiltelefoner har blivit otroligt populära de senaste åren men har fått kraftig kritik från bla Datatilsynet för att de samlar in stora mängder personupplysningar, ofta utan att brukaren själv är klar över det. Från slutbrukerens perspektiv er detta ett problem eftersom det är vanskelig att få översikt över vilken information som samlas in, hur den används och vad som skjer med informationen i efterhand.

Continue reading “Personvern for Android”

Tilgangskontroll for elektroniske informasjonstavler

Vi har tidligere på denne bloggen skrevet om arbeidet vårt i COSTT-prosjektet med der store skjermer brukes for å gi bedre koordineringsstøtte på sykehus. Målet vårt er å finne gode løsninger som gjør at de ansatte får den informasjonen de trenger samtidig som personvernet til pasientene blir ivaretatt.

Denne uken drar Inger Anne Tøndel til NordSec-konferansen for å presentere forslag til hvordan man kan gjøre tilgangskontroll for denne typen systemer. Artikkelens tittel er: “Visualization Control for Event-Based Public Display Systems used in a Hospital Setting”

Continue reading “Tilgangskontroll for elektroniske informasjonstavler”

Ingen er så utrygg i fare…

Malware labDet er et økende gap mellom tidspunktet et gitt eksemplar ondartet kode (virus, orm, osv.) opptrer på internett, og tidspunktet signaturen til samme ondartede kode finner veien til brukernes antivirusprodukter. Dette betyr at det til enhver tid finnes store mengder ondartet kode som ikke kan detekteres og/eller fjernes av antivirusprodukter.

Continue reading “Ingen er så utrygg i fare…”

Pasientinformasjon “på veggen” – balansegang mellom informasjonsbehov og personvern

Som del av prosjektet CO-operation Support Through Transparency deltok Erlend Andreas Gjære med innlegg på HelsIT-konferansen som ble arrangert i Trondheim 27.-29. september. Innlegget var del av workshopen “Hendelsesorienterte arkitekturer og systemer for helsetjenesten”, der informasjonssikkerhet utgjør en viktig del av forskningsarbeidet.

Continue reading “Pasientinformasjon “på veggen” – balansegang mellom informasjonsbehov og personvern”
Faksimile fra Computerworld.no sin artikkel

Smart strøm med komplikasjoner

Faksimile fra Computerworld.no sin artikkel
Faksimile fra Computerworld.no sin artikkel

Computerworld omtalte 16.9. foredraget som Maria B. Line holdt under ISF (Norsk Informasjonssikkerhetsforum) sin høstkonferanse i Larvik 29.-31. august. Foredraget handlet om informasjonssikkerhets-utfordringer med SmartGrids, som også er tema for PhD-graden Maria påbegynte i mai 2011. Computerworlds artikkel refererer til store deler av foredraget, og trekker spesielt fram utfordringen med at prosessfolk og IT-ingeniører må snakke samme språk.

Continue reading “Smart strøm med komplikasjoner”

Brukervennlighet foran sikkerhet i offentlige tjenester?

Skjermdump fra minid.norge.no

Den 5. mai 2011 publiserte Adresseavisen en kronikk skrevet av undertegnede. MinID er et offentlig prestisjeprosjekt som skal sørge for at norske borgere får tilgang på personlig informasjon og personlige tjenester levert av det offentlige på en sikker måte. Innloggingstjenesten MinID gjør at man kun trenger å huske ett brukernavn og passord til tross for et stort mangfold av statlige og kommunale tjenester. Bra! I den ”gamle” internettverden måtte man hatt forskjellige brukernavn og passord for hver enkelt tjeneste, og antall tjenester er betydelig: NAV, Lånekassen og Skatteetaten er blant etatene som tilbyr tjenester med MinID som innloggingsløsning.

Det offentlige har hatt sømløshet som mål for en internettbrukers opplevelse av å navigere mellom de ulike tilbudene av tjenester. Brukervennligheten har blitt framhevet ved at man kun skal behøve å logge seg på en gang ved hjelp av MinID for så å slippe bryderiet med å skrive inn brukernavn og passord dersom man innen kort tid ønsker å navigere innom en ny tjeneste. Denne sømløsheten er jeg skeptisk til.

Continue reading “Brukervennlighet foran sikkerhet i offentlige tjenester?”

Internett – for farlig for hvermannsen?

Adresseavisen publiserte 15. november 2010 en kronikk skrevet av Maria B. Line angående trusselbildet på Internett.

Internett er på vei mot stupet. Skadevoldende programvare er så dominerende at tjenester og kommunikasjon slik det er i dag, snart blir ubrukelig. Det er på høy tid å tenke helt nytt, både på tekniske løsninger og hvor ansvaret skal plasseres.

Continue reading “Internett – for farlig for hvermannsen?”