Risiko og programvaresikkerhet

Risiko er noe vi må leve med, men dessverre er det også noe de fleste av oss er veldig dårlige til å vurdere. En vanlig måte å beregne risiko på er å multiplisere konsekvensen av en hendelse med sannsynligheten for at den sal oppstå. Man illustrerer dette gjerne i en risikomatrise, der sannsynlighet er en akse, og konsekvens er den andre. I World Economic Forums risikorapport for 2019 finner vi cyberangrep langt opp til høyre i matrisen, kun slått av klimaendringer, ekstremvær og naturkatastrofer (som for meg egentlig høres ut til å være det samme).

Les hele innlegget

Den som tror han er ferdig utlært er ikke utlært, men ferdig

I høst underviser jeg et nytt fag med den fengende tittelen “DAT250 Informasjons- og programvaresikkerhet” ved Universitetet i Stavanger. Som i fjor vil jeg lage norske sammendrag av utalgte forelesninger og legge ut her.

Faget baserer seg delvis på bøkene Software Security av Gary McGraw, Security Engineering av Ross Anderson, og OWASP Testing guide – men jeg kommer til å trekke inn diverse annet stoff ved behov.

Epostsikkerhet

Dagens tekst er hentet fra kapittel 19 i Cryptography and Network Security, og handler om sikkerhet i forbindelse med elektronisk post.

Det er to typer protokoller involvert når man sender epost. En type brukes for å sende epost fra kilde til destinasjon over internett; eksempler kan være Simple Mail Transfer Protocol (SMTP) og X.400. Den andre typen brukes for å overføre meldinger mellom klienter og epost-tjenere; her er IMAP og POP de mest vanlige valgene. Les hele innlegget

Kryptografi og nettverkssikkerhet (Kapittel 4: Moderne teknikker)

Dagens tekst er hentet fra kapittel 4 i Cryptography and Network Security. Dette kapitlet skal se nærmere på moderne blokk-chiffre, som er av de mest brukte kryptografiske algoritmene for hemmelighold og autentisering. Som et konkret eksempel vil vi studere DES-algoritmen for å illustrere designprinsipper for blokkchiffer.

Les hele innlegget

Kryptografi og nettverkssikkerhet (Kapittel 1: Sikkerhetskonsepter)

Dagens tekst er hentet fra kapittel 1 i Cryptography and Network Security.

Kryptografiske algoritmer og protokoller kan deles inn i fire hovedområder:

  • Symmetrisk kryptering
    • Brukes for skjuling av store og små mengder data; meldinger, dokumenter, krypteringsnøkler og passord
  • Asymmetrisk kryptering
    • Brukes for å skjule små mengder data, som krypteringsnøkler og hasher som brukes i digitale signaturer
  • Integritetsalgoritmer
    • Brukes for å beskytte datablokker mot uautorisert endring
  • Autentiseringsprotokoller
    • Mekanismer som ved hjelp av kryptografiske algoritmer verifiserer identiteten til brukere og prosesser

Les hele innlegget

Kryptografi og nettverkssikkerhet (Intro)

I høst skal jeg forelese faget “Sikkerhet og sårbarhet i nettverk” ved Universitetet i Stavanger. Kurset er basert på William Stallings’ velkjente bok (se illustrasjon), som jeg har brukt i tidligere kurs – men det var noen utgaver siden…

Som et ledd i mine egne forberedelser, skal jeg prøve å skrive noen korte sammendrag av hver forelesning her på bloggen – håper det kan være av interesse for noen. Les hele innlegget