Om Erlend Andreas Gjære

Faglige interesser er sikkerhet og brukervennlighet. Følg @erlangsec på Twitter.

Sikkerhet i BPMN-diagrammer

Overordnet BPMN-prosess for sammensatt web-tjeneste Receive order. Se neste figur for hele delprosessen Run composite service.

Mange virksomheter benytter prosessmodeller for å dokumentere, og gjerne optimalisere, interne prosesser. I tillegg til grafiske modeller, kan prosessmodellspråket BPMN (Business Process Model and Language) også automatisk gjøre modellene til kjørbare programmer/tjenester. I slike tilfeller angir man i diagrammet også hvilke web-tjenester som har ansvar for de ulike automatiserte oppgavene i prosessen. Gjennom forskning på datatjenester med innebygd selvforsvar har vi tatt BPMN 2.0 i bruk for å la utvikleren definere hvordan trusler og angrep mot de ulike web-tjenestene man benytter i sammensatte tjenester skal kunne håndteres automatisk og sikkert mens tjenesten fortsatt er i bruk.

Les hele innlegget

Ny og enklere deaktivering av Java i nettlesere

I lys av sårbarheten som har blitt kjent det siste døgnet, som kan gi angripere kontroll over PCen din om du bare besøker en infisert nettside, er det atter på tide å holde seg langt unna Java. Hvis du tenker at du ikke besøker slike nettsider, tar du fort feil siden infeksjonen gjerne kan komme gjennom infiserte annonsenettverk. Heldigvis har deaktivering av Java 7 blitt ganske mye enklere, fra og med en oppdatering av programvaren (patch 10) som kom rett før jul. Her får du se hvordan!

Les hele innlegget

Sikkerhetstrender inn i det kommende året

Som vanlig når det nærmer seg nyttår og nye muligheter, er det en rekke eksperter som skal uttale seg om hva de tror blir viktige trender for det nye året. I sikkerhetsdomenet er det heller ikke mangel på slike eksperter, og så er det vel heller ikke mangel på viktige punkter å ta opp. Her kommer en oversikt over noen av de viktigste punktene, og helt til slutt et par positive ting:

Les hele innlegget

Privacy by Design – innebygd personvern

Nettleseren spør brukeren om lov til å innhente lokasjon på vegne av karttjenesten

Nettleseren spør brukeren om lov til å innhente lokasjon på vegne av karttjenesten. Full funksjonalitet er muliggjort, men personvern er standard og innebygget fra starten av slik at tjenesten fungerer ellers like godt ved manglende samtykke. Datadelingen er gjennomsiktig, og brukerens ønske er respektert.

Personvern er kanskje ikke det man forbinder mest med innovasjon. Noen vil kanskje påstå at krav til personvernhensyn heller hindrer innovasjon, fordi man ikke kan lage så fancy produkter og tjenester som man aller helst vil. Privacy by Design, eller innebygd personvern som man etterhvert kaller det på norsk, kan på mange måter være motsvaret til slik kritikk: I stedet for å marginalisere eller dekke over betydningen av personvern gjennom produktet eller tjenestens tilvirkning, kan vi heller vektlegge innovasjonsmulighetene i å integrere personvern-aspekter tett i hele designprosessen. Jeg skal i dette innlegget presentere syv prinsipper som er foreslått for å gi produkter og tjenester et konkurransemessig fortrinn, basert på den bærekraftige tilliten som godt personvern vil kunne skape, og ikke minst ivareta i det lange løp. I et senere innlegg skal vi dessuten se nærmere på noen erfaringer fra forskningsbasert anvendelse av disse prinsippene, primært fra helse- og velferdsteknologi.

Les hele innlegget

Google Glasses vil se deg (og deg, og deg, og deg)

Googles framtidsvisjon er gjennom briller. (Foto: Google)

Google lanserte denne våren sine egne «briller», den virkelighetsberikende øye- og stemmestyrte prototypen Google Glasses, som kan projisere diverse informasjon rett foran øyet ditt. Dette er alt fra meldinger på mobilen din, til offentlig informasjon basert på stedet du befinner deg og ting du ser på (og gjerne annonser). Dingsen har da selvsagt også både kamera og GPS.

Produktet er både visjonært (beklager ordspillet) og spennende, sett fra et gjennomsnittlig teknogeek-perspektiv. Det skal imidlertid bli interessant å se hvordan folk vil forholde seg til å bli video-beglodd av andre til stadighet, særlig hvis annonsegiganten velger å benytte sin nye altoverspennende personvernpolicy for også dette produktet.

Les hele innlegget

MaaS, MaaS, MaaS over hele linja

Endelig! Nå trenger du ikke kunne noentingsomhelst om data for å utføre et målrettet cyberangrep! Du har kanskje hørt om Software-as-a-Service (SaaS) og Platform-as-a-service (PaaS)? Gjør deg klar for Malware-as-a-Service, som lar deg utføre fjernstyring av andres PCer, via et webgrensesnitt som annenhver bestemor kan forstå. Og prisen er kun $15 for fem ofre, $25 for det dobbelte antallet, osv.

Les hele innlegget

Kakemonster vs. Do Not Track

Selvironisk(?) doodle fra nettsøk-leverandøren

Do Not Track er en policy-standard foreslått for at man kan be pent om å ikke bli sporet på nett. Dette fungerer litt som å reservere seg mot telefonsalg – du kan be om å bli respektert, men det finnes ingen fysiske hindringer for at du ikke fremdeles kan bli oppringt (eller sporet). Nå er det igjen tid for å finne ut hvorvidt enda en personvernteknologi går i bøtta, eller om det faktisk blir enkelt for vanlige folk å beskytte sine surfespor på nettet. I går kom nemlig Microsoft med siste offentlige forhåndsvisning (Release Preview) av sitt nye operativsystem Windows 8, hvor nettleseren Internet Explorer 10 som første nettleser har aktivert Do Not Track som standardinnstilling. Teknologien støttes også av Firefox, men må inntil videre aktiveres manuelt. Les hele innlegget

– Vil spore pasienter med ultralydsender

Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)

Innendørs posisjonering på et sykehus, presentert av en produsent av slike systemer (montasje fra sonitor.com)

Teknisk Ukeblad (tu.no) og forskning.no kunne før helgen presentere et av helseinformatikkprosjektene hvor SINTEF er partner (CoOperation Support Throught Transparency). En av forskningsaktivitetene som omtales her, tar sikte på å registrere hvor både pasienter og sykehusansatte (og utstyr) befinner seg til enhver tid. Hensikten er likevel ikke å overvåke – men derimot å kunne gi den enkelte ansatte et relevant utsnitt av hva som skjer – uten at noen må taste all denne informasjonen inn på en PC manuelt. Ved hjelp av et slikt verktøy skal de ansatte forhåpentligvis kunne koordinere sin egen arbeidshverdag bedre – et system som selv kan forstå hva som skjer, og på denne måten bringe slik informasjon nærmere brukerne. Problemet er bare at slik informasjon kan være sensitiv, siden det dreier seg om helseaktiviteter tilknyttet ekte pasienter.

Les hele innlegget

Pasientinformasjon “på veggen” – balansegang mellom informasjonsbehov og personvern

Som del av prosjektet CO-operation Support Through Transparency deltok Erlend Andreas Gjære med innlegg på HelsIT-konferansen som ble arrangert i Trondheim 27.-29. september. Innlegget var del av workshopen «Hendelsesorienterte arkitekturer og systemer for helsetjenesten», der informasjonssikkerhet utgjør en viktig del av forskningsarbeidet. Les hele innlegget