I høst underviser jeg et nytt fag med den fengende tittelen “DAT250 Informasjons- og programvaresikkerhet” ved Universitetet i Stavanger. Som i fjor vil jeg lage norske sammendrag av utalgte forelesninger og legge ut her. Faget baserer seg delvis på bøkene…
Svart som hatten
Ravi Borgaonkar har nettopp publisert et innlegg på engelsk basert på hans presentasjon av sårbarheter i 5G på BlackHat-konferansen – en norsk versjon kommer om ikke lenge, men de som ikke orker å vente kan lese den engelske versjonen!
Nok en tiltrekkende arbeidsbutikk!
I begynnelsen av juni arrangerte vi nok en gang “International Workshop on Secure Software Engineering in DevOps and Agile Development” (SecSE 2019), denne gang som en del av konferansen Cyber Security i Oxford.
Risiko ved tettere integrasjon i strømnettet
Høsten 2018 utførte vi en risikoanalyse på oppdrag fra NVE, hvor vi så på effekten av en fremtidig tettere integrering mellom AMS, DMS og SCADA-nettverk som brukes til å styre strømnettet. Bakteppet er flere kjente tilfeller av angrep mot SCADA-systemer i energisektoren, fra Stuxnet i 2010 via Dragonfly-kampanjen i 2014, angrepene mot det Ukrainske strømnettet i 2015 og 2016 (hhv. Blackenergy 3 og Industroyer), til Triton-angrepet i Saudi-Arabia i 2017. Alt tyder på at tettere integrasjon er noe som kommer, og at truslene er noe man må ta på alvor.
Epostsikkerhet
Dagens tekst er hentet fra kapittel 19 i Cryptography and Network Security, og handler om sikkerhet i forbindelse med elektronisk post.
Det er to typer protokoller involvert når man sender epost. En type brukes for å sende epost fra kilde til destinasjon over internett; eksempler kan være Simple Mail Transfer Protocol (SMTP) og X.400. Den andre typen brukes for å overføre meldinger mellom klienter og epost-tjenere; her er IMAP og POP de mest vanlige valgene.
Inntrengere
Dagens tekst er hentet fra kapittel 22 i Cryptography and Network Security, og handler om slemme mennesker som prøver å bryte seg inn i intetanende folks datasystemer, og hva vi kan gjøre for å forhindre dette.
Skadevare
Dagens tekst er hentet fra kapittel 21 i Cryptography and Network Security, og handler om skumle ting som du kan bli smittet av på det store, stygge internettet – med andre ord, skadevare (malware).
Internettsikkerhet (IPsec)
Dagens tekst er hentet fra kapittel 20 i Cryptography and Network Security, og handler om sikkerhet på IP-laget.
Sikkerhet uten en tråd
Dagens tekst er hentet fra kapittel 18 i Cryptography and Network Security, og handler om sikkerhet i trådløse nettverk.
Sikkerhet på transportlaget – TLS
Dagens tekst er hentet fra kapittel 17 i Cryptography and Network Security. Dette kapitlet skal se nærmere på hvordan man beskytter informasjon på transportlaget – først og fremst med TLS, men også SSH.
Brukerautentisering
Dagens tekst er hentet fra kapittel 15 i Cryptography and Network Security, og handler om autentisering av brukere som ikke nødvendigvis befinner seg på samme sted som systemet de ønsker å bruke.
Nøkkeldistribusjon og -håndtering
Dagens tekst er hentet fra kapittel 14 i Cryptography and Network Security, og handler om hvordan man håndterer og distribuerer kryptonøkler. Dette er et område som er mer komplekst enn man skulle tro; det er utfordringer rundt kryptografien som skal brukes, protokoller, og administrasjon.
Digitale signaturer
Vi har tidligere sett på meldingsautentisering, men her sliter vi litt med utfordringer relatert til mangel på tillit. Dagens tekst er hentet fra kapittel 13 i Cryptography and Network Security, og handler om digitale signaturer.
Hva er nytt i BSIMM9?
For å feire sikkerhetsmåneden har Synopsys nettopp gitt ut siste versjon av BSIMM-rapporten – vi er nå oppe i BSIMM9.
Kryptografiske hash-funksjoner
Dagens tekst er hentet fra kapittel 11 i Cryptography and Network Security, og handler om kryptografiske hash-funksjoner.
Kryptografi og nettverkssikkerhet (Kapittel 10: Andre offentlige nøkler)
Dagens tekst er hentet fra kapittel 10 i Cryptography and Network Security, og handler om andre algoritmer for offentlig-nøkkel-kryptografi, som Diffie-Hellman og elliptiske kurver.
Kryptografi og nettverkssikkerhet (Kapittel 9: Offentlige nøkler og RSA)
Dagens tekst er hentet fra kapittel 9 i Cryptography and Network Security, og handler om offentlig-nøkkel-kryptografi generelt og RSA-algoritmen spesielt.
Kryptografi og nettverkssikkerhet (Kapittel 7: Blokkoperasjoner)
Dagens tekst er hentet fra kapittel 7 i Cryptography and Network Security. Dette kapitlet skal se nærmere på hvordan man bruker blokkchiffre i praksis.
Kryptografi og nettverkssikkerhet (Kapittel 6: AES)
Dagens tekst er hentet fra kapittel 6 i Cryptography and Network Security. Advanced Encryption Standard er arvtakeren til DES, og algoritmen Rijndael gikk seirende ut av NISTs AES-konkurranse ved årtusenskiftet.
Kryptografi og nettverkssikkerhet (Kapittel 4: Moderne teknikker)
Dagens tekst er hentet fra kapittel 4 i Cryptography and Network Security. Dette kapitlet skal se nærmere på moderne blokk-chiffre, som er av de mest brukte kryptografiske algoritmene for hemmelighold og autentisering. Som et konkret eksempel vil vi studere DES-algoritmen for å illustrere designprinsipper for blokkchiffer.