Dagens tekst er hentet fra kapittel 5 i Cryptography and Network Security.
Kryptografi og nettverkssikkerhet (Kapittel 2: Tallteori)
Dagens tekst er hentet fra kapittel 2 i Cryptography and Network Security.
Ber på forhånd om unnskylding til eventuelle matematikere som leser bloggen for misbruk av “norske” matematiske termer…
Høstens sikkerhets-“Helt-OK”-møte i Trondheim nærmer seg!
Onsdag 12/9 braker det løs igjen med et nytt fellesmøte mellom ISF, Dataforeningen og ISACA – og nå er også CSA kommet med på arrangørsida.
Kryptografi og nettverkssikkerhet (Kapittel 1: Sikkerhetskonsepter)
Dagens tekst er hentet fra kapittel 1 i Cryptography and Network Security.
Kryptografiske algoritmer og protokoller kan deles inn i fire hovedområder:
- Symmetrisk kryptering
- Brukes for skjuling av store og små mengder data; meldinger, dokumenter, krypteringsnøkler og passord
- Asymmetrisk kryptering
- Brukes for å skjule små mengder data, som krypteringsnøkler og hasher som brukes i digitale signaturer
- Integritetsalgoritmer
- Brukes for å beskytte datablokker mot uautorisert endring
- Autentiseringsprotokoller
- Mekanismer som ved hjelp av kryptografiske algoritmer verifiserer identiteten til brukere og prosesser
Kryptografi og nettverkssikkerhet (Intro)
I høst skal jeg forelese faget “Sikkerhet og sårbarhet i nettverk” ved Universitetet i Stavanger. Kurset er basert på William Stallings’ velkjente bok (se illustrasjon), som jeg har brukt i tidligere kurs – men det var noen utgaver siden…
Som et ledd i mine egne forberedelser, skal jeg prøve å skrive noen korte sammendrag av hver forelesning her på bloggen – håper det kan være av interesse for noen.
Lukk opp din hjertedør – om sensitive opplysninger i lukkede facebook-grupper
I vår viste NRK hvor lett det var å kartlegge livet til en enkeltperson gjennom å samle opplysninger fra åpne kilder på Internett. Vi var ikke overrasket over resultatet, som det også sto i saken på nrk.no, da man som enkeltperson lett mister oversikten over totalbildet når man deler litt her og litt der over tid. Og åpne kilder er naturlig nok tilgjengelig for hvem som helst. Men hva med nettsider og tjenester som ikke er åpne? Som krever medlemskap og dermed innlogging, og derfor ikke er åpent tilgjengelig for alle? Er det tryggere å dele mye informasjon i slike lukkede fora? Er det risikofritt? Eller kan det også gi uheldige konsekvenser for den enkelte, som det kan være enda vanskeligere å forholde seg til?
Sikkerhet er mulig!
Det er bra at den jevne nordmann blir mer sikkerhetsbevisst, men samtidig merker vi at paranoiaen kommer snikende, representert ved et tilfeldig utvalg brannfakler:
Trusselmodellering
Hva er trusselmodellering? Hva mener vi med angrepsflate? Hvor kommer tillit inn i bildet? Og hva har et bilde fra en utenlandsk fotgjengerovergang med saken å gjøre? Fortvil ei, svarene følger!
OWASP top 10 – bryr oppstartsbedrifter seg?
Denne uken har jeg vært i Glasgow på konferansen Cyber Security 2018, hvor Halldis Søhoel har presentert sin masteroppgave
OWASP top ten – What is the state of practice among start-ups?
Informasjonssikkerhet for nettbransjen
Lille julaften 2015 svartnet det bokstavelig talt for mange ukrainere. Nærmere en kvart million var plutselig uten strøm, og mange fikk ikke strømmen tilbake på seks timer eller mer. Selv i et land hvor oppvarming hovedsakelig skjer med gass, er det ikke særlig trivelig å være strømløs midt på vinteren.
Nytt sikkerhetstoppmøte i Trondheim
Tradisjonen tro arrangerer ISACA, ISF og DND et felles medlemsmøte hos SINTEF Digital i Trondheim 8. november. Sikkerhetsmåneden er over, men sikkerhetstruslene lurker der ute like fullt!
Temamøte om ikke-funksjonelle krav
Sammen med kolleger fra SINTEF arrangerte vi 26/9 et temamøte med det klingende navnet “Ikke-funksjonelle krav i smidige prosjekter” hos KnowIt i Oslo. Møtet hadde deltakere fra bedrifter som deltar i forskjellige forskningsprosjekter med SINTEF Digital i Trondheim, og fokuset var på sikkerhet (security), trygghet (safety) og skalerbarhet (scalability).
Årets sikkerhetsmåned blir en lek!
Vi synes at alle burde få muligheten til å lære å spille Protection Poker, så vårt bidrag til Sikkerhetsmåneden er å tilby kurs.
Siden dette er en nasjonal dugnad, koster det bare 1000 kroner som går uavkortet til utvikling av Sikkerhetsmåneden.
Vi innleder bokhøsten
Om ikke lenge vil vår nye bok “Empirical Research for Software Security: Foundations and Experience” være å finne i velassorterte bokhandler verden over (vel… i hvert fall på internett….).
STOP-IT – sikkerhet i vannbransjen
1. juni startet H2020-prosjektet STOP-IT (Strategic, Tactical, Operational Protection of water Infrastructure against cyber-physical Threats). Dette er en såkalt Innovation Action i H2020-programmet Secure Societies, og skal sette sammen både eksisterende prototyper og nyere teknologi, prosedyrer og metoder for å…
When the going gets tough, the tough go to the pub
Vi innleder juni med en Hacker’s Pub i samarbeid med Dataforeningen på Work-Work. Temaet er “Mobile applications and security”, og vi fører an med innlegget “Static Analysis Tools for analysing Security in Mobile Applications”, presentert av vår post doc. Tosin Oyetoyan og gjesteforsker Marcos Chaim fra Brasil.
7 trykkpunkter for programvaresikkerhet
Programvaresikkerhet er nødvendig for all programvare! Imidlertid må vi innse at sannsynligheten er liten for at alle utviklere skal hive seg på alle de 113 aktivitetene i BSIMM på en gang. Hvor kan man da begynne? Gary McGraw lanserte for over 10 år siden en samling med god praksis for programvaresikkerhet som kanskje kan være et godt utgangspunkt.
Vil du ha gratis penger?
Fullt så enkelt er det ikke, men det europeiske forskningsprogrammet Horizon2020 utlyser forskningsmidler for millioner av Euro i høst, og det er gode muligheter for norske små og mellomstore virksomheter. Fredag 24/3 arrangerer vi en idé-workshop spesielt rettet mot høstens utlysning relatert til beskyttelse av kritisk infrastruktur innenfor områdene Finans, Kommunikasjon og Helse.
DevOps og/eller sikkerhet?
Første gang jeg hørt uttrykket “DevOps” var i en samtale med Gary McGraw under AReS-konferansen i Wien i 2011 – jeg tenkte ikke mye over det da, men i de siste par årene virker det som om DevOps har klatret til toppen av hype-syklusen, og det dukker opp over alt.
Trusselmodellering og hasardspill
Neste uke holder vi kurs i trusselmodellering ved hjelp av dataflytdiagrammer og angrepstrær i regi av PROFES-konferansen i Trondheim, og runder av det hele med litt Protection Poker.