Noen ferske eksempler på SMiShing

frontpicBegrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden. Les hele innlegget

Mr Robot: en studie i social manipulation

Mr. Robot (2015) poster (bild från imdb.com)

Mr. Robot (2015) poster (bild från imdb.com)

Om du inte har hört om den amerikanske TV serien Mr Robot så rekommenderar jag att du tar en titt på denna! Till skillnad från tidigare TV serier och filmer som försökt skildra hacking (och som oftast får oss som jobbar med säkerhet att himla med ögonen och sucka djupt) så innehåller denna serien en lång rad med realistiska «hacks» som inte bara baserar sig på utnyttjandet av tekniska sårbarheter utan som också på ett smart och trovärdig sätt skildrar så kallad «social manipulation» (eng: social engineering). Serien har hyllats av både amerikanske och norska kritiker. Ryktet säger att till och med medlemmar i Anonymous tycker den är bra gjord.

Mr Robot visas i Sverige just nu och är tillgänglig på SVT Play (för de av oss som befinner oss i Sverige). När serien kommer till Norge vågar jag tyvärr inte säga något om.

Oppdatert: NRK3 sender serien fra 1. mars 2016!

Budbringeren – Hvordan varsle eiere av sårbare systemer?

Picture1

Å bli fortalt at man har sårbare eller kompromitterte systemer kan være utfordrende. Illustrasjon: Colourbox

En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.

Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?  Les hele innlegget

NordSec 2014

Capture NordsecDen 15-17 oktober så arrangeras, för nittonde året i rad, «The Nordic Conference on Security IT Systems (NordSec)» i Tromsø. I år har konferensen fokus på «Security and Privacy for Cloud Computing and Big Data». Årets program innehåller en mix av intressanta presentationer och föreläsningar om allt från sikkerhet og personvern, angrepp och forsvar, nettverkssikkerhet og kryptering.

Program och anmälan finner du här.

Väl mött i Tromsø!

Målrettede angrep: hvordan foregår de egentlig?

1078183_successfulGenerelle malware-baserte angrep som har økonomisk fortjeneste som mål, forekommer mye oftere enn målrettede angrep. Men vellykkede målrettede angrep kan være svært ødeleggende. Et nyere angrep mot RSA sies å ha kostet 66 mill dollar, bare i direkte kostnader. Å kunne beskytte seg mot slike angrep krever en grundig forståelse av hvordan angriperne opptrer. En gruppe forskere i Symantec har dybdeanalysert data fra mer enn 26.000 målrettede angrep oppdaget i 2011. Dette innlegget oppsummerer studien deres og de viktigste resultatene.

Les hele innlegget

Usikkert sommervær, men sikker PC

stylish_sun5

ill: investorsinpeoplescotland. wordpress.com

Ferietider og stort sett fri, men det er mange som likevel ikke er helt offline. Mobiltelefonen er med, kanskje et og annet nettbrett eller en PC, og noen har også med seg jobb-PCen på tur. Med noen enkle forholdsregler kan du unngå mange kjente sikkerhetsproblemer.

Les hele innlegget

Sikkerhet i BPMN-diagrammer

Overordnet BPMN-prosess for sammensatt web-tjeneste Receive order. Se neste figur for hele delprosessen Run composite service.

Mange virksomheter benytter prosessmodeller for å dokumentere, og gjerne optimalisere, interne prosesser. I tillegg til grafiske modeller, kan prosessmodellspråket BPMN (Business Process Model and Language) også automatisk gjøre modellene til kjørbare programmer/tjenester. I slike tilfeller angir man i diagrammet også hvilke web-tjenester som har ansvar for de ulike automatiserte oppgavene i prosessen. Gjennom forskning på datatjenester med innebygd selvforsvar har vi tatt BPMN 2.0 i bruk for å la utvikleren definere hvordan trusler og angrep mot de ulike web-tjenestene man benytter i sammensatte tjenester skal kunne håndteres automatisk og sikkert mens tjenesten fortsatt er i bruk.

Les hele innlegget