En SINTEF delegation till AReS 2012

The famous astronomical Clock in Prague by wave111 / pixelio.de

Den här veckan arrangeras, för sjunde året i rad, “The International Conference on Availability, Reliability and Security (AReS)” i Prag. AReS är en årlig mötesplats för forskare och utvecklare som jobbar med tillgänglighet, pålitlighet och säkerhet i olika typer av IT system.

SINTEF representeras i år av Martin, Per Håkon, Jostein, Åsmund och undertecknad.

Tillit och tilltro i framtidens Internet

Det Internet som vi har vuxit upp med har tidigare mestadels bestått av sammankopplade datorer och människor men blir nu mer och mer mobilt och genom Internet kommer ett stort antal maskiner och objekt kopplas ihop. Mängden data som skickas över nätet kommer explodera och Internet i sitt nuvarande fom kommer varken möjlighet att hantera dessa datamängder eller tillhandahålla den säkerhet, pålitlighet och robusthet som kommer krävas.

Hacket norsk nettside for pårørende til narkomane

Dette var en av overskriftene som lyste mot oss på Aftenpostens nettutgave den 19. Mars. Det viser seg at flere nettsider som bruker webhotelltjenester hos Domeneshop.no har blitt hacket av en ungdomsgruppe. I følge Aftenpostens kilder kan en sårbarhet hos en av webhotellets kunder føre til at andre kunder blir rammet, og at deres informasjon blir kompromittert. Hvor ligger årsaken til dette?

Min oppfatning i saken er at problemet er todelt:

På den ene siden ser vi at det er publisert websider med alvorlige sårbarheter. Aftenposten kontaktet meg i forbindelse med denne saken og viste meg deler av et eksempel på hvordan angriperne har gått fram. Fra det konkrete eksempelet så man at websideleverandøren (kunde av webhotellet) hadde brutt med flere gode praksiser for å unngå å bli hacket:

Vi bidrar til verdenslitteraturen

A Multidisciplinary Introduction to Information Security To nye informasjonssikkerhetsbøker er nettopp kommet på markedet, og vi har bidratt med et kapittel i hver av dem.

“A Multidisciplinary Introduction to Information Security” er redigert av Stig Frode Mjølsnes fra NTNU, og den kan bestilles fra CRC Press. Vårt kapittel heter “A Lightweight Approach to Secure Software Engineering” og er skrevet av Martin Gilje Jaatun, Jostein Jensen, Per Håkon Meland og Inger Anne Tøndel.

Hva er programvaresikkerhet?

I siste nummer av The International Journal of Secure Software Engineering (IJSSE) var undertegnede og Martin Gilje Jaatun gjesteredaktører, og skrev i den forbindelse en introduksjon for å gjøre selve begrepet “software security” noe mer håndgripelig. Bakgrunnen for skrive om nettopp dette er at vi opplever at begrepet ofte benyttes i en veldig vid forstand.

Prototyper: Sikre så lenge de ikke faller i hendene på gale forskere?

I de senere år har vi i flere sammenhenger støtt på tilfeller der programvareprototyper som har vært utviklet i en fei (uten at noen har tenkt så mye på sikkerhet, for “det er jo bare en protoype…”), på mystisk vis likevel plutselig ender opp i det ferdige produktet. Like fullt finnes det store selskaper ute i verden som hardnakket påstår at det er bortkastet å tenke programvaresikkerhet når man lager prototyper, “for de skal jo kastes likevel”.