When the going gets tough, the tough go to the pub

Vi innleder juni med en Hacker’s Pub i samarbeid med Dataforeningen på Work-Work. Temaet er «Mobile applications and security», og vi fører an med innlegget «Static Analysis Tools for analysing Security in Mobile Applications», presentert av vår post doc. Tosin Oyetoyan og gjesteforsker Marcos Chaim fra Brasil.

Les hele innlegget

Sløyfer og slips i ROS analyser

De fleste av dere er allerede godt kjent med risiko og sårbarhetsanalyser (ROS analyse). I dag beskriver vi et verktøy som ofte brukes for risiko og sårbarhetsanalyse innen samfunnssikkerhet, og ser på hvordan den samme metoden kan brukes fra et informasjonssikkerhetsperspektiv.

Les hele innlegget

Foredrag om pacemakerhacking

Artikkelforfatteren Marie Moe, med en pacemaker lik den hun har implantert i sin egen kropp i hånden

Det er nå nesten nøyaktig ett år siden jeg holdt det første foredraget om sikkerhet i min personlige kritiske infrastruktur, en implantert pacemaker som genererer hvert eneste hjerteslag og holder meg i live. Jeg ble invitert av hack.lu som en «keynote» foredragsholder for å snakke om hvordan det var for en sikkerhetsforsker å leve med hardware og software inne i kroppen, og samtidig være klar over alle sikkerhetsutfordringene dette kan medføre.

Les hele innlegget

Kan forsikringsbransjen gjøre nettet tryggere?

17121703798_63f339f34a_o

(Pictures of Money | Flickr | Creative Commons Attribution 2.0 Generic)

Kryptovirus, datainnbrudd og informasjonslekkasjer preger mediebildet og vi føler oss eksponert og sårbare på grunn av vår avhengighet av internett som kritisk infrastruktur. Bedrifter kan velge å forsikre seg mot konsekvensene av hacking ved å kjøpe cyberforsikring. Men, hvordan kan forsikringsbransjen bidra til å gjøre nettet til et tryggere sted, om man ser på dette i et samfunnsperspektiv?

Les hele innlegget

Noen ferske eksempler på SMiShing

frontpicBegrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden. Les hele innlegget

Sårbarhetsrapporten: høringsuttalelse fra SINTEF

20151130 nou-forsideSINTEF har utarbeidet en høringsuttalelse til NOU 2015:13 Digital sårbarhet – sikkert samfunn. Vi anbefaler at det framskaffes mer kompetanse innenfor IKT-sikkerhet, både som eget område samt integrert med spesifikke sektorer. Ikke minst må IKT-sikkerhet på tvers av sektorer styrkes. Dessuten må IKT-sikkerhet inkluderes i alle IKT-utdanninger og ikke bare være et frittstående utdanningsløp.

Les hele innlegget

Sikkerhet i det medisinske IoT

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern, også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

Faksimile fra Dagens Nærlingsliv Magasinet 08.01.16 - Foto: Maxim Sergienko

Faksimile fra Dagens Næringsliv Magasinet 08.01.16 – Foto: Maxim Sergienko

Dette er en veldig aktuell problemstilling for helsesektoren, hvor livskritiske systemer og systemer som inneholder sensitiv pasientinfo i økende grad kobles opp mot Internett. Den siste uken har det vært flere nyhetsoppslag om sykehus som har blitt hardt rammet av løsepengevirus og måttet betale kriminelle for å få tilgang til sine kritiske systemer for håndtering av pasientinformasjon.

Les hele innlegget

Mr Robot: en studie i social manipulation

Mr. Robot (2015) poster (bild från imdb.com)

Mr. Robot (2015) poster (bild från imdb.com)

Om du inte har hört om den amerikanske TV serien Mr Robot så rekommenderar jag att du tar en titt på denna! Till skillnad från tidigare TV serier och filmer som försökt skildra hacking (och som oftast får oss som jobbar med säkerhet att himla med ögonen och sucka djupt) så innehåller denna serien en lång rad med realistiska «hacks» som inte bara baserar sig på utnyttjandet av tekniska sårbarheter utan som också på ett smart och trovärdig sätt skildrar så kallad «social manipulation» (eng: social engineering). Serien har hyllats av både amerikanske och norska kritiker. Ryktet säger att till och med medlemmar i Anonymous tycker den är bra gjord.

Mr Robot visas i Sverige just nu och är tillgänglig på SVT Play (för de av oss som befinner oss i Sverige). När serien kommer till Norge vågar jag tyvärr inte säga något om.

Oppdatert: NRK3 sender serien fra 1. mars 2016!

Med hjertet på Internett – Hacking av medisinske implantat

For fire år siden kom jeg til meg selv liggende på gulvet uten å huske at jeg besvimte og falt. Det viste seg at det var hjertet mitt som hadde tatt seg en liten pause. 8-10 sekunder uten puls er nok til at man mister bevisstheten. Hjertet mitt startet å slå igjen av seg selv, men med en veldig lav og uregelmessig puls. hack.lu logo

Heldigvis var det en enkel løsning på dette problemet, en pacemaker som overvåker hvert hjerteslag og som sender et lite elektrisk signal direkte til hjertet via en elektrode i tilfelle det ikke slår av seg selv.

Som sikkerhetsforsker er jeg selvfølgelig opptatt av mulighetene for hacking av denne for meg livskritiske maskinen, noe jeg har blitt invitert til å holde et keynote foredrag om på konferansen hack.lu i Luxembourg.

Les hele innlegget

Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger. Les hele innlegget

Dypdykk i BSIMM del 10 – Penetration Testing

penetrationI vår modenhetsstudie av programvaresikkerhet i offentlige virksomheter pekte penetreringstesting seg ut som en aktivitet som generelt sett ikke gjøres som en del av utviklingen – dette er overraskende når man tenker på hvor mange verktøy som er fritt tilgjengelige. Noen kunne hevde at den jevne utvikler ikke har tilstrekkelig kompetanse til å drive penetreringstesting, men vårt svar er at da er det på tide at de lærer seg noen nye triks! Les hele innlegget

Budbringeren – Hvordan varsle eiere av sårbare systemer?

Picture1

Å bli fortalt at man har sårbare eller kompromitterte systemer kan være utfordrende. Illustrasjon: Colourbox

En sikkerhetsforsker oppdager kritiske sårbarheter i en komponent som brukes i kritisk infrastruktur rundt omkring i hele verden, skanner Internett og ender opp med en liste av IP-adresser som tilhører sårbare og potensielt kompromitterte systemer.

Hvordan skal sikkerhetsforskeren nå gå videre med denne informasjonen slik at den når frem til systemeier?  Les hele innlegget

The Honeynet Project Workshop

Screen Shot 2015-05-21 at 16.45.57Denne uken gikk den internasjonale konferansen The Honeynet Project Workshop av stabelen i Stavanger. Jeg var så heldig å bli invitert til å holde et foredrag om hendelseshåndtering i en sesjon som kun besto av kvinnelige foredragsholdere!

Mitt foredrag baserte seg på erfaringer fra NSM NorCERT med deteksjon, varsling og håndtering av digital spionasje. Hva er truslene og hvordan skal virksomheter være forberedt på at dette kan ramme dem? Presentasjonen er tilgjengelig på slideshare.

The Honeynet Project er en frivillig organisasjon som jobber for å gjøre Internett til et tryggere sted ved å utvikle gratis verktøy som kan brukes til å studere teknikker og metoder brukt av «black hat»-hackere. Denne kunnskapen er verdifull når man skal beskytte systemer mot angrep.

Les hele innlegget

NordSec 2014

Capture NordsecDen 15-17 oktober så arrangeras, för nittonde året i rad, «The Nordic Conference on Security IT Systems (NordSec)» i Tromsø. I år har konferensen fokus på «Security and Privacy for Cloud Computing and Big Data». Årets program innehåller en mix av intressanta presentationer och föreläsningar om allt från sikkerhet og personvern, angrepp och forsvar, nettverkssikkerhet og kryptering.

Program och anmälan finner du här.

Väl mött i Tromsø!

«Privilege escalation»-sårbarhet i Dropbox

dropboxDropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her. Les hele innlegget

Med madrassen full av Bitcoins

PengebingeBitcoin er en form for digital verdensvaluata som har økt mye i popularitet og omtale den siste tiden. Selv om Bitcoin ikke er bundet til noen bestemt nasjonal valuta eller andre verdier, har den nok tiltro til at man kan bruke den til å betale for ekte ting i den virkelige verden. Bitcoin har derfor en reell verdi i seg selv, og dermed vil det alltids være noen som prøver å skaffe seg slike på uærlig vis. Les hele innlegget

Etisk hacking – hvor langt kan man gå?

Det er mange som hevder at angrep er det beste forsvar, så også når det gjelder informasjonssikkerhet. Penetrasjonstesting har etterhvert blitt en anerkjent og mye brukt praksis for å teste sikkerhetsnivået i datasystemer. Bedrifter leier inn ekspertise fra sikkerhetsfirmaer som får tillatelse til å hamre løs på bedriftsnettverkene med mer og mindre sofistikerte verktøy i håp om å finne sikkerhetshull og systemsvakheter – forhåpentligvis før de svarthattede, ondsinnede trenger seg inn. I denne prosessen lurer jeg imidlertid på hvor langt man kan gå. Når brytes grensen for hva som er etisk forsvarlig sikkerhetstesting?

Les hele innlegget