1 / 22

Sikkerhed og Pervasive Computing

Sikkerhed og Pervasive Computing. Jakob Illeborg Pagter Alexandra Instituttet A/S Center for IT-sikkerhed. Baggrund: Rådet for it-sikkerhed. Rapport præsenteret november 2004. Afsæt i ”Ting der tænker”, 2003 Forskningprojekter EPCiR eu-Domain. Plan.

karim
Download Presentation

Sikkerhed og Pervasive Computing

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sikkerhed og Pervasive Computing Jakob Illeborg Pagter Alexandra Instituttet A/SCenter for IT-sikkerhed

  2. Baggrund: Rådet for it-sikkerhed • Rapport præsenteret november 2004. • Afsæt i ”Ting der tænker”, 2003 • Forskningprojekter • EPCiR • eu-Domain Center for IT-sikkerhed Alexandra Instituttet A/S

  3. Plan • Hvad er it-sikkerhed og pervasive computing • Tematisk gennemgang af cases og eksempler • Fokus på trusler og problemer • Trends Center for IT-sikkerhed Alexandra Instituttet A/S

  4. it-sikkerhed – begreber/temaer • Fortrolighed • Integritet • Tilgængelighed • Privacy • Brugbarhed Center for IT-sikkerhed Alexandra Instituttet A/S

  5. Pervasive Computing – anvendelse • Elektroniske stregkoder • Transport (bropenge, glatførevarsel, ...) • Intelligente hjem og bygninger • Sundhedssektoren • Intelligent tøj • … VitalSense www.future-store.org Center for IT-sikkerhed Alexandra Instituttet A/S

  6. Pervasive Computing – teknologi • Karakteristika • Massiv udbredelse • Massiv kommunikation • Små enheder • Begrænset it-kapacitet • Cpu • Hukommelse • Batteri • Begrænset båndbredde/rækkevidde • Eksempler • Enheder: Pc, pda, smart card, PlayStation, rfid, smart dust, … • Wireless: Bluetooth, wifi, rf, GSM, GPRS, UMTS, … • Software: PalmOS, Web services, OSGi, … Smart Dust, UC Berkeley Center for IT-sikkerhed Alexandra Instituttet A/S

  7. Nye udfordringer • Begrænsede ressourcer • Passer det?! • Ændret brug • Udbredelse (antal brugere, antal enheder) • Fra valgfrit til obligatorisk Center for IT-sikkerhed Alexandra Instituttet A/S

  8. ”Gamle” udfordringer • Malware/intrusion • Social enginering, phishing, passwordsikkerhed, … Center for IT-sikkerhed Alexandra Instituttet A/S

  9. Temaer • Fortrolighed • Integritet • Tilgængelighed • Privacy • Brugbarhed Center for IT-sikkerhed Alexandra Instituttet A/S

  10. Trådløs transmission af helbredsdata Rækkevidde? Knyttet til bestemt person? Datatilsynet: stærk kryptering 128-bit symmetrisk Anerkendt algoritme Passer regler, teknologi og anvendelse sammen? • Blodtryk • Temperatur • Fugt • Bakterieflora • Kompression Fortrolighed: Regler og lovgivning Center for IT-sikkerhed Alexandra Instituttet A/S

  11. Fortrolighed: trådløs kommunikation • Wifi, Bluetooth, Wimax, … • Alt kan aflyttes • Hjemmestrikkede løsninger fejler! • Derfor: • Brug standardløsninger • Slå sikkerheden til Center for IT-sikkerhed Alexandra Instituttet A/S

  12. Integritet: etablering af tillid • Ville du købe en brugt bil af denne mand? • Selvom du kender en person – eller en agents – identitet med sikkerhed • Giver det dig grund til at stole på vedkommende?! • Aktivt forskningsområde Center for IT-sikkerhed Alexandra Instituttet A/S

  13. Integritet: agenter som indgår aftaler…? • Hvilke transaktioner vil du lade en agent gennemføre? • Bestille vin på tilbud • Booke tid til bileftersyn • Købe medicin over nettet • …? • Holder den i retten? billede af Volker Steger Center for IT-sikkerhed Alexandra Instituttet A/S

  14. Integritet: sikker kode på usikre platforme • En realistisk antagelse for mange applikationer er at platformen (den maskine applikationen afvikles på) er kompromitteret • Offentlige/fremmede maskiner, malware, … • Hvad kan vi gøre? • Eksterne hardwareenheder • Fx smart cards • WYSIWYS :( • Specielt konstrueret software (bl.a. vha. såkaldt obfuscation) Center for IT-sikkerhed Alexandra Instituttet A/S

  15. Tilgængelighed • Batteri • IEEE Pervasive Computing, 2005 • Frank Stajano: Sleep deprivation torture • Båndbredde • ~200 sms/s nok til DoS på New York GSM • www.smsanalysis.org • Glemte passwords • Tabte/glemte devices (fx PDA’er) Center for IT-sikkerhed Alexandra Instituttet A/S

  16. Privacy • Enheder som kan lokaliseres, identificeres og potentielt knyttes til brugere • Fx RFID, GSM, WiFi, … • Problemet er teknisk set reelt • Scanning/identifikation • Misbrug af databaser • Kombination (fx målrettet reklame) • Men, hvad er den reelle risiko? Center for IT-sikkerhed Alexandra Instituttet A/S

  17. Privacy • Personlige data kan holdes hemmelige ved hjælp af kryptering, men… • Brugeres og deres adfærd kan spores • Brugere der identificerer sig selv overfor forskellige systemer • Brugere der bærer enheder der identificerer dem selv efter behov • Af og til er dette ønskeligt • Et helt grundlæggende problem • Samme identitet bruges flere gange eller til flere forskellige formål! Center for IT-sikkerhed Alexandra Instituttet A/S

  18. Anonymous credential systems • Pas, kørekort, OCES, etc. har alle det grundlæggende problem fra før • Anonymous credential systems • Man kendes kun ved et “pseudonym” • Man kan vælge hvad der skal vises • Man kan lave flere identiteter, der kan vise hverandres credentials uden risiko for “linking” • Spoleres af protokoller • Bluetooth, GSM, WiFi, etc. sender alle et unikt id Center for IT-sikkerhed Alexandra Instituttet A/S

  19. Hyppigt log-on Personale på sygehus Social engineering Password for et stykke chokolade Phishing Brugbarhed • Digital signatur – forståelse af certifikater Center for IT-sikkerhed Alexandra Instituttet A/S

  20. Brugbarhed – og hvad så… • Hvis brugen ikke er i orden, vælter sikkerhedspolitikken som et korthus • Skift mod • Obligatorisk brug • Konfiguration mv. af ikke-teknikere • Naturlige og forståelige grænseflader • Grænser for hvad der kan opnås med uddannelse af brugerne – systemerne må også forbedres Center for IT-sikkerhed Alexandra Instituttet A/S

  21. Trends • ”Gamle” problemer • Malware • Brug (social engineering, phishing, passwords, …) • Nye problemer • Brug • Usikre platforme • Ukendte kommunikations-”partnere” • Privacy Center for IT-sikkerhed Alexandra Instituttet A/S

  22. Hvis du vil vide mere www.sikkerhed.alexandra.dk Center for IT-sikkerhed Alexandra Instituttet A/S

More Related