220 likes | 477 Views
Sikkerhed og Pervasive Computing. Jakob Illeborg Pagter Alexandra Instituttet A/S Center for IT-sikkerhed. Baggrund: Rådet for it-sikkerhed. Rapport præsenteret november 2004. Afsæt i ”Ting der tænker”, 2003 Forskningprojekter EPCiR eu-Domain. Plan.
E N D
Sikkerhed og Pervasive Computing Jakob Illeborg Pagter Alexandra Instituttet A/SCenter for IT-sikkerhed
Baggrund: Rådet for it-sikkerhed • Rapport præsenteret november 2004. • Afsæt i ”Ting der tænker”, 2003 • Forskningprojekter • EPCiR • eu-Domain Center for IT-sikkerhed Alexandra Instituttet A/S
Plan • Hvad er it-sikkerhed og pervasive computing • Tematisk gennemgang af cases og eksempler • Fokus på trusler og problemer • Trends Center for IT-sikkerhed Alexandra Instituttet A/S
it-sikkerhed – begreber/temaer • Fortrolighed • Integritet • Tilgængelighed • Privacy • Brugbarhed Center for IT-sikkerhed Alexandra Instituttet A/S
Pervasive Computing – anvendelse • Elektroniske stregkoder • Transport (bropenge, glatførevarsel, ...) • Intelligente hjem og bygninger • Sundhedssektoren • Intelligent tøj • … VitalSense www.future-store.org Center for IT-sikkerhed Alexandra Instituttet A/S
Pervasive Computing – teknologi • Karakteristika • Massiv udbredelse • Massiv kommunikation • Små enheder • Begrænset it-kapacitet • Cpu • Hukommelse • Batteri • Begrænset båndbredde/rækkevidde • Eksempler • Enheder: Pc, pda, smart card, PlayStation, rfid, smart dust, … • Wireless: Bluetooth, wifi, rf, GSM, GPRS, UMTS, … • Software: PalmOS, Web services, OSGi, … Smart Dust, UC Berkeley Center for IT-sikkerhed Alexandra Instituttet A/S
Nye udfordringer • Begrænsede ressourcer • Passer det?! • Ændret brug • Udbredelse (antal brugere, antal enheder) • Fra valgfrit til obligatorisk Center for IT-sikkerhed Alexandra Instituttet A/S
”Gamle” udfordringer • Malware/intrusion • Social enginering, phishing, passwordsikkerhed, … Center for IT-sikkerhed Alexandra Instituttet A/S
Temaer • Fortrolighed • Integritet • Tilgængelighed • Privacy • Brugbarhed Center for IT-sikkerhed Alexandra Instituttet A/S
Trådløs transmission af helbredsdata Rækkevidde? Knyttet til bestemt person? Datatilsynet: stærk kryptering 128-bit symmetrisk Anerkendt algoritme Passer regler, teknologi og anvendelse sammen? • Blodtryk • Temperatur • Fugt • Bakterieflora • Kompression Fortrolighed: Regler og lovgivning Center for IT-sikkerhed Alexandra Instituttet A/S
Fortrolighed: trådløs kommunikation • Wifi, Bluetooth, Wimax, … • Alt kan aflyttes • Hjemmestrikkede løsninger fejler! • Derfor: • Brug standardløsninger • Slå sikkerheden til Center for IT-sikkerhed Alexandra Instituttet A/S
Integritet: etablering af tillid • Ville du købe en brugt bil af denne mand? • Selvom du kender en person – eller en agents – identitet med sikkerhed • Giver det dig grund til at stole på vedkommende?! • Aktivt forskningsområde Center for IT-sikkerhed Alexandra Instituttet A/S
Integritet: agenter som indgår aftaler…? • Hvilke transaktioner vil du lade en agent gennemføre? • Bestille vin på tilbud • Booke tid til bileftersyn • Købe medicin over nettet • …? • Holder den i retten? billede af Volker Steger Center for IT-sikkerhed Alexandra Instituttet A/S
Integritet: sikker kode på usikre platforme • En realistisk antagelse for mange applikationer er at platformen (den maskine applikationen afvikles på) er kompromitteret • Offentlige/fremmede maskiner, malware, … • Hvad kan vi gøre? • Eksterne hardwareenheder • Fx smart cards • WYSIWYS :( • Specielt konstrueret software (bl.a. vha. såkaldt obfuscation) Center for IT-sikkerhed Alexandra Instituttet A/S
Tilgængelighed • Batteri • IEEE Pervasive Computing, 2005 • Frank Stajano: Sleep deprivation torture • Båndbredde • ~200 sms/s nok til DoS på New York GSM • www.smsanalysis.org • Glemte passwords • Tabte/glemte devices (fx PDA’er) Center for IT-sikkerhed Alexandra Instituttet A/S
Privacy • Enheder som kan lokaliseres, identificeres og potentielt knyttes til brugere • Fx RFID, GSM, WiFi, … • Problemet er teknisk set reelt • Scanning/identifikation • Misbrug af databaser • Kombination (fx målrettet reklame) • Men, hvad er den reelle risiko? Center for IT-sikkerhed Alexandra Instituttet A/S
Privacy • Personlige data kan holdes hemmelige ved hjælp af kryptering, men… • Brugeres og deres adfærd kan spores • Brugere der identificerer sig selv overfor forskellige systemer • Brugere der bærer enheder der identificerer dem selv efter behov • Af og til er dette ønskeligt • Et helt grundlæggende problem • Samme identitet bruges flere gange eller til flere forskellige formål! Center for IT-sikkerhed Alexandra Instituttet A/S
Anonymous credential systems • Pas, kørekort, OCES, etc. har alle det grundlæggende problem fra før • Anonymous credential systems • Man kendes kun ved et “pseudonym” • Man kan vælge hvad der skal vises • Man kan lave flere identiteter, der kan vise hverandres credentials uden risiko for “linking” • Spoleres af protokoller • Bluetooth, GSM, WiFi, etc. sender alle et unikt id Center for IT-sikkerhed Alexandra Instituttet A/S
Hyppigt log-on Personale på sygehus Social engineering Password for et stykke chokolade Phishing Brugbarhed • Digital signatur – forståelse af certifikater Center for IT-sikkerhed Alexandra Instituttet A/S
Brugbarhed – og hvad så… • Hvis brugen ikke er i orden, vælter sikkerhedspolitikken som et korthus • Skift mod • Obligatorisk brug • Konfiguration mv. af ikke-teknikere • Naturlige og forståelige grænseflader • Grænser for hvad der kan opnås med uddannelse af brugerne – systemerne må også forbedres Center for IT-sikkerhed Alexandra Instituttet A/S
Trends • ”Gamle” problemer • Malware • Brug (social engineering, phishing, passwords, …) • Nye problemer • Brug • Usikre platforme • Ukendte kommunikations-”partnere” • Privacy Center for IT-sikkerhed Alexandra Instituttet A/S
Hvis du vil vide mere www.sikkerhed.alexandra.dk Center for IT-sikkerhed Alexandra Instituttet A/S