Sikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder?

Transkript

1 Sikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder? Jakob Illeborg Pagter Alexandra Instituttet A/S

2 Baggrund Rapport udarbejdet for Rådet for it-sikkerhed Afsæt i Ting der tænker, 2003 Forskningprojekter EPCiR eu-domain B&O-lab GoalRef SCET/SIMAP Alexandra Instituttet A/S 2

3 Plan Hvad er it-sikkerhed og pervasive computing Tematisk gennemgang af cases og eksempler Fokus på trusler og problemer Trends Alexandra Instituttet A/S 3

4 it-sikkerhed begreber/temaer Fortrolighed Integritet Tilgængelighed Privacy Autentifikation Brugbarhed Alexandra Instituttet A/S 4

5 Pervasive Computing anvendelse Elektroniske stregkoder Transport (bropenge, glatførevarsel,...) Intelligente hjem og bygninger Sundhedssektoren Intelligent tøj VitalSense Alexandra Instituttet A/S 5

6 Pervasive Computing teknologi Karakteristika Massiv udbredelse Massiv kommunikation Små enheder Begrænset it-kapacitet Cpu Hukommelse Batteri Begrænset båndbredde/rækkevidde Eksempler Enheder: Pc, pda, smart card, PlayStation, rfid, smart dust, Wireless: Bluetooth, wifi, rf, GSM, GPRS, UMTS, Software: PalmOS, Web services, OSGi, Smart Dust, UC Berkeley Alexandra Instituttet A/S 6

7 Nye udfordringer Begrænsede ressourcer Passer det?! Ændret brug Udbredelse (antal brugere, antal enheder) Fra valgfrit til obligatorisk Ad-hoc netværk Ofte mangel på central server (passer det?) Alexandra Instituttet A/S 7

8 Gamle trusler Malware/intrusion Social enginering, phishing, passwordsikkerhed, Alexandra Instituttet A/S 8

9 Temaer Fortrolighed Tilgængelighed Autentifikation Privacy Brugbarhed Alexandra Instituttet A/S 9

10 Fortrolighed: trådløs kommunikation Mobiltelefoni, Wifi, Bluetooth, Wimax, Alt kan aflyttes Hjemmestrikkede løsninger fejler! WiFi GSM Derfor: Brug standardløsninger Slå sikkerheden til Den reelle udfordring er nøgleudveklsingen! Alexandra Instituttet A/S 10

11 Digitale kvitteringer Bibliotekssagen (ifølge Peter Blume) Krav om kryptering da der er tale om følsomme personoplysninger Normalt: Informeret samtykke Uholdbart: Brugere kan/bør ikke give samtykke til mindre sikkerhed fordi det er uoverskueligt Løsning minus kryptering de næste 5 år så håber man at det er realistisk Hvad er det abstrakte problem? Persondataloven Praktisk it anvendelse Er 5 år realistisk? Alexandra Instituttet A/S 11

12 Tilgængelighed Batteri IEEE Pervasive Computing, 2005 Frank Stajano: Sleep deprivation torture Båndbredde ~200 sms/s nok til DoS på New York GSM Tabte/glemte devices (fx PDA er) Analyse Alexandra Instituttet A/S 12

13 Autentifikation i ad-hoc-netværk Printer i lufthavn Ressurecting Duckling Security Policy Secure Transient Association Two states Imprinted Imprintable Imprinting Side channel Death The Assassination Principle Tamper Resistance Alexandra Instituttet A/S 13

14 Privacy Enheder som kan lokaliseres, identificeres og potentielt knyttes til brugere Fx RFID, GSM, WiFi, Problemet er teknisk set reelt Scanning/identifikation Misbrug af databaser Kombination (fx målrettet reklame) Men, hvad er den reelle risiko? Alexandra Instituttet A/S 14

15 Brugbarhed Hyppigt log-on Personale på sygehus Social engineering Password for et stykke chokolade Phishing Digital signatur forståelse af certifikater Alexandra Instituttet A/S 15

16 Trends Gamle problemer Malware Brug (social engineering, phishing, passwords, ) Nye problemer Brug Autentifikation Privacy (Lovgivning) Alexandra Instituttet A/S 16

17 Hvis du vil vide mere Alexandra Instituttet A/S 17