Säkra system. En profil om säkerhet och programvara. Profilansvarig: Nahid Shahmehri

Relevanta dokument
Säkra system. En profil om säkerhet och programvara. Profilansvarig: Nahid Shahmehri

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Computer Science, masterprogram

Datateknik GR (A), IT-forensik, 7,5 hp

SÄKRA DIN VERKSAMHET OAVSETT VAR DEN TAR DIG. Protection Service for Business

GIT L0002B INTRODUKTION TILL PROGRAMMERING OCH C# Information inför kursstart

Prova på-laboration i PHP Johan Sjöholm johsj@ida.liu.se Institutionen för datavetenskap, Linköpings universitet

TDDD80 Mobila och sociala applika1oner. Kursintroduk1on

Programinformation för Webb, internet och programvaruteknik, 120 högskolepoäng

Utbildningsplan för. International Software Engineering, 180 högskolepoäng

30 år av erfarenhet och branschexperts

Automatiserade testsystem

Krypteringteknologier. Sidorna ( ) i boken

Att välja kurser på Datateknik år 4-5

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA)

Filosofie kandidatexamen med huvudområdet datavetenskap. Degree of Bachelor of Science with a major in Computer Science Grundnivå

F6 Exchange EC Utbildning AB

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB

1DV405 - Databasteknik. Kursintroduktion. Så här är kursen planerad.

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Svensk version. Inledning. Installation av maskinvara. Installation av Windows XP. LW057V2 Sweex trådlösa LAN PCI-kort 54 Mbps

Designmönster - EMW. Kent Petersson epost1: kentp@cs.chalmers.se epost2: kent.petersson@emw.ericsson.se URL:

Innehållsförteckning Sida 3 Om IT-Högskolan Sida 4-5.NET-utvecklare Sida 6-7 Applikationsutvecklare till iphone och Android Sida 8-9 Mjukvarutestare

Tentamen SSY 065, onsdag 17/12, 08:30-12:30, H. Lärare: Petter Falkman, (772) 3723 Tider för lärarens närvaro: 09:30, 11:00

Programmering och digital kompetens

Peter Ottosson 31/ Introduktionskurs i datateknik II1310

Programinformation för. Masterprogram i Software Engineering, 120 högskolepoäng

Programinformation för. Webbprogrammering, 180 högskolepoäng. (Web Programming, 180 ECTS credits)

GIT L0003B. Databaser, en introduktion. Information inför kursstart

Utbildningsplan för. Software Engineering, 180 högskolepoäng

Lotta Carlberg, workitsimple Alla rättigheter reserverade

Kursens mål. Databasteknik TDDB48. Lärare. Kursorganisation. Laborationsinformation. Inlämning av laborationer. Responsible:

Tekniskt system för Lean Startup

1DV423 Databas med Administration

Svar på tekfak-remissen inför 2018

Programinformation för. Webb, internet och programvaruteknik, 180 högskolepoäng

1DV405 - Databasteknik. Kursintroduktion. Så här är kursen planerad.

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

VAD GÖR PRIMETEC? MAN KAN SÄGA ATT VI GÖR SKILLNAD. VÅR SPECIALITET ÄR ATT HJÄLPA VÅRA UPPDRAGSGIVARE (ELLER DERAS UPPDRAGSGIVARE) ATT LÄMNA AVTRYCK.

Programmeringsguide Picolo Porttelefon

UTBILDNINGSPLAN. Master Programme in Business Process and Supply Chain Management, 60 Higher Education Credits

Fortsättningskurs i programmering F 2. Algoritmer i Programutveckling Hugo Quisbert Problemexempel 1

1. How many hours per week have you on average spent on the course, including scheduled time?

Programinformation för International Software Engineering, 180 högskolepoäng

F1 SBS EC Utbildning AB

13 1MA302 Automatateori DV1 4 A D, M 1TD442 Algoritmer och datastrukturer DV1 6 A D

Studienämnden Data

Esperanto för datorer att göra sig förstådd över tid och rum

Övervakning med GnilronEye

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

LEGO NXT Robotprogrammering

En guide för dig i EmpowerDags

Program för skrivarhantering

Kundportal. Kundportal - Användarhandledning

Botnets. Martin Berggren (marbe173) Klass: IT1 (Civilingenjör Informationsteknologi, årskurs 1) Linköpings Universitet

Plats för projektsymbol. Nätverket för svensk Internet- Infrastruktur

Profilen Kommunikation för Y, Yi, D & IT. Profilansvarig: Erik G. Larsson Professor, ISY/Kommunikationssystem

Slutrapport för JMDB.COM. Johan Wibjer

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

MALWARE WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Datasäkerhet och integritet

Datateknik Teknologie kandidatexamen, 180 sp

Växjö sparar 3,5 miljoner kronor på lägre kostnader för e-postlagring och IT-personal med ny lösning

Tillgång till alla globala delar i systemet styrs av denna profil, som i sin tur kopplas till respektive användare.

Fråga Referens, JA hela staden Ej svar %

Andromeda. Användning och Installation

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Copyright 2014 Digital Solutions AB - Mikael Eriksson Inga delar av detta material får kopieras i någon form utan speciellt tillstånd från ansvarig

Programvaruteknik, hp

Retrieve a set of frequently asked questions about digital loans and their answers

GOD MORGON RE/MAX KICKOFF MÖTE JANUARI 2016

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Att fastställa krav. Annakarin Nyberg

Gästföreläsning Accenture - Användarperspektiv i systemutveckling

GIT L0009B GEOGRAFISK DATABASTEKNIK. Information inför kursstart

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

LEGO Mindstorm-robot

Felsökning av mjukvara

Grunderna i stegkodsprogrammering

Welcome. to the world of Jeeves. Copyright 2011 Jeeves Information Systems AB

AMERICAN EXPRESS. Webbplats för affärspartners regler och villkor

Tips och råd för Rapport till tävlingen Årets UF-företag i Dalarna 2015/16

Drakriddare i Drakar och Demoner Trudvang Skapat av Daniel Falck

Introduktion till migrering till molnet

Kursplan. Ämnesövergripande

Karriärplanering Övning 07: Att söka jobb en handlingsplan

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Kortbetalning i Rebus via Paynova

Förord. Implementering och utvärdering av en bildbaserad autentiseringsmetod

GIT L0006B. C# och Windowsbaserad applikationsutveckling. Information inför kursstart

Säker Java kod en kvalitativ studie

Föreläsning 3.1: Datastrukturer, en översikt

Vätebränsle. Namn: Rasmus Rynell. Klass: TE14A. Datum:

Så ska UCC tillämpas

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

SÄKERHETSLÖSNINGAR TJÄNSTEFIERAD SÄKERHET

Alla rättigheter till materialet reserverade Easec

Mobiltäckning Inomhus

Modul 3 Föreläsningsinnehåll

Karriärplanering Övning 07: Att söka jobb en handlingsplan

Transkript:

Säkra system En profil om säkerhet och programvara Profilansvarig: Nahid Shahmehri

En liten saga SQL Slammer Januari 2003

Problemet Stackbaserad buffer overflow i MS SQL server 2000 Ett UDP-paket med 376 bytes lät vem som helst köra kod med systemrättigheter I snitt 4000 försök per sekund; 90% av sårbara system infekterades på 10 minuter

Skadan Ungefär 75000 system infekterades Bank of America: bankomatsystemet slogs ut Continental Airlines: försenade och inställda flyg City of Seattle: 911 (larmnummer) utslaget Liknande maskar (2003) CSX railways: trafikstörningar i en vecka Canadian Airlines: inställda flyg Många företag, myndigheter och organisationer stängdes helt Ungefärlig kostnad: tiotals miljarder kronor

Ännu fler fall Maskar med extra hög profil 1988 Internet Worm 2001 Sadmind, Code Red, Nimda 2003 SQL Slammer, Blaster, Welchia Sophisticated cybercrime is big business, often run by organized crime rings whose programmers get paid top-dollar, and it s fairly easy pickings for them, because we have not yet done a very good job of protecting ourselves. -- Eugene Spafford 2004-2010 Sasser, Zotob, Conficker 2010-2012 Stuxnet, Duqu, Flame Andra fall med hög profil 2004 CardSystems: 40 miljoner kortnummer på vift 2007 Heartland Payment Systems: 130 miljoner kortnummer 2007-2010 Distribution av malware från pålitliga webbplatser

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Sårbarhetstrender 12000 10000 8000 6000 4000 2000 0 NVD OSVDB CERT/CC

Programutveckling i dag Utvecklare fokuserar på funktionalitet, inte säkerhet Korta ledtider Säkerhet är ofta en efterkonstruktion De flesta utvecklare vet för lite om säkerhet Säkerhetsprinciper följs sällan Demand for secure software is much higher than available security expertise. -- Jose Maria Cavanillas, NESSI Moderna programvarusystem är stora och komplexa Men: Företag börjar få upp ögonen för säkerhetsproblem Stor efterfrågan på ingenjörer med säkerhetskompetens!

Profilen: Säkra system Profilens mål Du ska vara förberedd för att utveckla och leda utveckling av säkra programvaruintensiva system Tre grundpelare Säkerhetskompetens, särskilt inom programvara Kunskap om programutvecklingsmetoder Kompetens inom programvaruteknik

Profilen: Säkra system Obligatoriska kurser Datorsäkerhet Programvarusäkerhet Informationssäkerhet, fk Designmönster Programvarutestning We wouldn t have to spend so much time, money, and effort on network security if we didn't have such bad software security -- Bruce Schneier Valbara kurser Avancerad programutvecklingsmetodik Avancerad webbprogrammering Avancerad programmering i C++ Avancerade nätverk Datornät Databasteknik Webbprogrammering och interaktivitet Kryptoteknik Rekommenderade kurser Datajuridik, komponentbaserad programvara, kompilatorteknik, distribuerade system

Säker programutveckling Skapa medvetenhet om säkerhet Utveckla med säkerhet i åtanke Explicita säkerhetskrav Säkerhet i specifikation, arkitektur och design Säker kodning med regler och mönster Oberoende granskning och utvärdering

Programvarusäkerhet TDDC90 Skapa medvetenhet om säkerhet Utveckla med säkerhet i åtanke Typiska sårbarheter i program skrivna i C/C++ Buffer overflows på stack/heap, integer overflows, race conditions, Exploits Labb om buffer overflows: Bryt dig in i en (virtuell) maskin med hjälp av en sårbarhet och täpp till sårbarheten. Sårbarheterer i webapplikationer Injektionsbuggar, XSS, CSRF, Labb där man får testa på olika attacker

Programvarusäkerhet TDDC90 Explicita säkerhetskrav Säkerhet i specifikation, arkitektur och design Säker kodning med regler och mönster Utvecklingsprocesser för säker programvara Designmönster Ackreditering Oberoende granskning och utvärdering Kodgransking Statisk analys Fuzz-testing

Information security TDDD17 Företag över hela världen förlitar sig idag på sina IT-tjänster: Banker har flyttat sin verksamhet till Internet från sina kontor. Söktjänster samlar in och sparar stora mängder information. Småföretag säljer sina produkter via Internet. Sjukvården blir mer och mer digitaliserad. En förminskning, eller totalt stopp, av de viktiga IT-tjänsterna kan kosta ett företag stora summor, men kan också göra så pass stor skada att företaget inte kan återhämta sig. 13

Information security TDDD17 Informationsteknologi handlar om att hantera information: Lagring av information Förändring av information Förflyttning av information Presentation av information Informationssäkerhet (Information security) handlar då om att säkra informationens konfidentialitet, integritet och tillgänglighet när den är lagrad, när den ändras, när den förflyttas och när den presenteras. 14

Information security TDDD17 Kursen tar upp följande ämnen som alla är en viktig del för information security: Network security Advanced user authentication System security Risk analysis and management Business continuity planning and disaster recovery planning Physical security 15

Information security TDDD17 Kursen består av föreläsningar, laborationer och projekt: Föreläsningarna ges av lärare på IDA samt gästföreläsare som är experter inom sina områden. Ett antal laborationer ges där man får testa på tekniker för information security. Ett projekt genomförs där man får möjlighet att ytterligare fördjupa sig inom ett ämne. 16

Profilen: Säkra system För mer information http://www.ida.liu.se/edu/ugrad/program/profiler/secsy/ Profilansvarig Nahid Shahmehri IDA/ADIT Tel: 013-282066 E-mail: nahid.shahmehri@liu.se Avdelningschef för ADIT Forskningsledare för nätverks- och säkerhetsgruppen