menu
Tölvumál
Hér hefur orðið villa.
1. árgangur 19762. árgangur 19773. árgangur 19784. árgangur 19795. árgangur 19806. árgangur 19817. árgangur 19828. árgangur 19839. árgangur 198410. árgangur 198511. árgangur 198612. árgangur 198713. árgangur 198814. árgangur 198915. árgangur 199016. árgangur 199117. árgangur 199218. árgangur 199319. árgangur 199420. árgangur 199521. árgangur 199622. árgangur 199723. árgangur 199824. árgangur 199925. árgangur 200026. árgangur 200127. árgangur 200228. árgangur 200329. árgangur 200430. árgangur 200531. árgangur 200632. árgangur 200733. árgangur 200834. árgangur 200935. árgangur 201036. árgangur 201137. árgangur 201238. árgangur 201339. árgangur 201440. árgangur 201541. árgangur 201642. árgangur 201743. árgangur 201844. árgangur 2019
Tölvumál - 01.01.2017, Blaðsíða 24
24
Á hverjum degi tengjast fleiri og fleiri „tæki“ Internetinu, allt frá brauðristum
til sjálfkeyrandi bíla. Talið er að um 200 billjón tæki munu vera nettengd
árið 2020[1]. Líf okkar í dag á sér stað að miklu leyti á netinu, meðal
annars á samfélagsmiðlum, í afþreyingu, verslun o.fl. Samhliða þessari
þróun þá hafa tölvuárásir orðið sívaxandi vandamál. Á minna en ári hefur
heimsbyggðin upplifað stærstu DDoS árás allra tíma [2], tölvuþrjótar hafa
tekið yfir heilbrigðiskerfi [3], og nýjar árásir eiga sér stað á hverjum degi.
Tölvuöryggi er því nú þegar mikilvægur hluti af okkar daglegu lífi og verður
enn mikilvægari í komandi framtíð.
HVAÐ ER HÆGT AÐ GERA TIL AÐ BÆTA
TÖLVUÖRYGGI?
Þetta er stór spurning sem er erfitt að svara á fullnægjandi hátt í stuttu
máli, en við skulum einbeita okkur að rót vandans, sem má segja að liggi
milli stóls og lyklaborðs. Fyrir utan mannlegan breyskleika og hversu
ginnkeypt fólk virðist vera fyrir gylliboðum Internetsins þá eru tölvuárásir
að miklu leyti drifnar áfram á veikleikum í hugbúnaði. Slíka öryggisveikleika
má í mörgum tilfellum rekja til mannlegra mistaka í þróunarferli hugbúnaðar.
Því er rétt að athuga hvað hægt sé að gera til að minnka tíðni þeirra.
Ímyndum okkur bílstjóra með almenn ökuréttindi sem er látinn keyra
stóran trukk. Hann kann að keyra, en ekki þungan trukk, þar sem maður
þarf meðal annars að hugsa um aðrar hættur eins og t.d. lengri
stöðvunarvegalengd. Væri allt í lagi að leyfa honum að setjast undir stýri
öryggislega séð?
Þetta er því miður staðan í dag er varðar nýútskrifaða tölvunarfræðinga
hér á landi og víða erlendis. Nýútskrifaðir tölvunarfræðingar munu forrita
mikilvægan hugbúnað í náinni framtíð án þess að hafa öðlast þjálfun í að
verja þann hugbúnað gegn öryggisgöllum. Aðeins örfáir áfangar tengdir
tölvuöryggi eru í boði á háskólastigi og er enginn þeirra skylda. Þetta er
óæskileg staða eins og er, fyrst hugbúnaður geymir persónu upplýsingar
í ört vaxandi magni. Glæpamenn og óvinveittar ríkisstjórnir einbeita sér
einnig í auknum mæli að tölvuinnbrotum og tölvuglæpum. Því er mikilvægt
að allur hugbúnaður sé varinn árásum.
HVERNIG ER HÆGT AÐ ÞJÁLFA FORRITARA Í
ÖRUGGARI HUGBÚNAÐARÞRÓUN?
Hver og einn veit best hvernig hvernig hægt er að brjótast inn í eigið hús.
Til dæmis veit maður um glugga sem eru ekki með öryggisskynjara og
hvar varalykillinn er geymdur. Þetta má heimfæra á forritara. Forritari sem
skrifar hugbúnað er í bestu stöðunni til að finna öryggisveikleika í eigin
hugbúnaði. Þetta mótar mikilvæga aðferð til að sporna gegn öryggisgöllum,
að þjálfa forritara og efla vitneskju á öryggisgöllum ásamt því að kenna
þeim að rýna hugbúnað í leit að öryggisgöllum. Þar með lærir forritarinn
að setja sig í spor mótherjans og hvernig best sé að brjótast inn í sinn
eigin hugbúnað.
Einn möguleiki til að öðlast slíka þekkingu í dag er í gegnum svokallaðar
CTF (e. Capture The Flag) keppnir. Áhugasömum þátttakendum er boðið
upp á allskyns þrautir sem innihalda einhvern öryggisgalla sem markmiðið
er að leita uppi. Keppandinn þarf síðan að finna hvernig hægt er að nýta
öryggisgallann til að stela svokölluðum “fána” sem veitir honum stig.
Dæmin sem koma fyrir í þessum keppnum kynna keppandanum fyrir
allskyns öryggisveikleikum, bæði nýjum sem og þekktum. Að geta leitað
uppi öryggisveikleika er mikilvæg kunnátta sem keppandinn getur nýtt
á sinn eigin kóða eða kóða annarra.
Undanfarin tvö ár hefur keppnin IceCTF [4] verið haldin af nemendum
Háskólans í Reykjavík með styrkjum frá Syndis og Háskólanum í Reykjavík,
og hefur vakið mikla lukku bæði innanlands og erlendis. Markmið
keppninnar er að huga að byrjendum í hugbúnaðargerð og kynna þeim
fyrir einföldum öryggisgöllum, sem og að kynna nýja öryggisgalla og
bjóða þeim sem hafa áhuga á að prófa sig áfram í að reyna á þessa
veikleika. Fjöldi þátttakenda hefur farið vaxandi en á síðasta ári tóku 3000
manns þátt og þar af voru 300 íslenskir keppendur.
Þetta er ágæt lausn til að efla öryggisvitund, en virkar einungis á þá sem
hafa þekkingu og áhuga á tölvuöryggi og/eða skilja mikilvægi þess í dag.
Sá hópur er því miður í minnihluta eins og er og því þarf aðra lausn til að
ná til flestra.
HVAÐ MEÐ ALMENNA FORRITARA?
Hægt væri að taka þessa CTF hugmynd og gera hana skemmtilegri, og
þar með beina henni að almennum forriturum. Þeir geta þá með einföldu
móti fengið að sjá og lifa sig inn í spor tölvuþrjóts sem er að nýta sér
þekkta öryggisveikleika. Samtímis er hægt að sýna þeim hvernig sá
veikleiki lítur út í kóða og hvernig skal verjast honum.
Þannig myndi tölvuöryggiskennsla verða skemmtilegt námskeið sem
gæti meðal annars orðið hluti af skyldunámi í tölvunarfræði í háskólum
landsins, annaðhvort sem hluti af öðrum námskeiðum eða sem sér
námskeið innan skólans. Tölvuöryggiskennslan myndi kynna verðandi
forriturum fyrir þekktum veikleikum og varnir gegn þeim, og þar með loka
á þekktar aðferðir sem tölvuþrjótar nota til að brjótast inn í kerfi. Svona
nám mun því gera skólunum kleift að skila betri forriturum út á
vinnumarkaðinn að námi loknu.
Eins og staðan er í dag þá er þetta ágæt lausn en gallinn er að þær koma
eftir á, sem einskonar sérkennsla, sem þarf samt að vera til staðar, en til
að ráðast að rót vandans væri best að kenna örugga hugbúnaðarþróun
sem hluta af námi forritara. Þar með yrði hugsunarháttur mótherjans
innbyggður í forritara framtíðarinnar.
HVERNIG ER HÆGT AÐ MÓTA HUGSUN
TÖLVUNARFRÆÐINGA FRAMTÍÐARINNAR?
Einfölduð mynd af öryggisgöllum er að í grunninn séu flestir þeirra
forsenda, sem forritarinn heldur að sé sönn, en í ljós kemur að svo var
ekki. Til dæmis má nefna að í „Heartbleed“ [5] öryggisgallanum, sem var
mjög útbreiddur fyrir nokkrum árum, þá var forsendan sú að enginn
myndi senda rangar upplýsingar í „Heartbeat“ skilaboðum til vefþjónsins.
Eins og flestir vita, þá reyndist sú forsenda ekki sönn, og því urðu margar
AÐ SETJA SIG Í SPOR
MÓTHERJANS
James Elías Sigurðarson, security developer, Syndis
Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
x
Tölvumál
Beinir tenglar
Ef þú vilt tengja á þennan titil, vinsamlegast notaðu þessa tengla:
Tengja á þennan titil: Tölvumál
https://timarit.is/publication/239
Vinsamlegast ekki tengja beint á myndir eða PDF skjöl á Tímarit.is þar sem slíkar slóðir geta breyst án fyrirvara. Notið slóðirnar hér fyrir ofan til að tengja á vefinn.
Aðgerðir: