Mobil nettbruk mangler sikkerhet

Mobiltelefonen er i ferd med å bli vår nye pc, men det er fortsatt store sikkerhetsmangler knyttet til internett-tjenester på telefonen. Det vil professor i datasikkerhet, Kjell Jørgen Hole, gjøre noe med.

Secure Wireless Application Programming (SWAP) for laptops and handheld devices

Prosjektleder: Professor Kjell Jørgen Hole, Universitetet i Bergen, Institutt for informatikk

Doktorgradsstipendiater:
Vebjørn Moen, Thomas Tjøstheim, Yngve Espelid, André N. Klingsheim, Lars-Helge Netland

Viktige publiseringer:

  • N. Klingsheim, V. Moen, and K. J. Hole, «Challenges in Securing Networked J2ME Applications,» IEEE Computer, February 2007.
  • K.J. Hole, L.H. Netland, Y. Espelid, A.N. Klingsheim, H. Helleseth, and J.B. Henriksen, «Open Wireless Networks on University Campuses,» IEEE Security & Privacy, July/August 2008.
  • K.J. Hole, V. Moen, A.N. Klingsheim, and K.M. Tande, «Lessons from the Norwegian ATM System,» IEEE Security & Privacy, November/December 2007.
  • K. J. Hole, V. Moen, and T. Tjøstheim, «Case Study: Online Banking Security,» IEEE Security & Privacy, March/April 2006.

 

Trenden er klar: Stadig flere Internett-tjenester tilbys på mobiltelefonen, spesielt på de nye «smartphones» med gode skjermer og kraftige prosessorer.

Å dra fram mobilen fra lomma når du skal betale en regning, er ingen fjern framtidsdrøm. Spørsmålet er om dette lar seg gjøre på en sikker måte.

– Det gjelder å finne gode rammeverk for sikker kommunikasjon. Hvis vi får til det, slipper vi å finne opp hjulet hver gang en ny tjeneste lanseres, sier Kjell Jørgen Hole, som er professor i datasikkerhet ved Universitetet i Bergen.

Han har ledet et prosjekt som har vurdert sikkerhetsnivået på mobiltjenester per i dag, evaluert og beskrevet svakheter, og sett på hvilke bedringer som trengs.

Avslørt svakheter

I framtida vil det sannsynligvis være mulig å ha full tilgang til tjenester på Internett via mobiltelefon. Dermed vil alt vi gjør på nettet i dag teoretisk sett være mulig å gjøre via mobiltelefonen – enten man vil kjøpe en vare online eller fylle ut et skjema som skal sendes til en offentlig etat.

Bankene er blant dem som ligger lengst framme i løypa.

– Det er allerede mobilbanker oppe og går. Riktignok er ikke alle tjenester tilgjengelige, bankene holder litt tilbake, men du kan i alle fall sjekke konto og betale regninger, sier Hole.

Men så var det sikkerheten, da. Hole fikk mye medieoppmerksomhet både i Norge og utenlands da han med enkle hacker-grep viste omverdenen at nettbankenes BankID var langt fra sikker nok.

– Vi fikk sparket i gang en viktig debatt om sikkerhet, selv om vi ikke hadde ant at det skulle bli så voldsomt. Én ting er at det fortsatt er store svakheter på internett – men når det gjelder mobiltelefonen er teknologien enda mer umoden. Telefonen har flere feil, sier Hole.

Han mener hovedutfordringen ligger i å få til bedre sikkerhet på selve telefonen og et bedre rammeverk for utvikling av sikre applikasjoner.

Lager oppskrift

I framtida vil det sannsynligvis være mulig å ha full tilgang til tjenester på internett via mobiltelefon.
I framtida vil det sannsynligvis være mulig å ha full tilgang til tjenester på internett via mobiltelefon.

Sammen med sine doktorgradsstudenter har Hole utviklet oppskrifter på hvordan man lager sikker programvare. Det dreier seg om ”security patterns”, som er måter å standardisere sikkerheten på.

Men: Er det forskerne eller industrien som har kommet lengst med utvikling av sikkerhetssystemer?

– Når det gjelder utvalgte områder innen design av sikre systemer – avanserte kommunikasjonsprotokoller, hemmelig koding og den slags – ligger forskningen i front.

– Men når det gjelder forståelse av og tilgang til teknologi, ligger programvare-industrien i forkant. Bankene har for eksempel mange hundre programmerere, så vi kan ikke konkurrere på det nivået, svarer Hole.

Risiko i Norge

Kjell Jørgen Hole mener Norge er preget av at vi er raskt ute med ny teknologi, mens holdningen til sikkerhet ikke er like god.

Den anerkjente amerikanske forskeren Gary McGraw har også sagt dette – at sikkerhetstenkningen i Norge ligger betydelig tilbake for den i USA, mens Norge er langt framme i bruken av teknologi.

Professor Kjell Hole.
Professor Kjell Hole.

– Dette er en dårlig kombinasjon. Hittil har vi vært så heldige at ingen har utnyttet det i stor skala. Norge er jo nokså skjermet, vi er ikke midt i Europa, og vi snakker et rart språk.

– Men det er ikke sikkert det forblir slik i framtiden. Det er stor fare for at også nordmenn skal oppleve identitetstyverier og sensitive opplysninger på avveie, sier Hole.

Han understreker at Universitetet i Bergen ønsker å ta sin del av ansvaret for bedret sikkerhet, blant annet gjennom å bli flinkere til å utdanne folk.

– Dette prosjektet har vært med å sette trykk på sikkerhet i undervisningen. Vi har flere og bedre kurs, og vi vil fortsette å utdanne doktorgradsstudenter i anvendt datasikkerhet.

– Vi har også fått større kontaktflate, blant annet gjennom et godt samarbeid med Datatilsynet og Kredittilsynet samt en dialog med industrien, avslutter Hole.

Lenke:

Forskningsrådets program: IKT sikkerhet og sårbarhet (IKTSOS)

Powered by Labrador CMS