Mouse Jacking – en variant av IoT säkerhetstänk?

Alla har väl noterat den breda flora av trådlösa tangentbord och möss som finns att köpa överallt. Använder trådlös teknik och kommunicerar direkt med vår dator/laptop m.m. Det har publicerats teknikinformation om att många modeller använder okrypterad trafik. Jag har sett att med två datorer för nära varandra, med samma modell på tgb/mus. Kan man påverka varandras system. Så det verkar vara samma enhets id för en batch med produkter.

Väggar verkar hämmande för trafik, medan fönster tillåter mer. Att då se tekniska bevis på, att det går att köra på längre distanser. Kan ses som positivt, men också vara en möjlig väg att hacka. Man kan leka när användaren inte har koll på skärmen. Några användare har för vana, att bara släcka skärmen när man avviker

Senare artiklarna på Internet visar på, att flera tillverkare har kommit med uppdaterade drivrutiner för att hantera problemet. Men då inte alla producenter gör det, kan billigaste rådet vara. Ha ett bra lösenord för inloggning, och en skärmsläckare som kräver lösenord. En policy hos större företag. Men hemmavid och hos småföretag, brukas inte denna rutin lika ofta. Olyckligt då de hackade sedan får agera språngbräda, för attacker mot mer krävande målgrupper.

Internet of Things – Kan det bli något för oss?

Det har pratats om Internet of Things (IoT) ett tag nu. Att det är nästa stora trend som kommer. Fast är det verkligen så? Jo - IoT hat fått fäste även i Sverige.

Vad gäller uppkopplade saker. Är vi nummer sju i värden, enligt OECD's lista. Omskriven bland annat på Wikipedia.  Att detta fenomen kommer att ställa nya krav på infrastrukturen är en sak. Men långt viktigare är tänket kring säkerheten, då dessa enheter bidrar till en bredare attackfront. Vi ser redan att uppkopplade enheter tycks sakna möjligheter för uppgraderingar och patchning. Hackas den agerar den språngbräda till andra enheter i nätet. Sällan kan dessa enheter kopplas mot företagens katalogtjänster som AD eller via LDAP Därmed blir de öar av data, men också av säkerhet. Dessa produkters popularitet, gör att gemene man skaffar och kopplar in. Såväl i hem som på arbetsplatser. Hur bör vi nätägare förhålla oss till detta? jag inbjuder till att diskutera i vårt medlemsforum. För lösningar kräver att vi tänker till och samarbetar.

Fokus seminarium – Säker IT-utveckling (del 2) – Presentationer

FOKUS-kvällen den 14 oktober tog upp Säker IT-utveckling. Det var del 2 i en serie av FOKUS-kvällar på detta tema – om hur vi genom säker IT-utveckling kan skapa säkrare IT-produkter.
Kvällens sponsorer Europoint och Cybercom började med att hälsa välkomna. Martin Bergling och Kent Illemann gav en kortfattad översikt av ISO27034 och några ramverk på området.

Därefter gav Martin Swende en presentation av problem man ibland ser i webappar: ”Utanför OWASP Top 10”. Erik Runeson från Europoint gav en bild av problem och möjligheter kring hur kodgranskning kan användas. En gemensam diskussion avslutade kvällen. En på många sätt lyckad kväll, att döma av inlämnade utvärderingar!

Del 3 i denna serie planeras i januari 2016.

Login - Medlemsrelaterat material

Fokus seminarium – Säker IT-utveckling (del 2)

Nu har vi fortsättningen på temat "Säker IT-utveckling" och kör del 2. Boka en plats som medlem via vå kalender eller via epost enligt vår inbjudningsposter.

Inbjudan FOKUS-kväll Säker IT-utveckling 14okt 2015

Till kalendern:

Säker IT-utveckling – 22 april 2015

Inbjudan till SIG Security FOKUS-kväll onsdag 22 april 2015

Kvällens tema: Säker IT-utveckling (del 1)

 

Hur kan vi skapa säkra IT-produkter? Är säkerhet i utvecklingsprocessen en förutsättning? Vilka standarder finns?

Det är några av de frågor vi belyser denna kväll. Lyssna till viktiga erfarenheter om hur säker utveckling kan ske effektivt. Bidra gärna med dina egna erfarenheter under kvällens diskussioner!

Utifrån dessa kommer vi att planera FOKUS-kväll nr 2 i september.

 

PROGRAM

16.30-17.00 Ankomst och inpassering

17.00 Knowit hälsar välkommen (Åsa Schwarz, Knowit)

17.05 Varför behöver vi säker IT-utveckling? (Martin Bergling, FMV/CSEC)

17.15 Säker systemutveckling

Föredraget kommer att visa på sårbarheter i system och applikationer för att sedan koppla dem till vad som gick fel i utvecklingsprocessen och vad man borde gjort annorlunda. (Rickard Binnare, Knowit & Daniel Lidberg, Claremount)

18.15 Rast o mingel (dryck o wrap)

18.40 Ett praktikfall: Säker systemutveckling på .SE (Anne-Marie Eklund Löwinder från .SE)

19.10 Diskussion och frågor (Kent Illemann)

19.40 Avslutning

 

Plats: hos Knowit AB, Klarabergsgatan 60, 4 tr, Stockholm. Ingen deltagaravgift för medlemmar i SIG Security. Icke medlemmar är också välkomna men betalar

350 kronor - då ingår medlemskap i SIG Security 2015.

Anmälan: skicka epost senast söndag 19 april till info@sigsecurity.org.

Ange ditt namn, epostadress, mobilnummer, arbetsgivare samt om du är medlem. Bekräftelse skickas via epost.

Varmt välkommen!

 

 

******SIG Security i samarbete med Knowit AB*******

Vid ev. frågor, kontakta Martin Bergling, 070-982 4730, martin.bergling@fmv.se, eller Kent Illemann, 070-513 5591, kent.illemann@telia.com