Bygger cybersäkerhet från grunden

Konkreta verktyg och metoder för att motverka de vanligaste sårbarheterna på webben. Insatser för att utveckla ett säkert sakernas internet för industrin. Två nya, omfattande projekt inom cybersäkerhet startar inom kort vid institutionen för data- och informationsteknik.
Chalmers forskning inom cybersäkerhet har varit framgångsrik under en längre tid, och nu kommer två ramanslag från SSF att ytterligare stärka verksamheten. Två ansökningar, WebSec och Octopi, beviljades anslag i förra årets stora utlysning inom cybersäkerhet. WebSec kommer att drivas till stor del inom avdelningen för informationssäkerhet, medan Octopi har ett omfattande samarbete med avdelningen för funktionell programmering. Båda projekten har som mål att föra in säkerhetsaspekten tidigt i utvecklingen, i stället för att söka efter och försöka åtgärda fel när systemen redan är tagna i bruk.

Vill förebygga så mycket som möjligt

– Målet med säkerhetsforskning är att se till att säkerheten inte är i vägen för annan utveckling, att det finns verktyg och automatiska metoder som gör att det inte ”går” att göra fel, säger Andrei Sabelfeld, professor på avdelningen för informationssäkerhet och projektledare för det nya SSF-finansierade projektet WebSec.
 
Ett av de allvarligaste hoten mot webbsäkerhet är så kallad cross-site-scripting, som innebär att angriparen får skadlig programkod att användas av offrets webbläsare. Företag betalar stora pengar årligen för att upptäcka och täppa till säkerhetshål i de system som används.

– Webbsystem är heterogena, de är implementerade i olika programspråk och designade på olika nivåer, så när man kopplar ihop dem blir det hål. I en typisk cross-site-scriptingattack lyckas angriparen med att få in kod i stället för data. Med nya programspråk och säkerhetstyper kan man förebygga sådana attacker. I projektet kommer vi att utveckla nya koncept för att granska webbsidor, vilket kommer att göra att man kan ta sig an cross-site-scripting på sätt som tidigare inte varit möjliga, säger Andrei Sabelfeld.
 
För JavaScript, som är det vanligaste programspråket på webben, ska projektet leverera en plattform för analys som ska hjälpa programmerare att producera kod som är skyddad redan när den går ut i produktion.

– Vi ska även arbeta med övergripande systemsäkerhet. Vi kommer tillbaka till problemet att olika komponenter är designade i olika programspråk, och ofta lyckas man säkra en av komponenterna, kanske webbläsaren eller databasen, men sen när man kopplar ihop dem uppstår nya fel som man inte hade tänkt på, säger Andrei Sabelfeld.
Här ska forskarna bygga mekanismer för att följa informationen genom hela systemet och se till att ingen information förstörs eller läcker ut.

Sakernas internet närmar sig industrin

– Sakernas internet är ett begrepp för enheter, allt från stora saker, till exempel bilar, till små saker som en robotdammsugare, din klocka eller vad som helst som har viss beräkningskraft och är kopplat till internet. Tanken är att alla dessa enheter ska vara sammankopplade för att förenkla ditt liv, men det medför stora problem när det kommer till säkerhet, säger Alejandro Russo, biträdande professor på avdelningen för informationsteknik och projektledare för Octopi.
 
Även inom industrin växer intresset för att utnyttja fördelarna med uppkopplade enheter, till exempel kan data från sensormätningar och stickprov på användardata användas för att förbättra nästa generation av produkter. Men den generella säkerhetsnivån är för låg, och ett osäkert sakernas internet öppnar för attacker. Bland annat finns skrämmande exempel på hur smarta kylskåp hackats för att komma åt lösenordsdata, och hur uppkopplade bilar tagits över och fjärrstyrts.

– Idag programmeras de flesta enheter för sakernas internet med programspråk där säkerhet inte är en faktor. I projektet Octopi kommer vi att utveckla nya programspråk utrustade med abstraktioner som underlättar för utvecklare att producera säker kod, säger Alejandro Russo.

Avsikten är att göra utvecklingen av inbäddade system bekväm, samtidigt som säkerheten får en central plats i utvecklarens sinne. Projektet är unikt genom sitt sätt att undersöka hur man kan utnyttja styrkorna hos funktionell programmering, framför allt säkerhet, korrekthet och tankegångar kring mjukvara, till enheter för sakernas internet.

Information om projekten

WebSec, Säkerhetsdrivna webbsystem
Projektledare: Andrei Sabelfeld, Chalmers tekniska högskola.
Övriga deltagare: Alejandro Russo och David Sands, Chalmers tekniska högskola, och Philipp Rümmer, Uppsala universitet.
Projektet finansieras av Stiftelsen för strategisk Forskning med 30 miljoner kronor.

Octopi, säker programmering för sakernas internet
Projektledare: Alejandro Russo, Chalmers tekniska högskola.
Övriga deltagare: Mary Sheeran, John Hughes, Koen Lindström Claessen och Carl Seger, avdelningen för funktionell programmering, Chalmers tekniska högskola.
Företagspartners: Pelagicore AB, LumenRadio AB och Ericsson.
Projektet finansieras av Stiftelsen för strategisk forskning med 31 miljoner kronor.

Publicerad: må 12 feb 2018. Ändrad: må 05 mar 2018