Tar helhetsgrepp på säkerhet i webbdrivna system

Presentation
Professor Andrei Sabelfeld vid Chalmers tekniska högskola leder det SSF-finansierade forskningsprojektet WebSec. Foto: Patrik Bergenstav
Professor Andrei Sabelfeld vid Chalmers tekniska högskola leder det SSF-finansierade forskningsprojektet WebSec. Foto: Patrik Bergenstav

Cybersecurity är den största utmaningen för fortsatt digitalisering, och webbsäkerhet spelar en viktig roll i den strävan. Andrei Sabelfeld, professor vid avdelningen för informationssäkerhet på Chalmers och hans forskargrupp siktar på att bygga in säkerhet i webben redan från början.

I stort sett ingen har kunnat undgå att det i dagsläget finns stora brister i säkerheten på webben. Media har under senare år rapporterat om attacker på ett brett spektrum av företag, organisationer och myndigheter. Ett av de allvarligaste hoten mot webbsäkerhet är så kallad cross-site-scripting, där angripare får skadlig programkod att användas av offrets webbläsare. I det SSF-finansierade forskningsprojektet WebSec som leds av professor Andrei Sabelfeld vid Chalmers tekniska högskola, siktar man på att möta utmaningen genom att bygga in säkerheten från start.
– Det stora problemet idag är att säkerheten är fragil. Nätet kontamineras av sårbara komponenter och säkerheten tenderar att spricka i gränserna mellan komponenterna. Vi vill hitta vägar för inbyggd säkerhet så att vi redan vid konstruktionen kan tillföra säkerhet. I förlängningen ska man inte behöva arbeta dagligen med de säkerhetsproblem vi ser idag.

Behovet ökar
Det finns otaliga exempel på vad som kan hända om inte nödvändiga webbsäkerhetsmekanismer finns på plats. Andrei Sabelfeld berättar bland annat om den finska bank som läste in kundinformation via Google Analytics.
– Deras syfte var att få in kunddata och statistik för att kunna rikta sina erbjudanden bättre. Men scriptet konfigurerades fel och läckte kundernas kontonummer på Google.
I takt med att samhället blir allt mer beroende av webben, systemen omfattar idag såväl sjukvård som statliga och kommunala tjänster, ökar behovet av säkerhet.
– Den nya lagen, GDPR, som infördes den 25 maj är ett sätt att komma i fatt utvecklingen. Vårt projekt handlar snarare om att ligga före.

Ramverk
Projektet WebSec kommer att främja säkerheten på webben genom både akademiska framsteg och genom att utveckla konkreta verktyg i samarbete med flertalet partners från industrin.
– Det som skiljer detta projekt från andra initiativ är att vi vill ta ett helhetsgrepp och skapa ett ramverk som bland annat inte tillåter blandning av data och kod. Ramverket kan sedan användas av utvecklare till att skapa mjukvara så att denna typ av attacker inte längre är möjliga.
I helhetsgreppet ingår även att utveckla inbyggda mekanismer som fångar upp säkerhetsluckor om något skulle ha glömts i det initiala webbygget.
– Webbservrar och webbläsare skiljer sig tekniskt sett på många sätt, därför försöker många säkerställa webbläsare och servrar var för sig. Det är dock otillräckligt i många fall eftersom säkerhetshål oftast uppstår när man kopplar samman olika komponenter, som till exempel en server och en webbläsare. WebSec ska därför utveckla ett holistiskt ramverk, som gemensamt tar sig an både servrar och webbläsare, förklarar Andrei Sabelfeld.

Framtid
Ett hett område är web-of-things där webbprotokoll och gränssnitt används för att koppla tjänster till näten.
– Vi har redan sett flera exempel på hur allt från bilar till kylskåp attackerats. I slutänden är det säkerhet som är den största utmaningen för fortsatt digitalisering; utan den kommer vi tyvärr ingenstans med våra visioner och idéer.
Om fem år tror Andrei Sabelfeld att forskargruppen har funnit lösningar på många av de problem man idag brottas med.
– Jag är säker på att vi kommer att nå våra mål, men i ett längre perspektiv kommer vi att stöta på nya utmaningar. Vår forskning handlar om att säkerställa säkerheten på webben och att förebygga attacker. Men inom säkerhetsområdet blir du aldrig riktigt färdig. Huvudmålet är därför att alltid ligga steget före.

Chalmers – WebSec
WebSec, Säkerhetsdrivna webbsystem, är forskningsprojekt som kommer att främja säkerheten på webben genom såväl teoretiska som akademiska framsteg, samtidigt som konkreta verktyg utvecklas tillsammans med partners från industrin.

Projektledare: Andrei Sabelfeld, Chalmers tekniska högskola.

Övriga deltagare: Alejandro Russo och David Sands, Chalmers tekniska högskola samt Philipp Rümmer, Uppsala universitet.

Projektet finansieras av Stiftelsen för strategisk Forskning med 30 miljoner kronor.

Chalmers tekniska högskola
412 96 Göteborg
Tel: 031-772 10 00
www.chalmers.se


Publicerad: 26 juni, 2018