231 |
Tor och webbplatsorakel : Konstruktion och utvärdering av webbplatsorakel från DNS-tidtagning i Tor-nätverket. / Tor and website oracles : Creation and evaluation of website oracles from timing DNS in the Tor network.Andersson, Oscar January 2021 (has links)
This paper discsusses the question: is website oracles in Tor from timing DNS something we have to worry about? This paper builds apon the findings done by Rasmus Dahlberg and Tobias Pulls in thier paper Website Fingerprinting with Website Oracles. A website oracle is a side channel attack that answers the predicate: has this website been visited before? The website oracle is constructed and test are carried out, with great outcome, resulting in that website oracles from timing DNS is not an attack that puts individuals using Tor at risk, but certanly challanges the idea of an anonymity network when such a lot of data can be derived from DNS. / Den här uppsatsen diskuterar frågan: är ett webbplatsorakel från DNS-tidtagning i Tor en attack att oroa sig för? Uppsatsen bygger på tidigare forskning utförd av Rasmus Dahlberg och Tobias Pulls i rapporten Website Fingerprinting with Website Oracles. Ett webbplatsorakel är en sidokanalsattack som svarar på predikatet: är denna webbsida besökt av en specifik delmängd användare? Tor är ett anonymitetsnätverk för gemene man, en viktig teknik för ett utvecklande samhälle där den enskilde individens rätt över sin egen information på internet är under konstant hot. I uppsatsen förklaras vad ett webbplatsorakel är i detalj, hur webbplatsorakel fungerar i Tor-nätverket och hur detta konstrueras i detalj. Resultat presenteras och en diskussion förs med anknytning till dagens teknik och samhälle i stort. Resultaten tyder inte på någon större risk för enskilda användare av Tor men visar på en riskfylld utveckling av perceptionen av hur Tor uppfattas och hur dess rykte kan skadas om attacker likt den presenterad i uppsatsen kan vidareutvecklas. / <p>Presentation utfördes online p.g.a. coronapandemi.</p>
|
232 |
Effekterna av en ISO/IEC 27001-certifiering : Upplevda förändringar bland små svenska organisationer / The effects of ISO/IEC 27001 certification : Perceived changes among small Swedish organizationsLjunggren, Viktor, Freid, Emil January 2020 (has links)
Samhället idag är mer uppkopplat och hanterar större mängder information än tidigare. Informationen hanteras i större omfattning av IT-system där kraven på säker hantering av information blir allt större. För att hantera informationssäkerhet kan organisationer implementera ett ledningssystem för informationssäkerhet (LIS). Det tar både tid och resurser att designa och implementera ett LIS. För att denna investering ska vara lönsam bör den också ge ett mervärde för organisationer. För att standardisera och specificera uppbyggnaden av LIS har ISO/IEC 27001 (standard för LIS) utvecklats och implementerats av organisationer världen över. Syftet med denna studie är att identifiera vilka förändringar som en ISO/IEC 27001-certifiering leder till hos små organisationer i Sverige. En intervjustudie har utförts med en semistrukturerad intervju som datainsamlingsmetod. Utifrån den insamlade empirin har sex kategorier identifierats och beskrivs tematiskt utifrån varje informant. Studien visar att organisationer får en bättre process och kontroll över informationssäkerhet och en stärkt informationssäkerhetskultur. Utöver detta uppges informationssäkerhet ha förbättrats bland organisationer genom olika säkerhetsåtgärder. Dessutom har kommunikationen med kunder förenklats, när informationssäkerhet diskuteras. Studien undersöker ISO/IEC 27001-certifierings påverkan hos flera organisationer, för att få en diversitet på den insamlade empirin. Detta genomfördes med en informant per organisation, med överblick över både organisationen och certifieringen. Studien undersöker organisationer som redan är certifierade, då organisationen ska ha implementerat ISO/IEC 27001-standarden. Varken certifieringsprocessen, säkerhetsåtgärder, implementationen av eller tillämpningen av ledningssystemet har undersökts i denna studie. / Society today is more connected and handles more information than ever before. The information is handled to a greater extent by IT systems, where the requirements for secure information management have increased. To manage this increase in information flow, organization can implement an information security management system (ISMS). It takes both time and resources to design and implement an ISMS. For this investment to be profitable, it should also provide additional value for companies. In order to standardize and specify the structure of ISMS, ISO/IEC 27001 (Standard for ISMS) has been developed and implemented by companies all over the world. The purpose of this study is to identify the changes that an ISO/IEC 27001-certification leads to for small organisations in Sweden. An interview study has been conducted and semi-structured interviews has been used for data collection. Based on the collected empirical evidence, six categories have been identified and described thematically for each informant. The study shows that organisations get a better process and control over information security and a strengthened information security culture. In addition, information security is said to have improved among organisations through various security measures. In addition communications with customers have been simplified, whenever information security is discussed. The study examines the impact of ISO/IEC 27001-certification on four organisations, in order to ensure diversity of the empirical evidence collected. This was done with one informant per organisation, with an overview of both the organisation and the certification. The study examines organisations that are already certified, since the organisation need to have implemented the ISO/IEC 27001 standard. Neither the certification process, the security measures, the implementation nor the application of the management system have been investigated in this study.
|
233 |
Security Management : Fulfillment of the Government Requirements for a component assurance processKukuruzovic, Naida January 2016 (has links)
Protecting organization’s assets from various security threats is a necessity for every organization. Efficient security management is vital to effectively protect the organization’s assets. However, the process of implementing efficient security management is complex and needs to address many requirements. The problem that this master’s thesis project addressed was to propose a component assurance process for the Swedish Armed Forces. This process has to be followed in order for a solution or product to be approved at a specific component assurance level. This problem was solved by first performing market research regarding security management. Various security management approaches were examined and the top security management solutions were selected. These solutions were then compared with the assurance requirements stated in Swedish Armed Forces’ KSF v3.1 (Swedish: “Krav på IT-säkerhetsförmågor hos IT-system”, English: Requirements for IT security capabilities of IT systems). This documentation lists the requirements for information technology (IT) security capabilities of IT systems. The solution that satisfied the most of these requirements was selected and modified in order to satisfy the full set of requirements. Finally, a component assurance process is proposed. This process may be used to decide which solutions or products can be used, along with the manner in which each solution or product should be used. The impact of having a component assurance process is that all the solutions and products are approved to a specific component assurance level exclusively based on this process. The ability to include such requirements in the acquisition of any product or service provides the Swedish Armed Forces with assurance that all products or services are approved to specific assurance levels in the same manner and hence provides the Swedish society with assurance that procedures within the Swedish Armed Forces are documented and protect the interests of the country and its citizens. / För varje organisation är det nödvändigt att skydda information från olika säkerhetshot. Att ha en effektiv säkerhetshantering är avgörande för att kunna skydda informationen. Denna process är komplex och många krav måste tillfredsställas. Problemet som detta examensarbete avser att lösa handlar om hur införandet av en assuransprocess kommer påverka Försvarsmakten. Denna process måste följas för att en lösning eller produkt ska godkännas till en specifik komponents säkerhetsnivå. Frågeställningen besvaras i första hand av en marknadsundersökning om säkerhetshantering. Olika säkerhetshanteringsstrategier undersöktes och de bästa säkerhetslösningar valdes. Lösningarna jämfördes därefter med de assuranskrav som anges i Försvarsmaktens KSF V3.1 (Krav på IT säkerhetsförmågor hos IT – system) som är den dokumentation som anger kraven för IT säkerhetsfunktioner i ett IT system. Lösningen som uppfyllde de flesta kraven valdes och modifierades för att uppfylla samtliga kraven. Slutligen rekommenderades en komponent assuransprocess, vilken skulle kunna användas för att avgöra vilken lösning eller produkt som skulle kunna användas samt på vilket sätt det skulle kunna användas. Möjligheten att införa sådana krav i förvärvet av vilken produkt eller tjänst det än gäller förser Försvarsmakten med garantier för att alla produkter eller tjänster är godkända enligt särskilda säkringsnivåer på samma sätt och därmed försäkras det svenska samhället att förfaranden inom svenska väpnade krafter dokumenteras samt skyddar landet och dess medborgare. / Säkerhetshantering, informationssäkerhet, autentisering, auktorisering, styrning, riskhantering, följsamhet, användaradministration
|
234 |
Lingvistisk knäckning av lösenordsfraser / Linguistical passphrase crackingSparell, Peder January 2015 (has links)
För att minnas långa lösenord är det inte ovanligt att användare rekommenderas att skapa en mening som sedan sätts ihop till ett långt lösenord, en lösenordsfras. Informationsteoretiskt sett är dock ett språk väldigt begränsat och förutsägbart, varför enligt Shannons definition av informationsteori en språkriktig lösenordsfras bör vara relativt lätt att knäcka. Detta arbete riktar in sig på knäckning av språkriktiga lösenordsfraser, dels i syfte att avgöra i vilken grad det är tillrådligt att basera en lösenordspolicy på lösenordsfraser för skydd av data, dels för att allmänt tillgängliga effektiva metoder idag saknas för att knäcka så långa lösenord. Inom arbetet genererades fraser för vidare användning av tillgängliga knäckningsprogram, och språket i fraserna modelleras med hjälp av en Markov-process. I denna process byggs fraserna upp genom att det används antal observerade förekomster av följder av bokstäver eller ord i en källtext, så kallade n-gram, för att avgöra möjliga/troliga nästkommande bokstav/ord i fraserna. Arbetet visar att genom att skapa modeller över språket kan språkriktiga lösenordsfraser knäckas på ett praktiskt användbart sätt jämfört med uttömmande sökning. / In order to remember long passwords, it is not uncommon users are recommended to create a sentence which then is assembled to form a long password, a passphrase. However, theoretically a language is very limited and predictable, why a linguistically correct passphrase according to Shannon's definition of information theory should be relatively easy to crack. This work focuses on cracking linguistically correct passphrases, partly to determine to what extent it is advisable to base a password policy on such phrases for protection of data, and partly because today, widely available effective methods to crack these long passwords are missing. Within the work of this thesis, phrases were generated for further processing by available cracking applications, and the language of the phrases were modeled using a Markov process. In this process, phrases were built up by using the number of observed instances of subsequent characters or words in a source text, known as n-grams, to determine the possible/probable next character/word in the phrases. The work shows that by creating models of language, linguistically correct passphrases can be broken in a practical way compared to an exhaustive search.
|
235 |
Känslig hälsoinformation i händerna på oerfarna studenter : En enkätstudie om läkarstudenters kunskap, attityd och beteende gällande informationssäkerhetSäfström, Märta, Ereback, Estrid January 2021 (has links)
The more digital the healthcare sector gets, the more considerable is the need for good information security within the sector. A group that, already during its education, gets in contact with sensitive information is medical students. Previous studies show that medical students run a significant risk of mishandling sensitive information during their medicinal internship. The goal of this study is to investigate what level of knowledge the medicinal students possess about information security and to see to what extent that affects their attitude towards information security and behavior in information security contexts. A survey based research method is used with an online questionnaire and the study has its theoretical base in the knowledge-attitude-behavior model and in prior studies performed within the same area of research. The questionnaire is created with inspiration from the HAIS-Q, which is an already tested questionnaire that is used to examine information security awareness. The result shows that the medicinal students have a higher level of knowledge about information security compared to their attitude towards information security and behavior in information security contexts. The result also indicates that higher levels of knowledge lead to better attitudes and behaviors. A recommendation for further studies within the topic is suggested, preferably on a larger sample where researchers can look at differences between universities in order to get a more holistic picture of the situation. The HAIS-Q should be evaluated more thoroughly as a research method since this study identifies shortcomings associated with the method. / Med ökad digitalisering inom vården ökar behovet av god informationssäkerhet inom hälso- och sjukvård. Läkarstudenter är en grupp som redan under sin utbildning kommer i kontakt med mycket känslig information och studier visar på att studenter inom hälso- och sjukvård löper stor risk att hantera känslig information felaktigt under sin praktik. Syftet med den här studien är att mäta hur bra kunskap läkarstudenter har om informationssäkerhet och hur stor inverkan detta har på deras attityd och beteende i informationssäkerhetsfrågor. För att testa detta utförs en enkätundersökning online med teoretisk utgångspunkt i kunskap-attityd-beteende-modellen samt tidigare studier gjorda inom samma område. Enkäten utformas med stor inspiration från HAIS-Q, vilket är en beprövad enkätmetod för att mäta informationssäkerhetsmedvetenhet. Resultatet visar på att läkarstudenterna uppvisar bättre kunskap än attityd och beteende i informationssäkerhetsfrågor. Genom studien identifieras även att kunskap har en positiv inverkan på attityd och beteende, där det går att se att ökad kunskap leder till bättre attityd och beteende. Slutsatserna innefattar bland annat rekommendationer om fortsatta undersökningar inom området med större urvalsgrupp där jämförelser mellan olika lärosäten bör göras för att få en med holistisk bild av situationen. En mer noggrann utvärdering av HAIS-Q som enkätmetod bör också genomföras då denna undersökning identifierar brister med metoden.
|
236 |
Molntjänster i kommuner: en studie om rättsliga och informationssäkerhetsmässiga aspekter kring arbetet med molntjänster / Cloud computing in municipalities: a study of legal and information security aspects around the work with cloud computingFarah, Hamza Hayd, Aden, Ayan Ali January 2020 (has links)
I samband med digitaliseringens framfart hanteras, lagras samt används information av allatyper av verksamheter. Den ökade digitaliseringen av samhället har bidragit till en förhöjdefterfrågan av innovativa teknologier såsom molntjänster. Molntjänster är en populär teknik vilken erbjuder skalbara IT-lösningar på begäran över internet och vilken har signifikanta fördelar när det gäller kostnadsreducering och säker IT-drift. Trots de positiva aspekterna med molntjänster uppkommer nya rättsliga och säkerhetsmässiga problem vilka inte tidigare existerat i den traditionella IT-infrastrukturen, såsom datalokalisering samt säkerhet och integritet av information. Syftet med detta arbete är att analysera samt undersöka legala och säkerhetsmässiga åtgärder som de undersökta kommunerna vidtar vid hantering av information i molnet. Studien genomfördes i form av en kvalitativ studie, där sju semistrukturerade intervjuer utfördes. Resultatet tyder på att de undersökta kommunernas val av molntjänstleverantör beror på flertal aspekter såsom den geografiska placeringen av data samt säkerhet på information i molntjänsten. Vidare visar resultatet att kommunerna genomför åtgärder såsom att utbilda sina medarbetare samt klassificera information som kommer att lagras i molnet. / Information is handled, processed, stored, and used by all types of businesses as a result of progress in digitalization. The increased digitalization of society has contributed to an increased demand for innovative technologies such as cloud computing. Cloud computing is a popular technology that offers scalable IT solutions on demand over the Internet, and which has major advantages regarding cost reduction and secure IT operations. Despite the positive aspects of cloud computing, new legal and security issues are emerging which have not previously existed in the traditional IT infrastructure, such as data localization and the security and integrity of information. The purpose of this work is to analyze and investigate legal and security measures that the surveyed municipalities take when handling information in the cloud. The study was conducted in the form of a qualitative study, in which seven semi-structured interviews were conducted. The results indicate that the surveyed municipalities' choice of cloud computing provider depends on several aspects such as the geographical location of data and security of information in cloud computing. Furthermore, the results show that the municipalities implement measures such as training their employees and classifying information that will be stored in the cloud.
|
237 |
Webbläsares inbyggda lösenordshanterare : Faktorer som påverkar privatpersoners användning/ickeanvändning av webbläsares inbyggda lösenordshanterare / Web-browsers built-in password managers : Factors affecting the use/non-use of browsers' built-in password managers by individualsKlaar, Jonathan, Masak, Allen January 2021 (has links)
Kunskap om lösenord och deras säkerhet är idag något som förbises av den gemene datoranvändaren. Lösenordshanterare kan både hjälpa och skydda vid hanteringen av lösenord. De flesta webbläsare idag har inbyggda funktioner för lösenordshantering. Utifrån existerande litteratur kunde det identifieras att det behövs data kring vilka faktorer som påverkar webbläsares användare att använda respektive inte använda dessa inbyggda lösenordshanterare. Syftet med rapporten är att presentera en analys av faktorer som påverkar varför privatpersoner väljer att använda respektive inte använda webbläsares inbyggda lösenordshanterare. Resultatet presenteras med hjälp av kvalitativa semi-strukturerade intervjuer där 33 respondenter deltagit och besvarat frågor kring deras hantering av lösenord och användning av webbläsares inbyggda lösenordshanterare. Resultat från intervjuer visade att faktorer som var av betydande roll för ickeanvändande respondenter var starkt kopplade till datorvana och hur ofta respondenter använde datorn. De faktorer som spelade störst roll för användare av verktyget var enkelhet och tidseffektivitet. Icke-användare tenderade att ha en behovsbrist gällande verktyget, mestadels på grund av deras avsaknad av datoranvändning. Faktorer som påverkar användare och icke-användare visade sig stämma överens med tidigare forskning. Dessutom sammanfattades att antalet respondenter som var användare av lösenordshanterare var betydligt högre än vad som tidigare hävdats i litteratur. Majoriteten av respondenterna (79%) var användare av lösenordshanterare, vilket motsäger tidigare studier som utförts där endast 23% använder sig av lösenordshanterare. / Knowledge of passwords and their security is today something that is overlooked by the everyday computer user. Password managers can both help and protect when managing passwords. Most web browsers today have built-in password management features. Based on existing literature, it could be identified that there is a need for knowledge concerning which factors influence web browser users to use or not use their built-in password managers. The purpose of the report is to present an analysis of factors that affect why private individuals choose to use or not use browsers built-in password managers. The results are presented with the help of qualitative semi-structured interviews in which 33 respondents participated and answered questions about their handling of passwords and the use of web browsers built-in password managers. Results from the interviews showed that factors that were significant for non-user respondents were strongly linked to computer skills and how often respondents used the computer. The factors that played the biggest role for users of the tool were simplicity and time efficiency. Non-users tended to have a lack of need for the tool, mostly because of their lack of computer usage. Factors affecting users and non-users were found to be consistent with previous research. In addition, it was concluded that the number of respondents who were users of password managers was significantly higher than previously claimed in the literature. The majority of respondents (79%) were users of password managers, which contradicts previous studies conducted where only 23% use password managers.
|
238 |
Den digitalt suveräna staten : En undersökning av inställningen till nationell datalagring av personuppgifter hos statliga myndigheter / The digitally sovereign state : An investigation into the attitude towards national data storage of personal data within Swedish public authoritiesGordon Hultsjö, Joel January 2021 (has links)
The number of scandals during the past years regarding the use and misuse of digital storage of personal infor-mation in combination with the implementation of the General Data Protection Regulation (GDPR) within the EU member states, has resulted in a resurfaced discussion of sovereignty within the public sphere in relation to the storage of digital information. This master thesis examines the attitudes towards national data storage of personal data within twenty Swedish public agencies in the context of the analytical term Digital sovereignty.The thesis uses semi-structured interviews with employees working with data protection and qualitative con-tent analysis of internal documents connected to personal data management, in order to examine Swedish govern-ment agencies attitudes towards national data storage of personal information. The responses of the interviews and the internal policy documents in the area of personal data protections is viewed through the analytic term Digital sovereignty. The government agency the Swedish social security agency’s definition of Digital sovereignty is used in the thesis, which focuses on national governments ability to have control over both the technical and geograph-ical processing and storage of their citizen’s personal data.The thesis concludes that Swedish authorities takes the risk of transfer of personal data to third countries outside of the EU very seriously, while they also see the need to find legal ways to transfer personal data to these same countries. The thesis also concludes that Swedish government agencies try to avoid cloud services and are cautious in their use due to the implications they have for information and data security, while other research have shown that cloud services are used extensively within Swedish government agencies. The thesis also concludes that there is a lack of interest in national data storage of personal information within Swedish government, which can partially be attributed to the relationship between the General Data Protections Regulation and data storage regulation on a national level in Sweden. This leads to the final conclusion in this thesis, which is that there is some indication that the future of storage of personal data with the EU member states lies not in nationally managed cloud services, but rather in a federated cloud service on EU-level such as the currently ongoing project Gaia-X. This is a two years master's thesis in Archival science.
|
239 |
Efterlevnad av policy och informationssäkerhetsarbete : En fallstudie om informationssäkerhetspolicys på småföretag inom vårdbranschenRamstedt, Moa, Saxunger, Viktor January 2022 (has links)
This thesis examines the information security awareness and compliance to related policies by employees at small companies, and to which degree the company’s policies fulfil requirements according to standards for security policies. A case study was carried out at a small healthcare company by collecting and analysing information security related documents and by conducting interviews with employees. The assessment of the company’s policy documents was made by comparing them to policy requirements established by the ISO 27000 standards. The information security awareness and policy compliance at the company was graded using an information security maturity model with a scale of 0 to 5. The highest degree of policy compliance was found in rules regarding anonymising sensitive information in text-based communication and deleting it when it is no longer needed. Compliance to mail and password routines was identified as the most neglected part of analysed policy documents. The awareness and policy compliance at the company conforms to level 2 of the maturity model. As for the policy documents, they partly or fully fulfilled a majority of the ISO requirements included in the comparison. However, 7 out of 17 requirements were missing completely in the policy documents, and only two out of eight requirement categories were fully fulfilled. The requirement category that the policy documents fulfilled to the highest degree concerned protecting sensitive information during transfer, while the biggest shortage concerned requirements on having documentation establishing a regular control systems and education on information security and policies within the organisation.
|
240 |
Ransomware-attacker : En kvalitativ studie kring informationssäkerhetsarbetet inom mindre svenska kommunerJärgenstedt, Tindra, Kvernplassen, Nelly January 2023 (has links)
Ransomware-attacker har blivit ett allt större hot i och med samhällets ständigt pågående digitalisering. Denna studie undersöker vilka faktorer som är viktiga för att förhindra ransomware-attacker mot mindre svenska kommuner. För att åstadkomma detta genomfördes semistrukturerade intervjuer med sex olika respondenter. De som intervjuades arbetade alla i mindre svenska kommuner och hade god insyn och kunskap kring kommunens IT- och informationssäkerhetsarbete. Materialet analyserades sedan utifrån Protection Motivation Theory (PMT). Studien diskuterar både kommunernas attityd till informationssäkerhet samt konstaterar vilka säkerhetsåtgärder som utmärker sig som viktigast. Dessa var skyddade säkerhetskopior, utbildning samt kontinuitetsplaner kopplade till just IT-attacker. / Ransomware attacks have become an increasing threat with the ongoing digitalization of society. This study investigates what factors are important to prevent ransomware attacks against smaller Swedish municipalities. To accomplish this, semi-structured interviews were conducted with six different respondents. The interviewees all worked in smaller Swedish municipalities and had good insight and knowledge of the municipality's IT and information security work. The material was then analyzed using Protection Motivation Theory (PMT). The study discusses both the municipalities' attitude to information security and notes which security measures stand out as most important. These were protected backups, education and continuity plans linked to IT attacks. The paper then concludes with suggestions for further research.
|
Page generated in 0.1225 seconds