en server som avsiktligt har lämnats oskyddad. – En bastionserver är ansluten till internet, men den är inte skyddad av brandvägg eller demilitariserad zon (DMZ). Bastionservrar är oskyddade antingen:
- – för att det är rimligt på grund av serverns funktion, till exempel om det är en webbserver eller en namnserver;
- – därför att bastionserverns uppgift är att dra på sig angrepp och därmed skydda resten av systemet.
– Bastionservrar brukar vara rensade från allt som inte är nödvändigt, och de kör vanligen en enda applikation eller tjänst. De brukar inte heller innehålla lösenord eller annan information som ger tillgång till resten av nätverket. – På engelska: bastion host eller bastion server.
[attacker] [internet] [ändrad 8 augusti 2021]
(TLS) – ett protokoll för säker dataöverföring på webben, avsett att vara ersättare för SSL. Det ingår i HTTPS. – TLS krypterar den datamängd som ska överföras och kontrollerar motpartens identitet. TLS är rätt likt SSL, men de två protokollen är inte utbytbara. – TLS har varit i bruk sedan början av 2000‑talet jämsides med SSL. Många nyare tillämpningar av SSL hanterar både SSL och TLS. – I augusti 2014 meddelade Google att företaget kommer att ge webbsidor som skyddas med TLS högre rankning än sidor som inte använder TLS (se denna länk). – Läs mer om TLS på internets tekniska ledningsgrupp IETF:s webbsidor i RFC 5246 – se här.
[it-säkerhet] [rfc] [webben] [ändrad 24 december 2020]
användning av en annan persons identitetsuppgifter på ett sätt som medför skada eller olägenhet för den drabbade. – Detta är förbjudet i svensk lag sedan den 1 juli 2016. – Den statliga Egendomsskyddsutredningen föreslog 2013 att det skulle kriminaliseras (SOU 2013:85), se denna länk, där det kallas för identitetsintrång. Regeringen lade sedan fram ett förslag till Lagrådet (lagradet.se) i februari 2016, då med benämningen olaga identitetsanvändning. Förslaget röstades igenom i riksdagen och blev lag den 1 juli 2016, se denna länk, (kapitel 4, paragraf 6b). – Brottsliga handlingar som görs med stulen identitet var givetvis brottsliga redan tidigare, men nu är alltså identitetsintrånget som sådant också ett brott. Det kallas också för id‑stöld, id‑kapning, identitetsstöld och identitetskapning, på engelska: identity theft, identity fraud eller identity usurpation. Lagen gäller däremot inte när en person skaffar sig flera identiteter som inte är stulna, utan knutna till hennes egen fysiska person. – Förslaget i Egendomsskyddsutredningen blev kritiserat för att det bara tog upp bedrägerier, men inte när identitetsintrång används för nätmobbning, förföljelser och andra trakasserier. I regeringens förslag till Lagrådet räknades därför olaga identitetsanvändning som en form av olaga förföljelse. – Myndigheten för samhällsskydd och beredskap (MSB) har ett test för risken att råka ut för id‑kapning på idkapning.msb.se. – Se också impostering och läs om Samverkan mot id‑intrång (SMID).
– Amerikanska Identity theft resource center (länk) skiljer mellan fem typer av identitetsstöld:
- – Criminal identity theft – det att någon som grips för ett brott uppger någon annans identitet;
- – Financial identity theft – identitetsintrång i syfte att komma över pengar eller varor;
- – Identity cloning – det att man tar över någon annans identitet och lever som den personen i det dagliga livet;
- – Medical identity theft – användande av någon annans identitet för att få tillgång till sjukvård, läkemedel eller falska läkarintyg;
- – Child identity theft – användande av ett barns identitetsuppgifter i bedrägligt syfte.
[identifiering] [it-relaterad brottslighet] [lagar] [personlig integritet] [ändrad 21 november 2018]
tjänst eller nätverk som en användare har tillgång till utan att hon behöver logga in, förutsatt att hon redan är inloggad på en annan tjänst som samarbetar med den andra. – Den tjänst som användaren redan är inloggad på skickar ett intyg (en biljett) till den tjänst som hon önskar logga in på. Om biljetten är giltig loggas hon in utan att behöva ange användarnamn och lösenord eller annan form av autentisering. Observera att biljetten inte innehåller lösenord eller annan information som används vid vanlig autentisering. På engelska: relying party, förkortat RP. – Se också gemensam inloggning, identitetsfederation, identitetsintygare och samordnad identitetshantering.
[lösenord] [ändrad 15 oktober 2018]
funktion som bekräftar att en användare av en tjänst eller ett nätverk med gemensam inloggning har rätt att logga in. Detta sker över nätet varje gång användaren loggar in. Det är identitetsintygaren som har katalogen över godkända användare och deras lösenord. Den tjänst som användaren vill logga in på behöver därför inte ha en sådan katalog. När användaren loggar in och anger användarnamn och lösenord skickar identitetsintygaren en instruktion till tjänsten om att användaren ska få tillgång till tjänsten. Kallas också för identitetsintygsutgivare eller identitetsleverantör. På engelska: identity provider, förkortat IdP.
[inloggning] [ändrad 15 oktober 2018]
kryptering där varje individuellt tecken i klartexten kan motsvaras av flera olika tecken i kryptotexten. Till exempel kan bokstaven S enligt ett slumpmässigt mönster kodas som flera olika tecken – fast alla de tecknen står för S. – Syftet med homofon kryptering är att försvåra forcering av krypterade meddelanden. Vissa bokstäver, som S, är nämligen vanligare än andra i text, medan till exempel W och Q är ovanliga på svenska. Det kan ge en ledtråd åt den som försöker forcera kryptotexten. Det är därför önskvärt att göra alla tecken ungefär lika vanliga. Det gör man i homofon kryptering genom att ersätta S och andra vanliga bokstäver med flera olika tecken. Då jämnar man ut skillnaderna mellan olika bokstävers förekomst. Det gör det svårare att forcera kryptotexten. – På engelska: homophonic encryption. Man talar också om homofont chiffer – homophonic cipher. – Se också homofon.
[kryptering] [ändrad 6 juli 2020]
företaget som tillverkade Blackphone†. Blackphone är en smart mobil med skydd mot avlyssning. SGP Technologies grundades för att tillverka och marknadsföra Blackphone. Det är hemmahörande i Schweiz och ägs av företaget Silent circle, tidigare tillsammans med Geeksphone. – SGP Technologies finns på silentcircle.com.
[företag] [it-säkerhet] [mobilt] [personlig integritet] [ändrad 7 juni 2017]
en allvarlig sårbarhet i USB‑systemet. Den blev känd sommaren 2014. (Egentligen är BadUSB namnet på ett program som demonstrerar hur sårbarheten kan utnyttjas.) – Sårbarheten bygger på de fasta program (firmware) som ingår i varje USB‑minne, och som styr dess funktioner. Dessa program finns kvar i det fasta minnet även om man raderar allt som finns i det minne som är tillgängligt för användaren. Bland annat talar dessa program om för annan utrustning vad USB‑enheten har för funktion – är den en dator, en kamera, ett USB‑minne… Men det är möjligt, med rätt kunskaper, att programmera om det fasta minnet så att ett vanligt USB‑minne till exempel presenterar sig för en dator som ett tangentbord, och matar in förprogrammerade instruktioner. Det kan då installera program, tjuvlyssna på internettrafik och göra allt annat som USB‑ansluten utrustning kan göra. Dock utan att vare sig USB‑minnets ägare eller den angripna datorns ägare behöver vara medvetna om det. Manipulationen av USB‑minnets fasta minne upptäcks inte vid en vanlig säkerhetskontroll. För att sårbarheten ska elimineras krävs att programmen i fast minne på USB skrivs om och installeras om på all sammankopplad utrustning med USB. – Sårbarheten upptäcktes 2014 av säkerhetsforskarna Karsten Nohl (tyska Wikipedia) och Jakob Lell (blogg). De presenterade sina rön på säkerhetskonferensen Black hat i augusti 2014. (Video från presentationen finns på Youtube.) Nohl och Lell har också skrivit programmet BadUSB för att demonstrera sårbarheten. – Läs mer i Wired.
[sårbarheter] [usb] [ändrad 28 februari 2018]
hackare som begår dataintrång utan tillstånd, och som sedan publicerar hur det gick till – allt för att tvinga fram höjd it‑säkerhet. Syftet är alltså inte att begå brott. (Förutom själva intrånget.) – Jämför med white hat hacker, black hat hacker och samuraj. – Förklaring till hatt‑namnen finns under white hat hacker.
[hackare] [ändrad 21 mars 2018]
– att hacka:
- – skaffa sig tillgång till filer och andra resurser i ett it-system, trots att man inte har behörighet att använda dem. I princip att begå dataintrång. Även: att göra ändringar i ett it-system utan tillstånd. – Se också jailbreak;
- – att göra ett hack;
- – att experimentera med olika smarta sätt att lösa ett problem. Det behöver inte ha med it att göra, se till exempel growth hacking.
– På engelska: to hack. – Se också hackare.
[hackare] [it-säkerhet] [språktips] [ändrad 10 augusti 2019]