Till startsida
Webbkarta
Till innehåll Läs mer om hur kakor används på gu.se

Om konsten att ligga steget före en hacker - intervju med Andrei Sabelfeld

Med hjälp av programmeringsspråkteknik kan man spåra exakt vad som händer i systemen och det är viktigt för att kunna analysera säkerhetenAndrei Sabelfeld kom till Sverige som doktorand 1996 och fastnade för det då ganska outforskade ämnet datasäkerhet. Nu har Andrei blivit befordrad till biträdande professor vid institutionen för data- och informationsteknik. Datasäkerhet är ett hett område och behoven av tillförlitliga system bara ökar.

- Vi vill skapa datorprogram som är säkra i grunden och som minimerar risken för att känslig information läcker ut – och det gör vi genom att vidareutveckla programmeringsspråk, säger Andrei Sabelfeld.

Andrei Sabelfeld forskar på teknik där man använder sig av programmeringsspråk i olika säkerhetstillämpningar. En typisk situation är t.ex. när man handlar på nätet och ska överföra mycket känslig information vid betalningen. När man knappar in sitt kreditkortnummer behöver webbläsaren verifiera vissa saker, som att det verkligen rör sig om ett kortnummer, att kortet fortfarande är giltigt etc. Men verifieringen innebär samtidigt en säkerhetsrisk och ett tillfälle när utomstående kan komma åt koden.

Ett sätt för obehöriga att ta sig in i verifieringssystemet kan vara att skriva in en egen bit kod i något fält som webbskaparna har glömt att skydda för intrång, t.ex. ett sökfält. Ett annat sätt kan vara att lägga in koden i ett oskyddat diskussionsfält på olika webbforum.

Lite för vanligt med säkerhetsluckor på Internet

Det kan verka lätt att åstadkomma, men i praktiken är det svårare än man tror att hitta metoder som förhindrar intrång i sökrutor och diskussionsfält. Reglerna för vilken sorts tecken som får förekomma i rutorna t.ex, går nästan alltid att kringgå. Samtidigt är det lite märkligt att kända säkerhetsproblem inte åtgärdas i högre utsträckning - det finns ändå en hel del man kan göra.

- Jag höll en kurs i språkbaserad datasäkerhet nu i vår, där studenterna fick i uppgift att kartlägga webbsiter med säkerhetsproblem – och studenterna hittade ett stort antal. Trots att det finns listor över osäkra siter runt om i världen, är det inte alltid webbinnehavarna gör något åt saken.

Med hjälp av programmeringsspråkteknik kan man spåra exakt vad som händer i systemen och det är viktigt för att kunna analysera säkerheten. Andrei jobbar med att skapa nya verktyg som är baserade på programmeringsspråk och som man t.ex. kan lägga in som ett tillägg i en webbläsare.

Många företag efterfrågar djupgående datasäkerhet

- Datasäkerhet är mycket efterfrågad av företagen idag och vi har många projekt på gång, säger Andrei. Ibland är det företagen som söker upp oss och ibland är det vi som kontaktar dem. Just nu har vi samarbeten med företag som Microsoft, SAP och Siemens, som är i behov av vår expertis för att få en mer djupgående datasäkerhet i sina system. Jag har också kontakt med Brendan Eich, CTO vid Mozilla Corporation, eftersom de vill utveckla säkerheten genom att kontrollera informationsflöden i Firefox webbläsare.

Sammankopplade funktioner en utmaning när det gäller säkerhet

Något som i dagsläget är väldigt hett inom datasäkerhet är att lösa problem inom området "mashup". Med mashup avses webbapplikationer som sammanställer information och funktioner från flera olika källor. Ett exempel kan vara en webbsida med lediga lägenheter och som kombineras med Google Maps där lägenheterna visas ut på kartan. För att åstadkomma detta *måste* informationen integreras, men man vill samtidigt inte att de känsliga databaserna släpper ifrån sig för mycket information. Därför behöver man ett säkert datorprogram som kan filtrera hemlig information från offentlig information.

Dynamiska analysverktyg som tillägg i program

- Vi arbetar även med att utveckla verktyg för befintliga program och även de verktygen är baserade på programmeringsspråk, säger Andrei. Man skiljer på statisk analys och dynamisk analys. Statisk analys är något som utvecklarna kör och som avgör säkerheten i ett program innan det används. Dynamiska analysverktyg ingår i slutprodukten, till exempel som ett tillägg till Mozilla Firefox, och verktyget analyserar informationsflödet medan webbprogrammet körs. Det finns ett problem med att hitta rätt balans i säkerhetsanalysen, om programmet kräver mycket hög säkerhet för att visa en sida finns risken att systemet nästan inte släpper igenom någon information alls. Att hitta rätt balans är en av områdets viktiga utmaningar.

En Volgatysk från Novosibirsk

Andrei Sabelfeld kommer ursprungligen från Novosibirsk i Ryssland, men har numera både svenskt, ryskt och tyskt medborgarskap. Andreis släkt tillhör de så kallade Volgatyskarna, ursprungligen ungefär 200 000 tyskar som under drygt tvåhundra år bodde som en tyskspråkig enklav runt floden Volga i Ryssland. Men under andra världskriget fick Stalin kalla fötter vid tanken på att ha så många tyskar boende i centrala Ryssland och deporterade dem till Sibirien och Kazakstan. Sedan dess har tyskarna blandats med den ryska befolkningen och både Andrei och hans fru har en förälder som är ryss och en som härstammar från Volgatyskarna.

Språkbaserad datasäkerhet är ett område som vuxit snabbt

Andrei har sin grundutbildning i matematik och datavetenskap från Novosibirsk och han kom år 1996 som doktorand till institutionen för data- och informationsteknik, vilken är gemensam mellan Göteborgs universitet och Chalmers. Han antogs som ”obunden” doktorand och fick själv välja ämnesinriktning. Efter att ha pratat med olika forskare på institutionen fastnade Andrei för David Sands projekt där man just hade börjat titta på datasäkerhet. I början var språkbaserad datasäkerhet ett väldigt litet område, men det har snabbt vuxit sig större. Andrei berättar att han år 2003 skrev en artikel som utgjorde en översikt över all forskning inom området - idag skulle det bli en mycket tjock bok om han försökte sig på samma sak.

Jodå, Andrei betalar faktiskt via nätet…

På frågan om Andrei själv betalar via nätet svarar han att det gör han faktiskt, men som säkerhetsåtgärd använder han sig av ett kort med en mycket begränsad summa pengar på. Det finns också engångskort som man kan få av banken och som är fördelaktiga vid nätbeställningar. Om man betalar via nätet, ska man åtminstone vara vaksam på hur webbsidan ser ut och kontrollera att det lilla hänglåset som symboliserar kryptering verkligen dyker upp på rätt plats.

Fick utmärkelsen ”Framtidens forskningsledare”

Utmärkelserna har duggat tätt på senare tid. År 2008 utsågs Andrei till exempel till en av ”Framtidens forskningsledare” av Stiftelsen för Strategisk forskning, SSF. Syftet med det ekonomiska bidraget är enligt SSF att ”placera ett antal synnerligen lovande yngre forskare i förarsätet och ge dem möjlighet att bygga upp egna självständiga forskargrupper med internationell slagkraft”. Senaste utmärkelsen för Andrei består i av att ha blivit utsedd årets forskarhandledare vid Chalmers tekniska högskola 2010, med motiveringen ”för att han sätter sina doktorander i första rummet och får dem att känna sig högt prioriterade”.

Andrei har även blivit inbjuden att föreläsa för dataloger på Marktoberdorf Summer School både 2009 och 2011, vilket för oss oinvidga beskrivs som ett Mecka för dataloger. Och under 2010 tillträder Andrei Sabelfeld som biträdande professor i data- och informationsteknik.

 

Text: Catharina Jerkbrant

juni 2010
 



Kontaktinformation:

Andrei Sabelfeld
Institutionen för data- och informationsteknik
+46 (0)31 772 10 18

 

Månadens profil

Andrei Sabelfeld
Andrei Sabelfeld från Novosibirsk forskar på olika tekniker där man använder programmeringsspråk för att skapa säkra datorprogram.

Sidansvarig: Catharina Jerkbrant|Sidan uppdaterades: 2011-05-12
Dela:

På Göteborgs universitet använder vi kakor (cookies) för att webbplatsen ska fungera på ett bra sätt för dig. Genom att surfa vidare godkänner du att vi använder kakor.  Vad är kakor?