Fastholder at han ikke visste noe

Etter at digi i går skrev om serversurr hos Telenor pluss Riksnett som mente at den siktedes opplysninger var troverdige, har redaksjonen i dag fått oversendt et nytt notat fra siktede gjennom siktedes advokat Kim Heger. Det lyder som følger:

"[Overstrøket tekst] Det bør derfor presiseres - som jeg også understreket i avhørene - at jeg ikke hadde - og heller ikke hadde grunn til å ha - noen bestemt oppfatning om hvor Doktor Online rent fysisk var lokalisert.

Den fysiske lokaliseringen hadde ingen praktisk betydning for min utførelse av de arbeidsoppgaver jeg var tildelt. Alt jeg - eller enhver annen internettbruker - behøvde å skrive i adresselinjen i Netscape (det programmet som viser frem hjemmesidene på din datamaskin) var http://www.doktoronline.no og så trykke enter-tasten på datamaskinens tastatur. Denne adressen forteller med andre ord ingenting om den fysiske lokalisering av Doktor Online, bortsett fra at disse sidene var lokalisert i Norge (dette indikeres ved "no"). I endel andre tilfeller er det mulig å lokalisere server, for eksempel når man ser på adressen til min egen hjemmeside [overstrøket tekst]. Her kan man meget lett se at min hjemmeside rent fysisk er lokalisert på [overstrøket tekst] server i Norge, samt at mitt brukernavn er [overstrøket tekst]. Dette innebærer at jeg utfra adressen til Doktor Online ikke hadde mulighet til å etterprøve den fysiske lokalisering av sidene. Det bør også bemerkes at denne adressen ble oppgitt til Yes Interactive A/S fra Riksnett.

Jeg mener fremdeles bestemt at [overstrøket tekst] fortalte meg at Doktor Online lå på en egen server. Selv mener [overstrøket tekst] at han sa det var Riksnett sin server. Dette synes rimelig ettersom man fra Riksnett, ved key account manager Dagfinn Reinertsen, har uttalt at Yes Interactive AS hadde all mulig grunn til å tro at Doktor Online var fysisk lokalisert hos dem (jf. digi 14/4). Faktisk bekrefter Reinertsen også at Doktor Online ble overført til en annen server: "Hjemmet Mortensens publikasjoner har i det hele tatt levd et nomadeliv den siste tiden, blant annet fordi publikasjonene først ble flyttet over til en server hos Nye SOL før de kom til Riksnett". (digi 14/4)

Videre innebærer det faktum at avtalen mellom Hjemmet Mortensen og Telenor Nextel var gått ut, at det ikke lenger var noen grunn til å tro at Doktor Onlines hjemmesider var lokalisert sammen med hjemmesidene Telenor Nextel forvaltet, ettersom Telenor Nextel rent faktisk ikke forvaltet disse sidene lenger.

I sum innebærer dette at jeg ikke kan se at jeg hadde noen som helst grunn til å få mistanke om at min sikkerhetstest av Doktor Onlines hjemmesider kunne komme ut av kontroll.

Om sikkerhetstesten i seg selv bør følgende presiseres: Dette er en svært effektiv test, som er enkel å foreta, og fremfor alt gir den raske og utvetydige svar på om det mistenkte sikkerhetshullet eksisterte. Denne testen fremstår heller ikke i seg selv som kontroversiell eller tvilsom sett fra et prinsipielt ståsted. Faktisk hevder Reinertsen (key account manager i Riksnett) at de anser det som naturlig at denne - og for den saks skyld andre sikkerhetstester - benyttes i arbeidet med å eliminere sikkerhetshull (digi 14/4).

Selv om denne testen prinsipielt og teoretisk er en god sikkerhetstest, medførte den i dette konkrete tilfellet konsekvenser det ikke var mulig å forutse. Dette skyldes at den tekniske kontekst må betegnes som høyst unormal. Man kan i utgangspunktet be en web-tjener om å utføre en hvilken som helst handling. Om den faktisk utfører den avhenger av de begrensninger den tekniske kontekst gir. Disse vil stoppe handlinger som den driftsansvarlige har definert som uønskede. Dette betyr - hypotetisk sett - at dersom man gjennomfører den før omtalte sikkerhetstest på en server med korrekte angivelser i den tekniske kontekst, vil definisjonene og begrensningene i den tekniske kontekst forhindre at omfanget blir av den størrelsesorden vi har sett i Telenor Nextel-saken.

Når den tekniske konteksten er mangelfull - det vil si at den driftsansvarlige ikke har lagt de nødvendige begrensninger (disse begrensningene defineres av hva slags funksjoner man ønsker å ivareta, således også hvilke handlinger man ønsker at brukerne skal kunne utføre) for hva web-tjeneren tillates å utføre, kan en feil i ett eneste program gi fatale konsekvenser. Slike feil i programmet er også driftsansvarliges ansvar, ettersom han skal gjennomgå programmene med tanke på å avdekke feil før de legges opp på serveren. [Overstrøket tekst]

I datamiljøer er Telenor Nextels mangelfulle tekniske kontekst blitt sammenliknet med å la være å låse døren når man forlater huset. En bedre sammenlikning er nok å forlate huset uten at kokeplaten er slått av."

Til toppen