Håkon Styri: - Historieløst fra Microsoft om hackere

Microsofts Scott Culp oppfordrer sikkerhetsfolk om å vise ansvar når man informerer om de sikkerhetshull og svakheter man finner. Det er bra. Men å kalle dagens praksis for "informasjonsanarki" er både dumt og historieløst, kommenterer Håkon Styri.

Microsofts Scott Culp har skrevet en artikkel hvor han oppfordrer sikkerhetsfolk om å ikke offentliggjøre så mye informasjon om sikkerhetshull og han peker på at crackere enkelte ganger får fullt ferdig kode til å lage ormer, virus og verktøy til å bryte seg inn på ubeskyttede nettsted. Nå er jeg helt enig i Culps oppfordring om å vise ansvar nå man skal informere om de sikkerhetshull og svakheter man finner, men der slutter også enigheten. Culp bruker begrepet informasjonsanarki om den praksisen som i dag følges for å varsle om sikkerhetshull. Da blir det litt dumt og veldig historieløst.


Situasjonen er at det ikke finnes noen internasjonal sertifisering av hvem som skal arbeide med sikkerhet og hvem som kan få kunnskap om detaljer om svakheter i datasystem.

Vi lever i et samfunn hvor informasjon flyter lett omkring og det er så godt som umulig å ha noen kontroll med hva slags informasjon som utveksles. Ondsinnede crackere får tilgang på denne informasjonen enten den flyter på overflaten eller utveksles i det skjulte.

Historien bak dagens situasjon
Det første omfattende angrepet av en orm på Internettet var i 1988 hvor kode skrevet av Robert T. Morris slo ut rundt 6.000 maskiner på Internettet. Den gangen var 6.000 maskiner en betydelig del av Internettet. Et resultat var at organisasjonen CERT (Computer Emergency Response Team) ble opprettet. En av funksjonene til CERT ble å håndtere meldinger om sikkerhetshull.

I teorien var det er ryddig system. Hvem som helst varslet CERT om et hull. CERT verifiserte at det virkelig var et problem og sendte informasjonen videre til den eller de produsentene problemet rammet, slik at feilen kunne bli rettet. CERT offentliggjorde ingenting før leverandørene hadde laget en løsning.

Problemet var at CERT etter hvert fikk mange feilrapporter og kom på etterskudd. Ettersom det ikke fantes noen tidsfrister tok mange produsenter problemrapportene med stor ro og brukte rikelig med tid før de kom med en løsning, hvis det kom noen løsning i det hele tatt. CERT kunne også være trege med å offentliggjøre løsningen. Dersom problemet omfattet system fra flere produsenter var det ønskelig så mange som mulig hadde laget en løsning før noe ble offentliggjort.

Mange ble etter hvert veldig frustrerte ettersom problemer de rapporterte ikke ble fulgt opp. I noen tilfeller nektet leverandørene for at det var noe problem og mente at det var så liten sannsynlighet for at hullet ville bli utnyttet at problemstillingen var hypotetisk.

Microsoft var en av disse vanskelige produsentene, men langt i fra den eneste.


Bugtraq og produsentene
For å gjøre en lang historie kort ble resultatet at enkelte grupper opprettet e-postlister og nettsteder som Bugtraq, som ble startet i 1993. Her ble sikkerhetshullene publisert for å legge press på leverandører som ikke fulgte opp problemene. Gode problembeskrivelser gir dessuten sikkerhetsfolk mulighet til å lage midlertidige løsninger før leverandøren får rettet problemet.

Mange av de problemene som blir publisert på denne måten har vært kjent en stund blant både hackere og crackere. Det er også mange nok eksempler på at når en problembeskrivelse først er god nok til å overbevise en produsent om at det virkelig er et problem, så vil det være noen som kan lage kode som utnytter hullet.

Det er derfor svært vanskelig å ta Scott Culp alvorlig.

Microsoft har vært en av dem som har vært trege til å akseptere meldinger om sikkerhetshull og å rette disse. De har dermed selv bidratt til dagens situasjon. Å forsøke å diskreditere politikken som er kjent som Full Disclosure ved å kalle den Information Anarchy er ikke troverdig.

En annen positiv effekt av tiltak som Bugtraq er at massemedia får informasjon om problemene. Pressen sørger for å legge det nødvendige press på produsentene slik at de raskere får tettet sikkerhetshull.

Dagens store problem
Det er likevel viktig å få fram hva som er dagens største problem. Offentliggjøring av sikkerhetshull har medført at produsentene har blitt flinkere til å rette feil. Nå er det største problemet at altfor mange brukere ikke oppdaterer systemene sine. Dette gjelder i like stor grad profesjonelle brukere som bedrifter som det gjelder private brukere.

Vi må arbeide for gode tiltak som gjør brukerne flinkere til å oppdatere systemene sine. Men, forslaget fra Microsoft om å ta et skritt tilbake er historieløst. Det er ingen god idé å gi produsentene noen hodepute slik at de blir fristet til å falle tilbake til gamle uvaner.

Scott Culp vet sikkert like godt som meg at svært mange sikkerhetsfolk klarer å holde tett om sikkerhetshull som kan få meget alvorlige konsekvenser. Dette medfører også en viss innsikt i hvordan produsentene fortsatt vil oppføre seg når hullene ikke blir offentliggjort.

Til toppen