Harelabb gir lite sikkerhet

I det siste er det avslørt tre grupper som saboterer fellesskapets datasikkerhet: De som lager utstyret, de som selger det, og de som bruker det.

Vurderinger av allmenne datasikkerhetsspørsmål har ofte gått ut på at utstyret kan være sikkert nok. Det skal være brukerne som synder, fordi de - i motsetning til ivrige datasnoker - lar være å sette seg inn i de gjerne intrikate detaljene.

I forrige uke lærte vi noe annet. Vi fikk en biometrisk innretning i redaksjonen, for å erstatte passord med fingeravtrykk. Fenomenet het BioMouse, og ifølge markedsføringen fra Dew Engineering and Development skulle det bidra til å sikre PC-er under Windows 95. Min kollega Harald Brombach brukte en times tid på å pønske ut flere metoder for å komme rundt denne sperren. Forferdet konstaterte han at de virket, alle sammen. Konklusjonen var at det eneste å tjene på denne innretningen, var å slippe å huske passord, unntatt det til nettverket, som BioMouse innrømmet at det ikke kunne erstatte.

Da Brombach skrev som sant var, at BioMouse er ubrukelig til å sikre Windows 95, ble han møtt med en strøm av sinte henvendelser fra folk i bransjen. De reagerte ikke på at en kollega av dem markedsførte et ubrukelig produkt. De reagerte på at en journalist skrev om et sikkerhetsprodukt for Windows 95 at det ikke virket. Det skulle være et tegn på uvitenhet hos Brombach om det lave nivået på Windows 95 at han tok oppgaven alvorlig og påviste at heller ikke BioMouse kan sikre PC-er med dette systemet. En av de mer høyrøstede innsenderne påsto at folk som tenker sikkerhet, per definisjon ikke bruker Windows 95. Brombach viste til sin egen erfaring fra forsvaret, der han håndterte følsom informasjon - på en PC under Windows 95.

Sikkerhetsslendrian finnes hos alle grupper - leverandører, selgere og brukere. I svært mange tilfeller kommer brukere i faresonen fordi de tror på påstander fra selger- og leverandørhold. BioMouse er et forholdsvis enkelt eksempel.

Verre er det at Microsoft, verdens mest framgangsrike og innflytelsesrike programvareleverandør, forleder folk til å tro at de kan opprette virtuelle private nettverk ved å bruke egenskaper integrert i tjenersystemet Windows NT. Onsdag refererte jeg konklusjonene til Bruce Schneier i Counterpane Systems. Han har påvist hvordan passord lar seg fange, og hvordan det er mulig å avlytte trafikk som skulle vært beskyttet av avansert kryptering. Microsoft har lovet en fiks. Men hvordan er det med selskapets troverdighet i sikkerhetsspørsmål?

Ellers er det også enkelt å finne fram til eksempler som påviser at brukere slett ikke er avhengige av dårlig utstyr for å sette egen og andres sikkerhet på spill. Vårens vellykkede hackinger av Pentagon og NASA er stadig friske i minnet. For noen dager siden dukket det opp en annen historie, fra de som skal vokte USAs kjernefysiske våpenarsenale.

MSNBC fortalte 29. mai at det er gjennomført en sikkerhetsrevisjon i ugraderte datasystemer i energidepartementet i Washington, DOE eller Department of Energy. Revisjonen avdekket 15 datasikkerhetsbrudd bare mot nasjonallaboratoriet i Los Alamos. Dette laboratoriet har ansvaret for å verne USAs atomvåpen. Minst ett sikkerhetsbrudd har å gjøre med overføring av gradert informasjon over Internett, og skal være under etterforskning av FBI.

Ved å nytte standard hacker-verktøy, kan "nesten hvem som helst på Internett" få tilgang til "passordfiler, og, mer foruroliggende, graderte og følsomme opplysninger", heter det i revisjonsrapporten. Årsakene oppsummeres som utilstrekkelige sikkerhetstiltak og feilaktig systemkonfigurasjon. Det finnes blant annet ingen sikring mot at gradert og følsom informasjon lagres på ugraderte datamaskiner som gjerne kan være direkte tilkoplet Internett.

Tirsdag talte Jacques Gansler, statssekretær i det amerikanske forsvarsdepartementet med ansvar for innkjøp og teknologi, til en konferanse kalt "Defense Modeling and Simulation". Han framførte tre poeng: Tenåringshackere er en alvorlig trussel mot USAs nasjonale sikkerhet. Informasjonskrig vil stå sentralt i framtidige stridigheter. Presidentens direktiv nummer 63 poengterer at informasjonssikkerhet er et nasjonalt anliggende, og kan føre til forsvarskontrakter verdt mange milliarder dollar.

Det spørs om penger er en riktig form for motivering. Harelabb "sikkerhet" har med innstilling å gjøre, enten du er bruker, selger eller leverandør.

Til toppen