- Jeg surfer aldri med JavaScript på

Rapporten om hvordan Java kan misbrukes til bedrageri på Internett kommer ikke overraskende på sikkerhetskonsulent Stein A. J. Møllerhaug. Men han kjenner ikke til tilfeller der denne framgangsmåten har vært brukt i praksis.

– Vi har lenge visst at slikt kunne skje i teorien, sier Møllerhaug. – Dette er første gang jeg har hørt om en praktisk demonstrasjon. Jeg er svært usikker på hvor omfattende problemet er i virkeligheten siden praktiske tilfeller ikke er dokumentert.

Møllerhaug er en fargerik person i det norske datamiljøet. Han har mange års praksis som sikkerhetskonsulent og flere tillitsverv bak seg i Den norske dataforeningen. I 1990 skrev han teknothrilleren Cracker om hackerangrep mot datanettverket til et stort norsk rederi. Han har engasjert seg sterkt i kampen mot barnepornografi over elektroniske medier.

– Jeg mener det er viktig å understreke to ting, slår Møllerhaug fast. – For det første er ikke arkitekturen i Internett-protokollen TCP/IP særlig egnet til å hindre folk fra å kapre informasjon. For det andre må alle være klar over at hvis de streifer nettet med JavaScript påslått, åpner de for at andre kan kjøre programmer på deres maskiner, uten at de har noen som helst kontroll over hva som skjer.

Møllerhaug mener den legitime bruken av JavaScript er et framskritt. Han mener samtidig at den norske IT-bransjen jevnt over har vært for lite bevisst at dette framskrittet også medfører ulemper.

– Jeg har ofte vært innom typiske hacker-BBSer. Der får du rett som det er meldinger om mislykkede forsøk på å kjøre Java-programmer, vel å merke hvis du har slått av opsjonen som tillater automatisk kjøring av Java. Du kan selv forestille deg hva hensikten er med slike programmer. Jeg har vært borte i urutinerte politifolk som fikk hele PC-en sin kartlagt når de skulle utforske hackersteder.

Møllerhaug peker på at du tar en sikkerhetsrisiko ved å være ut på Internett, og at du må ha en bevisst holdning og kjøre forsiktig, på samme måte som når du kjører bil. Han forventer at rapporten fra professor Edward Felten ved Princeton University vil føre til at flere prøver seg på bedrageri og "web spoofing". Det blir i så fall ikke første gang akademikere utløser datakriminalitet hos andre ved å peke på konkrete svakheter i datasystemer.

– Den første som skrev et datavirus var Fredrik B. Cohen i forbindelse med sin doktoravhandling A Thesis on Computer Viruses, forteller Møllerhaug. – Avhandlingen kom i 1973. Virus dukket ikke opp i praksis før rundt 1986, og først tidlig på 1990-tallet ble de et virkelig problem.

Til toppen