Bare enklere IT kan gi økt sikkerhet

IT-sikkerheten kan ikke bli verre. Forenkling og automatisering er veien å gå, mener Marcus Ranum, kjent brannmurer og snokvarsler.

Marcus Ranum var trekkplaster da sikkerhetsselskapet mnemonic as holdt sin tekniske oppdatering i begynnelsen av mai. Ranum er kjent fra den internasjonale debatten om IT-sikkerhet, og har høstet ære for sin innsats både innen brannmurer - han er blant annet mannen bak Gauntlet, en brannmur han konstruerte for Trusted Informations Systems midt på 1990-tallet, og som siden har vandret, først til Network Associates, siden til Secure Computing - og snokvarsling. Ranum grunnla NFR Security i 1997. Snokvarsleren til NFR (det står for "Network Flight Recorder") tilbys i Norge gjennom Proseq AS.

Les også:

- NFR har nå vokst til over hundre ansatte, sier Ranum til digi.no. - Jeg har gjort det enhver gründer bør gjøre, nemlig trekke seg tilbake. Jeg arbeider nå med forskning innen IT-sikkerhet.

Den røde tråden i Ranums nye tenking omkring IT-sikkerhet, er forenkling.

- Slik teknologien har utvikklet seg i dag, er alle brukere blitt systemadministratorer. Datamaskineri er vanskelig å installere og vrient å bruke. Sikkerhet kommer i form av en serie fikser som krever profesjonell ekspertise for å håndteres korrekt. Vi er nødt til å gjøre ting annerledes. Lyspunktet er at det ikke vil være mulig å gjøre situasjonen innen IT-sikkerhet verre enn den er i dag.

Ranums løsning er automatisk oppdatering over nettet av all programvare, og en ordning der man ikke kjøper programvare men abonnerer på bruksretten. Til gjengjeld skal all oppdatering være automatisk.

- Hvis du bruker Symantec-produktene for blant annet virusvern, altså Norton, vet du hvilken modell jeg har i tankene. Norton Antivirus oppdateres over nettet. For to år siden måtte du gjennom en formalitet: Du måtte godkjenne hver oppdatering før du lot den installere seg. I dag er det så vidt du legger merke til et lite ikon nederst på skjermen når Norton oppdaterer seg selv. Poenget er at du har tillit til Symantec. Du godtar i utgangspunktet at det de tilbyr, er det du trenger for å bedre sikkerheten. Du tester ikke hver oppdatering for å sjekke at den faktisk virker mot de nyeste virusene.

Det er ingenting i veien for å utvide denne modellen til all programvare, også systemvare, mener Ranum. Han går skarpt til rette med blant andre den kjente kryptografen Bruce Schneier som insisterer på at systemansvarlige er nødt til å ta seg tid til å teste fikser og patcher før de installerer dem.

- Jeg tror ikke Bruce, som for øvrig er en god venn, helt har kontakt med den virkelige verden. Poenget er at knapt noen driver ordentlig testing av fikser lenger. Det er mange grunner til det. Patchene kommer for hyppig og for tett på hverandre til at det er praktisk mulig. Når Microsoft har kunngjort at det er et svært hull i IIS og at de har tetningsmiddelet klart, sier elementær risikoanalyse at du ikke har tid til å teste det grundig. All verdens hackere er alltid klare til å utnytte ethvert sikkerhetshull Microsoft vedkjenner seg. I stedet for å la produksjonssystemet ditt stå ubeskyttet, er du best tjent med å stole på at Microsoft har gjort sine saker ordentlig.

Ranums poeng er at du egentlig ikke har noe valg. Hva er da poenget med at leverandøren gir deg valget?

I stedet for å tvinges til å lese sikkerhetsbulletiner og følge intrikate instrukser for hvordan ulike utgaver av operativsystemet og applikasjonen må oppgraderes, bør man kunne kreve av leverandøren at dette skjer automatisk.

- Det er ikke spesielt vanskelig for en leverandør å få dette til. Dessuten er det også fordelaktig for leverandøren. Microsoft kan for eksempel kreve at ingen lenger skal tillates å kjøre versjon 2.0 når versjon 3.0 er klar, med alle dens forbedringer innen både sikkerhet og annen funksjonalitet.

Dette bør også gjelde for åpen kildekode, mener Ranum.

- Flere av påstandene til "open source"-bevegelsen er urealistiske. Blant annet er det ikke slik at folk leser hverandres kode. Faktum er at det er så vanskelig å lese programkode at praktisk talt ingen gjør det. Det som skjer i dag med programvarerevisjon innen åpen kildekodebevegelsen er bra, fordi det viser at man erkjenner behovet for at spesialister tar på seg oppgaven å gjøre programvaren sikrere.

Ranum presiserer at han ikke ønsker å få alle til å kjøre tynne klienter eller spesialiserte apparater.

- Så sterk som PC-teknologien er i dag, kan man ikke forutse en overgang til at alle skal være avhengig av et nettverk for å drive informasjonsbehandling. Tunge programmer kjøres best lokalt, og det er mange situasjoner der det ikke er hensiktsmessig å være online. Men abonnementsordningen, noe Symantec for lengst har bevist, kan like godt gjelde lokalt installert programvare. Den samme ordningen som sjekker at virussignaturen dine er de aller nyeste, kan like gjerne brukes til å sørge for at også applikasjonen er den aller nyeste versjonen. Rekker ikke forhåndsbetalingen, vil du få en varsel om at programvaren vil slutte å virke om fire eller seks uker.

Motviljen blant folk mot å gi slipp på gammel programvare er lett å karikere.

- I praksis dreier det seg om et absurd ønske om å kunne gjøre alt mulig på den gamle måten, selv om det finnes nye og bedre metoder. Hvis bilindustrien hadde tatt de samme hensyn, ville de i dag ikke bare utstyre en hver bil med både sveiv, startpedal og elektrisk startmotor. De hadde også sørget for en levende hest. Dette ville være svært kostbart. Folk må skjønne at kompatibilitet bakover i tid også er med på å fordyre programvare. Følgen av ubegrenset valgfrihet er ubegrenset kompleksitet. Og følgen av ubegrenset kompleksitet er svært begrenset sikkerhet. Slik er dagens situasjon. Og den er kostbar, særlig for kunden.

Til toppen