13.8.06

Hackere hjælper kriminelle og terrorister

Jeg lægger op til at få øretæver i mandagsklummen på bagsiden af Berlingske Business med samme overskrift som dette blogindlæg. I klummen er jeg som altid overmåde kritisk over for hackersamfundet, og denne gang med udgangspunkt i den årlige hackerkonference Defcon, der i starten af august samlede 5.000 deltagere i Las Vegas. En anden konference, der fandt sted i samme by og lige før, Black Hat Briefings, kommenterer jeg også. Her er det typisk firmaer, der sælger it-sikkerhedstjenester, der afslører sårbarheder.

Resultatet af konferencer som disse er stor publicitet om de sårbarheder, der findes i hardware og software, og om hvorledes de kan udnyttes. Kan nogen forstille sig ÅBNE konferencer om, hvilke sårbarheder der er i fly, og hvordan de kan udnyttes? Eller hvilke sårbarheder, der er i de mest solgte alarmsystemer, og hvorledes de kan udnyttes? Hvem nytter det udover kriminelle og terrorister (og hackeren, for hvem omtale er ilt, og it-sikkerhedsfirmaet, der sikrer sig nye angste kunder i stalden).
Ja, jeg ved, at hackersamfundet ofte fremstiller sig som en frelsende engel med påstande som: ”Hvis vi ikke afslørede sikkerhedsbristerne, så ville it-selskaberne aldrig får gjort deres produkter bedre, og så ville alle it-brugere lide”. Sludder!
Som jeg ser det er den eneste farbare vej frem, at der sættes en stopper for it-selskabernes omfattende ansvarsfraskrivning (side op og side ned i licenskontrakterne). Skulle de bøde ved kasse et, fik vi nok mindre programmer og mindre funktionalitet, men mon ikke det ville slå til for 99 procent af os?

15 kommentarer:

Peter sagde ...

HØRT!

Thomas sagde ...

Ikke hørt på de første 20 linier. Men hørt på de sidste om ansvar.

Gunnar Langemark sagde ...

Det er bare en anden måde at fungere på. Nu har vi haft ca 25 år til at teste hacker-etikkens måde at tackle den slags på, og nogle hundrede år til at teste den måde en virksomheds- og pengeøkonomi tackler det på. Jeg vil sige at virksomhedernes måde at tackle sikkerhedsproblemer på er alt andet end imponerende. Og jeg har ingen som helst tiltro til, at det ville hjælpe at stille virksomhederne til ansvar for de sikkerhedsbrist der måtte være. For det første vil der ALTID være måder man kan undvige det ansvar på. For det andet er det absolut de færreste sikkerhedsproblemer der overhovedet bliver opdaget, og endnu færre der nogensinde kommer til kundernes kendskab. Det ligger i hele den måde markederne fungerer på. Der er jo én lang kæde af mennesker der undsiger sig ansvar i firmaerne.
Programmøren er presset af projektlederen til at kode hurtigere, projektlederen er presset af sælgeren til at estimere snævrere, sælgeren er presset af kunden og markedet til at sænke prisen.
Hvis sikkerheden blev firmaets ansvar i anden forstand end den markedsmæssige ville priserne på de sikre produkter stige eksplosivt og de firmaer der overlevede ville være de firmaer der sked på det hele og tog chancen.
Du skal lave helt fundamentalt om på måden udviklingsvirksomheder fungerer på - hvis du skal få dit forslag til at fungere.

Jeg giver ikke en potte pis for de hackere der drømmer sig selv til helte. Men det er min overbevisning at det er bedre at have sikkerhedshullerne fremme i lyset. Du kan være helt sikker på at de virksomheder der fremstiller usikker software vil gøre hvad de kan for at skjule det. Det er sådan det fungerer for dem.

Ja så kan terrorister og kriminelle også læse med. Det er jo mildt sagt uheldigt. Men hvis vi ikke gjorde det åbent, så ville vi ikke vide hvad de gik og brugte tiden på.

Jo mere åbenhed des flere huller bliver lukket. Det er min helt faste overbevisning. Og jeg ved af personlig erfaring hvordan både åbne og lukkede udviklingsmijøer fungerer.

Carsten S. Pedersen sagde ...

Da en hacker spadserede ind i en Mac var det så vidt jeg er orienteret ikke via den indbyggede trådløse forbindelse, men via en ringe trediepartsløsning og forsøget kunne ligesågodt være lavet på en PC, men det giver mere omtale at gøre det på en Mac, selvom det måske ikke er helt retfærdigt udlagt.

Dorte Toft sagde ...

Hej Carsten, Det er "driver'en" til det trådlöse, som det er galt med, og ja, det kan lige så godt ramme pc'en (pc-vinklen var med oprindelig, men rög, da jeg måtte skäre ned). Der er lidt mere om sårbarheden på news.com.com - sög efter "Breaking into a laptop via Wi-Fi".
Dorte

Gunnar Langemark sagde ...

Mac hacket var netop lavet på en Mac fordi der er så mange Mac folk, der tror deres platform er usårlig.
Derfor er der en god pointe i, at hacke den og vise at det ingenlunde er tilfældet.

Morten sagde ...

Jeg giver dig ret så langt som at der skal være ansvarlighed inden for sikkerhedsindustrien og hackerverdenen. Men problemet er jo som det nævnes i et af de andre indlæg, at software branchen er opflasket med at det bedre kan betale sig at holde alle fejl/mangler hemmelige. Et godt eksempel på dette var ved sidste års hacker konferencer, hvor Cisco var blevet advaret om et alvorligt sikkerhedshul i deres OS til firewalls/routere et HALVT år før. De valgte intet at gøre og derfor besluttede man sig for at offentliggøre sikkerhedshullet. Det blev mødt med sagsanlæg fra Ciscos side. Men hvem er den mest skyldige her? Den part der er blevet advaret og konsekvent nægter at tage aktion eller den person der tilsidst for at fremprovokere en reaktion og lægge pres på producenten offentliggør sikkerhedsbristen? Det skal siges at det kostede manden hans job, men at han mente at sikkerheden kom først. Du kan drage direkte paralleler til vores egen sag om den FE ansatte Frank Grevil.

daniel sagde ...

Hmm, er det rigtigt at Danmark er bagud på RFID-området??

Vi har da været med (ulykkeligvis) siden den 1. august.

http://www.computerworld.dk/art/35025?a=rss&i=0

Dorte Toft sagde ...

Cisco-historien... ja, også den måtte jeg skäre ud af kommentaren. Sikkerhedseksperten Michael Lynn, der arbejdede for it-sikkerhedsfirmaet ISS, skulle holde et indläg på sidste års Black Hat Briefing, og som Morten skriver, kostede det ham i sidste ende jobbet. Cisco truede med sagsanläg, ISS fik kolde födder og forsögte at träkke indlägget tilbage med en syg forklaring, Lynn sagde op og holdt indlägget. Det sidste, jeg läste om Michael Lynn, er at han nu arbejder hos Juniper Networks. Det var en grumme sag, som viser hvor lagt it-selskaber kan gå for at undgå at blive eksponeret for sikkerhedshuller. Men jeg har også läst, at både Cisco og Microsoft har lärt meget af deres fejltagelser i håndteringen af eksperthackere. De inviteres i stigende grad indenfor i varmen. En hacker, som tidligere var väldig på kant med Microsoft, fortäller, at det er blevet lidt svärere at se helt sort/hvidt på sagerne, efter at der er kommet ansigter på Microsoft - relationer til sikkerhedsfolk.
Til Daniel. Vedr. RFID i pas. Jeg har sovet i timen (og ferien). Så det er gået i funktion! Men.. skulle det ikke have väret på plads tidligere? Håber at Computerworld eller andre får kigget närmere på, hvilken sikkerhed/usikkerhed, der ligger i den dansk anvendelse.

Dorte Toft sagde ...

Tilföjelse vedr. pas. Danmark skulle have väret parat til at indsätte RFID-chip i pas til den 25.10.2005, idet USA stillede krav om det fra den dato, men der var dog mulighed for kompensation, hvis man i stedet sögte visum. I Justitsministeriet blev forsinkelsen forklaret med, at det var dyrt, at man manglede standarder fra EU, og at der var flaskehalse, hvad angår RFID-chippen. Det sidste blev afvist af det finske Setec (opköbt af Gemplus), der står for produktion af pas med RFID til Norge, Sverige og altså Danmark.
Kort för fristen udlöb flyttede USA i övrigt tidsfristen.

Peter sagde ...

Apropos nyttige idioter

Kære Dorte. Først og fremmest vil jeg sige, at det er en interessant og spændende artikel du har skrevet i Berlingske Business, som bestemt ikke er hverdagsstof!

Men, du bliver ved med at skrive om de nyttige idioter som hackerne til disse konferencer er. Jeg vil give dig ret i, at meget viden om sikkerhed i softwaresystemer osv. har rod i Defcon, HOPE, What The Hack, Chaos Communication Congress og alle de andre store konferencer, der findes verden over. Men du bliver nødt til at spørge dig selv hvorfor. Fra mit synspunkt er der lagt i ovnen til at det er en show off for folk med en fascination i systemer, og det vil jeg give dig ret i.

Men, industrien har også en hvis interesse i at blive revet rundt i manegen - jf. morten om Cisco-sagen. Hidtil har industrien sat disse grey hats, white hats og til dels black hats i et dårligt lys for de afsløringer og det arbejde, der i realiteten kunne styrke den selv samme industri. Man må spørge sig selv ud fra hvilke motiver de gør det. Først og fremmest stiller afsløringerne industrien i dårligt lys. Ligeledes, som du lægger meget vægt på i artiklen, skaber offentliggørelsen et tidsrum, i hvilket ondsindede hackere vil kunne udnytte systemerne, før de er blevet ordentligt sikret. Men, uden denne bevægelse af folk, der udfører dette arbejde, hvordan ville vi så være stillet? Med en industri, der i den grad benægter sine egne fejl?

Deres arbejde er lige så vigtigt som afsløringen af vand og slam i metroen, etc. (Ok, jeg er dårlig til at sammenligne).
Pointen er, at den slags viden der distribueres på Defcon, mm. jo altid vil være tilgængelig for den der søger det - så længe den person er ihærdig nok. Bare se på sagen om RFID-chips i pas. De er jo tilsyneladende utroligt let at bryde den, og så vidt jeg ved, er det endda Andrew Tanenbaum, en kendt professor i Holland, for hvilken det er lykkedes at kompromitere RFID-chips. Hvis ikke den research var blevet offentliggjort, hvor længe ville der så have været gået før terrorister o.a. havde opdaget og formået at udnytte disse oplysninger?

Spørgsmålet er nu, hvem der er de nyttige idioter - hackerne eller journalisterne, der lægger hackernes research og afsløringer for hån? Ville vi ikke være bedre stillet ved at favne denne gruppe, i stedet for at udstøde den - eller er "ignorance a bliss"?

Gunnar Langemark sagde ...

Det er faktisk ikke en helt urimelig sammenligning Peter kommer med.
Journalister afslører "sikkerhedshuller" i samfundets strukturer - det juridiske system mv.
De har en særstilling i samfundet fordi vi anerkender, at de udfylder en vigtig funktion. Og ingen ved deres fulde fem ville antage, at politikere og erhvervsfolk ville følge spillereglerne mere end allerhøjest nødvendigt, hvis der ikke var nogen som holdt øje med dem. De fejl der påpeges - bliver publiceret i det offentlige rum, så man ikke kan benægte fakta.
Den eneste væsentlige forskel jeg kan komme i tanker om - sammenlignet med hackere der påpeger fejl i sikkerheden i produkter (og jeg mener IKKE dem der bryder ind i systemer "fordi de kan" - på trods af alskens sikkerhed). Forskellen er, at de måske giver forbryderne en god idé.
Men samme indvending kan bruges imod den form for journalistik der fortæller at babymaddåser og sutteflasker kan bruges til at bringe bomber ombord på fly. Sådan noget kunne give forbryderne en god idé.

Dorte Toft sagde ...

Hmmmmmm. Tankeväkkende debat. Og hermed lidt mere ild til den. Tror I, at it-selskaber vil väre mere tilböjelige til at få rettet produktfejl/undgå fejl, når der har väret LIG PÅ BORDET. Når man for förste gang har kunnet fortälle, at en bug, der blev udnyttet af en hacker, slog 20 mennesker ihjel på en intensivafdeling, hvor respiratorer blev styret af et Windows-baseret system (meget tänkt eksempel, men.....)

Anonym sagde ...

Jeg synes ærlig talt din omtale af nogle af de bedste sikkerhedseksperter i industrien er lidt ved siden af. Hvis det ikke var for dem ville de virkelig onde hackere, de virkelige blackhats, have tonsvis af hemmelige sikkerhedshuller at udnytte. Tror du virkelig at industrien, herunder Microsoft, selv ville lede efter disse huller og lappe dem? Helt ærlig....hvor naiv kan man være?

Vel er det da irriterende at der hele tiden findes nye huller i systemer. Men er det ikke mere træls at firmaer bliver ved med at tjene gode penge på at sælge usikre produkter? Var det ikke mere fair at rette kritikken mod dem?

Gunnar Langemark sagde ...

Der er allerede i dag et produktansvar i det du leverer. Det gælder også sikkerhedshuller.
Så vidt jeg ved kan man ikke 100% unddrage sig et vist ansvar alene via en kontrakt, selvom der er kontraktfrihed i Danmark.
Der er stor forskel på om vi taler consumer-software som windows, og om vi taler om systemer udviklet til firmaer.
Der findes jo også software der styrer bremser og andre sikkerhedssystemer i biler. Fejl i den slags kan være farligt. Ligesom software i fly og flykontrolsystemer kan være farligt at lave fejl i.
Lur mig om ikke der allerede HAR været lig på bordet pga fejl i den slags software (jeg er for træt/doven til at undersøge det).
Det kan ALTID diskuteres.
Husk at selvom rederen i Scandinavian Star formodentlig havde et eller andet moralsk ansvar for at skibet brændte med katastrofale følger, så blev ingen draget direkte til ansvar i sidste ende.
Er der penge nok på spil, så er det svært at håndhæve.
Jeg er tilhænger af at det er muligt, moralsk tilskyndet og på anden måde beundringsværdigt - at afsløre fejl i systemer, skjulte mangler og så videre.
Journalister på tv, der optager svindlere med skjult kamera har også nogle gange en tendens til at gå videre end de strengt taget må. Men her helliger målet midlerne. Er det fordi de er journalister?
Når hackere afslører sikkerhedshuller i software og offentliggør dem, så gør de os en tjeneste. For der vil altid være "onde" hackere, der finder disse huller og udnytter dem til egen vinding. Og den slags kan så finde sted igennem længere tid - hvis ikke andre offentliggør svaghederne.
Ja - så er der nogle wannabe hackere der straks skal prøve om det virker, men sådan er livet.

Jeg har meget lidt tiltro til, at det almindelige retssystem er gearet til at håndtere den slags, så jeg frygter den dag man stopper for den type af afsløringer.

Bid mærke i, at jeg på ingen måde bryder mig om den type af hackere der bryder ind i andres systemer - igennem sikkerhedssystemerne - fordi de kan, og fordi de synes det giver status. Man skal respektere andres online systemer og deres sikkerhed - også hvis den lader sig bryde.

Det som jeg er tilhænger af er afsløringer af sikkerhedshuller i software og i de systemer vi alle bruger. Hvis en virksomhed har nogle computere på nettet, som ikke kan modstå en ivrig og dygtig hackers forsøg på at bryde ind, så er det sådan det er. Det er firmaets egen sag - og det tilkommer ikke en hacker at vurdere at han gør nogen en tjeneste ved at bryde deres sikkerhed.

Hvis en kommune har et pivåbent netværk hvor alle vores persondata ligger, så er jeg glad for at nogen opdager det, og gør kommunen opmærksom på det. Det behøver man ikke at skrige ud - hvis man har tiltro til at det bliver rettet.

Men hvis en virksomhed som Apple praler af sin sikkerhed og så sender computere på markedet som ikke er sikre, så skylder nogen os - at vi får det at vide.
Hvis Microsoft brager ud med påstande om at Vista bliver verdens mest sikre styresystem, så synes jeg det er HELT OK at nogen fortæller os allesammen, at det ingenlunde er tilfældet.
Hvis de amerikanske myndigheder vrider armen om på hele verden og tvinger os til at indføre en "sikkerhed" der viser sig at være værre end ingenting, så har vi krav på at vide det.
Vi får det IKKE at vide hvis der ikke findes hackere, som med nogenlunde tryghed kan undersøge disse ting, og afsløre dem.
Måske har vi brug for en form for HACKERKORT, ligesom vi har et Pressekort. Altså en form for offentlig anerkendelse af det job de udfører.