7.2.07

Sikkerhedskrigen tabes

“Sikkerhed vinder mange slag, men taber sikkerhedskrigen. Vi går helt sikkert baglæns, hvad angår computersikkerheden.”

Det er ikke hr. hvem som helst, der står bag denne bemærkning, som faldt på sikkerhedskonferencen RSA Conference, der kører i disse dage i San Francisco. Det er professor Adi Shamir, der tidligere har vundet, hvad der kaldes datalogiens Nobelpris, nemlig A.M. Turing Award.

At jeg fremhæver hans udsagn skyldes, at jeg indimellem selv får en fornemmelse af, at det er en håbløs kamp. Kriminaliteten, der rettes mod nettet, var jo nærmest fredet i de første 10 år, hvor man i stedet snakkede om kvikke, dygtige drenge. Medierne hyldede dem som helte, og jeg erindrer, at selv DR inviterede en hacker ind, så man ”for åben mikrofon” kunne fortælle om, hvad han nu var i gang med at bryde ind i. (Nu er det it-sikkerhedsfirmaerne, der inviteres ind i tv, men med samme formål: Sådan laver du indbrud!)

Det varede alt for længe, inden medier – OG – Microsoft med flere fattede, hvor alvorlig situationen kunne udvikle sig til at være. Der findes vel næppe noget andet kriminalitetsområde, der har budt på så mange ”rollemodeller” i så mange år for de unge. (Jønke var med sin bog peanuts i denne sammenhæng).

Deres idoler er nu blevet halvgamle - mange af dem dybt indsyltede i kriminelle forhold. Ligesom horder af nye unge i lande verden over. Chancen for at undgå opdagelse i den virtuelle verden er jo større end i den virkelige.

Tilbage til RSA Conference, som er den største og den toneangivende på sikkerhedsområdet. Adi Shamir er ekspert i krypteringsalgoritmer, og han deltog i en debat med andre eksperter på området. Hans ord inspirerede ordstyreren til en ny ”lov” – ”Shamir’s Law”, og den lyder ”For hver 18 måneder bliver sikkerheden halvt så god”. (Inspireret af ”Moores lov” - den om, at antallet af transistorer, der kan pakkes på en mikroprocessorer – chips – fordobles hver 18. til 24. måned).
Shamirs udtalelse citeres på denne Zdnet-blog, hvor bloggeren fortsætter:
With a 10x increase in malware in the last five years, according to the Yankee Group, an increasingly connected universe and anti-virus labs a few months behind in tracking malware, Shamir's Law is exaggerated, but not by any means ridiculous.

PS: Datalogiens svar på Nobelprisen, A.M. Turing Award gik i 2006 for første gang til en dansker - professor emeritus Peter Naur. Den blev tildelt for hans "grundlæggende bidrag til udformningen af programmeringssprog og definitionen af Algol 60, til udformningen af oversættere og til det kreative og praktiske arbejde med programmering." Naur stod bag oprettelsen af datalogi på universitetsniveau herhjemme i 1970.

5 kommentarer:

Stephan Engberg sagde ...

Dorte,

Hvad foreslår du selv?

Det er en håbløs kamp, når man ikke sørger for at fokusere på borgernes sikkerhed, men kun fokuserer på overvågning og centralisering af kontrol, hvorved alle lovlydige borgere gøres nemmere at angribe.

Som jeg læser dit indlæg, så fokuserer du kun på overvågning, men ignorerer fuldstændigt sikkerhed i form af forebyggelse, fallback, risikospredning, brugerkontrol, empowerment etc.

Du kritiserer Teknologirådet for ikke at have Dataloger.
http://it-bizzen.blogspot.com/2007/01/teknologirdet-lugter-af-angst-og-gamle.html

Hvad ville det hjælpe? Datalogerne har mig bekendt ikke gjort særligt meget for borgernes sikkerhed i Danmark. Her må man ikke have sikkerhed, men skal have tillid for at være en god samfundsborger.

Tror du virkelig at overvågningssamfundet er et samfund uden kriminalitet eller magtmisbrug?

Jeg har gennem mange år påpeget at selve systemparadigmet er årsagen til de voksende sikkerhedsproblemer. Som i 60ernes systemudikling tager man ikke udgangspunkt i mennesker, men i systemer, og svækker dermed i første omgang mennesker og dernæst systemernes sikkerhed.

Har medierne fattet hvor alvorlig situtionen er ved at udvikle sig til at være? Det er ikke min opfattelse.

Jeg tror at hovedproblemet er at mange ikke kan se forskel på en konstruktivt kritisk tiltang til teknologiudvikling og så teknologikritik i betydning negativ overfor IT. Din artikel om Teknologirådet oser af gammelt nag uden at se konstruktivt fremad.

Prøv at tage et kig på f.eks. denne om semantic security.
http://www.priway.com/docs/idworld_passport_engberg20061129.pdf

Stephan Engberg

Dorte Toft sagde ...

Goddag igen, Stephan,

Du skriver: "Datalogerne har mig bekendt ikke gjort særligt meget for borgernes sikkerhed i Danmark".

Jeg vil nævne, at vi har - og altid har haft - en frygtelig mangel på dataloger herhjemme, og det koster - på alle fronter.

Desuden har der på universitetsniveau været mere fokus på den gamle skole, såsom algoritmer plus brugerindragelse i udvikling.

Det er synd, men sikkerhed har altid været et stedbarn, når vi ser bort fra det ene afspekt, kryptering, alias algoritmer. Selv for satsningen på sikkerhed hos Alexandra Instituttet i Århus, gjaldt det jo i laaaannng tid kun kryptering, selv man brystede sig med betegnelsen Center for it-sikkerhed.

Stephan Engberg sagde ...

Enig - der er et stort hul mellem de tekniske kompetancer og evnen til at omsætte det til løsninger med mennesker i centrum.

Systemtænkningen og reglrytteriet bliver stadigt værre og respekten for det enkelte menneske stadigt mindre.

Men min kommentarer var orienteret mod at du i din kommentar om Teknologirådet satte tilførslen af Dataloger op som den store løsning for IT-sikkerhed.

Jeg spørger dig, fordi jeg undres over hvad du mener med udmeldinger som

"Det kan meget let ende med at blive et reservat for dem, der mener, at vi alle sammen er forfærdelig truet på privatlivets fred."

Som forstærkes af din påfaldende glæde for bankerne

"Jamen, jamen… Forhåbentlig er der nogen (bankerne måske?) der kommer med en mere menneskeegnet teknologi, inden vi får et borger pas."

Bankerne har kun en agenda - bankernes interesse - og det kommer stærkt til udtryk i Net-Id, der i rent teknisk har karakter af at systemisk man-in-the-middle attack for at sikre at kontrollen lander i PBS - kald det overvågning eller hvad du vil.

Hvad i alverden skulle få bankerne til at tænke på borgernes sikkerhed eller en "menneskeegnet" teknologi?

Jeg har intet mod dataloger og har selv et halvt ben i den lejr, men jeg savner en logisk sammenhæng mellem at få flere dataloger i Teknologirådet per se og hvordan det skulle skabe mere menneskeegnet teknologi, styrke IT-sikkerheden og specielt styrke borgernes sikkerhed.

For mig at se er problemet mere hvordan vi får de teknokratiske uddannelser som Datalogi, Ingeniører og Planøkonomerne på Polit-studiet til at tænke mere på mennesker fremfor at tage et ensidigt systemfokus.

Dorte Toft sagde ...

Vedr. banker: Netbankens sikkerhed bliver en konkurrenceparameter - og et spørgsmål om overlevelse for bankerne. Det forstår du vel.

Vedr. emnet sikkerhed: Der er en gruppe af mennesker i Danmark, heriblandt dig, der - når der snakkes sikkerhed - altid marcherer ensidigt frem med emnet overvågning af borgerne med mistænkeliggørelse af myndigheder, virksomheder m.v.

Det indlæg, som du lagde kommentarer på, handlede, som jeg læser kilden, IKKE om overvågning, men om angreb på sikkerheden (Jeg var desværre ikke til stede, så jeg kender ikke den fulde sammenhæng).

For mig handler it-sikkerhed om 2 ting:
A: Kriminelles angreb på folks private økonomi, på virksomheders eksistensmulighed, på samfunds infrastruktur.
B: Privatlivets fred.
Derfor argumenterer jeg for, at der også bør være den ypperligste systemtekniske ekspertise med fokus på de kriminelles teknikker til stede, hvor der end diskuteres sikkerhed.
Roger, over and out.

Stepjhan Engberg sagde ...

Tak skal du ellers have.

"Vedr. emnet sikkerhed: Der er en gruppe af mennesker i Danmark, heriblandt dig, der - når der snakkes sikkerhed - altid marcherer ensidigt frem med emnet overvågning af borgerne med mistænkeliggørelse af myndigheder, virksomheder m.v."

Jeg aner virkelig ikke hvad du taler om. Jeg har aldrig talt om overvågning og Big Brother og undgår det generelt fordi jeg ikke anser det som konstruktivt for tillidsmodellen i samfundet.


Jo, embedsmænd og infrastrukturselskaber ønsker kontrol over mennesker som kilde til deres magt og profit - verden er ikke ideel. Og interessekonflikterne er en af hovedårsagerne til at sikkerheden forringes, men ikke den eneste. Hvis der var tilstrækkelig konkurrence i den private sektor og et minimum af borgerkontrol i den offentlige sektor, så ville disse interessekonflikter overvindes af menneskers egeninteresse og innovation begrundet i ønsket om at opnå profit.

Tidligere talte jeg om privacy, men det er jeg holdt helt op med, fordi jeg mener sikkerhed, hvor Privacy altid reduceres til noget om regler og bureaukrati - ikke om sikkerhed når man skaber værdi.

Problemer er derimod MEDIERNE, der ikke ønsker at rapportere sagligt om sikkerhed, man altid ønsker at have lig på bordet, mistænkeliggør og blæser sensationer op, hvor det blot er saglige problemer, der bør løses.

Men når de fleste politikere ikke kan stave til IT, medierne usagligt forvrænger og embedsfolkene ignorerer debatten, så ender det altid i det ekstreme "Big Brother".

Jeg vil tværtimod påstå at hovedproblemet er at nogen har fået teknologikritikken fra 70erne galt i halsen og nu afviser enhver diskussion af sikkerhedsprincipper, dig inklusive. Det er forældet.

Når du inddrager kriminelle teknikker som Identitetstyveri, spoofing af biometri, phising, eskalerende sikkerhedsbrud (sikkerhedsgrud et sted fører til sikkerhedsbrud et andet sted) og så det forhold at man akkumulerer risiko med 60erns forældede CPR-tankegang, så kan du ikke trække linjen hvor du gør.

Konskevensen er at man kun interesserer sig om et systemparadigme, mens "privatlivets fred" misbruges som en skraldespand for alle de sikkerhedsproblemer, som man ikke gider bekymre sig om. Det er en total sammenblanding af et utal af problemstillinger.

Når brugernes sikkerhed ryger, så ryger sikkerheden i systemerne - prøv at gennemtænke et phishingattack og følg eskaleringen. Prøv så at tage det samme problem og undgå at genbruge nøgler og se, hvordan risikoen falder drasstisk.

Revokability, fallback og andre værktøjer til at isolere og begrænse risiko er den eneste vej til sikkerhed i en stadigt mere integreret verden, som Shamir taler om og du rapportede - men øjensynligt uden at forstå, hvad han taler om.



Mit bud på at få det til at ske er semantisk åbne standarder, så man ikke kan fastfryse konkurrencen i en sektor.

Jeg bruger kræfterne på at løse sikkerheds problemer med nye tekniske løsninger og har natop igangsat masseproduktion af RFID-mikrochip i regi af RFIDsec.

Men har samtidig - af sikkerhedsårsager - afvist at sælge RFID-chips til Identitets-formål, fordi vi ikke kan sikre det overfor f.eks. relay-attacks som er It-i-Alt modstykke til phising-attacks.

Så lad det endelig ligge der - men prøv en anden gagn en anelse mere fremadrettet tilgang til sikkerhedsdiskussionen. Teknologikritikken er kun for dem som ikke forstår teknologi - det er ikke problemet i dag.