[tilbakemelding] [Gisle Hannemyrs hjemmeside] [opp] [forrige] [neste]

ÅPEN POST

Er mange av tjenestene på Internett for åpne fordi de er for lukkede?

av Gisle Hannemyr

Mandag den 30. august 1999 skrev den svenske avisen Expressen at Microsofts gratis epostjeneste Hotmail var åpen som en låvedør. Ved hjelp av et enkelt script kunne man spasere rett forbi siden hvor brukernavn og passord ble sjekket, og se på innholdet i en hvilken som helst postkasse på Hotmail.

Episoden med Hotmail, som rammet anslagsvis 40 millioner brukere, er bare enda en i en serie som viser at sikkerheten på Internett er mangelfull. Fra før kjenner vi til blant annet makrovirus, som kan plantes på systemet ditt dersom du leser Word- eller Excel vedlegg til epost, og svakheter i Javascript/Jscript og Microsofts Visual Basic Script (VBS).

Mange av disse sikkerhetsblemmene er signert Microsoft. Men ikke alle. Det populære Portable Document Format (PDF) fra selskapet Adobe har sitt knippe med sikkerhetshull. Visste du at bare ved å se på et PDF-dokument et eller annet sted på nettet med Adobes gratis nettleser Acrobat risikerer å gi uvedkommende adgang til din lokale harddisk? Fra og med versjon 3.01 har riktignok Adobe lagt inn en dialogboks som advarer brukeren om dette (lik den advarselen mot makrovirus som dukker opp når du starter en nyere versjoner av Word). Men brukere som enten ikke forstår eller av andre grunner ignorerer denne advarselen er like utsatt som før.

Det er vanskelig og kostbart å lage sikre systemer. Sikkerhet er heller ikke det som kundene i massemarkedet først spør etter. Og jeg har enda til gode å se en produkttest i et datablad hvor en Internettjeneste eller programvare beregnet til bruk over nettet får en score i kategorien «sikkerhet». Bilbladene tester produkter på sikkerhet. Datablader gjør det ikke. Blant annet derfor er det fristende for leverandørene å ta lett på sikkerheten når de utvikler produkter eller tjenester.

Bilblader tester produktene på sikkerhet. Datablader gjør det ikke.

Det er imidlertid produsentens prioriteringer som skaper de største sikkerhetsproblemene. For produsentene prioriterer nesten alltid slike ting som hastighet, brukerbekvemmelighet å slagkraft. Alt sammen ting som brukerene etterspør, men akkurat disse tingene er ofte uforenlig med høy grad av sikkerhet.

Microsoft Word er et klassisk eksempel. Word inneholder et innebygget programmeringsspråk, Visual Basic for Applications (VBA) som er både nyttig og kraftig. Desverre er det så kraftig at det gjør det mulig å lage programmer i det som både er og sprer datavirus. For å gjøre det ekstra enkelt for brukeren vil Word automatisk starte utføringen av slikt VBA-program så snart brukeren åpner på et epost-vedlegg som inneholder et slikt program. Dermed kan viruset selv skru av Words innebygde virusbeskyttelse. Hadde Word ikke innehold et slikt språk, eller forlangt at brukeren måtte starte VBA-programmer «for hånd» hadde sikkerheten vært langt bedre, men produktet hadde også vært mindre slagkraftig og tyngre å bruke.

Brukerene har i første rekke seg selv å takke for at de produktene de kjøper ikke holder mål sikkerhetsmessig. All den tid det først og fremst som etterspørres er brukerbekvemmelighet og kraftige funksjoner kan man knapt klandre leverandørene for å tilby nettopp dette.

Brukerene har i første rekke seg selv å takke for at de produktene de kjøper ikke holder mål sikkerhetsmessig.

Det største problemet med «sikkerhet» i forhold til vanlige PC-brukere er at det er en egenskap som er usynlig. Og i den utstrekning «sikkerhet» gjør seg bemerket, er det som oftest på en for brukeren negativ måte, i form av lengre nedlastingstider, tungvinte påloggingsprosedyrer, plundrete passord og funksjoner som mangler.

Hva kan man gjøre?

For det første må brukeren bli oppmerksomme på sikkerhet og etterspørre det. De bør rett og slett lære seg å ta sikkerhet med i betraktningen når de velger produkt og leverandør.

Dernest må de som tar mål av seg til å informere og opplyse brukerene, som for eksempel tidsskrifter som PCWorld Norge, begynne å ta sikkerhet langt mer på alvor enn tilfellet er i dag. Når de omtaler produkter, tjenester og utvekslingsformater bør en sikkerhetsvurdering være en naturlig del av produktomtalen.

Sist, men ikke minst jeg tror det er på tide å gjøre sikkerhet synlig. Så lenge tjenester (som Hotmail) eller dokumentutvekslingsformater (som Word og PDF) er proprietære og hemmelige er det svært vanskelig å overskue hva disse innebærer rent sikkerhetsmessig. Åpen kildekode, slik at tusenvis av eksperter over hele verden kan studere tjenesten, produktet eller utvekslingsformatet på jakt etter sikkerhetshull vil gi en langt bedre garanti for at tingene holder mål enn bare en test hvor man er henvist til å famle i blinde. Vi som brukere burde derfor kreve av leverandørene våre at de åpner opp kildekoden til produkter og tjenester som brukes i tilknytning til Internett for innsyn.

Og dersom de ikke gjør det, bør vi rett og slett finne fram til andre produkter og tjenester hvor leverandørene er villig til å gjøre dette.


Creative Commons License Først publisert i: PC World Norge, nr. 10, 1999.
Copyright © 1999 Gisle Hannemyr. Noen rettigheter reservert.
Dette verk gjøres tilgjengelig under en Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.

[Engelsk innholdsfortegnelse] [Norsk innholdsfortegnelse]
[tilbakemelding] [Gisle Hannemyrs hjemmeside] [opp] [forrige] [neste]