[tilbakemelding] [Gisle Hannemyrs hjemmeside] [opp] [forrige] [neste]

FORBRUKEROPPLYSNING VEDRØRENDE MAKROVIRUS

av Gisle Hannemyr

Livredd for nytt datavirusSøndag 15. februar 1998 var et av hovedoppslagene på VG Nett at databransjen var: «Livredd for nytt data-virus». Betegnende for presisjonsnivået var at den i inngressen omtalte «databransjen» senere i artikkelen ikke nevnes med et ord (i stedet har journalisten intervjuet to med-journalister og en som selger virusbeskyttelse.) Nå kan makrovirus være plagsomme nok, men de er også lette å unngå. Siden VG Nett er en brukerorientert tjeneste sendte jeg derfor samme dag redaksjonen en kort kommentar med forslag om at de ved siden av skremslene kanskje burde formidle litt forbrukeropplysning? Denne ble prompte refusert. Jeg har derfor valgt å offentliggjøre innlegget på egen web. Du kan altså lese kommentaren (og den smule debatt som etterfulgte) nedenfor.

Fenomenet «makrovirus» er verken så nytt eller så farlig som overskriften i VG Nett vil ha oss til å tro. Makrovirus har vært kjent i mer enn fire år, og det er ikke særskilt vanskelig å beskytte seg mot dem.

Word kan settes opp til advare om makroer.De produkter som benytter dataformat som kan spre makrovirus kan for eksempel settes opp slik at de varsler brukeren før de åpner et dokument som inneholder makroer. Brukeren vil da typisk bli presentert et panel slik figuren til høyre viser, og kan velge hvordan han vil forholde seg. Får man tilsendt et dokument av usikkert opphav som inneholder makroer så kan man rett og slett la være å åpne det -- eller åpne uten makroer. Ingen skade kan da skje.

Problemet med makrovirus rammer spesielt brukere av Microsoft Word. Problemet kan også elimineres dersom man slutter å bruke Words standard utvekslingsformat (DOC), og i stedet utveksler Word-dokumenter ved hjelp av en de mange sikre alternative utvekslingsformater som ikke tillater overføring av makroer (og dermed heller ikke av makrovirus). Anvendbare format er for eksempel Microsofts eget RTF (for dokumenter som det skal redigere videre på) og det åpne SGML (for dokumenter som også skal kunne bearbeides maskinelt på ymse måter). Dersom man kan tåle å miste noe av layout-informasjonen i et dokument er det også mulig å bruke HTML som utvekslingsformat. De fleste programpakker (inklusive Word) tilbyr i dag muligheten til å lagre som HTML, og «alle» har i dag tilgang til en webleser som forstår HTML. Ser vi litt framover så vil sannsynligvis XML (Extensible Markup Language) kunne spille rollen som et sikkert og standard dokument­utvekslings­format. Ved å velge et åpent utvekslingsformat slipper man ikke bare problemet med makrovirus. Med «på kjøpet» får man den fordel at mottaker kan gjøre seg nytte av dokumentet også på andre plattformer enn Microsoft!

Ser man fenomenet i et litt videre perspektiv, må det nok sies at problemet med makrovirus i utgangspunktet skyldes at databransjen i alminnelighet er alt for lite kritisk til å ta i bruk av løsninger fra programvareselskapet Microsoft.

Microsoft aldri har dessverre aldri skjønt noe særlig av problemstillinger knyttet til datasikkerhet. Dette gir seg blant annet utslag i at de i sine ulike programpakker benytter makrospråk som ikke har noen sperrer eller restriksjoner mot «farlige» operasjoner (ting som mainipulerer filsystemer og kan aksessere minnet på målmaskinen). Det er fri tilgang til slike «farlige» operasjoner fra dokumenter som er produsert ved hjelp av disse programpakkene som gjør det mulig å lage makrovirus -- ikke makrospråk i seg selv.

At Microsoft lite har lært av de problemer Word og Excel har skapt for forbrukerene på dette området kan man bl.a. se av at Microsofts nye mekanisme for distribusjon av aktive objekter over Web («ActiveX») inneholder nøyaktig de samme konstruksjonsmessige svakhetene som de som gjør det mulig å lage makrovirus i (bl.a.) Word og Excel.

Distribuerte objekter er fortsatt noe som mange ikke har noe særlig forhold til, men de kommer innen få år til å bli like sentralt for kontorstøtte og andre sentrale IT-anvendelser som tekstbehandling og regneark er i dag. Jeg vil tippe at de samme IT-sjefene som i dag (i all fall om man skal tro VG Nett :-) er «livredde» for makrovirus om få år vil skjelve like sterkt i buksene for de sikkerhetsmessige problemene de har skapt for seg selv ved like ukritisk å satse på distribuerte IT-løsninger basert på Microsofts ActiveX-teknologi.

Det er imidlertid ingen som tvinger dataindustrien til å benytte feilkonstruerte produkter (enten vi snakker om gammel moro som Word og Excel eller morgendagens distribuerte anvendelser basert på ActiveX).

Den enkleste måten å unngå disse problemene på er derfor rett og slett å velge produkter som ikke er beheftet med slike sikkerhetsmessige og konstruksjonsmessige svakheter. Det finnes et enormt utvalg med både sikre og velkonstruerte kontorstøtteanvendelser på markedet.

Innføring av bedre verktøy og rutiner for dokumentutveksling en en langt bedre og billigere forsikring mot makrovirus enn innkjøp av en såkalt «virusscanner».

Virusscannere gir i beste fall en falsk trygghet fordi at de alltid ligger noe på etterskudd i forhold til virusprodusentene. I verste fall skaper de kostbar frykt og forvirring gjennom sin tendens til å generere «falske positive» indikasjoner.

Kommentarer:

  1. Virusscannere (oep)
  2. For dumt (Per Hansen)
Fra: oep (1998-02-16)
Emne: Virusscannere

Mener du at folk ikke bør bruke virusscannere mot makrovirus?

Nei, det mener jeg ikke.

Men jeg er skeptisk til de som hevder at virusscannere er den eneste eller beste løsningen. For en utdypning, se svaret under overskriften «For dumt» nedenfor.

— gisle h.

Fra: Per Hansen (1998-02-18)
Emne: For dumt!

Gisle Hannemyrs konklusjoner og teorier er egentlig for dumme til å kommentere, men dere skal få dem allikevel:

Det er klart at man kan la være å kjøre makroer. Det er også klart at man kan la være å benytte Word og Excel Det er klart at man kan lagre dokumenter som rikt filformat (RTF) og unngå virusproblematikken.

Det er også klart at Microsofts produkter er markedsledende.

I dagens markedssituasjon er det umulig å få alle med på dette. Årsaken er at Microsofts produkter benyttes fordi folk liker disse eller fordi alla andre bruker dem. Alle PC-pusjerne i Norge selger også disse produktene.

Normale PC brukere i eller utenfor nettverk tar ikke hensyn til virusfaren. De regner med at andre tar hånd om dette for dem. Dette er oppgaven til IT ansvarlige eller PC koordinatorer.

I Norge og andre land er dette beklageligvis en oppgave som ikke tas på alvor. Når nye versjoner av et eller annet antivivirusverktøy mottas, så blir de liggende på skrivebordet fordi det er så mye annet å ta tak i.

Vi er definitivt enige i at Microsofts holdning til programmering, koder og åpne systemer er betenkelig. Mange tar allikevel deres produkter i bruk uten å tenke på konsekvensene. Til tross for dette er det uvirkelig litt enkelt å si at man skal forvente at folk ikke kjører makroer når de får dokumenter som vedlegg til mail. Det er kun de bevisste som gjør dette.

I Norge og andre steder er 9 av 10 brukere helt bevisstløse når det gjelder sikkerhet (de regner med at andre fikser dette for dem) - helt til de får ødelagt deler av sine informasjonssystemer av virus, hærværk av egne ansatte eller en eller annen grunn mister data. Alle mener selvsagt at dette er noe tull, men stikk fingeren i jorden og tenk på hva som gjøres i hver enkelt organisasjon, så ser man kanskje at dette kan være riktig. Hva om man ser på den datoen som er oppgitt som utgivelsesdato i virussignaturfilen i antivirusverktøyet? Er den eldre enn 2 uker er den for gammel i dagens IT systemer!

Makrovirus som problemområde skyldes i det alt vesentligste at brukere utveksler elektroniske dokumenter. Disse kommer gjerne som vedlegg til elektronisk post. I tidligere tider var det enkelte som hadde regler for å straffe sine ansatte fordi de tok med seg disketter inn "på huset" med virus - uten å kontrollere dem først.

Hvem kan vel straffe folk for å motta elektronisk post?

Vår oppfordring er rett og slett: Ta virus på alvor. De er tilstede i den elektroniske verden enten man vil det eller ikke. DOS, Windows, Windows 95, NT, Mac og UNIX, Word - Excel - de har alle muligheten for å bli infisert.

— Direktør Per Hansen, PDI Consult as

Min artikkel om makrovirus har øyensynlig falt direktør Per Hansen meget tungt for brystet.

Det som Hansen er sint for er tydeligvis to ting. Den ene er at jeg skriver at noe av årsaken til problemet er ligger i tekniske valg gjort av Microsoft. Kritiske uttalelser om en markedsleder er tydeligvis «for dumme» i følge Hansen. Ham om det.

Den andre er at jeg mener at det finnes andre og kanskje bedre botemidler mot makrovirus enn å abonnere på de programpakker for viruskontroll som Hansen og andre selger.

Det siste vil jeg gjerne utdype litt nærmere.

Som så mye annet er programpakker for viruskontroll (virusscannere) et hjelpemiddel som har en viss nytteverdi dersom den som bruker dem vet hva han eller hun gjør.

Men de er ikke den universalmedisin som de som selger slike pakker gjerne vil at kundene deres skal tro. Og det er ikke spesielt enkelt eller problemfritt å bruke slike pakker riktig.

Det brukere av virusscannere skal være oppmerksom på er:

  1. Bruk av virusscannere krever kontinuerlig oppdatering. Hansen skriver selv i sin kommentar at dersom en virussignaturfil er «eldre enn 2 uker er den for gammel i dagens IT systemer». Det synes jeg sier mye om hvilke begrensinger slike programmer er beheftet med. Svært mange installerer anti-virus, men forsømmer å etablere rutiner for kontinuerlig oppdatering.
  2. Virusscannere gir ingen garanti mot å bli smittet av makro- eller andre typer datavirus. Den som måtte tro at bruk av en virusscanner fritar virksomheten fra å gjennomføre andre tiltak for å hindre virusangrep er virkelig ille ute. En virusscanner må alltid brukes i tillegg til andre tiltak, aldri i stedet for dem.
  3. De «falske positive» indikasjonene (altså varsel om virus når det ikke finnes noe virus) som ukyndig bruk av virusscannere ofte medfører kan koste virksomheten like mye i tid, penger og bortkastet arbeid som et virkelig virusangrep.

Når vi snakker om makrovirus, så ser jeg på virusscannere som en unødvenig kostbar og komplisert løsning på noe som i bunn og grunn er et enkelt problem. Problemet har flere alternative løsninger, men den som umiddelbart virker fornuftig på meg er at man en gang for alle lærer seg hvordan man slår på den beskyttelse mot makrovirus som er innebygget i Word og Excel. I en større bedrift bør IT-ansvarlig sørge for at programmene blir installert med denne opsjonen påslått, at brukerne læres opp i hva dialogboksen de får opp når de åpner dokumenter som inneholder makroer betyr, og hvordan de skal forholde seg til den.

Problemet er nettopp, som Per Hansen skriver, at folk «regner med at andre tar hånd om dette for dem». Når man har en pakke for å varsle om virus installert på maskinen tror mange at problemet er borte, og når bedriften en dag rammes av et virus som denne pakken ikke klarer å oppdage vet folk ikke hvordan de skal forholde seg til det, og derfra er veien til alvorlig skade ikke lang.

Enten man bruker slik programvare eller ikke folk læres opp til å ikke åpne vedlegg som inneholder utførbar kode. Mange bruker slik programvare i stedet for slik opplæring, og da går det før eller siden galt.

Ved å overselge produktene sine er Per Hansen medansvarlig for den skaden som oppstår hos kundene når dette skjer.

— gisle h.

Klikk på bildet av en penn nederst på siden dersom du ønsker å kommentere denne artikkelen.


Creative Commons License

Refusert av: VG Nett, 1998-02-16.
Takk til Bjørn Brox (Corena A/S) og Lars Marius Garshol for nyttige tips og korreksjoner.
Copyright © 1998 Gisle Hannemyr. Noen rettigheter reservert.
Dette verk gjøres tilgjengelig under en Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.

[Engelsk innholdsfortegnelse] [Norsk innholdsfortegnelse]
[tilbakemelding] [Gisle Hannemyrs hjemmeside] [opp] [forrige] [neste]