Lapping? Gjerne det.

Lapping? Gjerne det.

KOMMENTAR: Sikkerhetstruslene ligger i hverdagsbruken av pc-er. Selv MacOS må tettes for å være sikker.

Februar ble noen svarte uker for Adobe, som måtte se at begge de store allment tilgjengelige og brukte applikasjonene deres ble en sikkerhetstrussel for bedriftene – og privatpersoner. Flash, som gir "levende" innhold på web-sider, og Acrobat Reader, som er et visningsverktøy for pdf-dokumenter, var under ild. Den midlertidige løsningen var å skru av funksjonalitet i programmene. Oppdatering og lapping kommer senere.

For Microsoft var Flash-fadesen glimrende sak i forhold til deres Silverlight for Linux-miljøet, kalt Moonlight, og lansert nå i februar av Novell. For Microsoft er Silverlight veldig viktig, fordi det er selskapets vei til å presentere rikere web-innhold i miljø som har valgt .Net som rammeverk for web-tjenester. I sikkerhetssammenheng er det interessant fordi utviklingen er basert på deres metoder for sikker programvareutvikling. Dette utviklerkonseptet, som kom i ilden med Service Pack 2 for Windows XP, gjorde Windows-plattformen rimelig sikker. I den grad at konseptet bidro til å spenne bein for Windows Vista, som er veldig sikker, men også altfor treg.

MacOS

Skiftet i it-sikkerhetstrenden er spesielt synlig med MacOS, som det siste året har sluppet svært mange lapper, fikser og oppdateringer. I basis er MacOS trygt, men svakheter og hull avsløres fordi noen prøver noe helt nytt eller helt bakvendt i forhold til hva utviklerne tenkte seg. Og disse kjeltringene motiveres av populariteten til målplattformen. Microsoft er størst, og dermed mest utsatt. MacOS er hovedutfordrer, og merker at heten nå stiger.

Sentralt nå er at en sikker systemplattform ikke innebærer at den er, eller skal være, oppdateringsfri. Det er ikke nødvendigvis dårlig håndverk som fører til lapping. Det er intens bruk. Dette gjelder også for programvare. Men med det er kjente sikkerhetsparadigmer solid snudd på hodet: Windows er sikkert, MacOS er ikke spesielt sikkert, truslene fra virus er ikke de verste (men det krever oppdaterte verktøy) og de nye truslene kommer i verktøyene de fleste it-brukerne bruker til daglig.

Knekker SSL

For å illustrere det siste. I februar ble en ny metode for å knekke SSL-sikring kjent. Denne løsningen for sikre internettsamband via web-leser-protokoll og portoppsett er brukt til alt fra å sikre nettbankhandlinger, til å være en rask og enkel metode å sette opp virtuelle sikre nettverk (vpn) over internett. Nå er svakheten i designet av web-løsninger som bruker SSL ikke i selve SSL-sikringen. Men det er innebærer en utfordring for sluttbruker: Ikke bare for å sjekke at web-leseren hvor man legger inn sensitiv informasjon er sikret, men også at siden er "riktig", og ingen phishing-side (falsk side beregnet for bedrageri).

Hvordan møter man et slikt trusselbilde? Oppdatering av programvare er åpenbart, og her svikter selv profesjonelle systemadministratorer. De vellykkete angrepene mot Helse Vest og Nord-Trøndelag fylkeskommune må skyldes svikt i oppdateringer og systemdesign. Men den viktigste sikkerhetsoppdateringen ligger i brukeropplæring. Det er den enkelte sluttbruker som må lære seg å være vár og kritisk, følge sikkerhetstilstanden i jobbmiljøet, og lære seg å sette opp oppdatering i hjemme-pc-ene.

Utfordringen er formidabel. Oppdateringen av holdninger og adferd vil bli mer krevende enn å venne seg til tanken om å jevnlig lappe MacOS.

Les om: