- Ikke skyld på offeret

- Ikke skyld på offeret

Vi må slutte å skylde på it-sjefen når en bedrift blir hacket. Det mener sikkerhetsforsker Dan Kaminsky.

- Det er noe radikalt galt når det gjelder it-bransjens innfall til sikkerhet. Det funker bare ikke.

Det mener Dan Kaminsky, en av internetts sju mektigste personer - med nøkkel til å resette DNS-systemet – et system han en gang i nyere internetthistorie har bevist at det var sikkerhetshull i.

Han holdt foredrag på Paranoia-konferansen og brukte mye av tiden sin på hvordan sikkerhetsbrister blir behandlet i ettertid.

- Vi entrer nå cybersikkerhetens tredje æra. Først trodde vi vi visste, så forsøkte vi å lære. Nå ha vi funnet ut av hvordan ting fungerer. I dette årtiet må vi begynne å fikse ting, mesteparten av forsvaret vårt er ubrukelig, sier han.

Et av de store tankekorsene hans, er hvordan sikkerhetsbrudd håndteres. Det meste som blir kompromittert blir ikke oppdaget. Det som blir oppdaget blir sjeldent meldt fra. Dermed oppstår det et informasjonsvakuum som hindrer oss i å bygge riktig type forsvar.

Offeret får skylda

Og om du er it-sjef i en bedrift og bedriften blir hacket? Kanskje du får sparken. Du får i alle fall skylden. Skurken klarer man jo ikke fakke, så skurken kan ikke få skylden, og dermed blir du syndebukk.

- Vi må fikse ting. Vi må reevaluere hvordan ting gjøres, sier Kamnisky, som påpeker den voldsomme motsetningen til hvordan ting fungerer i den fysiske verden:

Du går bortover gata, blir slått ned med et jernrør. De som står i nærheten ser det og ringer trenede spesialister som kommer i spesialkjøretøy og kjører deg til en bygning der du får hjelp av andre eksperter.

Disse ekspertene syr sammen hodet ditt og bidrar med eventuell videre overvåkning av din helsetilstand. Når helsen er god nok kommer det andre spesialister i blå uniformer og stiller spørsmål rundt hendelsesforløpet med formål å fange skurken og putte vedkommende i en boks.

- Slik er det ikke innen it-sikkerhet, der bare skylder vi på offeret. Vi er alle i samme båt, og den synker, sier Kaminsky.

Han avslører ikke hva han mener om det, men påpeker i alle fall at han synes tanken om obligatorisk varsling ved sikkerhetsbrudd er «interessant».

SQL-injeksjon hevder enkelte røster er et problem som er fikset, men det er lite som tyder på det når man ser på angrepsstatistikk.

Konsekvensmangel

Det er heller ingen konsekvenser for programvareingeniører som uheldigvis står bak sikkerhetshull. Om en ingeniør i den ekte verden gjør en glipp som får fatale følger med personskade til følge, blir det fullt oppstuss, men en programvareingeniør møter ikke samme konsekvenser.

- Ingen dør, men en kan tape mye penger.

For ikke å snakke om DNS, som Kaminsky altså i 2008 beviste er sårbart etter at han fant en fundamental feil i protokollen som muliggjør cache-forgiftningsangrep mot navneserverne. En svakhet som for så vidt hadde vært kjent i rundt ti år før Kaminsky beviste en gang for alle at faren var reell. For ordens skyld er håpet at DNSsec skal løse akkurat denne biffen med kryptografi.

- Og autentisering? Det er en katastrofe. 50 prosent av sikkerhetsbrudd har med påloggingsopplysninger å gjøre, sier han.

- Det er første gang jeg noen sinne har sett sikkerhetsindustrien innrømme at forsvaret ikke virker. Her er det en konsensus om at vi får ræva vår sparket.

Hvordan kan så denne sikkerhetsforkjemperen kjempe for sikkerhet når han i egen person demonstrerte – da også med kunnskap skurkene kan utnytte – sårbarheten i DNS-systemet? Kaster han stein i glasshus? Nei, mener han.

- Jeg er en av de snille, så hvordan kan jeg forsvare offensiv forskning? Vel, hvis vi ikke knuser ting så blir vi dumme, mener Kaminksy.