Copy Link
Add to Bookmark
Report
Den Svenska Rapporten accepterar Nr. 05 (del 2 av 3)
____________________________________________________________________________
____________________________________________________________________________
-uXu- DEN SVENSKA RAPPORTEN -uXu-
Information Fîr Entusiaster Nr. 05
(del 2 av 3)
SlÑppt Maj 31, 1992
InnehÜll:
Ed's Ord
Slarv Stîrre Fara Ñn Hackers
Slarv Farligare Ñn Hackers och Virus
Skrytiga Hackers ôverskattat Problem
Man Slutar Aldrig FîrvÜna Sig
Dags Fîr Auktoriserade Hackers?
Hackerproblemet Inte Underskattat
_____________________________________________________________
av The Chief, Editor Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________
ED'S ORD: DSR
Den Svenska Rapporten accepterar utomstÜende kÑllor Ñnnu. Vem som helst
kan skriva fîr/lÑmna information till DSR. Skribenten/LÑmnaren blir adderad
som informations-lÑmnare, eller fîrfattare till artikeln. Full diskretion
om fîrfattaren/lÑmnaren sÜ înskar. Artiklar/Information kan lÑmnas pÜ de
system som finns listade i slutet av varje nummer av DSR.
The Chief, DSR Editor
____________________________________________________________________________
____________________________________________________________________________
SLARV STôRRE FARA éN HACKERS: DSR (5/92)
SÑkerheten Ñr dÜlig i dagens datornÑt. Men hackers, som fÜtt stor
uppmÑrksamhet i den senaste tidens debatt, Ñr inget stort problem.
-Slarvig programmering Ñr ett stîrre problem Ñn bÜde hackers och virus,
sÑger konsulten Roger Gustavsson, med persondatorsÑkerhet som specialitet.
-Jag tror att buggarna i Windows orsakat mer skada Ñn nÜt virus.
Lîsningen pÜ problemen Ñr sunt fîrnuft och ordning. DatavÑrlden ger tips
hur du skyddar dig och fÜr en bÑttre datorsÑkerhet.
____________________________________________________________________________
____________________________________________________________________________
SLARV FARLIGARE éN HACKERS OCH VIRUS: DSR (5/92)
SÑkerhetskonsult tonar ned hacker-faran
Bild: Roger Gustavsson (leende)
Text: Slarv stîrre problem - Folk îverreagerar och reagerar pÜ fel
saker. Hackers Ñr inget stort hot, hÑvdar sÑkerhetskonsulten
Roger Gustavsson.
Visst Ñr sÑkerheten i dagens datornÑt dÜlig. Men slarv och dÜliga
program Ñr ett stîrre hot Ñn hackers och virus. Och lîsningen Ñr inte
hetsjakt pÜ ungdomar eller avancerade sÑkerhetssystem, utan sunt fîrnuft
och ordning.
Det anser Roger Gustavsson, konsult med persondatorsÑkerhet som
specialitet. Roger Gustavsson borde vara nîjd. Hans fîretag, Roger
Gustavsson Data, har specialiserat sig pÜ persondatorsÑkerhet och har lÑnge
varnat fîr dagens osÑkra system. De senaste veckornas skriverier om hacker-
intrÜng kan se ut som en bekrÑftelse pÜ hans varningar. Men det Ñr inte sÜ
enkelt.
-Visst, om det hÑr innebÑr att politiker och fîretag bîrjar ta sÑker-
hetsproblemen pÜ allvar sÜ Ñr det positivt. Men det finns en okunnighet som
gîr att folk dels îverreagerar, dels reagerar pÜ fel saker. Enligt Roger
Ñr hackers inget stort hot mot varken militÑren eller privata fîretag.
-Fîr militÑren Ñr det insider-spionage som Ñr det stpra problemet - inte
hackers, sÑger han. De "Nasa-baser" som hackers dÜ och dÜ sÑgs ha tagit sig
in i Ñr nÑstan alltid administrativa system. Nasa fîrvarar inte kÑnsliga
uppgifter pÜ datorer som man kan ta sig in i utifrÜn. Men hackers, och
journalister, vill gÑrna tro att allt som har med Nasa att gîra Ñr vÑldigt
hemligt.
-I hacker kretsar cirkulear en text som heter Nasa.txt, som beskriver hur
man tar sig in i Nasas baser. Hackers pÜstÜr att det Ñr en hemligg text som
nÜgon lyckats smuggla ut. NÑr det egentligen Ñr en text som Nasa distribuerar
som en ren service, fîr att folk ska kunna logga in pÜ deras îppna baser sÜ
enkelt som mîjligt. PÜ fîretagen Ñr de stora problemen okunnighet, slarv och
dÜliga rutiner.
-Folk Ñr rÑdda fîr fel saker. Slarvig programmering Ñr ett stîrre problem
Ñn hackers och virus. Jag tror att buggarna i Windows har orsakat mer skada
Ñn nÜgot virus. Men det Ñr inte lika spÑnnande att tala om kvalitetstestning
eller sÑkerhetskopiering som om virus och hackers. Idag har det blivit
relativt enkelt att anvÑnda en dator. Med fînstersystem som Windows och
Macintosh kan Ñven den ovane kÑnna sig hemma framfîr datorn. Men vÑldigt fÜ
fîrstÜr egentligen vad som hÑnder bakom fînstren. Vilket kan vara riskabelt.
-En sekreterare som sitter och skriver i Word Perfect fîrstÜr ofta inte
vad som hÑnder med en text nÑr den sparas - om den hamnar pÜ servern eller
pÜ den lokala persondatorn till exempel. Fîr att hîja sÑkerheten i systemet
mÜste man dÑrfîr se îver de interna rutinerna och titta pÜ de stora samman-
hangen. Rogers recept pÜ sÑkrare system innehÜller inga tekniska underverk
eller avancerade program. Det handlar istÑllet om enkla saker som fungerande
rutiner fîr sÑkerhetskopiering och anvÑndarbehîrighet.
-Det som behîvs Ñr sunt fîrnuft och ordning. Men det Ñr vÑldigt svÜrt
att sÑlja. Folk vill ha en kartong som fixar alla problem, en magisk amulett
som de kan kîpa îver disk. Det finns ocksÜ en risk fîr att rÑdslan fîr
hackers driver folk att satsa pÜ îverdrivna sÑkerhetssystem, anser Robert.
-DÜ fÜr vi trÜkigheter som disklîsa arbetsstationer eller skolor som
fîbjuder eleverna att ta med sig disketter hem. Vilket gîr att sjÑlva charmen
med persondatorn - friheten - gÜr fîrlorad.
Kritisk period
Han menar att rÑdslan fîr hackers eller virus kan bli ett mycket vÑrre
problem Ñn hotet i sig sjÑlvt. Det handlar egentligen om en politisk
installning.
-Just nu har vi en stark trend mot îppna system och ett fritt informa-
tionsflîde. Jag tror att det vore vÑldigt illa om rÑdslan fîr hackers gjorde
att man fîrsîkte stoppa den utvecklingen. Det stîrsta sÑkerhetsproblemet Ñr
enligt Robert att systemutvecklingen och medventenheten inte har hÑngt med i
den tekniska utvecklingen.
-Vi Ñr inne i en kritisk îvergÜngsperiod. Stordatorerna och terminalerna
hÜller pÜ att Üka ut och istÑllet fÜr vi nÑtverk med persondatorer och servrar.
Men de systemansvariga har inte fîrstÜtt att den inbyggda sÑkerhet som fanns
i stordatorerna inte finns i persondatorer och nÑtverk. DÑr ligger det stora
hotet.
SÜ gîrs systemet sÑkrare
VÑgen till ett sÑkrare system gÜr inte îver magiska burkar, fantastiska
program eller total isolering. Det Ñr sunt fîrnuft som gÑller:
LÑr dig hur ditt system fungerar rent tekniskt. Alla system har
sÑkerhetsbrister redan i hÜrdvaran. Persondatorer i ett nÑtverk kan aldrig
bli helt sÑkra. LÑr dig bristerna och anpassa systemet efter dem. LÑgg till
exempel kÑnslig information pÜ servern istÑllet fîr pÜ persondatorerna.
Gîr en sÜrbarhetsanalys. Vilka Ñr riskerna och hoten? ér virus en
allvarlig risk? Eller Ñr det dÜliga rutiner fîr sÑkerhetskopiering och
slarv som Ñr det stora hotet? Kommer hotet utifrÜn eller inifrÜn? Vilka
hanterar den kÑnsliga informationen? Hur hanteras den? och sÜ vidare.
Kontrollera vad det finns fîr praktiskt genomfîrbara ÜtgÑrder fîr
att hîja sÑkerheten. Ofta kan det handla om enkla saker som att lÜsa in
servern, ta ordentliga backuper eller att verkligen utnyttja de sÑker-
hetsfunktioner som redan finns i systemet. Men det kan ocksÜ krÑvas mer
avancerade lîsningar som kryptering.
TÑnk pÜ att ÜtgÑrderna inte fÜr bli ett stîrre problem Ñn hotet.
ôverdrivna eller missriktade sÑkerhetsÜtgÑrder kan sÑnka produktiviteten
mer Ñn nÜgra virus eller hackerattacker.
Loggen - Unix svagaste lÑnk
Bild: Sven Larsson (ifîrd glasîgon och slips)
Text: Fîlj instruktionsboken. - Gîr man som man ska enligt bîckerna
minskar riskerna avsevÑrt fîr intrÜng, sÑger Sven Larsson,
Unix-expert.
Undvik slarv - fîlj reglementet.
Kombinera pÜloggningen med ett passerskydd av smart-card-typ.
FîrbÑttra loggfunktionerna till amerikanska fîrsvarets C2-nivÜ. Minst.
LÑs mer om UnixsÑkerhet.
Det Ñr Unix-kÑnnaren Sven Larssons rÜd till hîjd sÑkerhet i Unix.
-Var noga med administrationen av systemet. Gîr man som man ska enligt
bîckerna sÜ minskar riskerna avsevÑrt att nÜgot hÑnder. I Diab-fallet
hade man uppenbarligen inte gjort det.
Det sÑker Sven Larsson Unix- och datasÑkerhetsexpert pÜ Fîrsvarets
Materielverk. Tidigare sysslade han med samma frÜgor pÜ Fîrsvarsdata.
-Se ocksÜ upp med mîjligheten att kopiera ut en lîsenordsfil, varnar
Sven Larsson. ér man vÑl inne i systemet via ett publikt nÑt, t ex
televerkets TIP-net (ett publikt TCP/IP-nÑt - TCP/IP Ñr Unix kommun-
ikationssprÜk i nÑt) Ñr det bara att sîka upp lîsenordsfilen, och det
Ñr inte svÜrt, samt ge Unix kopieringskommando. DÑrefter Ñr lîsenordsfilen
i hackerns Ñgo. Sen Ñr det bara att bearbeta filen med troliga ord-
kombinationer. Det sker oftast med ett sîkprogram och alltid blir det
nÜgot napp. Men det gÜr att skydda sig mot "filstîld".
-Man kan lÑgga lîsenorden i en olÑsbar fil, som fîljdaktligen Ñr
oskrivbar, sÑger Sven Larsson.
Osynlig fil
Handgreppet kallas "shadowing". Det gîr filen osynlig och oÜtkomlig.
Utom fîr den som har tillgÜng till systemets kÑrna, root access. Ett
privilegium som bîr vara synnerligen begrÑnsat.
-En annan skyddsÜtgÑrd Ñr att skîta inloggningen med ett smart-card.
Det finns lîsningar och program fîr det, sÑger Sven Larsson. Till sist
bîr man ha en bra loggfunktion. En som Ñr bÑttre Ñn i standardunix.
-Om man har nÜgot intresse av att se vad som hÑnt i loggen rÑcker inte
den vanliga loggen. Det som finns i standardunix. I standardunix registrerar
loggen bara vem som kom in och vilka kommandon vederbîrande utfîrt. Men inte
ett skvatt om vad och vilka filer som kommandona utfîrts mot. Till exempel
kan man inte se att lîsenordsfilen Ñr kopierad. Bara att nÜgot har kopierats...
C2-klassning
Fîr att fÜ en komplett logg, inklusive vad som manipulerats och hur det
gjorts, krÑvs att Unix-systemet Ñr klassat lÑgst i nivÜ med amerikanska
fîrsvarets C2 och uppÜt.
-Ett sÜdant system Ñr nÜgot dyrare idag. Men dÜ den amerikanska
administrationen nu krÑver alla unixsystem som kîps av US Government har C2
kan man vÑnta sig att sÜdana C2-system blir vanligare. Ett sista rÜd till
systemansvariga. LÑs boken "Unix System Security". Den finns i bokhandeln.
-Den kom fîr nÜgot Ür sen men hÜller fortfarande, sÑger Sven Larsson.
Strîmlid kritisk: Hacker-hysteri
Bild: Kjell Strîmlid (ifîrd bekymrad min, skÑgg och slips)
Text: -Demonisera inte. Kjell Strîmlid, ordfîrande i LKD, Leverantîrs-
fîreningen Kontor och Data, avfÑrdar hacker-larmen i massmedia.
-Det Ñr inget fel pÜ sÑkerheten, sÑger han.
Kjell Strîmlid, styrelseordfîrande i LKD Ñr kritisk mot de uppmÑrksamade
hacker-artiklarna i Dagens Nyheter.
-Jag tycker inte att det Ñr nÜgot fel pÜ sÑkerheten i branschen, sÑger
han. Inte stîrre fel Ñn pÜ bankernas sÑkerhet, slÜr han fast. Kjell Strîmlid,
till vardags vd fîr ICL Data, Ñr irriterad îver den hysteri, som enligt honom
kÑnnetecknar hanteringen av hacker-problemet i pressen. Han avfÑrdar helt
pÜstÜenden om att gÑrningarna skulle ha fîrîdande betydelse fîr kunderna till
de hackerdrabbade fîretagen.
-Att ungdomarna relativt lÑtt kunde ta sig in i Diab Datas system kan
knappast skada Diabs eller branschens anseende, sÑker Kjell Strîmlid. éven
om han medger att "Harrgot Lindmark (Diabs vd) gjorde en tavla med att lÑmna
dîrren till systemet îppen ett tag".
-Hackers verksamhet Ñr brottslig, den ska bedîmas som sÜdan, och inte
demonsieras. Kjell Strîmlid vill pÜminna om att dagens samhÑlle kÑnnetecknas
av îppenhet.
-Man kan inte bîrja bygga ogenomtrÑngliga murar runt fîretag nu fîr att
skydda dem mot intrÜng. En stîrre grad av îppenhet ger helt konsekvent en
lÑgre grad av sÑkerhet. Det gÑller att hitta en balanspunkt menar Kjell
Strîmlid och tillÑgger att det finns sÜ mycket informationsskrÑp i fîretagens
datasystem att det dÑrfîr knappast Ñr sannolikt att nÜgon 18-Üring Ñr i stÜnd
att rent fysiskt sortera bort allt obetydligt och luska fram nÜgra affÑrs-
hemligheter.
Se upp med modem
UtomstÜende konsulter som kan ringa in i fîretagets system Ñr en riskkÑlla
ur sÑkerhetssynpunkt.
-Det normala Ñr att vi inte har fri tillgÜng till kundens modemportar,
sÑger Ulf Sandstrîm pÜ Ericsson Radio Systems, ett av de stîrre fîretagen
nÑr det gÑller tredjepartsservice.
-Men nÑr vi har behov av att komma in, ber vi om ett "password".
TillgÑngligheten till modemets telefonnummer Ñr det fîrsta som bîr uppmÑrk-
sammas, menar de tredjepartleverantîrer DatavÑrlden kontaktat. Det ska inte
finnas upptaget pÜ allmÑnna internlistor utan endast lÑmnas ut till behîriga
och fîr îvrigt hÜllas inlÜst eller fîrvaras pÜ ett betryggande sÑtt, lyder
deras rÜd. Ett annat enkelt knep Ñr att inte ha modemen stÑndigt anslutna.
DÜ gÜr det inte att komma in med mindre Ñn att en avisering sker. I de fall
modemet mÜste vara uppkopplat, fîr exempelvis fÑltsÑljarnas rapportering,
finns mîjligheten till Üteruppringande modem. DÜ finns det i modemet ett
antal i fîrvÑg lagrade telefonnummer. Det kan vara nummer till servicekontor
med fasta fîrbindelser eller sÑljarnas mobiltelefonnummer.
énnu stîrre sÑkerhet, och dessutom en bra varningssignal, blir det med
dataloggning pÜ modemporten. Fîrutom att behîrigas gîranden och lÜtanden
registreras blir en obehîrigs fîrsîk att fÜ tilltrÑde till systemet
uppdagat. Det gÜr inte att spÜra samtalet men fîrsîken att komma in
registreras. DÜ Ñr det dags att fîrse datorerna med ytterligare sÑkerhets-
program.
Fîrsvaret byter nummer
Fîrsvaret har beordrat alla som drabbats av hackerintrÜng att byta
telefonnummer och slÜ av systemen nÑr de inte anvÑnds. Fîrsîken till intrÜng
i fîrsvarets system har bara skett i en del administrativa system och utan
stîrre framgÜng, berÑttar presschef Bertil Ternert pÜ militÑrstabens in-
formationsavdelning.
-Det Ñr helt klart att det Ñr Diab Datas sÑkerhetsrutiner som har brustit
sÜ att ett antal telefonnummer till olika modem i fîrsvaret kommit ut,
konstaterar han. Han tillÑgger att operativa militÑra system Ñr slutna och
omîjliga att ta sig in i. Det Ñr frÑmst flygvapnet, som har Diab-datorer,
som utsatts fîr intrÜngsfîrsîk.
Bland annat har man fîrsîkt komma in i system till F21 i LuleÜ. Men
lÑngre Ñn till "farstun" har man dock inte kommit och nÜgra uppgifter har
inte lÑckt ut, sÑger Bertil Ternert.
____________________________________________________________________________
____________________________________________________________________________
SKRYTIGA HACKERS ôVERSKATTAT PROBLEM: DSR (5/92)
Bild: Hans-Iwan Bratt (ifîrd glasîgon)
Text: Hans-Iwan Bratt
Svenska hackers har tagit sig in i datorer hos bl a Nasa och Pentagon
liksom i en rad svenska datafîretag. Det mesta Ñr skryt, hÑvdar Hans-Iwan
Bratt, vd i Leverantîrsfîreningen Kontor och Data. Men det finns flera fall
av allvarliga dataintrÜng, som ger upp till tvÜ Ürs fÑngelse fîr de som
Üker fast.
"Hackers vill skryta med sina erîvringar. I stort uppslagna artiklar i
Dagens Nyheter stÜr det att svenska hackers skaffat sig tilltrÑde till
Pentagons system fîr elektronisk post. Det kan mîjligen bero pÜ att sÜdana
postsystem ofta Ñr helt îppna. Prestationen behîver inte vara mer anmÑrk-
ningsvÑrd Ñn att sÑnda vanliga brev till Pentagon.
Fîrvisso finns det problem med datasÑkerheten, men de gÑller inte frÑmst
hackers. Det finns teknik och metoder som ger i det nÑrmaste 100-procentigt
skydd mot sÜdana dataintrÜng. Men rigorîsa sÑkerhetsbestÑmmelser Ñr tyvÑrr
besvÑrliga fîr anvÑndarna. DÑrfîr delas systemen in i olika sÑkerhetszoner.
Det som Ñr mycket skyddsvÑrt fÜr avancerat skydd och fÜ ges tillgÜng. Andra
delar, med fler behîriga anvÑndare, ges lÑgre skydd.
Det finns andra problem som Ñr vÑsentligt stîrre, t ex sabotage och
stîlder av behîrig personal. Det Ñr dock inte specifikt fîr datasystem
utan fîr alla typer av fîretagshemligheter. I DNs artiklar pÜstÜs att lagen
mot dataspioneri Ñr diffus och ineffektiv. Det Ñr inte vÜr uppfattning.
Den som gîr sig skyldig till dataintrÜng riskerar tvÜ Ürs fÑngelse. SÑljs
informationen vidare handlar det Ñven om fîretagsspioneri. Mîjligheten att
upptÑcka obehîrigt intrÜng och att spÜra hur det gÜtt till Ñr ganska god.
Olyckliga omstÑndigheter
I det nu aktuella fallet har en person kommit Üt kÑnslig information
genom en kombination av olyckliga omstÑndigheter. Beklagligtvis utnyttjades
det pÜ ett brottsligt sÑtt. Vi kommer studera det som hÑnt mycket noga.
MÜnga datafîretag utvecklar sÑkerhetsrutiner tillsammans med kunderna och
vi samlar systematiskt in information om datorrelaterad brottslighet. Det gîr
risken fîr att nÜgot liknande ska kunna ske igen Ñr mycket liten."
Hans-Iwan Bratt
____________________________________________________________________________
____________________________________________________________________________
MAN SLUTAR ALDRIG FôRVèNA SIG: DSR (5/92)
Bild: PÑr Rittsel (med glasîgon)
Text: Krînikan, PÑr Rittsel
[ointressanta delar har editerats bort -Ed]
...FîrvÜnad blir man ocksÜ îver sÜdana tillfÑlligheter som att samme
HÜkan Borgstrîm som tvÜ dagar i rad skrev om hackers i Dagens Nyheter,
denna vecka kommer ut med en bok i Ñmnet. Medfîrfattare Ñr en man som ska
ha varit chef fîr Televerkets sÑkerhetskontor. Vilken tur att det finns
hackers som sÜ lÑgligt kan skapa intresse kring hans nya bok!
Men problemet Ñr faktiskt ur vÑrlden. Boken behîvs inte. MÑnskligheten
kan andas ut, ja sova lungt och tryggt om nÑtterna. Hans-Iwan Bratt har
tagit itu med "datorrelaterad brottslighet". I en insÑndare i dagens
DatavÑrlden tillkÑnnager denne leverantîrernas sprÜkrîr: "Vi kommer att
studera det som hÑnt mycket noga... Det gîr risken fîr att nÜgot liknande
ska kunna hÑnda igen Ñr mycket liten."
Det Ñr ord och inga visor det. Men sÜ kommer de frÜn samme man som utan
minsta bitanke pÜ sitt eget rykte avskaffat bÜde ozonfaran frÜn laserskrivare
och all slags skadlig strÜlning frÜn bildskÑrmar. I Amerikas Fîrenta Stater
har man inte nÜgon Hans-Iwan Bratt, sÜ dÑr bryr man sig fortfarande om
bildskÑrmarnas magnetfÑlt och dÑr hÑrjar fortfarande hacker-ligor. Som den
skara pÜ minst ett tusen hackare som FBI och polisen i San Diego just i
dagarna hÜller pÜ att sÑtta dit fîr bedrÑgeri, falska kreditkortsinkîp och
fiffel med telerÑkningar.
Hade Hans-Iwan Bratt fÜtt rÜda, hade problemet aldrig ens uppkommit och
skulle det ÑndÜ ha uppkommit sÜ hade det inte kunnat upprepas eftersom det
egentligen aldrig borde ha uppkommit...
Den mannen upphîr aldrig att fîrvÜna.
____________________________________________________________________________
____________________________________________________________________________
DAGS FôR AUKTORISERADE HACKERS?: DSR (5/92)
Bild: Walter Holmer i en soffa med en pÑrm i knÑet visande tidnings-
urklipp ang. Landstinget anmÑlda till Datainspektionen.
Text: SÑkrare med hackers. Walter Holm, pensionerad sÑkerhetschef,
anser att auktoriserade hackers kan kontrollera att databaser
inte utsÑtts fîr obehîriga angrepp.
En hovrÑttsdom mot en journalist fîr nÑra Ütta Ür sedan vÑckte
uppmÑrksamhet dÑrfîr att journalisten gjort fîrsîk till intrÜng i en
offentlig databas. Avsikten var enbart att testa datasÑkerheten. Dock
lyckades han aldrig "hacka". HovrÑtten dîmde emellertid efter lagens
bokstav, trots att ingen brottslig avsikt fîrelÜg och ingen skada hade
uppstÜtt. RÑtten borde dÑrfîr dîmt enligt regeln hellre fria Ñn fÑlla.
Varfîr gjorde man inte det?
Svaret lÜg sannolikt i bristande kunskaper och dÑrmed ett onyanserat
tankesÑtt. Hellre dÜ dîma efter "lagens bokstav", trots att lagen i sig
hade stora brister. Brottet visade sig dock snarare bli till gagn eftersom
det ledde till îversyn av sÑkerhetsrutinerna hos det angripna fîretaget.
Bland annat hade ju gÑrningsmannen fÜtt hÜlla pÜ i 11 timmar utan upptÑckt!
Nu en udda reflexion: Varfîr inte auktorisera hackers, som Ü samhÑllets
vÑgnar kontrollerar databasernas resistans mot obehîriga angrepp? I dag
har man nÑmligen samma oskuldsfulla instÑllning till sÑkerhetsfrÜgorna
som i datorns barndom. SÜ kallat hemliga koder Ñr oftast enkla att forcera
i den mÜn de îverhuvudtaget finns. I fallet med journalisten ovan hade
man gjort ett enkelt program som prîvade olika kodkombinationer. Eftersom
spÑrr saknades efter ett antal felaktiga fîrsîk, kunde man obehindrat
prîva 10 000-tals kombinationer innan man stoppades pÜ grund av att
telelinjen blockerats. Det var ingalunda nÜgra datagenier som varit i
farten. Som ocksÜ de nya incidenterna visar, Ñr det oftast enbart
ungdomlig Ñventyrslusta och îvermod som Ñr drivkraften. I amerikanska
utredningar har det exempelvis framkommit att fîrîvare till och med
programmerat in fullstÑndig bekÑnnelse i fast fîrvissning att de inte
skulle kunna spÜras.
Vanligen upprÑttas kommunikationsregler med anvisningar hur trafiken
upprÑtthÜlles utan stîrningar. NÑr det gÑller datakommunikation finns
ingenting, blott en bristfÑllig lag och ingen vÑgledning fîr sÑker
trafikering. TrafiksÑkerhetsverket finns fîr vÑgtrafik, fîr datakommunikation
endast Datainspektionen, som har alltfîr begrÑnsade resurser att verka
effektivt. Regeringarna har nÑmligen visat fîrvÜnande likgiltighet fîr
datasÑkerhetsfrÜgorna och stÑndigt avvisat fîrslag till fîrstÑrkningar.
Endast ett fÜtal "îvertramp" kommer till allmÑn kÑnnedom, troligen beroende
pÜ att man inte vÜgar visa upp sin sÜrbarhet. Cheferna, beslutsfattarna,
Ñr obekanta om konsekvenserna av sina beslut - verkstÑllarna, de datakunniga,
har ringa intresse av att visa svagheter i sina egna alster - bristerna
bestÜr. LÜt dÑrfîr Datainspektionen fÜ resurser att agera som ett data-
kommunikationernas trafiksÑkerhetsverk, som opartiskt kan utfîra inspektioner.
StÑll kapacitet till fîrfogande fîr att lÜta inspektionens specialister,
som vi kan kalla "auktoriserade hackers", kontrollera att samhÑllsnyttiga
databaser hÜller acceptabel sÑkerhetsnivÜ.
Walter Holmer
Pensionerad sÑkerhetschef
____________________________________________________________________________
____________________________________________________________________________
HACKERPROBLEMET INTE UNDERSKATTAT: DSR (5/92)
Hans Iwan Bratts insÑndare i DatavÑrlden nr 18 om de îverdrivna
hackerskriverierna i Dagens Nyheter kommenterades i PÑr Rittsels
krînika i samma nummer. HÑr svarar Hans Iwan Bratt:
"Man slutar aldrig fîrvÜna sig, skriver PÑr Rittsel i DatavÑrlden.
HÑnger du med i svÑngarna sÜ blir du nog inte fîrvÜnad sÜ ofta, PÑr. Det
som fîrvÜnar PÑr denna gÜng Ñr att vi leverantîrer lÑr oss av erfarenheten.
NÜgra hackers har tagit sig i en medlems dator. DÜ skriver jag att vi tar
reda pÜ hur det gick till och sprider kunskapen till andra medlemmar fîr
att det inte ska hÑnda igen. Finns det nÜgot mer sjÑlvklart?
Om PÑr hade lÑst det jag skrev nÜgot mer uppmÑrksamt, skulle han
fîrmodligen fîrstÜtt att jag inte fîrnekar att hackers Ñr ett problem. Jag
menar dock att hackers inte Ñr nÜgot stîrre problem nÑr det gÑller kÑnsliga
system med hîg sÑkerhetsnivÜ. DÑr kan de inte ta sig in. DÑremot kan de
stÑlla till elÑnde i vanliga system, dÑr vi av hÑnsyn till anvÑndarna inte
kan ha alltfîr sofistikerade skyddstekniker. De blir alltfîr besvÑrliga att
hantera. Dessutom skriver jag att andra typer av datorrelaterad brottslighet
Ñr mer bekymmersamma, t ex insidersbrott.
Stîd pÜ dess punkter fÜr jag frÜn de personer DatavÑrlden intervjuat i
samma nummer. LÑs DatavÑrlden! DÑr finns Ütskilligt vÑrt att lÑsa!
Jag avskaffade ozon-faran, skriver du ocksÜ. Det kan jag inte ha gjort
eftersom det inte funnits nÜgon. PÜstÜendet Ñr inte mitt. Tala med Arbetar-
skyddstyrelsens ozonexpert sÜ fÜr du hîra. HÜller man sig informerad blir man
inte sÜ îverraskad. Och sÜ har jag avskaffat den farliga strÜlningen frÜn
bildskÑrmar, skriver PÑr. Den enda strÜlningen frÜn bildskÑrmar Ñr det
synliga ljuset och det Ñr inte farligt. Kanske PÑr tÑnker pÜ de elektro-
magnetiska fÑlten runt bildskÑrmarna. Om du lÑst vad forskarna skriver hade
du vetat att det inte finns nÜgra forskare som visat att dess fÑlt Ñr farliga.
ér det inte dags att du bîrjar hÑnga med, PÑr?"
HANS IWAN BRATT
VD LKD
PÑr Rittsel svarar:
Nej, fîrvÜnad ska man inte bli. Men visst undrar jag lite îver hur Hans
Iwan Bratt kan skriva som han gîr och samtidigt vara sprÜkrîr fîr en bransch,
dÑr leverantîrerna îver-trumfar varandra i att reducera magnetfÑlten frÜn
bildskÑrmarna och bygga in ozonfilter i laserskrivarna.
Samma sorglîsa instÑllning har han till hackerangrepp. I dagens inlÑgg
handlar det kategoriskt om att "det inte ska hÑnda igen". Undrar vem som
blir mest fîrvÜnad nÑsta gÜng.
PéR RITTSEL
____________________________________________________________________________
____________________________________________________________________________
DSR tar gÑrna emot nya sponsor/support System. Om du har speciellt
intresse fîr Rapporten, och vill stîdja DSR -- LÑmna ditt BBS nummer -- och
annan information pÜ THE STASH Bulletin Board System.
____________________________________________________________________________
____________________________________________________________________________
Anonymous :: +45-###-##### -------- Sedes Diaboli :: +46-###-#####
16.8 kbps DSR DK 2400 bps DSR Information
THE STASH
- Svenska Rapporten Support BBS -
Den Svenska Rapporten #1 Node
14.4k bps, 170+ Megs, Dygnet Runt
____________________________________________________________________________
____________________________________________________________________________
Detta Avslutar Detta DSR Numret Nr. 05
(del 2 av 3)
SlÑppt Maj 31, 1992
av The Chief
Editor av Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________