Copy Link
Add to Bookmark
Report
Den Svenska Rapporten accepterar Nr. 06 (del 2 av 3)
____________________________________________________________________________
____________________________________________________________________________
-uXu- DEN SVENSKA RAPPORTEN -uXu-
Information Fr Entusiaster Nr. 06
(del 2 av 3)
Slppt Juni 30, 1992
InnehÂll:
Ed's Ord
Skregister ÷ver Huliganer
Datastlder fr 1,6 Miljoner
Skerheten Inventeras
Sex Spnnande MÂnader
85 000 i SkadestÂnd Nr Chefen Lste Hans E-Post
Chefen Lste E-Post
Inga Svenska Exempel
Skerhetsbrister MÂste Upptckas i Tid
Grvande Journalister Vgrar Flja Datalagen
Hemliga Dataprojekt
Fjrrmtning Ska Ge Frre Fel
Nytt Datorhot
BBS Fr Inbitna
Den Som Hvdar Att Hackers Inte r En Skerhetsrisk r Naiv
Eller Drivs Av Ekonomiska Motiv
_____________________________________________________________
av TC, Editor Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________
ED'S ORD: DSR
Den Svenska Rapporten accepterar utomstÂende kllor nnu. Vem som helst
kan skriva fr/lmna information till DSR. Skribenten/Lmnaren blir adderad
som informations-lmnare, eller frfattare till artikeln. Full diskretion
om frfattaren/lmnaren s nskar. Artiklar/Information kan lmnas p de
system som finns listade i slutet av varje nummer av DSR.
Vrt att notera: Felskrivningar, felstavningar och rena fakta-fel ligger
p kllans sida och ej p den som rapporterat eller skrivit in texten/
avsnittet. DSR kan ej heller anklagas fr dessa oumbrliga fel dÂ
rapporterna i sin helhet r helt likvrdiga och verrensstmmer med
originalet.
TC, DSR Editor
____________________________________________________________________________
____________________________________________________________________________
S÷KREGISTER ÷VER HULIGANER: DSR (6/92)
Polisen fÂr upprtta ett skregister ver videofilmade fotbolls-
huliganer. Det har datainspektionen beslutat. Registret ska frstras
omedelbart efter fotbolls-EM. Polisen videofilmar allt som rr sig under
fotbolls-EM, och det behver de inget tillstÂnd fr. Men det kommer
att bli 1 500 filmer, och fr att kunna hitta rtt huligan bland alla
rullarna har polisen begrt att f upprtta ett datoriserat spanings-
register. Endast personer som r skligen misstnkta fr brott eller
som har strt ordningen fÂr registreras i spaningsregistret.
____________________________________________________________________________
____________________________________________________________________________
DATAST÷LDER F÷R 1,6 MILJONER: DSR (6/92)
Tre mn i 20-ÂrsÂldern Âtalades den 4 juni fr datastlder vid ÷rebro
tingsrtt. De anklagas fr datastlder fr totalt 1,6 miljoner kronor.
Stlderna har gt rum under ett Ârs tid i ÷rebro-omrÂdet. Den strsta
stlden var p LEA-bolaget i Hallsberg dr datorer och annan kontors-
utrustning fr 380 000 kronor stals. Ledaren fr stldligan r en 22-Ârig
Hallsbergsbo som erknt. Det mesta av stldgodset har sÂlts till hlare i
Stockholm, VsterÂs och Norrkping.
____________________________________________________________________________
____________________________________________________________________________
SKERHETEN INVENTERAS: DSR (6/92)
Nybildat ADB-SkerhetsrÂd
Bild: Jan Freese.
Text: Skerhetsman. En av de 18 medlemmarna i det nybildade ADB-
skerhetsrÂdet r Industrifrbundets Jan Freese.
SÂrbarheten i samhllsviktiga datasystem mÂste minska. Det r den
viktigaste uppgiften fr det nybildade ADB-skerhetsrÂdet. Bakom rÂdet stÂr
÷verstyrelsen fr Civil Beredskap, ÷verbeflhavaren och Statskontoret.
Den frsta uppgiften fr det nya organet har blivit att gra en sker-
hetsinventering hos myndigheter och organisationer. Det ska dessutom utveckla
metoder och teknik fr att ka myndigheters dataskerhet. Det gller att
utveckla skerheten samtidigt som den inte fÂr krocka med offentlighets-
principen. Det arbetet har framfr allt Statskontoret nytta av, men det r
ocks tillgngligt fr andra myndigheter och organisationer. RÂdet verkar
inom ÷CB och Statskontoret. Och det har nyligen publicerat rapporten "ABD-
skerhet i Sverige: Vad som gjorts och vad som pÂgÂr".
De aderton
ADB-skerhetsrÂdet bestÂr av 18 personer, med Gunilla AndrÈ (÷CB:s
generaldirektr) och Jan Carling (dito Statskontoret) som ordfranden. Bland
ledamterna Âterfinns bland annat Industrifrbundets Jan Freese, Jan Ridefelt
frÂn rikspolisstyrelsen, Handelsbankens Georg Espling och Rabbe Wrede, Data-
freningen i Sverige. En av de frsta sakerna rÂdet gnat sig Ât r in-
venteringen av vad som gjorts i Sverige p skerhetsomrÂdet under senare Âr.
Rapporten bygger p en intervjuunderskning som gjorts med representanter fr
omkring 45 myndigheter och organisationer. Intervjuerna gjordes i februari
i Âr. Man ville ta reda p de olika organisationernas skerhetsmÂlsttningar,
deras egna utredningar och projekt, genomfrda eller pÂgÂende samt vad man
ytterligare nskade frbttra.
Frankring och anpassning
En slutsats r att de flesta organisationer fredrar att skerhetsarbetet
anpassas till det egna arbetet. Man r allts inte i lika hg grad beredd
att anpassa arbetet till skerhetskraven.
Egna skerhetsprojekt
Trots vad som ofta antagits r dataskerhetsmedvetandet relativt hgt
utvecklat i Sverige. I ADB-skerhetsrÂdets rapport framkommer att 29 av de
tillfrÂgade organisationerna genomfrt egna skerhetsprojekt och/eller
publicerat egna rapporter. ADB-skerhetsrÂdet kommer nu att fortstta sitt
arbete, som frmst gÂr ut p att verka inom ÷CB och Statskontoret. Dr ska
det vara en "referensgrupp, kompetenscentrum och sakkunnig panel". Det ska
ocks bygga upp kontaktnt fr att utbyta skerhetsinformation med andra
myndigheter och organisationer. Samt utgra en pÂtryckargrupp och opinions-
bildande grupp gentemot omvrlden.
____________________________________________________________________________
____________________________________________________________________________
SEX SPNNANDE MNADER: DSR (6/92)
[Enbart tckande de notiser som r av intresse fr DSR's lsare -ED]
April - Diab Data hamnar i blÂsvder nr fretaget drabbas av ett
hackerintrÂng. Hackarna fick bland annat tag p telefonnummer
till frsvarets datasystem.
FAS 90-projektet lggs ner - den borgerliga regeringen tyckte
att det var fr integritetsknsligt.
Juni - Chefen p Memorex Telex norska dotterbolag tittade i en
anstllds elektroniska brevlÂda och fick betala 85 000 kronor
i skadestÂnd.
____________________________________________________________________________
____________________________________________________________________________
85 000 I SKADESTND NR CHEFEN LSTE HANS E-POST: DSR (6/92)
Frsta domen mot olovlig vervakning av anstllda
Bild: Knut Martinussen sittande p en bnk.
Text: Chefen lste hans brev. Norske Knut Martinussen fÂr 85 000
efter att chefen gÂtt in och lst hans privata e-post.
Chefen p Memorex Telex norska bolag tittade i en anstllds privata
elektroniska brevlÂda. Det kostar henne 85 000 kronor. Juridiska experter
betecknar domen som ytterst intressant. Det r frsta gÂngen som en arbets-
givare flls i domstol fr att olovligt ha tittat i personalens privata
e-post. Varken i Norge eller nÂgot annat land r en liknande dom knd sedan
tidigare. Idag gÂr det inte att f nÂgot klart besked om vad som gller i
Sverige. De svenska juristerna r mycket tveksamma till om en svensk domstol
skulle kunna flla nÂgon p samma grunder som man gjort i Norge. KrnfrÂgan
r: Tillhr den elektroniska posten den anstllde eller fretaget?
____________________________________________________________________________
____________________________________________________________________________
CHEFEN LSTE E-POST: DSR (6/92)
85 000 i skadestÂnd
Bild: Knut Martinussen.
Text: Fick E-Posten genomskt av chefen. Den norske datamannen Knut
Martinussen fÂr skadestÂnd efter att hans chef utan att under-
rtta honom gÂtt in och lst hans privata elektroniska post.
Chefen p det norska datafretaget Memorex Telex tittade i en anstllds
privata E-post. Det skulle hon inte ha gjort. Norsk domstol dmde fretaget
nyligen att betala 85 000 kronor i skadestÂnd. Juridiska experter i Norge
betecknar domen som ytterst intressant. Det r frsta gÂngen som en arbets-
givare fllts i domstol fr att olovligt ha tittat i personalens privata
E-post. Varken i Norge eller nÂgot annat land r nÂgon liknande dom knd
sedan tidigare.
-En mycket intressant sak, konstaterar Georg Aspenes, p Datatilsynet,
Norges motsvarighet till Datainspektionen. Georg Aspenes sger till Computer-
world Norge att domen, som sannolikt inte kommer att verklagas, kan komma
att bli praxisbildande. Fler domar av samma typ r att vntas.
Seger i rtten
Mannen som fick sin privata E-post systematiskt genomskt av sin chef
heter Knut Martinussen. Han r mycket lttad efter den rttsliga segern ver
sin tidigare arbetsgivare, datafretaget Memorex Telex i Oslo.
-Det var tufft, men i dag r jag glad att jag valde att g vidare med
saken, sger han. Hela saken har egentligen mest med vanlig enkel moral att
gra, anser Knut Martinussen. Jag ppnar inte min frus post och frsker inte
ta mig in fr att snoka i mina kollegors lÂsta skrivbordslÂdor. Samma enkla
frhÂllande br givetvis glla arbetsgivare nr det gller personalens privata
E-post, sger han till Computerworld Norge.
De anstllda p Memorex Telex har tillgÂng till ett E-post system som
binder samman den internationella koncern dr det norska fretaget ingÂr.
Personalen tilldelades varsitt personligt lsenord frÂn systemansvariga i
Bryssel.
Lsenord till ledningen
Men utan att personalen p Memorex Telex visste om det, distribuerades
lsenorden ut ocks till fretagsledningen. I den nu aktuella domen r det
just detta som Asker og Baerums Herredsrett fster stor vikt vid. Hade
fretaget tydligt informerat personalen om att ledningen kunde g in och lsa
ocks lsenordsskyddade E-post-meddelanden, d hade det inte blivit nÂgon
fllande dom. Ocks i dag, efter domen, har Memorex Telex behÂllt mjligheten
att lsa all E-post p fretaget. Skillnaden r att man nu r noga med att
skriftligt informera personalen om detta.
E-post-tvisten mellan Knut Martinussen och chefen p Memorex Telex Anne
Britt Heltmark brjade egentligen med att Martinussen blev omplacerad i
samband med en omorganisation. Den fljande konflikten mellan de tv blev
allt mer inflamerad och slutade med att Heltmark sa upp Martinussen. Det var
under uppsgningstiden som Knut Martinussen upptckte att nÂgon hade varit
inne och tittat p hans lsenordsskyddade E-post-meddelanden.
-Jag aktiverade en logfunktion och kunde konstatera att intrÂngen skedde
frÂn direktrens terminal. Jag upptckte ocks att intrÂngen skedde p helger,
p kvllar och d jag var ute p lunch, berttar Knut Martinussen. Jag blev
frbannad och knde mig krnkt. Jag konfronterade direktren med uppgifterna.
Men hon bara blÂnekade.
Knut Martinussen bestmde sig fr att gillra en flla. Han skrev ett brev
stllt till koncernledningen i Italien dr han framfrde sina klagomÂl mot
direktren. Han lade det i sin privata E-post-area, men skickade aldrig ivg
det. NÂgra dagar senare skrev han ett pÂhittat svar frÂn koncernschefen och
lade ocks det bland sina vriga E-post-meddelanden. Chefen fastnade p kroken.
Enligt Martinussen kom hon mycket uppbragt inspringande p hans rum med ut-
skrifter av de tv breven i hgsta hugg och gav honom sparken med omedelbar
verkan.
Rtten dmde fretaget att betala ut ett skadestÂnd p 85 000 norska
kronor till Martinussen.
____________________________________________________________________________
____________________________________________________________________________
INGA SVENSKA EXEMPEL: DSR (6/92)
I Sverige finns inga domstolsutslag som ger en fingervisning om lagen
tolererar att arbetsgivaren lser personalens E-post utan deras vetskap.
Ingela Halvorsen p Datainspektionen r mycket tveksam till om svenska
datalagen skulle kunna flla en arbetsgivare i ett sÂdant hr fall.
-Men det r inte helt omjligt, tillgger hon.
Att en arbetsgivare inte utan vidare fÂr lsa brev som r privat-
adresserade till en anstlld torde de flesta vara eniga om. Men resonemanget
kan inte utan vidare verfras till privat adresserad E-post, anser Ingela
Halvorsen.
-Det r lite mer komplicerat eftersom man faktiskt tar arbetsgivarens
datorer, lagringsutrymme och liknande i ansprÂk, sger hon.
Ingela Halvorsen berttar att Datainspektionen ibland blir uppringda av
anstllda som r upprrda fr att chefen tittat i deras privata E-post utan
att frÂga.
-Man kan sga att det inte fÂr finnas nÂgra privata handlingar i
fretagets E-post-system. Om inte arbetsgivaren srskilt tillÂtit detta,
fÂr man kanske acceptera att man inte har full kontroll ver privata
dokument, sger Ingela Halvorsen.
____________________________________________________________________________
____________________________________________________________________________
SKERHETSBRISTER MSTE UPPTCKAS I TID: DSR (6/92)
Tack Richard Strmqvist fr synpunkterna (CS-debatt nr 21,22 maj) pÂ
min tidigare artikel om auktoriserade hackers. Argumenten du anfr kan
emellertid helt frenas med mitt nÂgot udda frslag om att legalisera hackers
fr att p det sttet skapa skrare system.
Det r riktigt att de skyddsÂtgrder du nmner r ndvndiga fr effektivt
skydd. Det gller emellertid att kontrollera att de verkligen finns, vilket
nmnvrda kontrollanter frhoppningsvis skall konstatera. Med andra ord r det
som vanligt inte frÂga om antingen eller utan bÂde och. Kort sagt, r skydds-
Âtgrderna vl infrda kan utfrd kontroll verifiera en god skerhet. I det
beskrivna fallet hade hackerintrÂnget obehindrat kunnat hÂlla p i 11 timmar.
Hade den av Richard Strmqvist nmnda begrnsningen p tre frsk infrts
hade frsket ju stoppats p mycket tidigare stadium.
SvÂrigheterna med att skaffa pÂlitliga och kunniga "auktoriserade hackers"
tror jag, srskilt i dagens arbetsmarknadslge, r verdrivna. Dessutom
innebr ju mitt frslag att Datainspektionen som statlig myndighet skulle
ansvara fr kontrollens utfrande. Det hela kan jmfras med Statskontorets
knsliga sÂrbarhetsutredningar. Givetvis vet man hos bÂda myndigheterna frst
i efterhand om man fÂtt de bsta medarbetarna fr uppdraget. FarhÂgorna om
spridning av upptckta brister r ur sÂrbarhetssynpunkt berttigade.
Men vilket r vrst: att utan kontroll misstnka stor sÂrbarhet eller
att upptcka brister och i tid Âtgrda? Revisorer har ju sin givna roll inom
skilda omrÂden och att hindra revision r sllan tillrÂdigt. ven revisorer
har som sina brister och nÂgon garanti fr att alla brister upptcks finns
inte. I din egenskap av konsult knner du dock till att "management by
exeptions", ofta r effektivt nog.
____________________________________________________________________________
____________________________________________________________________________
GRVANDE JOURNALISTER VGRAR F÷LJA DATALAGEN: DSR (6/92)
Grundlagen gÂr fre
Bild: Tommy Klaar.
Text: "Inget personregister". Journalisten Tommy Klaar vgrar att stlla
konferenssystemet Reporter BBS under DIs insyn.
Datainspektionen angrips av Sveriges underskande journalister.
Konferenssystemet Reporter BBS i Sundsvall vgrar att rtta sig efter
myndighetens beslut - med hnvisning till yttrandefriheten och meddelar-
friheten. Datainspektionen menar att det rr sig om ett personregister som
ska ha tillstÂnd.
Datainspektionen (DI) skrev den 25 mars till journalisten Tommy Klaar
och begrde att han skulle skaffa tillstÂnd fr Reporter BBS, eftersom den
innehÂller personuppgifter. Reporter BBS r ett s kallat konferenssystem
eller en BBS (Bulletin Board System) som Klaar driver i Sundsvall. Basen
samarbetar bland annat med freningen Grvande Journalister. Klaar svarade
med ett brev, dr han med hnvisning till regeringsformen (RF) och tryck-
frihetsfrordningen (TF) hvdar att systemet r grundlagsskyddat.
-I avvaktan p att DI frklarar hur datalagen skall tillmpas trots
grundlagsgarantierna avstÂr jag frÂn att ska om nÂgot tillstÂnd, sger
Tommy Klaar.
Olslig konflikt
Bakgrunden r en konflikt mellan Datalagen, som r en vanlig lag, och RF,
TF och den nyligen antagna Yttrandefrihetsgrundlagen (YGL). De senare r
grundlagar som gller fre vanliga lagar. Den tjugo Âr gamla Datalagen sger
 ena sidan att den som har personuppgifter lagrade p datamedium skall ha
tillstÂnd av DI. andra sidan sger RF att varje medborgare har yttrande-
frihet. Dessutom sger TF att varje medborgare har rtt att lmna uppgifter
avsedda fr publicering utan att myndigheter har rtt till att efterforska
kllan. Om DI har tillsyn ver Reporter BBS hamnar man i konflikt med med-
delarskyddet, menar Klaar.
-Systemet r uppbyggt fr att frmst anvndas av journalister, sger
Tommy Klaar som sjlv arbetar p Sundsvalls Tidning. Av det sklet betraktar
jag verksamheten som dubbelt grundlagsskyddad, och oÂtkomlig fr tvÂngsmedel
med std av datalagen. Reporter BBS anvnds bland annat fr att verbringa
information dr meddelarskydd krvs. Och nÂgon misstanke om att uppgifter
sprids som r kvalificerat hemliga finns inte.
-Det vore ett grundlagsbrott av mig att gra innehÂllet i mitt kommuni-
kationssystem tillgngligt fr en statlig myndighet, sger Tommy Klaar. Han
hnvisar ocks till en statlig utredning (SOU 1991:21) som slÂr fast att det
verkligen finns konflikter mellan datalagen och grundlagarna.
Mer information
DIs handlggare r sa Wiklund.
-Jag kan inte sga nÂgot om rendet, sger hon. Det r inte avslutat
nnu och jag har inga uppgifter om vad det r fr ett register. Hon ska nu
frst frska f information om var Reporter BBS r fr nÂgot. Hur lÂng tid
handlggningen av rendet kan ta kan hon inte sga. SOU 1991:21 har hon en
del synpunkter pÂ.
-Utredningen har freslagit att vissa journalistiska register ska undantas
frÂn tillstÂndsplikt, sger hon. Det gller produktionsregister fr desktop
publishing och ordbehandling, register ver inkomna nyhetstelegram, vissa
kllregister, inklusive klipparkiv om de anvnds som klla. DI har lmnat ett
yttrande dr vi vnder oss emot frslaget. Ett eventuellt frslag om lagndring
kan komma inom det nrmaste Âret. Helt klart r dock att det finns en konflikt
mellan yttrandefrihet och meddelarskydd samt datalagen.
-Vi fÂr inte glmma att integritetsskyddet, som DI r satt att vrna,
ocks r grundlagsskyddat, sger sa Wiklund.
Datalagen frÂldrad
Tommy Klaar menar att Datalagen r frÂldrad. Den tillkom 1972 och avsÂg
att reglera stora personregisterp ett relativt begrnsat antal stor- och
minidatorer. Att det senare skulle finnas en miljon persondatorer i landet,
p vilka folk brevvxlar eller skapar textfiler, tnkte man inte pÂ.
-Jag finner hela situationen absurd, sger Tommy Klaar. Mitt system r
inget "personregister" i den mening lagstiftaren avsÂg 1972 nr datalagen
tillkom. Det som sker i systemet r en snabb brevvxling, och att en statlig
myndighet nu frsker skaffa sig kontroll ver denna brevvxling med Âberopande
av lagregler som skapats fr helt andra ndamÂl r minst sagt sttande.
____________________________________________________________________________
____________________________________________________________________________
HEMLIGA DATAPROJEKT: DSR (6/92)
Televerket spenderar varje Âr miljardbelopp p nyutveckling av datasystem.
Vad fr slags projekt och hur mycket de kostar vill dock inte Televerket
bertta om. Till dessa hemliga system rknar Televerket ven system fr
administration av lner och personal. Televerket kper sina system frmst
frÂn dotterbolaget Televerket Data p konsultbasis. Men en del system
utvecklas ven av externa konsulter. MÂnga av projekten r riktiga tung-
viktare. Utvecklingstider p ver fyra Âr r inga ovanligheter. Hr nÂgra
av Televerkets hemliga projekt:
- ALT-TT, "Teknisk och administrativ anpassning fr infrandet av Toll
Ticketing". Kostar 120 miljoner kronor i Âr.
- Telematik MA. Har kostat 90 miljoner kronor hittills. Kostar 25
miljoner i Âr.
- NYBAS, ett system fr personaladministration, order lager och
fakturering som utvecklades under fem Âr men s smÂningom
avvecklades.
- Lokus, mÂngÂrigt projekt fr kundadministration. Har knappt brjat
anvndas. Problem med lÂnga svarstider. Kostar 35 miljoner
kronor i Âr.
- SD, stÂr fr "synkron digital hierarki"
____________________________________________________________________________
____________________________________________________________________________
FJRRMTNING SKA GE FRRE FEL: DSR (6/92)
Televerket infr nu fjrrmtning av abbonentledningar p alla telefon-
stationer i landet. Fre Ârets slut ska de flesta av landets 7 000 telefon-
stationer ha utrustats. Hittills klarar 1 400 stationer fjrrmtning.
Meningen r att Televerket ska hitta fel p telentet innan abbonenterna
mrker nÂgot. Systemet bestÂr av en central dator p varje kundmottagning
och en mikrodator ute p stationerna. Under natten nr teletrafiken r lÂg
krs mtprogram som kontrollerar ntets kondition.
____________________________________________________________________________
____________________________________________________________________________
NYTT DATORHOT: DSR (6/92)
Ett nytt hot mot dataskerhet r nÂgot som kallas "Mutation Engine" eller
mutationsmotor. Det r inget vanligt virus, utan en objektmodul som r lnkad
till koden fr ett virus. Innan ett virus blir aktivt mÂste det dekrypteras.
Koden fr detta r normalt konstant, vilket gr att man kan upptcka viruset
genom att matcha byte. Mutationsmotorn anvnder en speciell logaritm fr att
generera olika dekrypteringsrutiner varje gÂng. P s stt blir den mycket
svÂr att upptcka. Mutationsmotorn upptcktes frst i en elektronisk anslags-
tavla (BBS) fr ett par mÂnader sedan. Flera fretag, till exempel Mcaffe och
Digital Dispatch har brjat utveckla antivirusprogram mot mutationsmotorn.
____________________________________________________________________________
____________________________________________________________________________
BBS F÷R INBITNA: DSR (6/92)
BBSernas sregna vrld domineras idag av tonÂringarna. Fretrdelsevis
handlar det om unga killar, som besitter betydande datakunskaper och en
hgt uppskruvad fingerfrdighet framfr PCn. Vad gr man d i BBSerna? Och
i vad bestÂr sjlva lockelsen som gr att stora skaror tonÂrshackers - och
andra ocks fr den delen - regelmssigt vljer bort den hlsobringande
nattsmnen fr att i stllet susa runt med modemet mellan olika BBSer?
De allra flesta BBSer innehÂller tv huvudomrÂden. Dels finns hr ofta
vldiga ansamlingar av gratisprogram av olika slag, som anvndaren fÂr ladda
ver till sin egen dator. Dels finns hr elektroniska diskussionsforum dr
anvndarna kan delta i debatter och replikskiften i alla upptnkliga mnen.
Dessa BBS-debatter domineras av tonÂringar som tilltalar varandra med
tcknamn som "Dr DOS", "Phearless" och "Big Eagle". De debatterar med fr-
krlek mnen hacking och diverse andra datatekniskt intrikata frÂgor. Inte
sllan lider dessa debatter av en viss kantring Ât det "pubertala" hÂllet.
Uppenbarligen har ocks fretrdare fr den undre vrlden lrt sig
att uppskatta BBSerna. Mac & PC behver inte botanisera runt lnge bland
BBSerna innan vi stter p ett inlgg frÂn en herre som frklarar sig
intresserad av att kpa polisuniformer, utrangerade polisbilar samt hand-
eldvapen.
Fr hackers
BBS-programmen som anvnds r teckenbaserade och ofta ganska krÂngliga
att anvnda. De innehÂller ofta komplicerade inloggningsfunktioner som r
obegripliga fr en oinvigd. Ofta innehÂller de kommandon som inte knyter
an alls till vare sig DOS eller nÂgot annat operativsystem som anvndaren
kan vara bekant med frÂn sin egen dator. Lite tillspetsat kan man sga att
dessa program ibland ser ut att vara skrivna fr verhettade hackers fr
andra hackers. Lttanvndbarhet ser definitivt inte ut att ha varit nÂgon
mÂlsttning med mÂnga av dessa program. Ibland ser det nstan ut som om det
skulle vara precis tvrt om.
____________________________________________________________________________
____________________________________________________________________________
"DEN SOM HVDAR ATT HACKERS INTE R EN SKERHETSRISK R NAIV
ELLER DRIVS AV EKONOMISKA MOTIV": DSR (6/92)
Bild: HÂkan Borgstrm
Text: Debatt - LKD och andra som frskt tona ned riskerna med
hackers fÂr hr svar p tal av frilansjournalisten HÂkan
Borgstrm. Hans artiklar i Dagens Nyheter om hackerintrÂng
har skakat om ordentligt i branschen.
Den som hvdar att hackers inte utgr nÂgon skerhetsrisk r antingen
naiv eller drivs av ekonomiska motiv. Nr det gller dataskerhet finns alltid
nÂgon som vinner p att undanhÂlla obehagliga fakta. Leverantrer vill inte
tala om brister i produkterna, datorgare vill inte frlora andras frtroende,
konsulter och systemoperatrer vill behÂlla sina jobb. Men ingen vinner i
lngden p att dlja de faktiska frhÂllandena.
Det verkar fortfarande finnas de som tror att dagens hackers r 13-
Âriga Vic 64-entusiaster. De bedrar sig. Nu handlar det oftast om vuxna
personer med kunskaper som vida verglnser mÂnga systemoperatrers.
Arbetsredskapen r allt frÂn egna persondatorer till de angripnas super-
datorer. Man byter inte lngre passwords med varandra, det r ingen sport.
Man "hackar" fram dem. Dagens hackers sjl hela lsenordsfiler och matchar
fram "passwords".
Det finns program som krypterar hela ordlistor och kontrollerar om orden
finns med i den stulna lsenordsfilen. Fr Unix-datorer finns till exempel
Lard, fr PC ett som heter Guess 386 DES. En del program klarar 700-800
gissningar per sekund! Till flera medfljer ordlistor, upp till 15 Mb stora,
med vanliga lsenord. Andra provar "login" i kombinationer med olika tillgg,
som password. Det rr sig allts om avancerade verktyg fr att kncka lsenord.
Dessutom utnyttjar hackers buggar i systemprogramvaran. De luslser
manualer och nyhetsbrev och hÂller sig ·-jour med de senaste program-
versionernas fel och brister, och inte bara i Unixsystem. ven vlknda
buggar utnyttjas, eftersom mÂnga systemoperatrer inte bryr sig om att
ta bort dem. Till exempel hos Diab Data som missat att fixa buggen i
TFTP (Trivial File Transfer Protocol). En fatal och vanlig lucka i sker-
heten. Buggen har varit knd i flera Âr.
HackerintrÂngen r inte heller s oskyldiga som de framstlls i debatten.
Hans-Iwan Bratt (LKD) menar att det ofta rr sig om publika system, t ex
hos Pentagon. Men nr blev Pentagons elektroniska postsystem ppet fr alla?
All hackerverksamhet r inte heller riktad mot postsystemet. Nyligen bekrftade
amerikanska myndigheter att en hollndsk hacker varit inne i Pentagons datorer
och kommit Ât information bland annat om Patriotrobotarnas verkningsgrad mitt
under pÂgÂende Gulfkrig.
Likas har det hvdats att den hackergrupp jag skrev om i Dagens Nyheter
inte kommit Ât nÂgra hemluga akter i svenska datorer. Nej, jag skrev bara att
de fÂtt fram en lista med modemnummer, login och i vissa fall passwords till
379 datasystem frÂn Diab Data. Gruppen valde att trda fram innan de pene-
trerat datasystemen hos invandrarverket, SIDA, flygstaben och andra som fanns
p Diab-listorna. Och stockholmspolisens urskt var: "Jass den datorn, dr
finns bara lite personuppgifter, lner, adresser och personalplanering",
dokument som inte r intressanta fr en blÂgd 17-Âring!
Men uppgifterna kan ju vara ÂtrÂvrda fr andra grupper, och det r
som sagt inte heller bara ungdomar som hackar. Kjell Strmlid, styrelse-
ordfrande i LKD, gÂr s lÂngt att han talar om "hackerhysteri" och att det
inte r nÂgot fel p skerheten. Men se d p dessa exempel:
- Ett fretag som fÂtt pÂhlsning r Dimension AB. Dr hade system-
operatren valt lsenordet "DIM" till en central fileserver. Vad
skyddar ett sÂdant lsenord?
- Telesoft frvarade kundstatistik p en icke-skyddad plats i
fretagets datorsystem.
- Diab Dara hade sin korrespondans med kunder (felanmlningar och
protokoll frÂn olika projekt) ltt Âtkomlig. Frutom modemnummer
och inloggningsfrfaranden fanns prydliga listor ver X-25-Host
lite varstans, liksom underhÂllsavtal och andra knsliga handlingar.
Ytterligare exempel:
Flertalet fretag och myndigheter som "fick besk" av den engelska
hackergruppen 8LGM i slutet av 1990 via Datapak, visste inte ens om att
de haft datorintrÂng. De hade inte sina loggar pÂslagna. Vid stort data-
fretag, som numera finns i Kista, anvnde gruppen tv Unixmaskiner fr
att "hoppa bock" till andra system. Medlemmarna ringde ut 108 521 gÂnger
utan att nÂgon reagerade!
Jag tvivlar p att LKD ocj kommunikationskonsulten Peter Lthberg,
som intervjuades i radioprogrammet God Morgon Vrlden, r naiva. Det mÂste
finnas andra motiv till att de frnekar riskerna med hackers. I ett ppet
samhlle gÂr det aldrig att stoppa hackers. Man kan inte stnga ute "vissa"
mnniskor frÂn datafldet mellan nationer, yrkesgrupper och enskilda. Ju
fler datorfrbindelser, desto fler hackers. Det r ett samhllsfenomen vi
fÂr leva med.
I USA har polisen nyligen genomfrt en stor operation kallad "SunDevil"
dr de frskt skrmma s mÂnga hackers som mjligt. Tusentals ungdomar
ingÂr i utredningen. Men denna anti-hacker-vÂg mter nu motstÂnd. Knda
datapionjrer som Mitch Kapor, mannen bakom kalkylprogrammet Lotus 1-2-3,
har startat en fond fr Âtalade hackers rttegÂngskostnader. Man diskuterar
i USA till och med mjligheten att ge "rligt intresserade" tillgÂng till
begrnsade delar av datorsystemen.
I hackerkretsar sger man dock att hackandet kommer att sjlvd om
spnningen med att gra nÂgot olagligt frsvinner. Kanske nÂgot fr Hans-
Iwan Bratt att tnka pÂ, i stllet fr att utmana till knckande av nya
datorsystem med sitt pÂstÂende att skerheten r tillfredstllande.
____________________________________________________________________________
____________________________________________________________________________
DSR tar grna emot nya sponsor/support System. Om du har speciellt
intresse fr Rapporten, och vill stdja DSR -- Lmna ditt BBS nummer -- och
annan information p THE STASH Bulletin Board System.
____________________________________________________________________________
____________________________________________________________________________
Anonymous :: +45-###-##### -------- Sedes Diaboli :: +46-###-#####
16.8 kbps DSR DK 2400 bps DSR Information
THE STASH
- Svenska Rapporten Support BBS -
Den Svenska Rapporten #1 Node
14.4k bps, 170+ Megs, Dygnet Runt
____________________________________________________________________________
____________________________________________________________________________
Detta Avslutar Detta DSR Numret Nr. 06
(del 2 av 3)
Slppt Juni 30, 1992
av TC
Editor av Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________
�
