30.3.2007 | 12:00
Þankar um öryggi í tölvuheimum
Stýrikerfum og tölvunetum má líkja við byggingar sem forritin okkar eiga heima í.
Ef byggt er á friðartímum þegar innbrotsþjófar eru ekki til, er erfitt að gera bygginguna örugga eftirá.
Fangelsi eru yfirleitt hönnuð fyrir sitt hlutverk. Það er erfitt að gera öruggt fangelsi úr t.d. Landsspítalanum. Dyrnar og gluggarnir eru of margir og of margir gangar sem þarf að fylgjast með.
Það er hægt að kaupa skynjara og myndavélar en í byggingu með þúsund innganga þarf þúsund myndavélar og einhvern til að fylgjast með þeim öllum.
Þetta er staðan í öryggismálum í tölvum í dag. Þótt kerfin líti út fyrir að vera ný er nýnæmið bara á yfirborðinu. Stýrikerfin eru barnabörn kerfa sem voru hönnuð þegar notendur voru upplýstir sérfræðingar og vírusar og internet voru ekki til.
Þegar kerfin voru hönnuð sat fólk eitt með sína einkatölvu og hafði ekki tengingu út á netið. Þá var ekki búið að leggja þetta (skólp) rör út úr heimilum og fyrirtækjum sem hægt var að skríða inn um.
Hér eru nokkrir ósiðir í tölvubransanum sem við þurfum fyrr eða síðar að fást við.
Ósiður 1: Allt er leyft þar til það er bannað.
Tölvur leyfa alla skapaða hluti eins og að láta Word skjöl keyra forrit eða leyfa forritum að keyra nema vírusvörnin nái að stoppa notandann af. Þau leyfa börnunum á heimilinu að setja upp hugbúnað sem þau finna á netinu og heimsækja vefsíður sem enginn fullorðinn hefur skoðað eða samþykkt.
Þessu þarf að snúa við. Hlutir eiga að vera læstir þar til þeir eru opnaðir ef þeir eiga að þola að liggja á glámbekk. Ég nota 10 - 20 forrit á tölvunni minni. Öll önnur forrit eiga að vera lokuð nema ég opni þau.
Vefurinn í heild sinni má ekki standa opinn börnum. Við leyfum börnum ekki að ferðast ein til útlanda. Vefurinn er miklu ógeðslegri en klámblöð voru í gamla daga og hann stendur galopinn á flestum heimilum.
Ósiður 2: Að gera lista yfir vondu kallana. Allir sem eru ekki á listanum eru góðir.
Þetta er það sem veiruvarnarforrit gera. Allar skrár á diskinum eru skoðaðar og bornar saman við lista yfir alla þekkta vírusa í heimi þann daginn. Ef skrá líkist vírus kvartar veiruvarnarforritið.
Þessi aðferð gengur ekki til lengdar, vírusarnir eru of margir og þeim fjölgar á hverjum degi. Eins og stýrikerfi virka í dag er þetta eina lausnin, ég er ekki að tala illa um veiruvarnarforrit sem slík.
Ég vil samt heldur viðhalda lista yfir góðu forritin á tölvunni. Allt sem er ekki á listanum má ekki nota. Þetta er eins og þjóðfélagið gerir fyrir lyf og matvörur. Þeir sem vilja lifa spennandi lífi geta valið að hunza listann.
Annað dæmi um ósið númer tvö, er að ég fæ allan póst í innboxið mitt nema póstsían haldi að hann sé rusl. Ég vil snúa þessu við mjög fljótlega. Ef sá sem sendir mér póst undirritar ekki póstinn með rafrænum skilríkjum á póstsían að endursenda póstinn og benda sendanda á að útvega sér þau.
Þessi skilríki koma til Íslands í haust og íslendingar ættu að taka þeim fagnandi. Tölvupóstur getur þá breyst úr nafnlausum póstkortum í undirrituð ábyrgðarbréf í umslagi. Hugsanlega verða íslendingar í fararbroddi þarna.
Ósiður 3: Bíðum eftir árás / slysi og endurbætum svo vöruna / öryggisferlið.
Ef þessi aðferð gengi væri Windows orðið öruggt stýrikerfi núna.
Það verður að hanna öryggi inn í vöru frá byrjun. Bankarnir eru núna að taka rafræn persónuskilríki í notkun og það er frábært. Sumir notendur hafa kvartað undan óhagræðinu en þeir gera sér ekki grein fyrir hvað hættan er orðin mikil. Það er auðvelt að hlera lyklaborð hjá öðrum. Það eru ekki tæknilegar ástæður fyrir því að það hefur ekki verið gert oftar. Alda innbrota í danska netbanka er nú í uppsiglingu.
Ósiður 4: Að halda að hakkarar séu töff.
Nei, þeir eiga að fara í fangelsi. Það á ekki að þakka hökkurum fyrir að koma upp um nýjustu veikleikana í stýrikerfum og bönkum. Enginn þakkar innbrotsþjófi fyrir að prófa þjófabjöllukerfið. Ég held að þetta hugarfar sé reyndar á útleið. Öryggismál eru félagsleg, ekki tæknileg.
Ósiður 5: Að reyna að láta óbreytta notendur sjálfa bera ábyrgð á öryggismálum.
Flestir eru tilbúnir að segja ókunnugum manni lykilorð ef hann er vingjarnlegur og lítur út eins og tæknimaður. Lykilorðin eru skrifuð á mottu undir músinni. Notendur þekkja ekki mun á vefsíðu banka eða eftirlíkingu af henni sem stelur af þeim lykilorðinu.
Þeir skilja ekki glugga sem birtast á skjánum og í stendur: "This attachment may contain an active object". Eftir smátíma ýta þeir bara á "OK" hnappinn við öllum "Are you sure" spurningum.
Umferðarfræðsla er mikilvæg en það þarf samt örugga vegi og vegrið.
Ósiður 6: Þegar fyrirtæki og stjórnmálamenn segja: "Gerum eitthvað í örygginu núna það lætur okkur líta vel út".
Öryggismál eru viðvarandi ferli, ekki vara sem hægt er að hlaupa út í búð og kaupa. Þú getur ekki keypt nýjasta eldvegginn eða veiruvörnina útí bæ en látið hjá líða að hafa heildarstefnu í öryggismálum. Það er eins og að hafa keypt hús sem stendur eitt í skógi með glerhurðum út í garð og ætla að redda öryggismálunum eftirá með einni þjófabjöllu.
Mér datt í hug að birta þessa þanka í tilefni af rafrænum skilríkjum sem koma í haust. Þar hafa menn og konur hér unnið vinnuna sína samviskusamlega. Skilríkin marka vonandi endalok "villta vestursins" í sögu netsins og upphaf þess að netheimar fari að líkjast samfélagi sem fólk vill eiga heima í.
Sjá nánar á www.audkenni.is og www.skilriki.is
Flokkur: Tölvur og tækni | Breytt 3.4.2007 kl. 17:00 | Facebook
Athugasemdir
góður pistill Kári!
Ég er að hugsa að hversu miklu leyti ég er þér sammála. Í mér blundar frjálshyggjufasisti og ég þoli ekki þröskulda, eitthvað sem tefur fyrir mér þegar ég er að reyna að vinna.
Ég er enn að hugsa ..
birna, 31.3.2007 kl. 11:41
Ég veit alveg hvað þú meinar. Hvernig heldurðu að mér líði sjálfum, ég er að breytast úr John Lennon í Björn Bjarnason?
Í alvöru talað, þá er bara orðið svo mikið af vondum köllum í tölvuheimum. Breyttir tímar kalla á breytt vinnubrögð.
Kári Harðarson, 31.3.2007 kl. 12:52
En hefurðu tekið eftir því að nýju fínu auðkennislyklunum okkar er sama um það þó þú búir til númer sem þú notar ekki á milli innskráninga í heimabankann. Ekki alveg í samræmi við það sem hefur verið gefið út um notkun þeirra :|
Sverrir Gunnlaugsson (IP-tala skráð) 4.4.2007 kl. 10:33
Mjög þörf umræða og góðar útskýringar. Samt er ég pínu efins um þetta, eins og Birna, sérstaklega með persónulegi skilrikin. Það gæti þýtt að í "default" uppsetningum yrði þannig að þú myndir missa af tölvupósti frá t.d. fyrrverandi skólafélaga, t.d. úr þriðju heiminum... Sérstaklega af skilríkin kosta svolítið.
Annað er að þeir sem senda mesta ruslpóstinn eru öflugir og kannski finna leiðir fram hjá þessu auðveldari en "fátæk" ISP eða fyrirtæki og samtök með eigin póstþjónn úti heimi og heima. Hvernig eigi annars að tryggja að skilríkin séu ekki fölsuð, eða seld ? Og hvað með frjáls samskipti og hvað með eftirlitsþáttinn ?
Það er spurnig hvort við missum meira en við vinnum eins og í "striðinu gegn hryðjuverkum"
Eflaust að hluta óþarfa áhyggjur, en þetta voru vandaveltur sem komu upp hjá mér...
Morten Lange, 4.4.2007 kl. 23:08
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.