  ____________________________________________________________________________
  ____________________________________________________________________________

      -uXu-                   DEN SVENSKA RAPPORTEN                  -uXu-

                        Information Fr Entusiaster Nr. 06
                                  (del 2 av 3)
 
                              Slppt Juni 30, 1992
                                    Innehll:

                                    Ed's Ord
 
                           Skregister ver Huliganer

                          Datastlder fr 1,6 Miljoner

                              Skerheten Inventeras

                              Sex Spnnande Mnader

                 85 000 i Skadestnd Nr Chefen Lste Hans E-Post

                               Chefen Lste E-Post

                               Inga Svenska Exempel

                      Skerhetsbrister Mste Upptckas i Tid

                   Grvande Journalister Vgrar Flja Datalagen

                               Hemliga Dataprojekt

                          Fjrrmtning Ska Ge Frre Fel

                                  Nytt Datorhot

                                 BBS Fr Inbitna

          Den Som Hvdar Att Hackers Inte r En Skerhetsrisk r Naiv
                        Eller Drivs Av Ekonomiska Motiv

         _____________________________________________________________


                      av TC, Editor Den Svenska Rapporten

  ____________________________________________________________________________
  ____________________________________________________________________________

ED'S ORD:                                                                  DSR

   Den Svenska Rapporten accepterar utomstende kllor nnu.  Vem som helst
   kan skriva fr/lmna information till DSR. Skribenten/Lmnaren blir adderad
   som informations-lmnare, eller frfattare till artikeln. Full diskretion
   om frfattaren/lmnaren s nskar. Artiklar/Information kan lmnas p de
   system som finns listade i slutet av varje nummer av DSR.

   Vrt att notera: Felskrivningar, felstavningar och rena fakta-fel ligger
   p kllans sida och ej p den som rapporterat eller skrivit in texten/
   avsnittet. DSR kan ej heller anklagas fr dessa oumbrliga fel d
   rapporterna i sin helhet r helt likvrdiga och verrensstmmer med
   originalet.

                                                             TC, DSR Editor
  ____________________________________________________________________________
  ____________________________________________________________________________

SKREGISTER VER HULIGANER:                                         DSR (6/92)

    Polisen fr upprtta ett skregister ver videofilmade fotbolls-
huliganer. Det har datainspektionen beslutat. Registret ska frstras
omedelbart efter fotbolls-EM. Polisen videofilmar allt som rr sig under
fotbolls-EM, och det behver de inget tillstnd fr. Men det kommer
att bli 1 500 filmer, och fr att kunna hitta rtt huligan bland alla
rullarna har polisen begrt att f upprtta ett datoriserat spanings-
register. Endast personer som r skligen misstnkta fr brott eller
som har strt ordningen fr registreras i spaningsregistret.

  ____________________________________________________________________________
  ____________________________________________________________________________

DATASTLDER FR 1,6 MILJONER:                                       DSR (6/92)

    Tre mn i 20-rsldern talades den 4 juni fr datastlder vid rebro
tingsrtt. De anklagas fr datastlder fr totalt 1,6 miljoner kronor.
Stlderna har gt rum under ett rs tid i rebro-omrdet. Den strsta
stlden var p LEA-bolaget i Hallsberg dr datorer och annan kontors-
utrustning fr 380 000 kronor stals. Ledaren fr stldligan r en 22-rig
Hallsbergsbo som erknt. Det mesta av stldgodset har slts till hlare i
Stockholm, Vsters och Norrkping.

  ____________________________________________________________________________
  ____________________________________________________________________________

SKERHETEN INVENTERAS:                                              DSR (6/92)

    Nybildat ADB-Skerhetsrd

    Bild: Jan Freese.
    Text: Skerhetsman. En av de 18 medlemmarna i det nybildade ADB-
          skerhetsrdet r Industrifrbundets Jan Freese.

    Srbarheten i samhllsviktiga datasystem mste minska. Det r den
viktigaste uppgiften fr det nybildade ADB-skerhetsrdet. Bakom rdet str
verstyrelsen fr Civil Beredskap, verbeflhavaren och Statskontoret.

    Den frsta uppgiften fr det nya organet har blivit att gra en sker-
hetsinventering hos myndigheter och organisationer. Det ska dessutom utveckla
metoder och teknik fr att ka myndigheters dataskerhet. Det gller att
utveckla skerheten samtidigt som den inte fr krocka med offentlighets-
principen. Det arbetet har framfr allt Statskontoret nytta av, men det r
ocks tillgngligt fr andra myndigheter och organisationer. Rdet verkar
inom CB och Statskontoret. Och det har nyligen publicerat rapporten "ABD-
skerhet i Sverige: Vad som gjorts och vad som pgr".

    De aderton

    ADB-skerhetsrdet bestr av 18 personer, med Gunilla Andr (CB:s
generaldirektr) och Jan Carling (dito Statskontoret) som ordfranden. Bland
ledamterna terfinns bland annat Industrifrbundets Jan Freese, Jan Ridefelt
frn rikspolisstyrelsen, Handelsbankens Georg Espling och Rabbe Wrede, Data-
freningen i Sverige. En av de frsta sakerna rdet gnat sig t r in-
venteringen av vad som gjorts i Sverige p skerhetsomrdet under senare r.
Rapporten bygger p en intervjuunderskning som gjorts med representanter fr
omkring 45 myndigheter och organisationer. Intervjuerna gjordes i februari
i r. Man ville ta reda p de olika organisationernas skerhetsmlsttningar,
deras egna utredningar och projekt, genomfrda eller pgende samt vad man
ytterligare nskade frbttra.

    Frankring och anpassning

    En slutsats r att de flesta organisationer fredrar att skerhetsarbetet
anpassas till det egna arbetet. Man r allts inte i lika hg grad beredd
att anpassa arbetet till skerhetskraven.

    Egna skerhetsprojekt

    Trots vad som ofta antagits r dataskerhetsmedvetandet relativt hgt
utvecklat i Sverige. I ADB-skerhetsrdets rapport framkommer att 29 av de
tillfrgade organisationerna genomfrt egna skerhetsprojekt och/eller
publicerat egna rapporter. ADB-skerhetsrdet kommer nu att fortstta sitt
arbete, som frmst gr ut p att verka inom CB och Statskontoret. Dr ska
det vara en "referensgrupp, kompetenscentrum och sakkunnig panel". Det ska
ocks bygga upp kontaktnt fr att utbyta skerhetsinformation med andra
myndigheter och organisationer. Samt utgra en ptryckargrupp och opinions-
bildande grupp gentemot omvrlden.

  ____________________________________________________________________________
  ____________________________________________________________________________

SEX SPNNANDE MNADER:                                              DSR (6/92)

    [Enbart tckande de notiser som r av intresse fr DSR's lsare -ED]

    April - Diab Data hamnar i blsvder nr fretaget drabbas av ett
            hackerintrng. Hackarna fick bland annat tag p telefonnummer
            till frsvarets datasystem.

            FAS 90-projektet lggs ner - den borgerliga regeringen tyckte
            att det var fr integritetsknsligt.

    Juni  - Chefen p Memorex Telex norska dotterbolag tittade i en
            anstllds elektroniska brevlda och fick betala 85 000 kronor
            i skadestnd.

  ____________________________________________________________________________
  ____________________________________________________________________________

85 000 I SKADESTND NR CHEFEN LSTE HANS E-POST:                   DSR (6/92)

    Frsta domen mot olovlig vervakning av anstllda

    Bild: Knut Martinussen sittande p en bnk.
    Text: Chefen lste hans brev. Norske Knut Martinussen fr 85 000
          efter att chefen gtt in och lst hans privata e-post.

    Chefen p Memorex Telex norska bolag tittade i en anstllds privata
elektroniska brevlda. Det kostar henne 85 000 kronor. Juridiska experter
betecknar domen som ytterst intressant. Det r frsta gngen som en arbets-
givare flls i domstol fr att olovligt ha tittat i personalens privata
e-post. Varken i Norge eller ngot annat land r en liknande dom knd sedan
tidigare. Idag gr det inte att f ngot klart besked om vad som gller i
Sverige. De svenska juristerna r mycket tveksamma till om en svensk domstol
skulle kunna flla ngon p samma grunder som man gjort i Norge. Krnfrgan
r: Tillhr den elektroniska posten den anstllde eller fretaget?

  ____________________________________________________________________________
  ____________________________________________________________________________

CHEFEN LSTE E-POST:                                                DSR (6/92)

    85 000 i skadestnd

    Bild: Knut Martinussen.
    Text: Fick E-Posten genomskt av chefen. Den norske datamannen Knut
          Martinussen fr skadestnd efter att hans chef utan att under-
          rtta honom gtt in och lst hans privata elektroniska post.

    Chefen p det norska datafretaget Memorex Telex tittade i en anstllds
privata E-post. Det skulle hon inte ha gjort. Norsk domstol dmde fretaget
nyligen att betala 85 000 kronor i skadestnd. Juridiska experter i Norge
betecknar domen som ytterst intressant. Det r frsta gngen som en arbets-
givare fllts i domstol fr att olovligt ha tittat i personalens privata
E-post. Varken i Norge eller ngot annat land r ngon liknande dom knd
sedan tidigare.

    -En mycket intressant sak, konstaterar Georg Aspenes, p Datatilsynet,
Norges motsvarighet till Datainspektionen. Georg Aspenes sger till Computer-
world Norge att domen, som sannolikt inte kommer att verklagas, kan komma
att bli praxisbildande. Fler domar av samma typ r att vntas.

    Seger i rtten

    Mannen som fick sin privata E-post systematiskt genomskt av sin chef
heter Knut Martinussen. Han r mycket lttad efter den rttsliga segern ver
sin tidigare arbetsgivare, datafretaget Memorex Telex i Oslo.

    -Det var tufft, men i dag r jag glad att jag valde att g vidare med
saken, sger han. Hela saken har egentligen mest med vanlig enkel moral att
gra, anser Knut Martinussen. Jag ppnar inte min frus post och frsker inte
ta mig in fr att snoka i mina kollegors lsta skrivbordsldor. Samma enkla
frhllande br givetvis glla arbetsgivare nr det gller personalens privata
E-post, sger han till Computerworld Norge.

    De anstllda p Memorex Telex har tillgng till ett E-post system som
binder samman den internationella koncern dr det norska fretaget ingr.
Personalen tilldelades varsitt personligt lsenord frn systemansvariga i
Bryssel.

    Lsenord till ledningen

    Men utan att personalen p Memorex Telex visste om det, distribuerades
lsenorden ut ocks till fretagsledningen. I den nu aktuella domen r det
just detta som Asker og Baerums Herredsrett fster stor vikt vid. Hade
fretaget tydligt informerat personalen om att ledningen kunde g in och lsa
ocks lsenordsskyddade E-post-meddelanden, d hade det inte blivit ngon
fllande dom. Ocks i dag, efter domen, har Memorex Telex behllt mjligheten
att lsa all E-post p fretaget. Skillnaden r att man nu r noga med att
skriftligt informera personalen om detta.

    E-post-tvisten mellan Knut Martinussen och chefen p Memorex Telex Anne
Britt Heltmark brjade egentligen med att Martinussen blev omplacerad i 
samband med en omorganisation. Den fljande konflikten mellan de tv blev
allt mer inflamerad och slutade med att Heltmark sa upp Martinussen. Det var
under uppsgningstiden som Knut Martinussen upptckte att ngon hade varit
inne och tittat p hans lsenordsskyddade E-post-meddelanden.

    -Jag aktiverade en logfunktion och kunde konstatera att intrngen skedde
frn direktrens terminal. Jag upptckte ocks att intrngen skedde p helger,
p kvllar och d jag var ute p lunch, berttar Knut Martinussen. Jag blev
frbannad och knde mig krnkt. Jag konfronterade direktren med uppgifterna.
Men hon bara blnekade.

    Knut Martinussen bestmde sig fr att gillra en flla. Han skrev ett brev
stllt till koncernledningen i Italien dr han framfrde sina klagoml mot
direktren. Han lade det i sin privata E-post-area, men skickade aldrig ivg
det. Ngra dagar senare skrev han ett phittat svar frn koncernschefen och
lade ocks det bland sina vriga E-post-meddelanden. Chefen fastnade p kroken.
Enligt Martinussen kom hon mycket uppbragt inspringande p hans rum med ut-
skrifter av de tv breven i hgsta hugg och gav honom sparken med omedelbar
verkan.

    Rtten dmde fretaget att betala ut ett skadestnd p 85 000 norska
kronor till Martinussen.

  ____________________________________________________________________________
  ____________________________________________________________________________

INGA SVENSKA EXEMPEL:                                               DSR (6/92)

    I Sverige finns inga domstolsutslag som ger en fingervisning om lagen
tolererar att arbetsgivaren lser personalens E-post utan deras vetskap.
Ingela Halvorsen p Datainspektionen r mycket tveksam till om svenska
datalagen skulle kunna flla en arbetsgivare i ett sdant hr fall.

    -Men det r inte helt omjligt, tillgger hon.

    Att en arbetsgivare inte utan vidare fr lsa brev som r privat-
adresserade till en anstlld torde de flesta vara eniga om. Men resonemanget
kan inte utan vidare verfras till privat adresserad E-post, anser Ingela
Halvorsen.

    -Det r lite mer komplicerat eftersom man faktiskt tar arbetsgivarens
datorer, lagringsutrymme och liknande i ansprk, sger hon.

    Ingela Halvorsen berttar att Datainspektionen ibland blir uppringda av
anstllda som r upprrda fr att chefen tittat i deras privata E-post utan
att frga.

    -Man kan sga att det inte fr finnas ngra privata handlingar i
fretagets E-post-system. Om inte arbetsgivaren srskilt tilltit detta,
fr man kanske acceptera att man inte har full kontroll ver privata
dokument, sger Ingela Halvorsen.

  ____________________________________________________________________________
  ____________________________________________________________________________

SKERHETSBRISTER MSTE UPPTCKAS I TID:                             DSR (6/92)

    Tack Richard Strmqvist fr synpunkterna (CS-debatt nr 21,22 maj) p
min tidigare artikel om auktoriserade hackers. Argumenten du anfr kan
emellertid helt frenas med mitt ngot udda frslag om att legalisera hackers
fr att p det sttet skapa skrare system.

    Det r riktigt att de skyddstgrder du nmner r ndvndiga fr effektivt
skydd. Det gller emellertid att kontrollera att de verkligen finns, vilket
nmnvrda kontrollanter frhoppningsvis skall konstatera. Med andra ord r det
som vanligt inte frga om antingen eller utan bde och. Kort sagt, r skydds-
tgrderna vl infrda kan utfrd kontroll verifiera en god skerhet. I det
beskrivna fallet hade hackerintrnget obehindrat kunnat hlla p i 11 timmar.
Hade den av Richard Strmqvist nmnda begrnsningen p tre frsk infrts
hade frsket ju stoppats p mycket tidigare stadium.

    Svrigheterna med att skaffa plitliga och kunniga "auktoriserade hackers"
tror jag, srskilt i dagens arbetsmarknadslge, r verdrivna. Dessutom
innebr ju mitt frslag att Datainspektionen som statlig myndighet skulle
ansvara fr kontrollens utfrande. Det hela kan jmfras med Statskontorets
knsliga srbarhetsutredningar. Givetvis vet man hos bda myndigheterna frst
i efterhand om man ftt de bsta medarbetarna fr uppdraget. Farhgorna om
spridning av upptckta brister r ur srbarhetssynpunkt berttigade.

    Men vilket r vrst: att utan kontroll misstnka stor srbarhet eller
att upptcka brister och i tid tgrda? Revisorer har ju sin givna roll inom
skilda omrden och att hindra revision r sllan tillrdigt. ven revisorer
har som sina brister och ngon garanti fr att alla brister upptcks finns
inte. I din egenskap av konsult knner du dock till att "management by
exeptions", ofta r effektivt nog.

  ____________________________________________________________________________
  ____________________________________________________________________________

GRVANDE JOURNALISTER VGRAR FLJA DATALAGEN:                       DSR (6/92)

    Grundlagen gr fre

    Bild: Tommy Klaar.
    Text: "Inget personregister". Journalisten Tommy Klaar vgrar att stlla
          konferenssystemet Reporter BBS under DIs insyn.

    Datainspektionen angrips av Sveriges underskande journalister.
Konferenssystemet Reporter BBS i Sundsvall vgrar att rtta sig efter
myndighetens beslut - med hnvisning till yttrandefriheten och meddelar-
friheten. Datainspektionen menar att det rr sig om ett personregister som
ska ha tillstnd.

    Datainspektionen (DI) skrev den 25 mars till journalisten Tommy Klaar
och begrde att han skulle skaffa tillstnd fr Reporter BBS, eftersom den
innehller personuppgifter. Reporter BBS r ett s kallat konferenssystem
eller en BBS (Bulletin Board System) som Klaar driver i Sundsvall. Basen
samarbetar bland annat med freningen Grvande Journalister. Klaar svarade
med ett brev, dr han med hnvisning till regeringsformen (RF) och tryck-
frihetsfrordningen (TF) hvdar att systemet r grundlagsskyddat.

    -I avvaktan p att DI frklarar hur datalagen skall tillmpas trots
grundlagsgarantierna avstr jag frn att ska om ngot tillstnd, sger
Tommy Klaar.

    Olslig konflikt

    Bakgrunden r en konflikt mellan Datalagen, som r en vanlig lag, och RF,
TF och den nyligen antagna Yttrandefrihetsgrundlagen (YGL). De senare r
grundlagar som gller fre vanliga lagar. Den tjugo r gamla Datalagen sger
 ena sidan att den som har personuppgifter lagrade p datamedium skall ha
tillstnd av DI.  andra sidan sger RF att varje medborgare har yttrande-
frihet. Dessutom sger TF att varje medborgare har rtt att lmna uppgifter
avsedda fr publicering utan att myndigheter har rtt till att efterforska
kllan. Om DI har tillsyn ver Reporter BBS hamnar man i konflikt med med-
delarskyddet, menar Klaar.

    -Systemet r uppbyggt fr att frmst anvndas av journalister, sger
Tommy Klaar som sjlv arbetar p Sundsvalls Tidning. Av det sklet betraktar
jag verksamheten som dubbelt grundlagsskyddad, och otkomlig fr tvngsmedel
med std av datalagen. Reporter BBS anvnds bland annat fr att verbringa
information dr meddelarskydd krvs. Och ngon misstanke om att uppgifter
sprids som r kvalificerat hemliga finns inte.

    -Det vore ett grundlagsbrott av mig att gra innehllet i mitt kommuni-
kationssystem tillgngligt fr en statlig myndighet, sger Tommy Klaar. Han
hnvisar ocks till en statlig utredning (SOU 1991:21) som slr fast att det
verkligen finns konflikter mellan datalagen och grundlagarna.

    Mer information

    DIs handlggare r sa Wiklund.

    -Jag kan inte sga ngot om rendet, sger hon. Det r inte avslutat
nnu och jag har inga uppgifter om vad det r fr ett register. Hon ska nu
frst frska f information om var Reporter BBS r fr ngot. Hur lng tid
handlggningen av rendet kan ta kan hon inte sga. SOU 1991:21 har hon en
del synpunkter p.

    -Utredningen har freslagit att vissa journalistiska register ska undantas
frn tillstndsplikt, sger hon. Det gller produktionsregister fr desktop
publishing och ordbehandling, register ver inkomna nyhetstelegram, vissa
kllregister, inklusive klipparkiv om de anvnds som klla. DI har lmnat ett
yttrande dr vi vnder oss emot frslaget. Ett eventuellt frslag om lagndring
kan komma inom det nrmaste ret. Helt klart r dock att det finns en konflikt
mellan yttrandefrihet och meddelarskydd samt datalagen.

    -Vi fr inte glmma att integritetsskyddet, som DI r satt att vrna,
ocks r grundlagsskyddat, sger sa Wiklund.

    Datalagen frldrad

    Tommy Klaar menar att Datalagen r frldrad. Den tillkom 1972 och avsg
att reglera stora personregisterp ett relativt begrnsat antal stor- och
minidatorer. Att det senare skulle finnas en miljon persondatorer i landet,
p vilka folk brevvxlar eller skapar textfiler, tnkte man inte p.

    -Jag finner hela situationen absurd, sger Tommy Klaar. Mitt system r
inget "personregister" i den mening lagstiftaren avsg 1972 nr datalagen
tillkom. Det som sker i systemet r en snabb brevvxling, och att en statlig
myndighet nu frsker skaffa sig kontroll ver denna brevvxling med beropande
av lagregler som skapats fr helt andra ndaml r minst sagt sttande.

  ____________________________________________________________________________
  ____________________________________________________________________________

HEMLIGA DATAPROJEKT:                                                DSR (6/92)

    Televerket spenderar varje r miljardbelopp p nyutveckling av datasystem.
Vad fr slags projekt och hur mycket de kostar vill dock inte Televerket
bertta om. Till dessa hemliga system rknar Televerket ven system fr
administration av lner och personal. Televerket kper sina system frmst
frn dotterbolaget Televerket Data p konsultbasis. Men en del system
utvecklas ven av externa konsulter. Mnga av projekten r riktiga tung-
viktare. Utvecklingstider p ver fyra r r inga ovanligheter. Hr ngra
av Televerkets hemliga projekt:

    - ALT-TT, "Teknisk och administrativ anpassning fr infrandet av Toll
               Ticketing". Kostar 120 miljoner kronor i r.

    - Telematik MA. Har kostat 90 miljoner kronor hittills. Kostar 25
                    miljoner i r.

    - NYBAS, ett system fr personaladministration, order lager och
             fakturering som utvecklades under fem r men s smningom
             avvecklades.

    - Lokus, mngrigt projekt fr kundadministration. Har knappt brjat
             anvndas. Problem med lnga svarstider. Kostar 35 miljoner
             kronor i r.

    - SD, str fr "synkron digital hierarki"

  ____________________________________________________________________________
  ____________________________________________________________________________

FJRRMTNING SKA GE FRRE FEL:                                      DSR (6/92)

    Televerket infr nu fjrrmtning av abbonentledningar p alla telefon-
stationer i landet. Fre rets slut ska de flesta av landets 7 000 telefon-
stationer ha utrustats. Hittills klarar 1 400 stationer fjrrmtning. 
Meningen r att Televerket ska hitta fel p telentet innan abbonenterna
mrker ngot. Systemet bestr av en central dator p varje kundmottagning
och en mikrodator ute p stationerna. Under natten nr teletrafiken r lg
krs mtprogram som kontrollerar ntets kondition.

  ____________________________________________________________________________
  ____________________________________________________________________________

NYTT DATORHOT:                                                      DSR (6/92)

    Ett nytt hot mot dataskerhet r ngot som kallas "Mutation Engine" eller
mutationsmotor. Det r inget vanligt virus, utan en objektmodul som r lnkad
till koden fr ett virus. Innan ett virus blir aktivt mste det dekrypteras.
Koden fr detta r normalt konstant, vilket gr att man kan upptcka viruset
genom att matcha byte. Mutationsmotorn anvnder en speciell logaritm fr att
generera olika dekrypteringsrutiner varje gng. P s stt blir den mycket
svr att upptcka. Mutationsmotorn upptcktes frst i en elektronisk anslags-
tavla (BBS) fr ett par mnader sedan. Flera fretag, till exempel Mcaffe och
Digital Dispatch har brjat utveckla antivirusprogram mot mutationsmotorn.

  ____________________________________________________________________________
  ____________________________________________________________________________

BBS FR INBITNA:                                                    DSR (6/92)

    BBSernas sregna vrld domineras idag av tonringarna. Fretrdelsevis
handlar det om unga killar, som besitter betydande datakunskaper och en
hgt uppskruvad fingerfrdighet framfr PCn. Vad gr man d i BBSerna? Och
i vad bestr sjlva lockelsen som gr att stora skaror tonrshackers - och
andra ocks fr den delen - regelmssigt vljer bort den hlsobringande
nattsmnen fr att i stllet susa runt med modemet mellan olika BBSer?

    De allra flesta BBSer innehller tv huvudomrden. Dels finns hr ofta
vldiga ansamlingar av gratisprogram av olika slag, som anvndaren fr ladda
ver till sin egen dator. Dels finns hr elektroniska diskussionsforum dr
anvndarna kan delta i debatter och replikskiften i alla upptnkliga mnen.
Dessa BBS-debatter domineras av tonringar som tilltalar varandra med
tcknamn som "Dr DOS", "Phearless" och "Big Eagle". De debatterar med fr-
krlek mnen hacking och diverse andra datatekniskt intrikata frgor. Inte
sllan lider dessa debatter av en viss kantring t det "pubertala" hllet.

    Uppenbarligen har ocks fretrdare fr den undre vrlden lrt sig
att uppskatta BBSerna. Mac & PC behver inte botanisera runt lnge bland
BBSerna innan vi stter p ett inlgg frn en herre som frklarar sig
intresserad av att kpa polisuniformer, utrangerade polisbilar samt hand-
eldvapen.

    Fr hackers

    BBS-programmen som anvnds r teckenbaserade och ofta ganska krngliga
att anvnda. De innehller ofta komplicerade inloggningsfunktioner som r
obegripliga fr en oinvigd. Ofta innehller de kommandon som inte knyter
an alls till vare sig DOS eller ngot annat operativsystem som anvndaren
kan vara bekant med frn sin egen dator. Lite tillspetsat kan man sga att
dessa program ibland ser ut att vara skrivna fr verhettade hackers fr
andra hackers. Lttanvndbarhet ser definitivt inte ut att ha varit ngon
mlsttning med mnga av dessa program. Ibland ser det nstan ut som om det
skulle vara precis tvrt om.

  ____________________________________________________________________________
  ____________________________________________________________________________

"DEN SOM HVDAR ATT HACKERS INTE R EN SKERHETSRISK R NAIV
ELLER DRIVS AV EKONOMISKA MOTIV":                                   DSR (6/92)

    Bild: Hkan Borgstrm
    Text: Debatt - LKD och andra som frskt tona ned riskerna med
          hackers fr hr svar p tal av frilansjournalisten Hkan
          Borgstrm. Hans artiklar i Dagens Nyheter om hackerintrng
          har skakat om ordentligt i branschen.

    Den som hvdar att hackers inte utgr ngon skerhetsrisk r antingen
naiv eller drivs av ekonomiska motiv. Nr det gller dataskerhet finns alltid
ngon som vinner p att undanhlla obehagliga fakta. Leverantrer vill inte
tala om brister i produkterna, datorgare vill inte frlora andras frtroende,
konsulter och systemoperatrer vill behlla sina jobb. Men ingen vinner i
lngden p att dlja de faktiska frhllandena.

    Det verkar fortfarande finnas de som tror att dagens hackers r 13-
riga Vic 64-entusiaster. De bedrar sig. Nu handlar det oftast om vuxna
personer med kunskaper som vida verglnser mnga systemoperatrers.
Arbetsredskapen r allt frn egna persondatorer till de angripnas super-
datorer. Man byter inte lngre passwords med varandra, det r ingen sport.
Man "hackar" fram dem. Dagens hackers sjl hela lsenordsfiler och matchar
fram "passwords".

    Det finns program som krypterar hela ordlistor och kontrollerar om orden
finns med i den stulna lsenordsfilen. Fr Unix-datorer finns till exempel
Lard, fr PC ett som heter Guess 386 DES. En del program klarar 700-800
gissningar per sekund! Till flera medfljer ordlistor, upp till 15 Mb stora,
med vanliga lsenord. Andra provar "login" i kombinationer med olika tillgg,
som password. Det rr sig allts om avancerade verktyg fr att kncka lsenord.

    Dessutom utnyttjar hackers buggar i systemprogramvaran. De luslser
manualer och nyhetsbrev och hller sig -jour med de senaste program-
versionernas fel och brister, och inte bara i Unixsystem. ven vlknda
buggar utnyttjas, eftersom mnga systemoperatrer inte bryr sig om att
ta bort dem. Till exempel hos Diab Data som missat att fixa buggen i 
TFTP (Trivial File Transfer Protocol). En fatal och vanlig lucka i sker-
heten. Buggen har varit knd i flera r.

    Hackerintrngen r inte heller s oskyldiga som de framstlls i debatten.
Hans-Iwan Bratt (LKD) menar att det ofta rr sig om publika system, t ex
hos Pentagon. Men nr blev Pentagons elektroniska postsystem ppet fr alla?
All hackerverksamhet r inte heller riktad mot postsystemet. Nyligen bekrftade
amerikanska myndigheter att en hollndsk hacker varit inne i Pentagons datorer
och kommit t information bland annat om Patriotrobotarnas verkningsgrad mitt
under pgende Gulfkrig.

    Likas har det hvdats att den hackergrupp jag skrev om i Dagens Nyheter
inte kommit t ngra hemluga akter i svenska datorer. Nej, jag skrev bara att
de ftt fram en lista med modemnummer, login och i vissa fall passwords till
379 datasystem frn Diab Data. Gruppen valde att trda fram innan de pene-
trerat datasystemen hos invandrarverket, SIDA, flygstaben och andra som fanns
p Diab-listorna. Och stockholmspolisens urskt var: "Jass den datorn, dr
finns bara lite personuppgifter, lner, adresser och personalplanering",
dokument som inte r intressanta fr en blgd 17-ring!

    Men uppgifterna kan ju vara trvrda fr andra grupper, och det r
som sagt inte heller bara ungdomar som hackar. Kjell Strmlid, styrelse-
ordfrande i LKD, gr s lngt att han talar om "hackerhysteri" och att det
inte r ngot fel p skerheten. Men se d p dessa exempel:

    - Ett fretag som ftt phlsning r Dimension AB. Dr hade system-
      operatren valt lsenordet "DIM" till en central fileserver. Vad
      skyddar ett sdant lsenord?

    - Telesoft frvarade kundstatistik p en icke-skyddad plats i
      fretagets datorsystem.

    - Diab Dara hade sin korrespondans med kunder (felanmlningar och
      protokoll frn olika projekt) ltt tkomlig. Frutom modemnummer
      och inloggningsfrfaranden fanns prydliga listor ver X-25-Host
      lite varstans, liksom underhllsavtal och andra knsliga handlingar.

    Ytterligare exempel:

    Flertalet fretag och myndigheter som "fick besk" av den engelska
hackergruppen 8LGM i slutet av 1990 via Datapak, visste inte ens om att
de haft datorintrng. De hade inte sina loggar pslagna. Vid stort data-
fretag, som numera finns i Kista, anvnde gruppen tv Unixmaskiner fr
att "hoppa bock" till andra system. Medlemmarna ringde ut 108 521 gnger
utan att ngon reagerade!

    Jag tvivlar p att LKD ocj kommunikationskonsulten Peter Lthberg,
som intervjuades i radioprogrammet God Morgon Vrlden, r naiva. Det mste
finnas andra motiv till att de frnekar riskerna med hackers. I ett ppet
samhlle gr det aldrig att stoppa hackers. Man kan inte stnga ute "vissa"
mnniskor frn datafldet mellan nationer, yrkesgrupper och enskilda. Ju
fler datorfrbindelser, desto fler hackers. Det r ett samhllsfenomen vi
fr leva med.

    I USA har polisen nyligen genomfrt en stor operation kallad "SunDevil"
dr de frskt skrmma s mnga hackers som mjligt. Tusentals ungdomar
ingr i utredningen. Men denna anti-hacker-vg mter nu motstnd. Knda
datapionjrer som Mitch Kapor, mannen bakom kalkylprogrammet Lotus 1-2-3,
har startat en fond fr talade hackers rttegngskostnader. Man diskuterar
i USA till och med mjligheten att ge "rligt intresserade" tillgng till
begrnsade delar av datorsystemen.

    I hackerkretsar sger man dock att hackandet kommer att sjlvd om
spnningen med att gra ngot olagligt frsvinner. Kanske ngot fr Hans-
Iwan Bratt att tnka p, i stllet fr att utmana till knckande av nya
datorsystem med sitt pstende att skerheten r tillfredstllande.

  ____________________________________________________________________________
  ____________________________________________________________________________

     DSR tar grna emot nya sponsor/support System. Om du har speciellt
  intresse fr Rapporten, och vill stdja DSR -- Lmna ditt BBS nummer -- och
  annan information p THE STASH Bulletin Board System.
  ____________________________________________________________________________
  ____________________________________________________________________________

  Anonymous :: +45-###-#####    --------     Sedes Diaboli :: +46-###-#####
     16.8 kbps DSR DK                            2400 bps DSR Information

                                   THE STASH
                       - Svenska Rapporten Support BBS -
                         Den Svenska Rapporten #1 Node
                        14.4k bps, 170+ Megs, Dygnet Runt
  ____________________________________________________________________________
  ____________________________________________________________________________

                     Detta Avslutar Detta DSR Numret Nr. 06
                                  (del 2 av 3)

                              Slppt Juni 30, 1992

                                     av TC
                         Editor av Den Svenska Rapporten
  ____________________________________________________________________________
  ____________________________________________________________________________

 