____________________________________________________________________________ ____________________________________________________________________________ -uXu- DEN SVENSKA RAPPORTEN -uXu- Information Fîr Entusiaster Nr. 05 (del 2 av 3) SlÑppt Maj 31, 1992 InnehÜll: Ed's Ord Slarv Stîrre Fara Ñn Hackers Slarv Farligare Ñn Hackers och Virus Skrytiga Hackers ôverskattat Problem Man Slutar Aldrig FîrvÜna Sig Dags Fîr Auktoriserade Hackers? Hackerproblemet Inte Underskattat _____________________________________________________________ av The Chief, Editor Den Svenska Rapporten ____________________________________________________________________________ ____________________________________________________________________________ ED'S ORD: DSR Den Svenska Rapporten accepterar utomstÜende kÑllor Ñnnu. Vem som helst kan skriva fîr/lÑmna information till DSR. Skribenten/LÑmnaren blir adderad som informations-lÑmnare, eller fîrfattare till artikeln. Full diskretion om fîrfattaren/lÑmnaren sÜ înskar. Artiklar/Information kan lÑmnas pÜ de system som finns listade i slutet av varje nummer av DSR. The Chief, DSR Editor ____________________________________________________________________________ ____________________________________________________________________________ SLARV STôRRE FARA éN HACKERS: DSR (5/92) SÑkerheten Ñr dÜlig i dagens datornÑt. Men hackers, som fÜtt stor uppmÑrksamhet i den senaste tidens debatt, Ñr inget stort problem. -Slarvig programmering Ñr ett stîrre problem Ñn bÜde hackers och virus, sÑger konsulten Roger Gustavsson, med persondatorsÑkerhet som specialitet. -Jag tror att buggarna i Windows orsakat mer skada Ñn nÜt virus. Lîsningen pÜ problemen Ñr sunt fîrnuft och ordning. DatavÑrlden ger tips hur du skyddar dig och fÜr en bÑttre datorsÑkerhet. ____________________________________________________________________________ ____________________________________________________________________________ SLARV FARLIGARE éN HACKERS OCH VIRUS: DSR (5/92) SÑkerhetskonsult tonar ned hacker-faran Bild: Roger Gustavsson (leende) Text: Slarv stîrre problem - Folk îverreagerar och reagerar pÜ fel saker. Hackers Ñr inget stort hot, hÑvdar sÑkerhetskonsulten Roger Gustavsson. Visst Ñr sÑkerheten i dagens datornÑt dÜlig. Men slarv och dÜliga program Ñr ett stîrre hot Ñn hackers och virus. Och lîsningen Ñr inte hetsjakt pÜ ungdomar eller avancerade sÑkerhetssystem, utan sunt fîrnuft och ordning. Det anser Roger Gustavsson, konsult med persondatorsÑkerhet som specialitet. Roger Gustavsson borde vara nîjd. Hans fîretag, Roger Gustavsson Data, har specialiserat sig pÜ persondatorsÑkerhet och har lÑnge varnat fîr dagens osÑkra system. De senaste veckornas skriverier om hacker- intrÜng kan se ut som en bekrÑftelse pÜ hans varningar. Men det Ñr inte sÜ enkelt. -Visst, om det hÑr innebÑr att politiker och fîretag bîrjar ta sÑker- hetsproblemen pÜ allvar sÜ Ñr det positivt. Men det finns en okunnighet som gîr att folk dels îverreagerar, dels reagerar pÜ fel saker. Enligt Roger Ñr hackers inget stort hot mot varken militÑren eller privata fîretag. -Fîr militÑren Ñr det insider-spionage som Ñr det stpra problemet - inte hackers, sÑger han. De "Nasa-baser" som hackers dÜ och dÜ sÑgs ha tagit sig in i Ñr nÑstan alltid administrativa system. Nasa fîrvarar inte kÑnsliga uppgifter pÜ datorer som man kan ta sig in i utifrÜn. Men hackers, och journalister, vill gÑrna tro att allt som har med Nasa att gîra Ñr vÑldigt hemligt. -I hacker kretsar cirkulear en text som heter Nasa.txt, som beskriver hur man tar sig in i Nasas baser. Hackers pÜstÜr att det Ñr en hemligg text som nÜgon lyckats smuggla ut. NÑr det egentligen Ñr en text som Nasa distribuerar som en ren service, fîr att folk ska kunna logga in pÜ deras îppna baser sÜ enkelt som mîjligt. PÜ fîretagen Ñr de stora problemen okunnighet, slarv och dÜliga rutiner. -Folk Ñr rÑdda fîr fel saker. Slarvig programmering Ñr ett stîrre problem Ñn hackers och virus. Jag tror att buggarna i Windows har orsakat mer skada Ñn nÜgot virus. Men det Ñr inte lika spÑnnande att tala om kvalitetstestning eller sÑkerhetskopiering som om virus och hackers. Idag har det blivit relativt enkelt att anvÑnda en dator. Med fînstersystem som Windows och Macintosh kan Ñven den ovane kÑnna sig hemma framfîr datorn. Men vÑldigt fÜ fîrstÜr egentligen vad som hÑnder bakom fînstren. Vilket kan vara riskabelt. -En sekreterare som sitter och skriver i Word Perfect fîrstÜr ofta inte vad som hÑnder med en text nÑr den sparas - om den hamnar pÜ servern eller pÜ den lokala persondatorn till exempel. Fîr att hîja sÑkerheten i systemet mÜste man dÑrfîr se îver de interna rutinerna och titta pÜ de stora samman- hangen. Rogers recept pÜ sÑkrare system innehÜller inga tekniska underverk eller avancerade program. Det handlar istÑllet om enkla saker som fungerande rutiner fîr sÑkerhetskopiering och anvÑndarbehîrighet. -Det som behîvs Ñr sunt fîrnuft och ordning. Men det Ñr vÑldigt svÜrt att sÑlja. Folk vill ha en kartong som fixar alla problem, en magisk amulett som de kan kîpa îver disk. Det finns ocksÜ en risk fîr att rÑdslan fîr hackers driver folk att satsa pÜ îverdrivna sÑkerhetssystem, anser Robert. -DÜ fÜr vi trÜkigheter som disklîsa arbetsstationer eller skolor som fîbjuder eleverna att ta med sig disketter hem. Vilket gîr att sjÑlva charmen med persondatorn - friheten - gÜr fîrlorad. Kritisk period Han menar att rÑdslan fîr hackers eller virus kan bli ett mycket vÑrre problem Ñn hotet i sig sjÑlvt. Det handlar egentligen om en politisk installning. -Just nu har vi en stark trend mot îppna system och ett fritt informa- tionsflîde. Jag tror att det vore vÑldigt illa om rÑdslan fîr hackers gjorde att man fîrsîkte stoppa den utvecklingen. Det stîrsta sÑkerhetsproblemet Ñr enligt Robert att systemutvecklingen och medventenheten inte har hÑngt med i den tekniska utvecklingen. -Vi Ñr inne i en kritisk îvergÜngsperiod. Stordatorerna och terminalerna hÜller pÜ att Üka ut och istÑllet fÜr vi nÑtverk med persondatorer och servrar. Men de systemansvariga har inte fîrstÜtt att den inbyggda sÑkerhet som fanns i stordatorerna inte finns i persondatorer och nÑtverk. DÑr ligger det stora hotet. SÜ gîrs systemet sÑkrare VÑgen till ett sÑkrare system gÜr inte îver magiska burkar, fantastiska program eller total isolering. Det Ñr sunt fîrnuft som gÑller: LÑr dig hur ditt system fungerar rent tekniskt. Alla system har sÑkerhetsbrister redan i hÜrdvaran. Persondatorer i ett nÑtverk kan aldrig bli helt sÑkra. LÑr dig bristerna och anpassa systemet efter dem. LÑgg till exempel kÑnslig information pÜ servern istÑllet fîr pÜ persondatorerna. Gîr en sÜrbarhetsanalys. Vilka Ñr riskerna och hoten? ér virus en allvarlig risk? Eller Ñr det dÜliga rutiner fîr sÑkerhetskopiering och slarv som Ñr det stora hotet? Kommer hotet utifrÜn eller inifrÜn? Vilka hanterar den kÑnsliga informationen? Hur hanteras den? och sÜ vidare. Kontrollera vad det finns fîr praktiskt genomfîrbara ÜtgÑrder fîr att hîja sÑkerheten. Ofta kan det handla om enkla saker som att lÜsa in servern, ta ordentliga backuper eller att verkligen utnyttja de sÑker- hetsfunktioner som redan finns i systemet. Men det kan ocksÜ krÑvas mer avancerade lîsningar som kryptering. TÑnk pÜ att ÜtgÑrderna inte fÜr bli ett stîrre problem Ñn hotet. ôverdrivna eller missriktade sÑkerhetsÜtgÑrder kan sÑnka produktiviteten mer Ñn nÜgra virus eller hackerattacker. Loggen - Unix svagaste lÑnk Bild: Sven Larsson (ifîrd glasîgon och slips) Text: Fîlj instruktionsboken. - Gîr man som man ska enligt bîckerna minskar riskerna avsevÑrt fîr intrÜng, sÑger Sven Larsson, Unix-expert. Undvik slarv - fîlj reglementet. Kombinera pÜloggningen med ett passerskydd av smart-card-typ. FîrbÑttra loggfunktionerna till amerikanska fîrsvarets C2-nivÜ. Minst. LÑs mer om UnixsÑkerhet. Det Ñr Unix-kÑnnaren Sven Larssons rÜd till hîjd sÑkerhet i Unix. -Var noga med administrationen av systemet. Gîr man som man ska enligt bîckerna sÜ minskar riskerna avsevÑrt att nÜgot hÑnder. I Diab-fallet hade man uppenbarligen inte gjort det. Det sÑker Sven Larsson Unix- och datasÑkerhetsexpert pÜ Fîrsvarets Materielverk. Tidigare sysslade han med samma frÜgor pÜ Fîrsvarsdata. -Se ocksÜ upp med mîjligheten att kopiera ut en lîsenordsfil, varnar Sven Larsson. ér man vÑl inne i systemet via ett publikt nÑt, t ex televerkets TIP-net (ett publikt TCP/IP-nÑt - TCP/IP Ñr Unix kommun- ikationssprÜk i nÑt) Ñr det bara att sîka upp lîsenordsfilen, och det Ñr inte svÜrt, samt ge Unix kopieringskommando. DÑrefter Ñr lîsenordsfilen i hackerns Ñgo. Sen Ñr det bara att bearbeta filen med troliga ord- kombinationer. Det sker oftast med ett sîkprogram och alltid blir det nÜgot napp. Men det gÜr att skydda sig mot "filstîld". -Man kan lÑgga lîsenorden i en olÑsbar fil, som fîljdaktligen Ñr oskrivbar, sÑger Sven Larsson. Osynlig fil Handgreppet kallas "shadowing". Det gîr filen osynlig och oÜtkomlig. Utom fîr den som har tillgÜng till systemets kÑrna, root access. Ett privilegium som bîr vara synnerligen begrÑnsat. -En annan skyddsÜtgÑrd Ñr att skîta inloggningen med ett smart-card. Det finns lîsningar och program fîr det, sÑger Sven Larsson. Till sist bîr man ha en bra loggfunktion. En som Ñr bÑttre Ñn i standardunix. -Om man har nÜgot intresse av att se vad som hÑnt i loggen rÑcker inte den vanliga loggen. Det som finns i standardunix. I standardunix registrerar loggen bara vem som kom in och vilka kommandon vederbîrande utfîrt. Men inte ett skvatt om vad och vilka filer som kommandona utfîrts mot. Till exempel kan man inte se att lîsenordsfilen Ñr kopierad. Bara att nÜgot har kopierats... C2-klassning Fîr att fÜ en komplett logg, inklusive vad som manipulerats och hur det gjorts, krÑvs att Unix-systemet Ñr klassat lÑgst i nivÜ med amerikanska fîrsvarets C2 och uppÜt. -Ett sÜdant system Ñr nÜgot dyrare idag. Men dÜ den amerikanska administrationen nu krÑver alla unixsystem som kîps av US Government har C2 kan man vÑnta sig att sÜdana C2-system blir vanligare. Ett sista rÜd till systemansvariga. LÑs boken "Unix System Security". Den finns i bokhandeln. -Den kom fîr nÜgot Ür sen men hÜller fortfarande, sÑger Sven Larsson. Strîmlid kritisk: Hacker-hysteri Bild: Kjell Strîmlid (ifîrd bekymrad min, skÑgg och slips) Text: -Demonisera inte. Kjell Strîmlid, ordfîrande i LKD, Leverantîrs- fîreningen Kontor och Data, avfÑrdar hacker-larmen i massmedia. -Det Ñr inget fel pÜ sÑkerheten, sÑger han. Kjell Strîmlid, styrelseordfîrande i LKD Ñr kritisk mot de uppmÑrksamade hacker-artiklarna i Dagens Nyheter. -Jag tycker inte att det Ñr nÜgot fel pÜ sÑkerheten i branschen, sÑger han. Inte stîrre fel Ñn pÜ bankernas sÑkerhet, slÜr han fast. Kjell Strîmlid, till vardags vd fîr ICL Data, Ñr irriterad îver den hysteri, som enligt honom kÑnnetecknar hanteringen av hacker-problemet i pressen. Han avfÑrdar helt pÜstÜenden om att gÑrningarna skulle ha fîrîdande betydelse fîr kunderna till de hackerdrabbade fîretagen. -Att ungdomarna relativt lÑtt kunde ta sig in i Diab Datas system kan knappast skada Diabs eller branschens anseende, sÑker Kjell Strîmlid. éven om han medger att "Harrgot Lindmark (Diabs vd) gjorde en tavla med att lÑmna dîrren till systemet îppen ett tag". -Hackers verksamhet Ñr brottslig, den ska bedîmas som sÜdan, och inte demonsieras. Kjell Strîmlid vill pÜminna om att dagens samhÑlle kÑnnetecknas av îppenhet. -Man kan inte bîrja bygga ogenomtrÑngliga murar runt fîretag nu fîr att skydda dem mot intrÜng. En stîrre grad av îppenhet ger helt konsekvent en lÑgre grad av sÑkerhet. Det gÑller att hitta en balanspunkt menar Kjell Strîmlid och tillÑgger att det finns sÜ mycket informationsskrÑp i fîretagens datasystem att det dÑrfîr knappast Ñr sannolikt att nÜgon 18-Üring Ñr i stÜnd att rent fysiskt sortera bort allt obetydligt och luska fram nÜgra affÑrs- hemligheter. Se upp med modem UtomstÜende konsulter som kan ringa in i fîretagets system Ñr en riskkÑlla ur sÑkerhetssynpunkt. -Det normala Ñr att vi inte har fri tillgÜng till kundens modemportar, sÑger Ulf Sandstrîm pÜ Ericsson Radio Systems, ett av de stîrre fîretagen nÑr det gÑller tredjepartsservice. -Men nÑr vi har behov av att komma in, ber vi om ett "password". TillgÑngligheten till modemets telefonnummer Ñr det fîrsta som bîr uppmÑrk- sammas, menar de tredjepartleverantîrer DatavÑrlden kontaktat. Det ska inte finnas upptaget pÜ allmÑnna internlistor utan endast lÑmnas ut till behîriga och fîr îvrigt hÜllas inlÜst eller fîrvaras pÜ ett betryggande sÑtt, lyder deras rÜd. Ett annat enkelt knep Ñr att inte ha modemen stÑndigt anslutna. DÜ gÜr det inte att komma in med mindre Ñn att en avisering sker. I de fall modemet mÜste vara uppkopplat, fîr exempelvis fÑltsÑljarnas rapportering, finns mîjligheten till Üteruppringande modem. DÜ finns det i modemet ett antal i fîrvÑg lagrade telefonnummer. Det kan vara nummer till servicekontor med fasta fîrbindelser eller sÑljarnas mobiltelefonnummer. énnu stîrre sÑkerhet, och dessutom en bra varningssignal, blir det med dataloggning pÜ modemporten. Fîrutom att behîrigas gîranden och lÜtanden registreras blir en obehîrigs fîrsîk att fÜ tilltrÑde till systemet uppdagat. Det gÜr inte att spÜra samtalet men fîrsîken att komma in registreras. DÜ Ñr det dags att fîrse datorerna med ytterligare sÑkerhets- program. Fîrsvaret byter nummer Fîrsvaret har beordrat alla som drabbats av hackerintrÜng att byta telefonnummer och slÜ av systemen nÑr de inte anvÑnds. Fîrsîken till intrÜng i fîrsvarets system har bara skett i en del administrativa system och utan stîrre framgÜng, berÑttar presschef Bertil Ternert pÜ militÑrstabens in- formationsavdelning. -Det Ñr helt klart att det Ñr Diab Datas sÑkerhetsrutiner som har brustit sÜ att ett antal telefonnummer till olika modem i fîrsvaret kommit ut, konstaterar han. Han tillÑgger att operativa militÑra system Ñr slutna och omîjliga att ta sig in i. Det Ñr frÑmst flygvapnet, som har Diab-datorer, som utsatts fîr intrÜngsfîrsîk. Bland annat har man fîrsîkt komma in i system till F21 i LuleÜ. Men lÑngre Ñn till "farstun" har man dock inte kommit och nÜgra uppgifter har inte lÑckt ut, sÑger Bertil Ternert. ____________________________________________________________________________ ____________________________________________________________________________ SKRYTIGA HACKERS ôVERSKATTAT PROBLEM: DSR (5/92) Bild: Hans-Iwan Bratt (ifîrd glasîgon) Text: Hans-Iwan Bratt Svenska hackers har tagit sig in i datorer hos bl a Nasa och Pentagon liksom i en rad svenska datafîretag. Det mesta Ñr skryt, hÑvdar Hans-Iwan Bratt, vd i Leverantîrsfîreningen Kontor och Data. Men det finns flera fall av allvarliga dataintrÜng, som ger upp till tvÜ Ürs fÑngelse fîr de som Üker fast. "Hackers vill skryta med sina erîvringar. I stort uppslagna artiklar i Dagens Nyheter stÜr det att svenska hackers skaffat sig tilltrÑde till Pentagons system fîr elektronisk post. Det kan mîjligen bero pÜ att sÜdana postsystem ofta Ñr helt îppna. Prestationen behîver inte vara mer anmÑrk- ningsvÑrd Ñn att sÑnda vanliga brev till Pentagon. Fîrvisso finns det problem med datasÑkerheten, men de gÑller inte frÑmst hackers. Det finns teknik och metoder som ger i det nÑrmaste 100-procentigt skydd mot sÜdana dataintrÜng. Men rigorîsa sÑkerhetsbestÑmmelser Ñr tyvÑrr besvÑrliga fîr anvÑndarna. DÑrfîr delas systemen in i olika sÑkerhetszoner. Det som Ñr mycket skyddsvÑrt fÜr avancerat skydd och fÜ ges tillgÜng. Andra delar, med fler behîriga anvÑndare, ges lÑgre skydd. Det finns andra problem som Ñr vÑsentligt stîrre, t ex sabotage och stîlder av behîrig personal. Det Ñr dock inte specifikt fîr datasystem utan fîr alla typer av fîretagshemligheter. I DNs artiklar pÜstÜs att lagen mot dataspioneri Ñr diffus och ineffektiv. Det Ñr inte vÜr uppfattning. Den som gîr sig skyldig till dataintrÜng riskerar tvÜ Ürs fÑngelse. SÑljs informationen vidare handlar det Ñven om fîretagsspioneri. Mîjligheten att upptÑcka obehîrigt intrÜng och att spÜra hur det gÜtt till Ñr ganska god. Olyckliga omstÑndigheter I det nu aktuella fallet har en person kommit Üt kÑnslig information genom en kombination av olyckliga omstÑndigheter. Beklagligtvis utnyttjades det pÜ ett brottsligt sÑtt. Vi kommer studera det som hÑnt mycket noga. MÜnga datafîretag utvecklar sÑkerhetsrutiner tillsammans med kunderna och vi samlar systematiskt in information om datorrelaterad brottslighet. Det gîr risken fîr att nÜgot liknande ska kunna ske igen Ñr mycket liten." Hans-Iwan Bratt ____________________________________________________________________________ ____________________________________________________________________________ MAN SLUTAR ALDRIG FôRVèNA SIG: DSR (5/92) Bild: PÑr Rittsel (med glasîgon) Text: Krînikan, PÑr Rittsel [ointressanta delar har editerats bort -Ed] ...FîrvÜnad blir man ocksÜ îver sÜdana tillfÑlligheter som att samme HÜkan Borgstrîm som tvÜ dagar i rad skrev om hackers i Dagens Nyheter, denna vecka kommer ut med en bok i Ñmnet. Medfîrfattare Ñr en man som ska ha varit chef fîr Televerkets sÑkerhetskontor. Vilken tur att det finns hackers som sÜ lÑgligt kan skapa intresse kring hans nya bok! Men problemet Ñr faktiskt ur vÑrlden. Boken behîvs inte. MÑnskligheten kan andas ut, ja sova lungt och tryggt om nÑtterna. Hans-Iwan Bratt har tagit itu med "datorrelaterad brottslighet". I en insÑndare i dagens DatavÑrlden tillkÑnnager denne leverantîrernas sprÜkrîr: "Vi kommer att studera det som hÑnt mycket noga... Det gîr risken fîr att nÜgot liknande ska kunna hÑnda igen Ñr mycket liten." Det Ñr ord och inga visor det. Men sÜ kommer de frÜn samme man som utan minsta bitanke pÜ sitt eget rykte avskaffat bÜde ozonfaran frÜn laserskrivare och all slags skadlig strÜlning frÜn bildskÑrmar. I Amerikas Fîrenta Stater har man inte nÜgon Hans-Iwan Bratt, sÜ dÑr bryr man sig fortfarande om bildskÑrmarnas magnetfÑlt och dÑr hÑrjar fortfarande hacker-ligor. Som den skara pÜ minst ett tusen hackare som FBI och polisen i San Diego just i dagarna hÜller pÜ att sÑtta dit fîr bedrÑgeri, falska kreditkortsinkîp och fiffel med telerÑkningar. Hade Hans-Iwan Bratt fÜtt rÜda, hade problemet aldrig ens uppkommit och skulle det ÑndÜ ha uppkommit sÜ hade det inte kunnat upprepas eftersom det egentligen aldrig borde ha uppkommit... Den mannen upphîr aldrig att fîrvÜna. ____________________________________________________________________________ ____________________________________________________________________________ DAGS FôR AUKTORISERADE HACKERS?: DSR (5/92) Bild: Walter Holmer i en soffa med en pÑrm i knÑet visande tidnings- urklipp ang. Landstinget anmÑlda till Datainspektionen. Text: SÑkrare med hackers. Walter Holm, pensionerad sÑkerhetschef, anser att auktoriserade hackers kan kontrollera att databaser inte utsÑtts fîr obehîriga angrepp. En hovrÑttsdom mot en journalist fîr nÑra Ütta Ür sedan vÑckte uppmÑrksamhet dÑrfîr att journalisten gjort fîrsîk till intrÜng i en offentlig databas. Avsikten var enbart att testa datasÑkerheten. Dock lyckades han aldrig "hacka". HovrÑtten dîmde emellertid efter lagens bokstav, trots att ingen brottslig avsikt fîrelÜg och ingen skada hade uppstÜtt. RÑtten borde dÑrfîr dîmt enligt regeln hellre fria Ñn fÑlla. Varfîr gjorde man inte det? Svaret lÜg sannolikt i bristande kunskaper och dÑrmed ett onyanserat tankesÑtt. Hellre dÜ dîma efter "lagens bokstav", trots att lagen i sig hade stora brister. Brottet visade sig dock snarare bli till gagn eftersom det ledde till îversyn av sÑkerhetsrutinerna hos det angripna fîretaget. Bland annat hade ju gÑrningsmannen fÜtt hÜlla pÜ i 11 timmar utan upptÑckt! Nu en udda reflexion: Varfîr inte auktorisera hackers, som Ü samhÑllets vÑgnar kontrollerar databasernas resistans mot obehîriga angrepp? I dag har man nÑmligen samma oskuldsfulla instÑllning till sÑkerhetsfrÜgorna som i datorns barndom. SÜ kallat hemliga koder Ñr oftast enkla att forcera i den mÜn de îverhuvudtaget finns. I fallet med journalisten ovan hade man gjort ett enkelt program som prîvade olika kodkombinationer. Eftersom spÑrr saknades efter ett antal felaktiga fîrsîk, kunde man obehindrat prîva 10 000-tals kombinationer innan man stoppades pÜ grund av att telelinjen blockerats. Det var ingalunda nÜgra datagenier som varit i farten. Som ocksÜ de nya incidenterna visar, Ñr det oftast enbart ungdomlig Ñventyrslusta och îvermod som Ñr drivkraften. I amerikanska utredningar har det exempelvis framkommit att fîrîvare till och med programmerat in fullstÑndig bekÑnnelse i fast fîrvissning att de inte skulle kunna spÜras. Vanligen upprÑttas kommunikationsregler med anvisningar hur trafiken upprÑtthÜlles utan stîrningar. NÑr det gÑller datakommunikation finns ingenting, blott en bristfÑllig lag och ingen vÑgledning fîr sÑker trafikering. TrafiksÑkerhetsverket finns fîr vÑgtrafik, fîr datakommunikation endast Datainspektionen, som har alltfîr begrÑnsade resurser att verka effektivt. Regeringarna har nÑmligen visat fîrvÜnande likgiltighet fîr datasÑkerhetsfrÜgorna och stÑndigt avvisat fîrslag till fîrstÑrkningar. Endast ett fÜtal "îvertramp" kommer till allmÑn kÑnnedom, troligen beroende pÜ att man inte vÜgar visa upp sin sÜrbarhet. Cheferna, beslutsfattarna, Ñr obekanta om konsekvenserna av sina beslut - verkstÑllarna, de datakunniga, har ringa intresse av att visa svagheter i sina egna alster - bristerna bestÜr. LÜt dÑrfîr Datainspektionen fÜ resurser att agera som ett data- kommunikationernas trafiksÑkerhetsverk, som opartiskt kan utfîra inspektioner. StÑll kapacitet till fîrfogande fîr att lÜta inspektionens specialister, som vi kan kalla "auktoriserade hackers", kontrollera att samhÑllsnyttiga databaser hÜller acceptabel sÑkerhetsnivÜ. Walter Holmer Pensionerad sÑkerhetschef ____________________________________________________________________________ ____________________________________________________________________________ HACKERPROBLEMET INTE UNDERSKATTAT: DSR (5/92) Hans Iwan Bratts insÑndare i DatavÑrlden nr 18 om de îverdrivna hackerskriverierna i Dagens Nyheter kommenterades i PÑr Rittsels krînika i samma nummer. HÑr svarar Hans Iwan Bratt: "Man slutar aldrig fîrvÜna sig, skriver PÑr Rittsel i DatavÑrlden. HÑnger du med i svÑngarna sÜ blir du nog inte fîrvÜnad sÜ ofta, PÑr. Det som fîrvÜnar PÑr denna gÜng Ñr att vi leverantîrer lÑr oss av erfarenheten. NÜgra hackers har tagit sig i en medlems dator. DÜ skriver jag att vi tar reda pÜ hur det gick till och sprider kunskapen till andra medlemmar fîr att det inte ska hÑnda igen. Finns det nÜgot mer sjÑlvklart? Om PÑr hade lÑst det jag skrev nÜgot mer uppmÑrksamt, skulle han fîrmodligen fîrstÜtt att jag inte fîrnekar att hackers Ñr ett problem. Jag menar dock att hackers inte Ñr nÜgot stîrre problem nÑr det gÑller kÑnsliga system med hîg sÑkerhetsnivÜ. DÑr kan de inte ta sig in. DÑremot kan de stÑlla till elÑnde i vanliga system, dÑr vi av hÑnsyn till anvÑndarna inte kan ha alltfîr sofistikerade skyddstekniker. De blir alltfîr besvÑrliga att hantera. Dessutom skriver jag att andra typer av datorrelaterad brottslighet Ñr mer bekymmersamma, t ex insidersbrott. Stîd pÜ dess punkter fÜr jag frÜn de personer DatavÑrlden intervjuat i samma nummer. LÑs DatavÑrlden! DÑr finns Ütskilligt vÑrt att lÑsa! Jag avskaffade ozon-faran, skriver du ocksÜ. Det kan jag inte ha gjort eftersom det inte funnits nÜgon. PÜstÜendet Ñr inte mitt. Tala med Arbetar- skyddstyrelsens ozonexpert sÜ fÜr du hîra. HÜller man sig informerad blir man inte sÜ îverraskad. Och sÜ har jag avskaffat den farliga strÜlningen frÜn bildskÑrmar, skriver PÑr. Den enda strÜlningen frÜn bildskÑrmar Ñr det synliga ljuset och det Ñr inte farligt. Kanske PÑr tÑnker pÜ de elektro- magnetiska fÑlten runt bildskÑrmarna. Om du lÑst vad forskarna skriver hade du vetat att det inte finns nÜgra forskare som visat att dess fÑlt Ñr farliga. ér det inte dags att du bîrjar hÑnga med, PÑr?" HANS IWAN BRATT VD LKD PÑr Rittsel svarar: Nej, fîrvÜnad ska man inte bli. Men visst undrar jag lite îver hur Hans Iwan Bratt kan skriva som han gîr och samtidigt vara sprÜkrîr fîr en bransch, dÑr leverantîrerna îver-trumfar varandra i att reducera magnetfÑlten frÜn bildskÑrmarna och bygga in ozonfilter i laserskrivarna. Samma sorglîsa instÑllning har han till hackerangrepp. I dagens inlÑgg handlar det kategoriskt om att "det inte ska hÑnda igen". Undrar vem som blir mest fîrvÜnad nÑsta gÜng. PéR RITTSEL ____________________________________________________________________________ ____________________________________________________________________________ DSR tar gÑrna emot nya sponsor/support System. Om du har speciellt intresse fîr Rapporten, och vill stîdja DSR -- LÑmna ditt BBS nummer -- och annan information pÜ THE STASH Bulletin Board System. ____________________________________________________________________________ ____________________________________________________________________________ Anonymous :: +45-###-##### -------- Sedes Diaboli :: +46-###-##### 16.8 kbps DSR DK 2400 bps DSR Information THE STASH - Svenska Rapporten Support BBS - Den Svenska Rapporten #1 Node 14.4k bps, 170+ Megs, Dygnet Runt ____________________________________________________________________________ ____________________________________________________________________________ Detta Avslutar Detta DSR Numret Nr. 05 (del 2 av 3) SlÑppt Maj 31, 1992 av The Chief Editor av Den Svenska Rapporten ____________________________________________________________________________ ____________________________________________________________________________