____________________________________________________________________________ ____________________________________________________________________________ -uXu- DEN SVENSKA RAPPORTEN -uXu- Information F–r Entusiaster Nr. 06 (del 2 av 3) Sl”ppt Juni 30, 1992 InnehÂll: Ed's Ord S–kregister ÷ver Huliganer Datast–lder f–r 1,6 Miljoner S”kerheten Inventeras Sex Sp”nnande MÂnader 85 000 i SkadestÂnd N”r Chefen L”ste Hans E-Post Chefen L”ste E-Post Inga Svenska Exempel S”kerhetsbrister MÂste Uppt”ckas i Tid Gr”vande Journalister V”grar F–lja Datalagen Hemliga Dataprojekt Fj”rrm”tning Ska Ge F”rre Fel Nytt Datorhot BBS F–r Inbitna Den Som H”vdar Att Hackers Inte źr En S”kerhetsrisk źr Naiv Eller Drivs Av Ekonomiska Motiv _____________________________________________________________ av TC, Editor Den Svenska Rapporten ____________________________________________________________________________ ____________________________________________________________________________ ED'S ORD: DSR Den Svenska Rapporten accepterar utomstÂende k”llor ”nnu. Vem som helst kan skriva f–r/l”mna information till DSR. Skribenten/L”mnaren blir adderad som informations-l”mnare, eller f–rfattare till artikeln. Full diskretion om f–rfattaren/l”mnaren s –nskar. Artiklar/Information kan l”mnas p de system som finns listade i slutet av varje nummer av DSR. V”rt att notera: Felskrivningar, felstavningar och rena fakta-fel ligger p k”llans sida och ej p den som rapporterat eller skrivit in texten/ avsnittet. DSR kan ej heller anklagas f–r dessa oumb”rliga fel d rapporterna i sin helhet ”r helt likv”rdiga och –verrensst”mmer med originalet. TC, DSR Editor ____________________________________________________________________________ ____________________________________________________________________________ S÷KREGISTER ÷VER HULIGANER: DSR (6/92) Polisen fÂr uppr”tta ett s–kregister –ver videofilmade fotbolls- huliganer. Det har datainspektionen beslutat. Registret ska f–rst–ras omedelbart efter fotbolls-EM. Polisen videofilmar allt som r–r sig under fotbolls-EM, och det beh–ver de inget tillstÂnd f–r. Men det kommer att bli 1 500 filmer, och f–r att kunna hitta r”tt huligan bland alla rullarna har polisen beg”rt att f uppr”tta ett datoriserat spanings- register. Endast personer som ”r sk”ligen misst”nkta f–r brott eller som har st–rt ordningen fÂr registreras i spaningsregistret. ____________________________________________________________________________ ____________________________________________________________________________ DATAST÷LDER F÷R 1,6 MILJONER: DSR (6/92) Tre m”n i 20-ÂrsÂldern Âtalades den 4 juni f–r datast–lder vid ÷rebro tingsr”tt. De anklagas f–r datast–lder f–r totalt 1,6 miljoner kronor. St–lderna har ”gt rum under ett Ârs tid i ÷rebro-omrÂdet. Den st–rsta st–lden var p LEA-bolaget i Hallsberg d”r datorer och annan kontors- utrustning f–r 380 000 kronor stals. Ledaren f–r st–ldligan ”r en 22-Ârig Hallsbergsbo som erk”nt. Det mesta av st–ldgodset har sÂlts till h”lare i Stockholm, V”sterÂs och Norrk–ping. ____________________________________________________________________________ ____________________________________________________________________________ SźKERHETEN INVENTERAS: DSR (6/92) Nybildat ADB-S”kerhetsrÂd Bild: Jan Freese. Text: S”kerhetsman. En av de 18 medlemmarna i det nybildade ADB- s”kerhetsrÂdet ”r Industrif–rbundets Jan Freese. SÂrbarheten i samh”llsviktiga datasystem mÂste minska. Det ”r den viktigaste uppgiften f–r det nybildade ADB-s”kerhetsrÂdet. Bakom rÂdet stÂr ÷verstyrelsen f–r Civil Beredskap, ÷verbef”lhavaren och Statskontoret. Den f–rsta uppgiften f–r det nya organet har blivit att g–ra en s”ker- hetsinventering hos myndigheter och organisationer. Det ska dessutom utveckla metoder och teknik f–r att –ka myndigheters datas”kerhet. Det g”ller att utveckla s”kerheten samtidigt som den inte fÂr krocka med offentlighets- principen. Det arbetet har framf–r allt Statskontoret nytta av, men det ”r ocks tillg”ngligt f–r andra myndigheter och organisationer. RÂdet verkar inom ÷CB och Statskontoret. Och det har nyligen publicerat rapporten "ABD- s”kerhet i Sverige: Vad som gjorts och vad som pÂgÂr". De aderton ADB-s”kerhetsrÂdet bestÂr av 18 personer, med Gunilla AndrČ (÷CB:s generaldirekt–r) och Jan Carling (dito Statskontoret) som ordf–randen. Bland ledam–terna Âterfinns bland annat Industrif–rbundets Jan Freese, Jan Ridefelt frÂn rikspolisstyrelsen, Handelsbankens Georg Espling och Rabbe Wrede, Data- f–reningen i Sverige. En av de f–rsta sakerna rÂdet ”gnat sig Ât ”r in- venteringen av vad som gjorts i Sverige p s”kerhetsomrÂdet under senare Âr. Rapporten bygger p en intervjuunders–kning som gjorts med representanter f–r omkring 45 myndigheter och organisationer. Intervjuerna gjordes i februari i Âr. Man ville ta reda p de olika organisationernas s”kerhetsmÂls”ttningar, deras egna utredningar och projekt, genomf–rda eller pÂgÂende samt vad man ytterligare –nskade f–rb”ttra. F–rankring och anpassning En slutsats ”r att de flesta organisationer f–redrar att s”kerhetsarbetet anpassas till det egna arbetet. Man ”r allts inte i lika h–g grad beredd att anpassa arbetet till s”kerhetskraven. Egna s”kerhetsprojekt Trots vad som ofta antagits ”r datas”kerhetsmedvetandet relativt h–gt utvecklat i Sverige. I ADB-s”kerhetsrÂdets rapport framkommer att 29 av de tillfrÂgade organisationerna genomf–rt egna s”kerhetsprojekt och/eller publicerat egna rapporter. ADB-s”kerhetsrÂdet kommer nu att forts”tta sitt arbete, som fr”mst gÂr ut p att verka inom ÷CB och Statskontoret. D”r ska det vara en "referensgrupp, kompetenscentrum och sakkunnig panel". Det ska ocks bygga upp kontaktn”t f–r att utbyta s”kerhetsinformation med andra myndigheter och organisationer. Samt utg–ra en pÂtryckargrupp och opinions- bildande grupp gentemot omv”rlden. ____________________________________________________________________________ ____________________________________________________________________________ SEX SPźNNANDE M‰NADER: DSR (6/92) [Enbart t”ckande de notiser som ”r av intresse f–r DSR's l”sare -ED] April - Diab Data hamnar i blÂsv”der n”r f–retaget drabbas av ett hackerintrÂng. Hackarna fick bland annat tag p telefonnummer till f–rsvarets datasystem. FAS 90-projektet l”ggs ner - den borgerliga regeringen tyckte att det var f–r integritetsk”nsligt. Juni - Chefen p Memorex Telex norska dotterbolag tittade i en anst”llds elektroniska brevlÂda och fick betala 85 000 kronor i skadestÂnd. ____________________________________________________________________________ ____________________________________________________________________________ 85 000 I SKADEST‰ND NźR CHEFEN LźSTE HANS E-POST: DSR (6/92) F–rsta domen mot olovlig –vervakning av anst”llda Bild: Knut Martinussen sittande p en b”nk. Text: Chefen l”ste hans brev. Norske Knut Martinussen fÂr 85 000 efter att chefen gÂtt in och l”st hans privata e-post. Chefen p Memorex Telex norska bolag tittade i en anst”llds privata elektroniska brevlÂda. Det kostar henne 85 000 kronor. Juridiska experter betecknar domen som ytterst intressant. Det ”r f–rsta gÂngen som en arbets- givare f”lls i domstol f–r att olovligt ha tittat i personalens privata e-post. Varken i Norge eller nÂgot annat land ”r en liknande dom k”nd sedan tidigare. Idag gÂr det inte att f nÂgot klart besked om vad som g”ller i Sverige. De svenska juristerna ”r mycket tveksamma till om en svensk domstol skulle kunna f”lla nÂgon p samma grunder som man gjort i Norge. K”rnfrÂgan ”r: Tillh–r den elektroniska posten den anst”llde eller f–retaget? ____________________________________________________________________________ ____________________________________________________________________________ CHEFEN LźSTE E-POST: DSR (6/92) 85 000 i skadestÂnd Bild: Knut Martinussen. Text: Fick E-Posten genoms–kt av chefen. Den norske datamannen Knut Martinussen fÂr skadestÂnd efter att hans chef utan att under- r”tta honom gÂtt in och l”st hans privata elektroniska post. Chefen p det norska dataf–retaget Memorex Telex tittade i en anst”llds privata E-post. Det skulle hon inte ha gjort. Norsk domstol d–mde f–retaget nyligen att betala 85 000 kronor i skadestÂnd. Juridiska experter i Norge betecknar domen som ytterst intressant. Det ”r f–rsta gÂngen som en arbets- givare f”llts i domstol f–r att olovligt ha tittat i personalens privata E-post. Varken i Norge eller nÂgot annat land ”r nÂgon liknande dom k”nd sedan tidigare. -En mycket intressant sak, konstaterar Georg Aspenes, p Datatilsynet, Norges motsvarighet till Datainspektionen. Georg Aspenes s”ger till Computer- world Norge att domen, som sannolikt inte kommer att –verklagas, kan komma att bli praxisbildande. Fler domar av samma typ ”r att v”ntas. Seger i r”tten Mannen som fick sin privata E-post systematiskt genoms–kt av sin chef heter Knut Martinussen. Han ”r mycket l”ttad efter den r”ttsliga segern –ver sin tidigare arbetsgivare, dataf–retaget Memorex Telex i Oslo. -Det var tufft, men i dag ”r jag glad att jag valde att g vidare med saken, s”ger han. Hela saken har egentligen mest med vanlig enkel moral att g–ra, anser Knut Martinussen. Jag –ppnar inte min frus post och f–rs–ker inte ta mig in f–r att snoka i mina kollegors lÂsta skrivbordslÂdor. Samma enkla f–rhÂllande b–r givetvis g”lla arbetsgivare n”r det g”ller personalens privata E-post, s”ger han till Computerworld Norge. De anst”llda p Memorex Telex har tillgÂng till ett E-post system som binder samman den internationella koncern d”r det norska f–retaget ingÂr. Personalen tilldelades varsitt personligt l–senord frÂn systemansvariga i Bryssel. L–senord till ledningen Men utan att personalen p Memorex Telex visste om det, distribuerades l–senorden ut ocks till f–retagsledningen. I den nu aktuella domen ”r det just detta som Asker og Baerums Herredsrett f”ster stor vikt vid. Hade f–retaget tydligt informerat personalen om att ledningen kunde g in och l”sa ocks l–senordsskyddade E-post-meddelanden, d hade det inte blivit nÂgon f”llande dom. Ocks i dag, efter domen, har Memorex Telex behÂllt m–jligheten att l”sa all E-post p f–retaget. Skillnaden ”r att man nu ”r noga med att skriftligt informera personalen om detta. E-post-tvisten mellan Knut Martinussen och chefen p Memorex Telex Anne Britt Heltmark b–rjade egentligen med att Martinussen blev omplacerad i samband med en omorganisation. Den f–ljande konflikten mellan de tv blev allt mer inflamerad och slutade med att Heltmark sa upp Martinussen. Det var under upps”gningstiden som Knut Martinussen uppt”ckte att nÂgon hade varit inne och tittat p hans l–senordsskyddade E-post-meddelanden. -Jag aktiverade en logfunktion och kunde konstatera att intrÂngen skedde frÂn direkt–rens terminal. Jag uppt”ckte ocks att intrÂngen skedde p helger, p kv”llar och d jag var ute p lunch, ber”ttar Knut Martinussen. Jag blev f–rbannad och k”nde mig kr”nkt. Jag konfronterade direkt–ren med uppgifterna. Men hon bara blÂnekade. Knut Martinussen best”mde sig f–r att gillra en f”lla. Han skrev ett brev st”llt till koncernledningen i Italien d”r han framf–rde sina klagomÂl mot direkt–ren. Han lade det i sin privata E-post-area, men skickade aldrig iv”g det. NÂgra dagar senare skrev han ett pÂhittat svar frÂn koncernschefen och lade ocks det bland sina –vriga E-post-meddelanden. Chefen fastnade p kroken. Enligt Martinussen kom hon mycket uppbragt inspringande p hans rum med ut- skrifter av de tv breven i h–gsta hugg och gav honom sparken med omedelbar verkan. R”tten d–mde f–retaget att betala ut ett skadestÂnd p 85 000 norska kronor till Martinussen. ____________________________________________________________________________ ____________________________________________________________________________ INGA SVENSKA EXEMPEL: DSR (6/92) I Sverige finns inga domstolsutslag som ger en fingervisning om lagen tolererar att arbetsgivaren l”ser personalens E-post utan deras vetskap. Ingela Halvorsen p Datainspektionen ”r mycket tveksam till om svenska datalagen skulle kunna f”lla en arbetsgivare i ett sÂdant h”r fall. -Men det ”r inte helt om–jligt, till”gger hon. Att en arbetsgivare inte utan vidare fÂr l”sa brev som ”r privat- adresserade till en anst”lld torde de flesta vara eniga om. Men resonemanget kan inte utan vidare –verf–ras till privat adresserad E-post, anser Ingela Halvorsen. -Det ”r lite mer komplicerat eftersom man faktiskt tar arbetsgivarens datorer, lagringsutrymme och liknande i ansprÂk, s”ger hon. Ingela Halvorsen ber”ttar att Datainspektionen ibland blir uppringda av anst”llda som ”r uppr–rda f–r att chefen tittat i deras privata E-post utan att frÂga. -Man kan s”ga att det inte fÂr finnas nÂgra privata handlingar i f–retagets E-post-system. Om inte arbetsgivaren s”rskilt tillÂtit detta, fÂr man kanske acceptera att man inte har full kontroll –ver privata dokument, s”ger Ingela Halvorsen. ____________________________________________________________________________ ____________________________________________________________________________ SźKERHETSBRISTER M‰STE UPPTźCKAS I TID: DSR (6/92) Tack Richard Str–mqvist f–r synpunkterna (CS-debatt nr 21,22 maj) p min tidigare artikel om auktoriserade hackers. Argumenten du anf–r kan emellertid helt f–renas med mitt nÂgot udda f–rslag om att legalisera hackers f–r att p det s”ttet skapa s”krare system. Det ”r riktigt att de skyddsÂtg”rder du n”mner ”r n–dv”ndiga f–r effektivt skydd. Det g”ller emellertid att kontrollera att de verkligen finns, vilket n”mnv”rda kontrollanter f–rhoppningsvis skall konstatera. Med andra ord ”r det som vanligt inte frÂga om antingen eller utan bÂde och. Kort sagt, ”r skydds- Âtg”rderna v”l inf–rda kan utf–rd kontroll verifiera en god s”kerhet. I det beskrivna fallet hade hackerintrÂnget obehindrat kunnat hÂlla p i 11 timmar. Hade den av Richard Str–mqvist n”mnda begr”nsningen p tre f–rs–k inf–rts hade f–rs–ket ju stoppats p mycket tidigare stadium. SvÂrigheterna med att skaffa pÂlitliga och kunniga "auktoriserade hackers" tror jag, s”rskilt i dagens arbetsmarknadsl”ge, ”r –verdrivna. Dessutom inneb”r ju mitt f–rslag att Datainspektionen som statlig myndighet skulle ansvara f–r kontrollens utf–rande. Det hela kan j”mf–ras med Statskontorets k”nsliga sÂrbarhetsutredningar. Givetvis vet man hos bÂda myndigheterna f–rst i efterhand om man fÂtt de b”sta medarbetarna f–r uppdraget. FarhÂgorna om spridning av uppt”ckta brister ”r ur sÂrbarhetssynpunkt ber”ttigade. Men vilket ”r v”rst: att utan kontroll misst”nka stor sÂrbarhet eller att uppt”cka brister och i tid Âtg”rda? Revisorer har ju sin givna roll inom skilda omrÂden och att hindra revision ”r s”llan tillrÂdigt. źven revisorer har som sina brister och nÂgon garanti f–r att alla brister uppt”cks finns inte. I din egenskap av konsult k”nner du dock till att "management by exeptions", ofta ”r effektivt nog. ____________________________________________________________________________ ____________________________________________________________________________ GRźVANDE JOURNALISTER VźGRAR F÷LJA DATALAGEN: DSR (6/92) Grundlagen gÂr f–re Bild: Tommy Klaar. Text: "Inget personregister". Journalisten Tommy Klaar v”grar att st”lla konferenssystemet Reporter BBS under DIs insyn. Datainspektionen angrips av Sveriges unders–kande journalister. Konferenssystemet Reporter BBS i Sundsvall v”grar att r”tta sig efter myndighetens beslut - med h”nvisning till yttrandefriheten och meddelar- friheten. Datainspektionen menar att det r–r sig om ett personregister som ska ha tillstÂnd. Datainspektionen (DI) skrev den 25 mars till journalisten Tommy Klaar och beg”rde att han skulle skaffa tillstÂnd f–r Reporter BBS, eftersom den innehÂller personuppgifter. Reporter BBS ”r ett s kallat konferenssystem eller en BBS (Bulletin Board System) som Klaar driver i Sundsvall. Basen samarbetar bland annat med f–reningen Gr”vande Journalister. Klaar svarade med ett brev, d”r han med h”nvisning till regeringsformen (RF) och tryck- frihetsf–rordningen (TF) h”vdar att systemet ”r grundlagsskyddat. -I avvaktan p att DI f–rklarar hur datalagen skall till”mpas trots grundlagsgarantierna avstÂr jag frÂn att s–ka om nÂgot tillstÂnd, s”ger Tommy Klaar. Ol–slig konflikt Bakgrunden ”r en konflikt mellan Datalagen, som ”r en vanlig lag, och RF, TF och den nyligen antagna Yttrandefrihetsgrundlagen (YGL). De senare ”r grundlagar som g”ller f–re vanliga lagar. Den tjugo Âr gamla Datalagen s”ger  ena sidan att den som har personuppgifter lagrade p datamedium skall ha tillstÂnd av DI. ‰ andra sidan s”ger RF att varje medborgare har yttrande- frihet. Dessutom s”ger TF att varje medborgare har r”tt att l”mna uppgifter avsedda f–r publicering utan att myndigheter har r”tt till att efterforska k”llan. Om DI har tillsyn –ver Reporter BBS hamnar man i konflikt med med- delarskyddet, menar Klaar. -Systemet ”r uppbyggt f–r att fr”mst anv”ndas av journalister, s”ger Tommy Klaar som sj”lv arbetar p Sundsvalls Tidning. Av det sk”let betraktar jag verksamheten som dubbelt grundlagsskyddad, och oÂtkomlig f–r tvÂngsmedel med st–d av datalagen. Reporter BBS anv”nds bland annat f–r att –verbringa information d”r meddelarskydd kr”vs. Och nÂgon misstanke om att uppgifter sprids som ”r kvalificerat hemliga finns inte. -Det vore ett grundlagsbrott av mig att g–ra innehÂllet i mitt kommuni- kationssystem tillg”ngligt f–r en statlig myndighet, s”ger Tommy Klaar. Han h”nvisar ocks till en statlig utredning (SOU 1991:21) som slÂr fast att det verkligen finns konflikter mellan datalagen och grundlagarna. Mer information DIs handl”ggare ”r ‰sa Wiklund. -Jag kan inte s”ga nÂgot om ”rendet, s”ger hon. Det ”r inte avslutat ”nnu och jag har inga uppgifter om vad det ”r f–r ett register. Hon ska nu f–rst f–rs–ka f information om var Reporter BBS ”r f–r nÂgot. Hur lÂng tid handl”ggningen av ”rendet kan ta kan hon inte s”ga. SOU 1991:21 har hon en del synpunkter pÂ. -Utredningen har f–reslagit att vissa journalistiska register ska undantas frÂn tillstÂndsplikt, s”ger hon. Det g”ller produktionsregister f–r desktop publishing och ordbehandling, register –ver inkomna nyhetstelegram, vissa k”llregister, inklusive klipparkiv om de anv”nds som k”lla. DI har l”mnat ett yttrande d”r vi v”nder oss emot f–rslaget. Ett eventuellt f–rslag om lag”ndring kan komma inom det n”rmaste Âret. Helt klart ”r dock att det finns en konflikt mellan yttrandefrihet och meddelarskydd samt datalagen. -Vi fÂr inte gl–mma att integritetsskyddet, som DI ”r satt att v”rna, ocks ”r grundlagsskyddat, s”ger ‰sa Wiklund. Datalagen f–rÂldrad Tommy Klaar menar att Datalagen ”r f–rÂldrad. Den tillkom 1972 och avsÂg att reglera stora personregisterp ett relativt begr”nsat antal stor- och minidatorer. Att det senare skulle finnas en miljon persondatorer i landet, p vilka folk brevv”xlar eller skapar textfiler, t”nkte man inte pÂ. -Jag finner hela situationen absurd, s”ger Tommy Klaar. Mitt system ”r inget "personregister" i den mening lagstiftaren avsÂg 1972 n”r datalagen tillkom. Det som sker i systemet ”r en snabb brevv”xling, och att en statlig myndighet nu f–rs–ker skaffa sig kontroll –ver denna brevv”xling med Âberopande av lagregler som skapats f–r helt andra ”ndamÂl ”r minst sagt st–tande. ____________________________________________________________________________ ____________________________________________________________________________ HEMLIGA DATAPROJEKT: DSR (6/92) Televerket spenderar varje Âr miljardbelopp p nyutveckling av datasystem. Vad f–r slags projekt och hur mycket de kostar vill dock inte Televerket ber”tta om. Till dessa hemliga system r”knar Televerket ”ven system f–r administration av l–ner och personal. Televerket k–per sina system fr”mst frÂn dotterbolaget Televerket Data p konsultbasis. Men en del system utvecklas ”ven av externa konsulter. MÂnga av projekten ”r riktiga tung- viktare. Utvecklingstider p –ver fyra Âr ”r inga ovanligheter. H”r nÂgra av Televerkets hemliga projekt: - ALT-TT, "Teknisk och administrativ anpassning f–r inf–randet av Toll Ticketing". Kostar 120 miljoner kronor i Âr. - Telematik MA. Har kostat 90 miljoner kronor hittills. Kostar 25 miljoner i Âr. - NYBAS, ett system f–r personaladministration, order lager och fakturering som utvecklades under fem Âr men s smÂningom avvecklades. - Lokus, mÂngÂrigt projekt f–r kundadministration. Har knappt b–rjat anv”ndas. Problem med lÂnga svarstider. Kostar 35 miljoner kronor i Âr. - SD, stÂr f–r "synkron digital hierarki" ____________________________________________________________________________ ____________________________________________________________________________ FJźRRMźTNING SKA GE FźRRE FEL: DSR (6/92) Televerket inf–r nu fj”rrm”tning av abbonentledningar p alla telefon- stationer i landet. F–re Ârets slut ska de flesta av landets 7 000 telefon- stationer ha utrustats. Hittills klarar 1 400 stationer fj”rrm”tning. Meningen ”r att Televerket ska hitta fel p telen”tet innan abbonenterna m”rker nÂgot. Systemet bestÂr av en central dator p varje kundmottagning och en mikrodator ute p stationerna. Under natten n”r teletrafiken ”r lÂg k–rs m”tprogram som kontrollerar n”tets kondition. ____________________________________________________________________________ ____________________________________________________________________________ NYTT DATORHOT: DSR (6/92) Ett nytt hot mot datas”kerhet ”r nÂgot som kallas "Mutation Engine" eller mutationsmotor. Det ”r inget vanligt virus, utan en objektmodul som ”r l”nkad till koden f–r ett virus. Innan ett virus blir aktivt mÂste det dekrypteras. Koden f–r detta ”r normalt konstant, vilket g–r att man kan uppt”cka viruset genom att matcha byte. Mutationsmotorn anv”nder en speciell logaritm f–r att generera olika dekrypteringsrutiner varje gÂng. P s s”tt blir den mycket svÂr att uppt”cka. Mutationsmotorn uppt”cktes f–rst i en elektronisk anslags- tavla (BBS) f–r ett par mÂnader sedan. Flera f–retag, till exempel Mcaffe och Digital Dispatch har b–rjat utveckla antivirusprogram mot mutationsmotorn. ____________________________________________________________________________ ____________________________________________________________________________ BBS F÷R INBITNA: DSR (6/92) BBSernas s”regna v”rld domineras idag av tonÂringarna. F–retr”delsevis handlar det om unga killar, som besitter betydande datakunskaper och en h–gt uppskruvad fingerf”rdighet framf–r PCn. Vad g–r man d i BBSerna? Och i vad bestÂr sj”lva lockelsen som g–r att stora skaror tonÂrshackers - och andra ocks f–r den delen - regelm”ssigt v”ljer bort den h”lsobringande natts–mnen f–r att i st”llet susa runt med modemet mellan olika BBSer? De allra flesta BBSer innehÂller tv huvudomrÂden. Dels finns h”r ofta v”ldiga ansamlingar av gratisprogram av olika slag, som anv”ndaren fÂr ladda –ver till sin egen dator. Dels finns h”r elektroniska diskussionsforum d”r anv”ndarna kan delta i debatter och replikskiften i alla uppt”nkliga ”mnen. Dessa BBS-debatter domineras av tonÂringar som tilltalar varandra med t”cknamn som "Dr DOS", "Phearless" och "Big Eagle". De debatterar med f–r- k”rlek ”mnen hacking och diverse andra datatekniskt intrikata frÂgor. Inte s”llan lider dessa debatter av en viss kantring Ât det "pubertala" hÂllet. Uppenbarligen har ocks f–retr”dare f–r den undre v”rlden l”rt sig att uppskatta BBSerna. Mac & PC beh–ver inte botanisera runt l”nge bland BBSerna innan vi st–ter p ett inl”gg frÂn en herre som f–rklarar sig intresserad av att k–pa polisuniformer, utrangerade polisbilar samt hand- eldvapen. F–r hackers BBS-programmen som anv”nds ”r teckenbaserade och ofta ganska krÂngliga att anv”nda. De innehÂller ofta komplicerade inloggningsfunktioner som ”r obegripliga f–r en oinvigd. Ofta innehÂller de kommandon som inte knyter an alls till vare sig DOS eller nÂgot annat operativsystem som anv”ndaren kan vara bekant med frÂn sin egen dator. Lite tillspetsat kan man s”ga att dessa program ibland ser ut att vara skrivna f–r –verhettade hackers f–r andra hackers. L”ttanv”ndbarhet ser definitivt inte ut att ha varit nÂgon mÂls”ttning med mÂnga av dessa program. Ibland ser det n”stan ut som om det skulle vara precis tv”rt om. ____________________________________________________________________________ ____________________________________________________________________________ "DEN SOM HźVDAR ATT HACKERS INTE źR EN SźKERHETSRISK źR NAIV ELLER DRIVS AV EKONOMISKA MOTIV": DSR (6/92) Bild: HÂkan Borgstr–m Text: Debatt - LKD och andra som f–rs–kt tona ned riskerna med hackers fÂr h”r svar p tal av frilansjournalisten HÂkan Borgstr–m. Hans artiklar i Dagens Nyheter om hackerintrÂng har skakat om ordentligt i branschen. Den som h”vdar att hackers inte utg–r nÂgon s”kerhetsrisk ”r antingen naiv eller drivs av ekonomiska motiv. N”r det g”ller datas”kerhet finns alltid nÂgon som vinner p att undanhÂlla obehagliga fakta. Leverant–rer vill inte tala om brister i produkterna, dator”gare vill inte f–rlora andras f–rtroende, konsulter och systemoperat–rer vill behÂlla sina jobb. Men ingen vinner i l”ngden p att d–lja de faktiska f–rhÂllandena. Det verkar fortfarande finnas de som tror att dagens hackers ”r 13- Âriga Vic 64-entusiaster. De bedrar sig. Nu handlar det oftast om vuxna personer med kunskaper som vida –vergl”nser mÂnga systemoperat–rers. Arbetsredskapen ”r allt frÂn egna persondatorer till de angripnas super- datorer. Man byter inte l”ngre passwords med varandra, det ”r ingen sport. Man "hackar" fram dem. Dagens hackers sj”l hela l–senordsfiler och matchar fram "passwords". Det finns program som krypterar hela ordlistor och kontrollerar om orden finns med i den stulna l–senordsfilen. F–r Unix-datorer finns till exempel Lard, f–r PC ett som heter Guess 386 DES. En del program klarar 700-800 gissningar per sekund! Till flera medf–ljer ordlistor, upp till 15 Mb stora, med vanliga l–senord. Andra provar "login" i kombinationer med olika till”gg, som password. Det r–r sig allts om avancerade verktyg f–r att kn”cka l–senord. Dessutom utnyttjar hackers buggar i systemprogramvaran. De lusl”ser manualer och nyhetsbrev och hÂller sig ·-jour med de senaste program- versionernas fel och brister, och inte bara i Unixsystem. źven v”lk”nda buggar utnyttjas, eftersom mÂnga systemoperat–rer inte bryr sig om att ta bort dem. Till exempel hos Diab Data som missat att fixa buggen i TFTP (Trivial File Transfer Protocol). En fatal och vanlig lucka i s”ker- heten. Buggen har varit k”nd i flera Âr. HackerintrÂngen ”r inte heller s oskyldiga som de framst”lls i debatten. Hans-Iwan Bratt (LKD) menar att det ofta r–r sig om publika system, t ex hos Pentagon. Men n”r blev Pentagons elektroniska postsystem –ppet f–r alla? All hackerverksamhet ”r inte heller riktad mot postsystemet. Nyligen bekr”ftade amerikanska myndigheter att en holl”ndsk hacker varit inne i Pentagons datorer och kommit Ât information bland annat om Patriotrobotarnas verkningsgrad mitt under pÂgÂende Gulfkrig. Likas har det h”vdats att den hackergrupp jag skrev om i Dagens Nyheter inte kommit Ât nÂgra hemluga akter i svenska datorer. Nej, jag skrev bara att de fÂtt fram en lista med modemnummer, login och i vissa fall passwords till 379 datasystem frÂn Diab Data. Gruppen valde att tr”da fram innan de pene- trerat datasystemen hos invandrarverket, SIDA, flygstaben och andra som fanns p Diab-listorna. Och stockholmspolisens urs”kt var: "Jass den datorn, d”r finns bara lite personuppgifter, l–ner, adresser och personalplanering", dokument som inte ”r intressanta f–r en bl–gd 17-Âring! Men uppgifterna kan ju vara ÂtrÂv”rda f–r andra grupper, och det ”r som sagt inte heller bara ungdomar som hackar. Kjell Str–mlid, styrelse- ordf–rande i LKD, gÂr s lÂngt att han talar om "hackerhysteri" och att det inte ”r nÂgot fel p s”kerheten. Men se d p dessa exempel: - Ett f–retag som fÂtt pÂh”lsning ”r Dimension AB. D”r hade system- operat–ren valt l–senordet "DIM" till en central fileserver. Vad skyddar ett sÂdant l–senord? - Telesoft f–rvarade kundstatistik p en icke-skyddad plats i f–retagets datorsystem. - Diab Dara hade sin korrespondans med kunder (felanm”lningar och protokoll frÂn olika projekt) l”tt Âtkomlig. F–rutom modemnummer och inloggningsf–rfaranden fanns prydliga listor –ver X-25-Host lite varstans, liksom underhÂllsavtal och andra k”nsliga handlingar. Ytterligare exempel: Flertalet f–retag och myndigheter som "fick bes–k" av den engelska hackergruppen 8LGM i slutet av 1990 via Datapak, visste inte ens om att de haft datorintrÂng. De hade inte sina loggar pÂslagna. Vid stort data- f–retag, som numera finns i Kista, anv”nde gruppen tv Unixmaskiner f–r att "hoppa bock" till andra system. Medlemmarna ringde ut 108 521 gÂnger utan att nÂgon reagerade! Jag tvivlar p att LKD ocj kommunikationskonsulten Peter L–thberg, som intervjuades i radioprogrammet God Morgon V”rlden, ”r naiva. Det mÂste finnas andra motiv till att de f–rnekar riskerna med hackers. I ett –ppet samh”lle gÂr det aldrig att stoppa hackers. Man kan inte st”nga ute "vissa" m”nniskor frÂn datafl–det mellan nationer, yrkesgrupper och enskilda. Ju fler datorf–rbindelser, desto fler hackers. Det ”r ett samh”llsfenomen vi fÂr leva med. I USA har polisen nyligen genomf–rt en stor operation kallad "SunDevil" d”r de f–rs–kt skr”mma s mÂnga hackers som m–jligt. Tusentals ungdomar ingÂr i utredningen. Men denna anti-hacker-vÂg m–ter nu motstÂnd. K”nda datapionj”rer som Mitch Kapor, mannen bakom kalkylprogrammet Lotus 1-2-3, har startat en fond f–r Âtalade hackers r”ttegÂngskostnader. Man diskuterar i USA till och med m–jligheten att ge "”rligt intresserade" tillgÂng till begr”nsade delar av datorsystemen. I hackerkretsar s”ger man dock att hackandet kommer att sj”lvd– om sp”nningen med att g–ra nÂgot olagligt f–rsvinner. Kanske nÂgot f–r Hans- Iwan Bratt att t”nka pÂ, i st”llet f–r att utmana till kn”ckande av nya datorsystem med sitt pÂstÂende att s”kerheten ”r tillfredst”llande. ____________________________________________________________________________ ____________________________________________________________________________ DSR tar g”rna emot nya sponsor/support System. Om du har speciellt intresse f–r Rapporten, och vill st–dja DSR -- L”mna ditt BBS nummer -- och annan information p THE STASH Bulletin Board System. ____________________________________________________________________________ ____________________________________________________________________________ Anonymous :: +45-###-##### -------- Sedes Diaboli :: +46-###-##### 16.8 kbps DSR DK 2400 bps DSR Information THE STASH - Svenska Rapporten Support BBS - Den Svenska Rapporten #1 Node 14.4k bps, 170+ Megs, Dygnet Runt ____________________________________________________________________________ ____________________________________________________________________________ Detta Avslutar Detta DSR Numret Nr. 06 (del 2 av 3) Sl”ppt Juni 30, 1992 av TC Editor av Den Svenska Rapporten ____________________________________________________________________________ ____________________________________________________________________________