Du släpper själv in hackern!

Försvarets forskningsanstalt, FOA, kom i fjol med en rapport som uttryckte oro över datasäkerheten. Men rapporten handlade inte om hackers eller virus. Inte heller om ekonomiska transaktioner på nätet. Den handlade om mobil kod.

Mobil kod är program som flyttas över ett nät och körs på din dator i stället för på en central dator. Det är ett system som datalogiskt är en mycket snygg lösning. Datorkraften decentraliseras. Ofta finns det mängder med outnyttjad kraft i användarens dator, medan datanätet, som Internet, och centraldatorerna i nätet, webbservrarna, är hårt belastade. Ju mer av arbetet som kan utföras hos dig, desto bättre.

Mobil gubbe

Ett exempel skulle kunna vara en tecknad gubbe som ska se ut att springa tvärs över skärmen. Antingen skickas flera bilder över nätet som föreställer gubbens alla rörelser, eller så skickas bara en bild och ett program som räknar ut hur denna bild ska förändras för att det ska se ut som om gubben springer.

I det senare fallet används mobil kod, programmet som räknar på bilden. Hur fort gubben springer beror inte på hur snabbt centraldatorn kan skicka ut bilder, utan på hur programmet är utformat.

När du som användare släpper in programmet som ritar gubben, så får någon – kanske avsändaren eller programmeraren – tillgång till datorn. Och till skillnad från datavirus gör du det dessutom helt medvetet.

Rapporten från FOA, Mobil kod och säker exekvering av Mats Persson, räknar upp och beskriver alla möjliga sorters mobil kod: Java, ActiveX, Perl, makron med flera. Alla dessa använder en modell för att skydda din dator som kallas sandlådemodellen. Den innebär att man stänger in koden i en begränsad omgivning där den inte kan ställa till med så mycket skada.

Koden ska inte komma åt variabler och minne utanför sandlådan, den kan ha begränsningar i tid och minnesutrymme som den får använda och den får begränsad tillgång till filer och nätverk. Vad FOA-rapporten visar är dock att ingen undersökt kod uppfyller alla säkerhetskrav. Den mobila koden kan leta sig utanför sandlådekanten. Och om koden gör det kan det som lagras på hårddisken i den egna datorn bli åtkomligt, dina e-postadresser kan utnyttjas, dina program användas, dina dokument kan ändras eller raderas.

Rapporten konstaterar därför att för fullgod säkerhet bör man ställa in sin dator och sina program så att mobil kod normalt inte tas emot. Det är en restriktiv linje som kraftigt minskar nyttan med mobil kod, och därmed nyttan av t ex World Wide Web. För fullgod säkerhet krävs också signering av avsändaren och regler som garanterar att avsändaren verkligen är pålitlig.

Rapporten från FOA uttryckte särskild oro för att allt mer görs utan att ens fråga användaren, t ex automatisk körning av sådant som kommer som bilagor till e-post.

För mobil kod gäller inte bara bilder som flimrar på skärmen, för då vore det lätt att följa FOAs råd att vara mer restriktiv. Mobil kod används av datorpost, av ordbehandlingsprogram, och på webben för t ex anmälningsblanketter och särskilda menyer.

Lita på avsändaren

I Microsoft Word kan följande dyka upp i en dialogruta:
– Dokumentet du öppnar innehåller makron eller anpassningar. En del makron kan innehålla virus som kan skada din dator.

I samma ruta står det:
– Om du vet att dokumentet kommer från en tillförlitlig källa så kan du välja Aktivera makron.

Makron, program skrivna med hjälp av de kommandon som finns i t ex en ordbehandlare eller ett kalkylprogram, är ett exempel på mobil kod. I ordbehandlingsprogrammet kommer koden ofta tillsammans med en text och kan t ex användas för att ge ordbehandlaren ytterligare funktioner. Men genom att ta emot mobil kod öppnar du för att någon annan missbrukar din dator. Det är det varningsrutan i Word försöker säga.

Eftersom du tar emot mobil kod helt öppet är det också möjligt att stoppa koden. Men att alltid tacka nej begränsar ditt användande av World Wide Web alltför mycket.
– Vill du ta emot den här cookien? frågar Netscapes webbläsare.

Inte heller på denna vanliga fråga går det att generellt svara ja eller nej, trots att webbläsaren kan ställas in så att den alltid tackar ja. Ett alternativ många väljer eftersom det inte är särskilt praktiskt att på var och varannan sida behöva klicka OK för att godkänna en ny cookie.

Att släppa in mobil kod i datorn är som att släppa in hantverkare när man själv inte är hemma: Hur kommer hantverkaren in? Vem ska ha nycklar och vart nycklarna ska gå?

Du måste lita på hantverkaren. Är huset rätt byggt är det kanske lättare. Om det är någon som bara ska läsa av elmätaren och den sitter i garaget, kanske det räcker med att lämna över nycklar som bara går till garaget.

Men så byggs inte dagens datorer. Medan kommunikationen mellan datorn och användaren, användarvänlighet, är ett standardämne för dataingenjörer, är datasäkerhet det inte. Som användare måste du ta ställning till vem som har skapat den mobila koden och om du kan lita på avsändaren.

Problemen är inte nya

Vi måste bli lika försiktiga med mobil kod som vi en gång lärde oss att vara med disketter – att noga ta reda på från vem disketten kommer och noga testa om den innehåller virus.

Parallellen mellan mobil kod och disketter kan dras långt, för egentligen har inget nytt hänt när det gäller datasäkerhet bara för att Internet och mobil kod kommit. I princip är fortfarande datasäkerhet enkelt. Redan på 1970-talet visste informationsteoretiker och dataloger hur tekniken borde se ut. Det handlar om att hålla reda på i vilken grad man behöver följande tre: sekretess, tillförlitlighet och tillgänglighet. Och att se till att verktyg för dessa tre byggs in från grunden.

I verkligheten glömmer man ofta de två senare. Att kryptera är standardlösningen, men inte alltid rätt lösning på ett säkerhetsproblem, bara på den del av datasäkerheten som ryms under sekretess. Men vid sidan om det måste ett säkert datasystem också vara tillförlitligt och tillgängligt.

Falska signaler

Tänk om du får en utskällning via e-post av din chef, och du ringer upp och skäller tillbaka. I själva verket har brevet en helt annan avsändare, men skadan är redan skedd: du har skällt. Det skulle inte hjälpt hur mycket brevet än var krypterat. Problemet är ett tillförlitlighetsproblem.

Om du tvärtom inte får något e-brev från din chef, trots att denne skickat ett, hjälper det varken att brevet är krypterat eller att du skulle ha kunnat veta säkert vem avsändaren var. Brevet måste vara tillgängligt.

Tillgängligheten är lättast att sabotera, tillförlitligheten är svårast att garantera. Att skilja på problem med säkerhet, tillförlitlighet och tillgänglighet är svårt nog för studenterna som läser till dataingenjörer. Det är ännu svårare för den vanlige användaren.

I den fysiska världen har vi sedan barnsben sett folk omkring oss låsa, stänga fönster, lägga nycklar under dörrmattan, råka ut för inbrott. Men i den elektroniska världen har vi ingen erfarenhet att bygga på för att svara på den här typen av frågor. Trots det ställs frågorna dagligen, och vi tar beslut som inte bara gäller vår egen personliga säkerhet utan också den organisation vi arbetar på eller alla som använder den centraldator vi använder, eller kanske alla som använder samma program.

De flesta felen begås helt omedvetet av oss vanliga användare, men den största delen av säkerhetsansträngningarna satsas på att stoppa ett fåtal attackerare, som olovligen tar sig in i datasystem. Dessa attackerare är bland annat experter på att finna just svaga användare, omedvetna medhjälpare innanför säkerhetsmurarna.

När intrången sker genom en annan omedveten användare är de inte lätta att upptäcka. Då krävs det speciella virtuella tjuvlarm. Program som känner igen mönster och sedan upptäcker när en användare plötsligt bryter mot mönstret. Ett sådant brott kan vara en oönskad användare förklädd i stulet användarnamn och lösenord. Men det kan förstås också, vilket är betydligt vanligare, vara en ovan, slarvig eller bara nyfiken användare som går utanför sin vanliga rutin. I båda fallen är datorn utsatt för risk.

Datasäkerhetens dilemma

Att de vanliga användarna släpper in tjuvar är inte enbart en följd av slarv och okunnighet, det är också en följd av datasäkerhetens dilemma: säkerhet kontra tillgänglighet. Ju svårare det är att ta sig in för den oinbjudne, desto svårare brukar det också bli för den som har rätt att ta sig in. Det är t ex därför användarna ofta får välja sina egna lösenord. Konstruktören av systemet har vägt fördelen för användaren att man lättar kommer ihåg ett lösenord man valt själv, mot nackdelen att sådana lösenord ofta är lättare att gissa för den oinbjudne.

Att gissa lösenord är ett sätt för en obehörig att ta sig in. Ett annat är, som tidigare nämnts, att skicka mobil kod. Men det finns många fler sätt, många ännu oupptäckta.

När smarta kort utvecklades förutsåg säkerhetsexperter att det skulle gå att läsa av hemlig information genom att mata kortets krets med ettor och nollor och sedan mäta strömmen på olika ställen. Därför konstruerades skydd som stängde av all ström vid en misstänkt matad nolla eller etta. Men så kom någon kreativ forskare på att man kunde skicka en halv – inte noll eller ett utan lite ström mitt emellan – och på det viset kunde kortet lyssnas av.

Det gäller för dem som arbetar med säkerhet att vara systematiska och analytiska när skyddet konstrueras, men sedan också infallsrika och kreativa när skyddet testas.

Detsamma gäller dem som attackerar systemen. För att lyckas måste de vara både systematiska och kreativa. Majoriteten av attackerare är dock ingetdera, de bara kopierar andras framgångar och tar sig därmed in i systemen. En del är spioner, andra är inbrottstjuvar, men de flesta är bara snorungar. Liksom klottrare vill de synas och därmed kan de spåras och fångas.

Säkerhet stör

Säkerhetsrutiner tar tid. De stör de normala arbetsrutinerna för användarna och kostar därmed i förlorad produktivitet. Säkerhet kräver också extra resurser, och även om en viss grad av säkerhet kan löna sig, finns det en nivå när det är bättre att tilllåta brister i säkerheten.

Att vi användare är okunniga kan också vara ett skäl till att skillnaden är stor mellan upplevd säkerhet och verklig säkerhet. Mest tydligt är det när det gäller elektronisk handel. Vi litar inte på betalningssystemen. Och mest av allt: vi gillar inte att lämna ifrån oss vårt kontokortsnummer. Att skicka kontokortsnummer över Internet borde inte vara ett säkerhetsproblem, lika litet som det är det varje gång du använder kontokortet manuellt och därmed lämnar ditt nummer vidare. Kontokortsnumret anger bara ett förslag till vilket konto som ska debiteras. Sedan måste systemet säkerställa att den som vill debitera är någon som har rätt att göra det, samt låta den personen binda sig vid att det är just den aktuella transaktionen han eller hon vill ha gjord. Identifiering och signering är vad som gör en transaktion möjlig. Men när en del handlare godkänner köp bara utifrån kontokortnumret faller hela systemet.

Det är ett slags moment 22 vi upplever. De som ville införa elektronisk handel såg tidigt att det kunde finnas säkerhetsproblem och försökte hindra dem. I sina vällovliga ansträngningar sände de dock fel signaler: vanliga konsumenter, som skulle känna sig säkra, kände sig osäkra medan de kriminella, som skulle skrämmas bort av ansträngningarna, kände sig utmanade. Men det är inte datasystemen som är osäkra när det gäller kontokortsköp, problemet är att det räcker med ett kontokortsnummer för att få köpa.

Identifieras genom ögat

Ett av de mest spännande forskningsområdena just nu är att elektroniskt identifiera användaren och sedan låta användaren signera, också det elektroniskt. Forskarna försöker konstruera datorer som kan känna igen en person genom t ex blodprov, fingeravtryck, röstprov eller irisavsökning.

Identifieringen måste sedan också följas av något slags signering. När du undertecknar något är signaturen både en identifikation och ett godkännande. Ett fingeravtryck i sig är bara en identifiering. Det krävs att du trycker på en OK-knapp också.

När man undertecknar något är det samtidigt en medveten handling att identifiera sig och godkänna något. Det är en viljeyttring som man av erfarenhet är restriktiv med. Fingeravtrycksigenkänning är passivt så till vida att den som mäts kan vara helt ovetande om det eller åtminstone inte ger något samtycke genom att låta sig mätas.

Det finns också ett gap mellan vad som är tekniskt möjligt och vad vi som användare är villiga att underkasta oss. Alla dessa olika tekniker kan vi jobba vidare med, men mycket viktigare blir att bestämma vilka vi vill ha. Visst skulle vi alla kunna gå runt med ett inopererat chip i nacken, för omedelbar och säker identifiering. Men vem vill ha ett sådant?

För som en sista komplikation till de redan svåra säkerhetsproblemen kommer de tillfällen när vi vill vara säkra på att vi faktiskt inte blir identifierade. Med andra ord, de tillfällen när vi vill stänga av chipet i nacken, eller mer nära i tiden, stänga av datorns automatiska identifiering på Internet, och surfa runt helt anonymt.

Kanske skriva litet mobil kod, om nu någon vågar ta emot.