DEBATT: Hva må til for å stoppe hackerne? Follow The Money

[Redaksjonen.]

DEBATT: Hva må til for å stoppe hackerne? Follow The Money

[Samms]

Samarbeid for å ta kriminelle over landegrensene?

Blir interessant når det skal samarbeidast med Kina, Russland og andre når dei krever kriminelle utlevert for å straffast lokalt. Der landa har ulit syn på kva som er kriminelt.

Still krav til programvareleverandører og opne for at desse blir økonomisk ansvarlege og det kan hjelpe. Det har fungert i andre industriar, bilar er sikrar, leiker er sikrare og mattilsyn i ulike land gjer maten brukbart trygg dei fleste stader der det er regulering og tilsyn.

[Selvstendigsaas]

Ja samms, ja oss stille krav til produsenter. La oss ansvarliggjøre knivprodusenter for alle drap som begås med knivene de lager. La oss ansvarliggjøre alle tauprodusenter for alle som henger seg i de. La oss ansvarliggjøre alle foreldre som får kriminelle barn. Det beste er egentlig om vi kan få et lovverk som kan stille hvem som helst ansvarlig for hva som helst. Dette er en den eneste måten vi kan løse alle utfordringer med kriminalitet på.

[Samms]

2 hours ago, Selvstendigsaas said:

Ja samms, ja oss stille krav til produsenter. La oss ansvarliggjøre knivprodusenter for alle drap som begås med knivene de lager. La oss ansvarliggjøre alle tauprodusenter for alle som henger seg i de. La oss ansvarliggjøre alle foreldre som får kriminelle barn. Det beste er egentlig om vi kan få et lovverk som kan stille hvem som helst ansvarlig for hva som helst. Dette er en den eneste måten vi kan løse alle utfordringer med kriminalitet på.

Eg ser du meiner alle krav til matvarer skal fjernast, alle krav til sikkerheit for brukaren av biler og maskiner. Det er ingen grunn til isolasjon av elektriske instalasjoner, deksel over bevegelege deler i maskiner eller krav til at det ikkje skal vere giftstoffer i mat. Det er opp til brukar at det ikkje skjer ulykker.

Endret 14. november 2021 av Samms

[oldbastard]

Det er tvilsomt om den økningen av sikkerheten som kreves, er gjennomførbar i dagens internett struktur! Jeg tror mer på en full omlegging av protokollene med fjerning av det enorme lappverket som har fått vokse som ugress for å selge oss funksjonalitet "vi ikke visste at vi trengte"! Dette vil ta tid!

 

[Selvstendigsaas]

Det er stor forskjell på å kreve at et produkt skal være sikkert når du bruker det selv og det å kreve at et produkt ikke kan misbrukes av andre til å gjennomføre kriminell aktivitet.

Skal vi fortsette med dine meningsløse sammenligninger, så blir det som å si at tine skal stilles ansvarlig om noen putter gift i melken og gir den til moren sin. "tine kunne jo bare benyttet en sikkerhetsmekanisme på kartongen for å forhindre dette"

[Samms]

15 minutes ago, Selvstendigsaas said:

Det er stor forskjell på å kreve at et produkt skal være sikkert når du bruker det selv og det å kreve at et produkt ikke kan misbrukes av andre til å gjennomføre kriminell aktivitet.

Skal vi fortsette med dine meningsløse sammenligninger, så blir det som å si at tine skal stilles ansvarlig om noen putter gift i melken og gir den til moren sin. "tine kunne jo bare benyttet en sikkerhetsmekanisme på kartongen for å forhindre dette"

Tine og andre produentar av matvarer har sikkerheitsmekanismer for at ingen skal kunne putte noko i pakken fram til kjøparen har plukka den i handlekorga. Det er langt på veg det same som å kreve at leverandør av programvare har tenkt sikkerheit.

Kravet til sikkerheit er ikkje at det ikkje skal kunne misbrukast av andre til kriminell verksemd. Bilar kan stadig misbrukast til kriminell verksemd. Kravet er at produktet skal være sikkert for den som har kjøpt produktet og bruker det. Eller stiller du ingen krav til at dør med lås du kjøper til huset skal være vanskeleg å bryte seg gjennom når den er låst?

[Memento scientiam (takk for meg)]

Hvis man slutter med alle disse analogiene, metaforene og sammenligningene, og heller ser på hva som gir mening innenfor feltet programvare, så kommer man litt lengre på vei. Når det gjelder krav til sikkerhet, så må man først og framst innfinne seg med at feil i programvare finnes i alt slags godt stykke programmeringsarbeid. Altså blir det feil å gå til angrep på produsenten for feil de genuint har gjort.

Likevel, så kan man oppdage mange feil underveis i prosessen. Det ene, er gjennom prøver av kildekoden (unit testing, osv, på engelsk). Her er det tre problemer med å skulle ansvarliggjøre produsenten basert på hvor mye de har skrevet prøver for. Nummer én, er det at lovhåndhever, altså politiet, må ha tilgang til kildekoden. Har de ikke det, faller hele dette bort. Nummer to, er kvaliteten og dekningsgraden på prøvene. Dekningsgraden for synkron kode kan måles, så den er grei. For asynkron kode, er det mye større problemer, og det er mange feil som er vanskelig å oppfatte. Dekningsgraden kan måles til 100%, med 0 feil, samtidig som en feil kan oppstå senere. Nummer 3, handler helt enkelt om hvor mye man skal skrive prøver. De tar mye tid, kan være tungvinte, og er det for det meste gørr kjedelige. Altså skriver man ikke mer enn man må, noe som er subjektivt. En flink programmerer trenger ikke å skrive prøver på enklere kildekode; en dårligere programmerer gjør det. Og det varierer opp og ned. Hvordan skal man avgjøre om det har blitt skrevet nok prøver? 

Man kan også simulere angrep mot programvaren. Dette er veldig nyttig, men ressurskrevende, om man lager spesialtilpassede angrep. For kritisk programvare, bør det kanskje være et krav til dette, men å kreve at all programvare skal ha dette, er fullstendig bortkastet. Men mange problemer oppdages ikke selv under disse angrepene, og de mest sofistikerte angriperne finner ofte en eller annen finurlig måte.

Tilgang til et system som følge av brukerfeil, for eksempel en ansatt som har blitt lurt, bør ikke pålegges leverandør. Det er vel innlysende? Men hva om leverandøren har levert et system skrudd sammen så idiotisk at man lett kan lure brukerne? Skal de da lastes for dette? Eller er det innkjøpers ansvar?

Operativsystemer er gigantiske prosjekter. Det gjøres et stort stykke arbeid dag inn og dag ut, for å rette feil, levere nye funksjoner, og utvikle teknologien videre. Skal virkelig Microsoft belastes hver gang noen bryter seg inn på en datamaskin med Windows? Altså, til en viss grad, ja, kanskje; Microsoft er kjent for å lage ustabil programvare; de burde presses til å øke kvaliteten på produktene sine, men samtidig, så vil jeg mene at det er altfor mye å forlange. Det er under ethvert scenario umulig å lage et så stort produkt uten huller. Man må anta at det fins huller i programvaren. - og det mener jeg at er helt greit. Hver bruker må også ta sine egne forholdsregler. 

Har et selskap fullstendig dritt i sikkerheten, selvfølgelig, belast selskaper. Zoom, Google og Facebook er eksempler på selskaper som har gjort eller gjør dette. Google og Facebook har lagret passord i klartekst. Facebook la ingen autentiseringssperre på brukeres innhold på Instagram; en lenke var alt man trengte. Zoom dret fullstendig i det; la attpåtil skadevare igjen på Macer. Facebook setter alltid brukere sist i køen. Google prøver i det minste å finne en balansegang. Noen selskaper krypterer ikke passord og databasene, og sender deg gjerne passordet ditt på e-post. 


En del praksiser burde kanskje kjennes ulovlige, som noen av de nevnt over. Påbud for sikkerheten ser jeg at i flere tilfeller kan være et bra forslag, mens jeg er redd for at det i andre tilfeller kan hemme utviklingen. Et eksempel er påbud om krav av prøver. En eventuell mulig løsning, er å gi politiet tilgang til kildekoden og andre interne bedriftshemmeligheter. I så fall kan man la rettsapparatet få ta en kjønnet vurdering av bedriftens sikkerhetskultur, og bøtelegge de om den er dårlig. Zoom og Facebook fortjener for eksempel bot for det. 

Noe man også bør huske på, om man legger ansvaret på programvareutviklerne:
Det er helt fullstendig umulig for en programmerer å lage alle komponentene i sitt program selv. Det aller meste i et dataprogram kommer fra andre steder. Man bruker biblioteker og rammeverk fra andre. Når feilene ligger hos dem, hvem går man etter da? Vel, hvis programutvikleren bruker biblioteker som for eksempel er kjent for å ha dårlig sikkerhet, eller bruker de til ting de ikke bør brukes til, så er det kanskje rett å belaste de for det, men i så fall gjennom en retts kjønnsvurdering.

Det krever også mye ressurser, og høy kompetanse hos både politiet, påtalemyndigheten, domstolene og advokatene å skulle håndheve dette. Dessverre er en veldig stor andel av dem med kompetanse på feltet uskikket til disse oppgavene; veldig mange programmerere er dårlige enn de tror. Det kan godt være at det ikke er mulig å gjennomføre noe sånt som dette.

[Samms]

8 hours ago, Memento scientiam said:

...
Det krever også mye ressurser, og høy kompetanse hos både politiet, påtalemyndigheten, domstolene og advokatene å skulle håndheve dette. Dessverre er en veldig stor andel av dem med kompetanse på feltet uskikket til disse oppgavene; veldig mange programmerere er dårlige enn de tror. Det kan godt være at det ikke er mulig å gjennomføre noe sånt som dette.

Godt og opplysande innlegg.

Om programvareleverandør blir gjort ansvarleg ser eg at dei kan få problemer tilsvarande det bilprodusentane fekk med krav til utslepp frå dieselmotor. Forskjellen er at for programvare er det ikkje ein fysisk grense, berre kostnad og mindre funksjonalitet. Det kan heilt klart hemme utvikling og det vil heilt sikkert sinke utvikling. På den andre sida, utvikling av metoder for å lage sikre progam blir prioritert.

Når eg seier at programvareleverandørar må vere ansvarlege tenker eg ikkje at politi og påtalemyndigheit skal handheve dette. Testinga blir gjort i marknaden, klarer nokon å bryte seg inn og det blir økonomiske konsekvensar så kan programvareleverandøren bli økonomisk ansvarleg. Eit paralellt eksempel, leverandør av ytterdør med lås blir pålagt å også levere innbruddsforsikringa. Så blir det ei vurdering av kost for å levere sikre dører opp mot forsikringsutbetalingane for programvareleverandøren.