Indfør kørekort og synspligt for internet forbindelser.

Til at begynde med kunne enhver dandy med penge nok gøre trafikken usikker med et af disse nymodens automobiler.

Mange af dem ansatte en mekaniker sammen med bilen, hvis de da ikke selv opfattede sig som sådan og stolt førte sig frem på de bonede gulve med oliesmurte fingre.

Da Henry Ford havde demokratiseret automobilet viste ulykkesstatistikken med al ønskelig tydelighed at der var brug for en eller anden slags undervisning og filter, så det ikke var alle og enhver idiot der kørte sig selv og andre ihjel med det samme og derfor indførte man køreprøve og kørekort der kunne inddrages.

Selve bilerne blev udsat for krav om typegodkendelse i forhold til kriterier der er strammet fra "falder ikke fra hinanden når man kører over brosten" over dobbelte uafhængige bremsesystemer og sikkerhedsseler til moderne crash-, vælte- og økonomi-tests.

Da bilerne begyndte at opnå en vis mængde og alder, begyndte de ringeste og ældste af dem at udgøre en trussel i trafikken, en problem der blev gradvist større som hastighederne steg og børnetallene faldt. Derfor indførte man §77 stop i trafikken og gradvist hyppigere obligatoriske bilsyn.

Sikkerhedsproblemet på internettet er ikke helt så alvorligt endnu og frem for alt er risikoen for trauma og død stort set ikke existerende.

Men helt ærligt: Hvordan kan det være lovligt stadig at færdes på Internettet med Windows 98.

Eller at køre et helt åbent access-point i sin cafe på et 5 år gammelt billigt skod-AP ?

Eller for ISP'er ikke at have ingress-filtre ?

Eller at sælge et operativsystem med gabende store sikkerhedshuller ?

Eller at fraskrive sig enhver form for ansvar det produkt man sælger forsager, uanset årsag ?

Eller at lægge personfølsomme oplysninger for alle danskere på en FTP server ?

Hvor godt synes I egentlig det der med "selvjustits" og "ureguleret" virker når det kommer til stykket ?

phk

Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Louis Andersen

Vi skal begynde at stille krav til hvordan man behandler systemer der kobles på internettet. Bare sådan en smule. Nogen gange ville jeg ønske at protokollerne havde skiftet et par gange siden da, for det ville have gjort det så meget nemmere at udfase gamle systemer. Men IPv4 har alt for godt fat, heh :)

  • 3
  • 12
ole jeppesen

Nu er der jo kun det lille problem at internettet har bredt sig længere end Valby bakke, så uanset hvor uhensigtsmæssigt brugerne benytter nettet er det jo noget begrænset hvordan man skulle kunne finde løsninger som vil blive overholdt globalt, eller?

  • 4
  • 2
Mikkel Høgh

> Nogen skal jo gå foran

Ja, Internet bliver sikkert skide godt, når det først har været igennem de kærlige hænder hos Justitsministeriets visionære jurister. Eller bedre endnu, FN eller EUs bureaukrati.

Det kan godt være at der er nogen negative bivirkninger ved det glade anarki der hersker på nettet, men at forsøge at lave detailregulering for hvem og hvordan man må bruge Internet vil nok reelt være slutningen på stort set al innovation og videreudvikling.

  • 19
  • 2
Karlo Hansen

Jeg tror ikke der er mange udviklere der er klar over hvilket ansvar de står med, da det ikke er en del af undervisningen. På min uddannelse var der meget undervisning i PHP, men kun en meget lille del af det omhandlede sikkerhed. Nogen af projekterne blev lavet til virksomheder, og implementeret grundet et flot design fremfor en sikker backend.

Det forekommer også at sikkerhed er en nedprioritering, grundet den er svær at sælge til den enkelte kunde, når det drejer sig om webudvikling. Kunden forventer at det hele spiller, ser flot ud, og kan laves på ingen tid, og det er forbandet svært at sælge noget kunden i grunden aldrig ser.

  • 5
  • 1
Benny Lyne Amorsen

Hvad vil du gerne have af filtre? Vi kan da tage noget CleanFeed/Hadrian's Firewall som i England, eller måske noget anti-torrent som det var populært i USA for få år siden?

Eller skal vi bare gå hele vejen og lave the Great Firewall of China?

"Ingress" opfatter jeg som "trafik fra andre udbydere til mig", men den kan også opfattes som "trafik fra mine kunder til mig". Hvilken vej vil du gerne filtrere?

  • 10
  • 2
Maciej Szeliga

...når dem som deles er ligeværdige og i øvrigt har samme syn på sagen.

Selv om ideen lyder ummiddelbart meget tillokkende så er der åbenlyse problemer, der er bl.a. ikke nogen som kan varetage den opgave på en acceptabel måde. Nutides politikere har ingen kompetencer hverken på IT, jura eller demokrati hvilket tydeligt ses på de love som bliver vedtaget.

  • 9
  • 0
Leif Neland

http://en.wikipedia.org/wiki/Ingress_filtering

ISP'erne bør sørge for at deres kunder kun kan sende pakker med deres egne ip-adresser som afsender, så man ikke kan sende spoofede pakker ud, der ser ud til at komme fra andre.

Spoofede pakker er, når jeg ringer fra min adresse og bestiller et læs våd cement læsset af i din indkørsel.
Ingress-filtrering gør, at jeg kun kan bestille våd cement til min egen adresse :-)

  • 8
  • 1
Jesper Sørensen

Detail regulering og en altdækkende løsning er, som flere, nævner helt umulig hvis nettet skal have værdi. Men man kan godt sadle om mht. lovgivning - vi mangler generisk lovgivning der tager udgangspunkt den verden vi lever i! Som jeg ser det er det juridiske paradigme vi bevæger os i ikke fulgt med tiden. Der burde også kunne opstilles og vedligeholdes en form for "certificering" så systemer kan "mærkes" som værende certificerede og det dermed giver en hvis mulighed for at skelne skidt fra kanel...

  • 0
  • 0
Christian Panton

Hvem skal godkende at softwaren på din PC er i orden?

Det minder mig om store .com/.edu/.gov: "Linux/FreeBSD/... supporter vi ikke, du skal bruge Microsoft Windows 7 eller nyere, og så skal du have det her program installeret".

Nogen regulering kan være relevant, fx. store bødestraffe under persondataloven.

En direkte regulering af krav for at kunne udbyde eller benytte sig af internettet, vil releativt hurtigt blive brugt til at indskrænke brugernes frihed: Vil du på nettet på en cafe? Så skal du logge på med NemID (sådan sagde JM's arbejdsgruppe helt seriøzt).

  • 16
  • 0
Jesper Louis Andersen

Hvad vil du gerne have af filtre? Vi kan da tage noget CleanFeed/Hadrian's Firewall som i England, eller måske noget anti-torrent som det var populært i USA for få år siden?

Jeg tror ikke helt du ved hvad Ingress filtre dækker over. Hvis du har et netværk, så kan du filtrere pakker fra netværk således at disse netværk ikke kan spoofe trafik. En ISP kan for eksempel have givet et netværk til en kunde. Et Ingress filter vil sikre at kunden kun kan have src-adresser fra det netværk der er givet til kunden.

I egne netværk kan Ingress filtre også bruges fordi du kan splitte netværket op og så Ingress-filtrere i firewallen. Det handler ikke om at filtrere med deep-packet-inspection som du skriver, men bare generel sanitet i gaderne.

  • 6
  • 1
Gert Madsen

hænder hos Justitsministeriets visionære jurister


Ja, man kunne jo godt stille visse krav til hvordan man håndterer de oplysninger man har fået i hænderne.

Den håndtering af personoplysninger der ind i mellem ses, får een til at tænke på om Nationalbanken lægger de nytrykte pengesedler i en stak i baggården, og så bare lægger en seddel ovenpå med teksten "må ikke røres".

Hvordan privatpersoner så håndterer deres egne oplysninger er ganske rigtigt en mere kilden sag at få i juristers hænder.

  • 2
  • 0
Andreas Bach Aaen

Der er allerede en del selvregulering.

ISP'er der spammer andre ISP'er unødigt får en henstilling og bliver i sidste ende smidt af nettet. Hvem gider lave peeringaftaler med en der sender urimelige mængder spam ud på nettet?
Dette får ISP'er til pr. default at lukke for f.eks. port 25, så dumme brugere ikke uden videre kan sende post.
Brugere der er kyndige nok til selv af afsende post, må så finde sig en ISP, der godtager, at ikke alle kunder er uvidende.

Der er vel heller ikke noget der forhindrer en ISP i at lave en firewall på deres kunders vegne?
De fleste sender et trådløst wifi accesspunkt med. Der har desværre været danske ISPer der ikke har fået opdateret firmwaren på disse wifi accesspunkter selvom de har været managed fra ISPens side.

Jeg er så en af de mærkelige kunder der kun benytter det medfølgende remote managed accsspunkt som bridge og har min egen firewall bagved, som jeg stoler på.

Med andre ord: ydeligere regulering er ikke nødvendigt.

  • 5
  • 0
Henrik Kramshøj Blogger

Beklager det lange svar, men ...

> Hvordan kan det være lovligt stadig at færdes på Internettet med Windows 98.
Helt fint, men hvis din maskine sender spam eller deltager i DDoS bliver din forbindelse lukket hurtigere end idag

> Eller at køre et helt åbent access-point i sin cafe på et 5 år gammelt billigt skod-AP ?
To ting, lad os lige holde dem adskilte. Et skod-AP eller skod-router kan hackes og der er voldsomt mange eksempler på at man idag kan hacke routere fra diverse producenter, det er noget skidt. Sæt gerne mere lys på det og kom med forslag til alternativer. Jeg anbefaler ofte Soekris+BSD, men også Soekris+Linux, FitPC+Unix, XPC+Unix - eller nogle af de nye platforme som Ubiquiti EdgeRouter lader til at have fut i kedlerne.

Du har dog nok forregnet dig, for når TDC eller andre telefanter skal købe 100.000-vis af routere og kunderne vil betale ingenting, faktisk vil de gerne have penge for at blive kunder, så ender man med laveste fællesnævner. Jeg ser gerne nogle ISP varefakta og man kunne også forestille sig noget om End-of-life for routeren man har skal være "current" plus max 1-2 år. Det vil så vidt jeg kan se presse på i retning af systemer der kan flashes fremover med OpenWRT eller andet open source, for at bevare samme hardware. Det giver yderligere en lille fordel at hardware holder længere. Min soekris net6501-70 med OpenBSD er eksempelvis fra November 2011 og holder formentlig mange år endnu, har aldrig selv oplevet en soekris der holdt op med at virke.

Det andet issue med at have åbne access points er diskuteret mange andre steder, og der er en del som taler for at det er nødvendigt, specielt fordi vi har wireless så mange steder og der er så tilpas mange der aligevel får credentials at hvis man tror det er et "lukket" eller "sikret" netværk er man vist lidt naiv. Så hvis vi skulle presse citronen lidt skal vi gøre det ulovligt at have konferencenetværk, og folk skal bruge egen dataforbindelse? - med den ekstra krølle at vi idag bruger elendige mobiltelefoner og GSM/3G som har relativt ringe sikkerhed - faktisk noget du selv har talt om.

Så helt åbent AP med captive portal (med eller uden HTTPS) vs AP med kode vs større netværk med brugere - du kan ikke stole på at der ikke sker misbrug og må monitorere det. Hvad skal kravene være til det? Bemærk at logningsbekendtgørelsen og lovgivningen allerede har forsøgt at gå dette efter, men nok måtte indse at det ikke sker.

> Eller for ISP'er ikke at have ingress-filtre ?
Tjoeh, det er dejligt når man har udstyr som gør det nemt. Mine Juniperkasser elsker at smide deres hardware efter den slags og håndterer snildt den globale routetabel med næsten 500.000 prefixes/routes. Kan du anvise hvor jeg finder vejledningen til at bruge FreeBSD som router med ingressfiltering? Jeg er så "heldig" at mine kunder betaler en fornuftig pris, men som skrevet ovenfor gælder det samme ikke for internetbrugere generelt. Lav pris giver dårlige implementationer, formentlig sidder der endda nogle teknikere hos diverse udbydere og ærgrer sig over at ledelsen siger NEJ til at bruge penge og tid på eksempelvis ingressfiltre, eller hardware der kan det.

Det er nødvendigt at filtreringen sker TÆT på kunden, og et ASN BØR sikre at de ikke sender spoofede pakker ud. Det kan i de fleste tilfælde klares nemt med en lille firewall, anti-spoofing findes efterhånden til PF osv. I praksis er det dog et mere kringlet problem og internet er broken på mange måder.

Pt. sætter jeg nok mere tillid til at jeg indenfor en kortere årrække ser BGP med RPKI ( http://en.wikipedia.org/wiki/Resource_Public_Key_Infrastructure ) på nogle prefixes og andre prefixes er "unauthenticated" og får derfor en skraldespand af begrænsninger i form af begrænset båndbredde til deling.

> Eller at sælge et operativsystem med gabende store sikkerhedshuller ?
Som FreeBSD? De fleste angreb jeg bekæmper for tiden skyldes faktisk NTP DDoS amplification grundet monlist kommandoen i NTP software. "Heldigvis" skyldes noget af dette at eksempelvis Juniper bruger FreeBSD som basis for Junos. Skal jeg sende regningen til dig eller til dem? Eller gælder den omvendte beer-ware licens så du skylder mig en øl næste gang vi ses? ;-)

ALT software har (mange) fejl - det ved du bedre end nogen anden tror jeg. Wietse Venema som er forfatter/programmør til Postfix har jævnligt postuleret at han laver en sikkerhedsmæssigt relevant fejl for hver 1.000 linier kode, og derfor laver han en del andre ting som begrænser skaden - og opnår derfor langt bedre kodesikkerhed generelt tiltrods for eksisterende fejl i softwaren.

Så sikkerhedshuller er langt mere end blot fejl i koden - og brugen af software i situationer hvor det ikke var tiltænkt er et stort problem. (Du nævner selv FTP nedenfor) Det betyder at vi ikke blot kan lave en plusliste over ting som må bruges i Danmark, eller plusliste for ting der må bruges i staten, eller i forbindelse med personfølsomme data.

Brugsituationerne er så forskellige og mangeartede at du vil ende med at skulle nummerere uendeligt, eller sige nej til alt alt for meget! Du kan godt indenfor begrænsede emner forsøge at certificere software common criteria ( http://www.commoncriteriaportal.org/ ) men når selv forsvaret opgiver at køre to adskilte netværk og blot laver undtagelser for at kunne bruge softwaren aligevel - hvad er så formålet?

(Til dem der ikke ved det blev Windows NT C2-certificeret, men dette sker i en bestemt konfiguration. Oprindeligt blev Windows NT certificeret i en konfiguration uden net, og så snart man slår netværk til er man "udenfor spec". Idag er der vist ingen der rigtigt tænker på common criteria mere)

> Eller at fraskrive sig enhver form for ansvar det produkt man sælger forsager, uanset årsag ?
Du har tidligere talt om dette i forbindelse med software, men hvordan gør vi op om prototyper skal skydes ned før de får et liv?

Ville Linux, eller FreeBSD for den sags skyld, nogensinde have fået en chance, hvis det ikke netop var grundet den nuværende frihed? Skal vi definere protokoller i ISO regi eller fortsætte efter det gamle David Clarck "We believe in: rough consensus and running code." Jeg foretrækker klart det sidste!

> Eller at lægge personfølsomme oplysninger for alle danskere på en FTP server ?
Det er klart en fejl, men er det ikke CSC, KMD og de andre der skal rydde op? Straffen for at sløse med danske data er ikke tilstedeværende. Tvangsdigitalisering kommer til at ramme en masse i nakken som en boomerang!

> Hvor godt synes I egentlig det der med "selvjustits" og "ureguleret" virker når det kommer til stykket ?
Bedre end at snakke om tåbeligheder som censurfiltrering i UK, Europa netværk, samt kørekort og synspligt for internetforbindelser. Du er jo helt ude i hampen, jeg tror du skal finde en bedre leverandør af indica.

  • 25
  • 1
Poul-Henning Kamp Blogger

Ja, selvfølgelig er det en provokation.

Men problemstillingen er sådan set reel nok.

Internettet er en klondyke industri hvor der ikke er skyggen af nogen form for ansvar at finde nogen steder.

En anden og muligvis mere parallel sammenligning er radiospektrum.

Man må ikke operere en radiosender uden videre.

Enten er der er et producentansvar for at den overholder reglerne, eller også skal den der bruger den have modtaget en sendetilladelse.

Men en dims kan forstyrre lige så meget på Internettet det skal være, uden at hverken producenten eller den der bruger den ifalder noget ansvar derfor.

Regulationen af radiotransmissioner er ikke nogen tung administrativ byrde, producenten laver noget QA arbejde der under alle omstændigheder bør foretages og skriver under på den nederste linie om at de påtager sig ansvaret og så er den pot pis ude.

Viser det sig de har lavet noget skidt, bliver de sat til at hjemkalde alle produkterne og får muligvis en bøde. Helt fair og rimeligt.

Man kunne sagtens forestille sig en helt parallelt på den anden side af AP'et:

Producenten skriver under på at påtage sig ansvaret for ikke at forstyrre internettet og hvis det viser sig at de har lavet noget skod-software således at 300.000 dimser bliver kompromiteret, så må de hjemkalde eller ombytte dem, præcis ligesom mobiltelefon- bil- eller håndmikser-producenter.

Idag er det ikke nogens ansvar at der findes botnets på millioner af maskiner og at køleskabe og printere er begyndt at sende spammails og at millioner af accesspoints og routere er hullede som sier.

Ligeledes ville det være et helt rimeligt krav at folk der erhvervsmæssigt roder med internettraffik, hvad enten routere eller servere, har bestået en prøve på at de faktisk ved hvad de har med at gøre.

Radioamatørprøven kunne være en model: Hvis du kan dit stof tager du en prøve på en times tid og så er det overstået. Selvfølgelig er det ikke urimeligt at PHP programmører ved hvad en ICMP pakker og personfølsomme data er.

Burde vores IT uddannelser automatisk klæde folk på til den prøve ? Selvføligelig! Det burde være et C-fag på HTX og udbydes i unddomsskolen. Sværere er det jo heller ikke.

Man kan også sagtens stille tekniske krav for at undgå forstyrrelser, parallelt med de krav der er om radiostøj og harmoniske. F.eks kunne det være krav om ingress-filtre.

Men der er utroligt mange der har refleks-reaktioner overfor alt hvad der bare lugter lidt af statslig indblanding.

De synes at glemme at den eneste grund til at fodgængere ikke bliver sprættet op af kølerfigurer og at vi i det hele taget kan få vores trådløse net til at virke er netop kompetent statslig indblanding.

  • 9
  • 4
Mogens Hansen

Selvfølgelig er det ikke urimeligt at PHP programmører ved hvad en ICMP pakker og personfølsomme data er.


PHP programmøren skal selvfølgelig vide hvordan han beskytter personfølsomme data. Men definitionen af, hvad de data er, må være op til de (politisk) ansvarlige der bestiller systemet og definerer, hvilke data der skal indgå. Vedkommende skal ikke sidde med det juridiske ansvar for at bedømme, om dit efternavn er personfølsom information eller ej.

(At man så kan ønske at han/hun har en holdning til hvad der udgør personfølsomt, og bringer det op i tvivlstilfæde, er en anden sag).

Mht til at PHP programmøren skal kende til ICMP pakker 2 lag under det han arbejder med... det lyder lidt som at forvente, at en buschauffør skal kunne redegøre for, hvordan styreelektronikken fungerer i lyskrydset.

  • 2
  • 0
David Nielsen

Dem der har tjent pengene naturligvis ?

det kunne da vist blive en hel god forretning for advokater og forsikringsselskaber... men næppe nogen fordel for en forbruger/kunde?
(og hvad med gratis software - vil det ikke lide stor skade ved sådan et tiltag hvis man kun får "garanti" på købe-software? - stater/offentlige har det jo med at søge sådanne "falske" garantier)

hvad iøvrigt med at køre det som et forsøg på dit eget software? skriv ind i licensen at du påtager dig ansvaret og yder økonomisk kompensation på eventuelle skader det kan give?

  • 1
  • 0
Jonas Finnemann Jensen

Eller at fraskrive sig enhver form for ansvar det produkt man sælger forsager, uanset årsag ?

Ja, når jeg engang får skrevet min kogebog færdig, der blandt andet indeholder en opskrift på risengrød kogt på kakaomælk serveret med chokolade krymmel, kanel og smørklat; så kan jeg da lige love at jeg fraskriver mig alt ansvar.

Godt nok, har jeg testet opskriften og vil godt tilstå at det kræver vilje at spise op. Men det betyder altså ikke at jeg vil holdes ansvarlig hvis det skulle vises sig at være usundt (eller ligefrem skadeligt) at leve efter min kogebog.

Software er bare information, det er ikke skadeligt af sig selv. Selvfølgelig skal man kunne sælge og frigive software uden at kunne holdes ansvarlig. På samme måde som jeg kan sælge min kommende kogebog uden at blive holdt ansvarlig.

  • 4
  • 2
Jens Dalsgaard Nielsen

Software er bare information, det er ikke skadeligt af sig selv. Selvfølgelig skal man kunne sælge og frigive software uden at kunne holdes ansvarlig.

Det er da noget af en holdning af have. SW kan være meget farlig: ABS, servostyring, motorstyring, træningsmaskine nede om hjørnet, lyskryds, osv osv. Det har jo ingen gang på jord. Jeg sælger en trafiklysstyring men det er ikke mit ansvar at den viser grønt både på kryds og tværs osv osv.

Men du er da selvfølgelig velkommen til at have din holdning

  • 3
  • 0
Jonas Finnemann Jensen

Vær rar at fortælle mig, at du ikke arbejder med software der styrer store, tunge maskiner.


Hi, hi... Nej, heldigvis ikke :)
Men det betyder ikke at min arbejdsgiver ikke kan holde mig ansvarlig for det arbejde jeg laver.

Software er da ikke bare information. Hvad er det for noget sludder?


Software == source code, det er bare information, det kan sælges på bog form. Der sker ingenting før nogen trykker på knappen.

Vi kan sagtens blive enige om at man ikke må bedrage og snyde folk.
Men det er helt ærligt at smide sin kode på github og frasige sig alt ansvar for de fejl koden eventuelt måtte indeholde.

Jeg kan godt se at det er noget rod, når virksomheder fraskriver sig alt ansvar. Men jeg tror ikke vi skal eller kan regulere det, lige som vi heller ikke regulere hvilke bøger man kan sælge.

  • 0
  • 0
Lasse Enevoldsen

Ok, du har en pointe i og med at SW er opskrifter og "nogen" skal starte den opskrift så at sige. Men når SW er sat i gang, så bearbejder den information og det er her tillid bliver væsentligt. Endnu mere, når der ikke er tale om open source, for så kan man ikke engang checke opskriften efter på forhånd. Ok, det var bare for at kommentere på denne (mindre) del af diskussionen...

Tilbage til ansvar: Egentligt handlede indlægget jo sådan set om at sætte nogle standarder og ikke så meget om at overlade det til hver enkelt virksomheds samvittighed så at sige. Det er meget velkendt fra industrien, at man udvikler teknologierne ved at sætte standarder. Et eksempel er ISO systemet. Det er den slags man burde overveje. Det er også i producenternes interesse på længere sigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize