IT-sikkerheds Jekyll & Hyde problem

Uden at tage stilling til hverken FBIs beviser eller hvad der er lovligt eller ulovligt i USA og/eller England, kan vi stadig godt bruge FBI's anholdelses af Marcus Hutchins som springbrædt for en meget nødvendig diskussion: IT-sikkerhedsbranchens Jekyll & Hyde problem.

Stort set alt hvad der har med IT sikkerhed at gøre var i de gode gamle pre-Wassenaar-Arrangement dage klassificeret som "dual-use"[1]

Men i virkeligheden bør vi ikke snakke om dual-use, men om dobbeltmoral.

Her i Danmark er vi f.eks glade for vellønnede IT-jobs i provinsen, men vi snakker helst ikke om at de betales af salg af overvågnings og spionudstyr til regimer hvor menneskerettigheder kun er noget der tales om i New York.

Stort set hver evig eneste af de i Børsen ofte højt besungne IT-virksomheder profitabiitet kommer fra Mr. Hydes produktion af fibernetværkskort beregnet til NSAs masse-overvågning af hele verdens teletraffik eller avioinik der sælges til alle lande der kan betale, eller...

Kommer der modificerede vira ud af antivirusbranchen ?

Er paven katolsk?

Hvis man lever af beskyttelsespenge må man nødvendigvis sørger for at der er noget at beskytte sig imod...

I bunden af den dobbeltmoralske fødekæde finder man "independent security-researchers" hvor den heroiske kamp for bedre sikkerhed kun er et skalkeskjul for at man prøver at forstå konkurrenternes malware så man kan gøre sin egen bedre og opnå noget street-cred på BlackHat og DefCon.

Jeg har svært ved at forestille mig at FBI ville anklage Marcus Hutchins for at have skrevet "Kronos" malwaren uden at have nogle beviser for det men jeg vil være den første til at forsvare hans og andres ret til at skrive præcis den software de har lyst til.

Men jeg vil også være den første til at kræve at han, og alle andre der skriver software, bliver holdt til ansvar for de skader de derved forvolder, uanset om skaden sker på grund af inkompetence, skødesløshed, ond hensigt eller af økonomiske hensyn.

Første skridt på vej til den krig, er at sætte navn på dæmonen og det er hermed gjort:

Langt over ¾ af IT-sikkerhedsbranchen taler med kløvet Jekyll/Hyde tunge og er ikke andet end gemene gangstere der afpresser omverdenen beskyttelsespenge.

phk

[1] Det var derfor jeg måtte skrive md5crypt() i sin tid.

Relateret indhold

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (30)

Kommentarer (30)
Magnus Jørgensen

Hvis du står ved dine lignelser og logikken bag dine argumenter, så skulle du kunne forsvare at politiet også er underlagt dine arguementer. Fordi politiet beskytter os i samfundet, og er finansielt afhængige af uro i samfundet, så taler langt over 3/4 af denne branche med kløvet Jekyll/Hyde tunge og er ikke andet end gemene gangstere der afpresser omverdenen beskyttelsespenge.

Du har INGEN evidens for din påstand:

Langt over ¾ af IT-sikkerhedsbranchen taler med kløvet Jekyll/Hyde tunge og er ikke andet end gemene gangstere der afpresser omverdenen beskyttelsespenge.

Det er ren spekulation.

Jeg vil give dig ret i at incitamenterne er der, og at vi skal være på vagt. Men du kan ikke forsvare den påstand .

Jens Jönsson

Langt over ¾ af IT-sikkerhedsbranchen taler med kløvet Jekyll/Hyde tunge og er ikke andet end gemene gangstere der afpresser omverdenen beskyttelsespenge.

Har du fået hatten på ?

Synes den udtalelse ligner udtalelser som "3/4 af alle invandrere er kriminelle"....

Det må kunne gøres bedre fra din side....

Helge Svendsen

"Her i Danmark er vi f.eks glade for vellønnede IT-jobs i provinsen, men vi snakker helst ikke om at de betales af salg af overvågnings og spionudstyr til regimer hvor menneskerettigheder kun er noget der tales om i New York."

Og således ved vi, hvad der arbejdes på i den jydske IT branche.

Goddag mand økseskaft..

Magnus Jørgensen

Selvfølgelig kan jeg forsvare den. Men jeg er meget mere interesseret i at høre hvor stor du mener procentdelen er ?

Det er umuligt at vide hvilke intentioner folk har. Hverken du eller jeg er inde i andres hoveder. Din overordnede pointe er god nok, men det er bare utroligt nemt at afvise din artikkel som konspirations teori, når du slutter af med en totalt ufunderet påstand om en en større gruppe menneskers hensigter.

Magnus Jørgensen

Jeg taler ikke om intentioner

Jo du gør. Du sætter endda tal på. 3/4 af en branche osv....
Nu har du spurgt mig om jeg kan sætte et tal på... Det kan jeg så ikke. Så vil jeg gerne spørge dig om, hvor du har tallet fra?
Hvordan ved to at mere end 3/4 af denne branche taler med en kløvet tunge og afpresser folk?

jeg taler om økonomi.

Det vil jeg bestemt ikke benægte.

Poul-Henning Kamp Blogger

Jo du gør.

Nu skal du høre:

Regel nummer 1 i debatten under min blog er at ingen andre end jeg selv forsøger at formulere mine holdninger.

Grunden til denne regel er at erfaringen har vist at ingen andre duer til det, heller ikke du.

Ditlev Petersen

Uden at vide noget (i så fald skrev jeg ikke, evt. fordi noget ondt var efter mig), så kan det være meget mere mudret. De lande, der har råd eller tager sig råd til det, vil naturligvis gerne kunne hacke sig ind på andre landes it-systemer. Både af efterretningshensyn og for at kunne lægge noget ned "i påkommende tilfælde". Så de sidder og analyserer software og skaber exploits. Nogle gange slipper noget ud, når andre hacker dem. I andre tilfælde bliver deres exploits, som implementeret i et eller andet, analyseret af mange andre, der så bygger videre på de fine ideer. Hvilket skaber et voksende behov for et cyber-defence korps og meget hurtigt også et korps af "green hat hackers" (nyt udtryk for offensive militærer hackerregimenter). Som igen ... Det eneste, man ikke ønsker at bidrage til, er at øge sikkerheden, da det ville skade ens egne muligheder. Alene det at forbedre sikkerheden ville antyde, at der faktisk ER noget at hacke. Så man afslører ikke fundne sårbarheder og alle installerer bagdøre. Til gengæld har man fantastiske muligheder for at kræve stadig større bevillinger - af hensyn til nationens sikkerhed.

Det vil naturligvis også påvirke den civile industri, uden at jeg egentlig tror, at anti-malware firmaer slipper malware ud for at skabe øget omsætning. Det er næppe nødvendigt. Men alt muligt andet er forsynet med spændende ting og features.

Man kan af og til frygte, at noget lignende gør sig gældende inden for terror/antiterror. Altså en verden uden et vellykket terrorangreb af og til ville være skrækkelig, for hvordan skulle man så retfærdiggøre den megen overvågning, de mange indgreb og de store bevillinger? At terror måske bedre bekæmpes ved at gøre noget ved de problemer, den vokser frem af? Og en tam terrorgruppe kan gøre ting, som man som land ikke nødvendigvis selv kunne slippe afsted med at gøre.

Ren paranoia naturligvis. Men det ville være meget logisk, hvis det var sådan.

Poul-Henning Kamp Blogger

Man kan af og til frygte, at noget lignende gør sig gældende inden for terror/antiterror. Altså en verden uden et vellykket terrorangreb af og til ville være skrækkelig, for hvordan skulle man så retfærdiggøre den megen overvågning, de mange indgreb og de store bevillinger?

Stort set alle, hvis ikke faktisk alle "terror-plots" som FBI har afsløret i de senere år, var nogle de selv havde lokket den "skyldige" ud i. Ofte var de "skyldige" mennesker der havde behov for psykiatrisk behandling.

Se f.eks The Intercepts' historier om emnet.

Magnus Jørgensen

Jeg vil nødigt bryde med dine regler for din blog, så hvis du mener at jeg har forbrudt mig imod regel nummer 1, så må du forklare hvordan. For rent logisk kan jeg ikke følge det.
Jeg opponerer imod det du har skrevet:

Langt over ¾ af IT-sikkerhedsbranchen taler med kløvet Jekyll/Hyde tunge og er ikke andet end gemene gangstere der afpresser omverdenen beskyttelsespenge.

Ikke noget du har tænkt, for det kan jeg naturligvis ikke vide noget om.
Så længe du ikke har nogle fakta der kan underbygge den påstand, så er den blot det.... En påstand.

Ivo Santos

Men jeg vil også være den første til at kræve at han, og alle andre der skriver software, bliver holdt til ansvar for de skader de derved forvolder, uanset om skaden sker på grund af inkompetence, skødesløshed, ond hensigt eller af økonomiske hensyn.

Måske Marcus Hutchins burde have indlejret en licens som brugeren skal acceptere inden softwaren installeres. De fleste licenser er alligevel så kryptiske at man næsten skal hyre en ekspert i licens tekst for at kunne forstå teksten i sin helhed. Og det er da også sjælden at man hører om at store firmaer så som Microsoft rent faktisk betaler erstatning for tab bed brug af deres software.

Okay!, jeg ved godt at Apple rent faktisk betaler erstatning til deres brugere på grund af fejl designed hardware, men!, det er vist også udenfor denne artikel.

Så måske er løsningen for dem som designed skadelig software, så som malware, at de indlejrer en licens som brugerene skal acceptere inden softwaren installeres.

Gert Madsen

Fordi politiet beskytter os i samfundet, og er finansielt afhængige af uro i samfundet, så taler langt over 3/4 af denne branche med kløvet Jekyll/Hyde tunge


Mjah.
Når det gælder øget overvågning af befolkningen, og mindre restriktioner for politiet, så er det ikke svært at se den voldsomme forskel mellem de påståede forbrydelser, som det skulle afhjælpe (terror, børneporno etc), og så de dokumenterede effekter (manglende vægtafgift, stjålen iPad etc.).
Jeg tror ikke at Politiet stjæler og slår folk ned for at få øgede bevillinger, som du skriver.
Men at de kommer med "tilpassede"/grundløse udmeldinger, i håb om økonomisk og/eller lovgivningsmæssig medvind, kan jeg ikke se at der kan være nogen tvivl om.

Peter Lundtofte

Kan du forklare mig hvor jeg har lagt ord i din mund?
Jeg referere til det du har skrevet, ikke andet.

Jeg synes det fremgår ret tydeligt, og phk giver dig et tydeligt hint.

Phk skriver "Jeg taler ikke om intentioner", du svarer "jo du gør". Phk siger du ikke skal formulere hans holdning, og du ved ikke hvor du har gjort det. Phk skriver "de tre ord jeg citerede". Men når phk skriver, at han ikke taler om intentioner, så kan du vel ikke korrekt påstå at det gør han? Derved har du formuleret at phk taler om intentioner, trods han har gjort dig opmærksom på at han ikke taler om intentioner.

Magnus Jørgensen

Men når phk skriver, at han ikke taler om intentioner, så kan du vel ikke korrekt påstå at det gør han?

Hvis ikke det var fordi at phk skrev det han skrev om mere end 3/4 af IT sikkerheds branchen, så vi jeg give dig ret. Jeg kan også kalde mere end 3/4 af politiet gangstere der afpresser folk, for derefter at sige at jeg snakkede om økonomi og ikke intentioner, men ikke uden at miste min troværdighed.

Log ind eller opret en konto for at skrive kommentarer