Leverandørens ansvar for de håbløse brugere

I min sidste blog om Oracles brug af default passwords blev jeg af nogle kritiseret for at påpege, at en leverandør har et medansvar, når de giver deres brugere mulighed for at begå sikkerhedsfejl.

Der var bl.a. en, som skrev, at man da umuligt kan klandre andre for at man ikke selv er kompetent nok. Jeg er enig i, at det er fornuftigt at tage ansvar for sit liv og for sine handlinger. Men hvad nu når verdenen bliver så kompleks, at kun eksperterne kan overskue de involverede risici?

Bruce Schneier, der er ekspert i sikkerhed og kryptering, skriver følgende om de håbløse brugere i sin fremragende bog Secrets & Lies, Digital Security in a Networked World:

? the mathematics are impeccable, the computers are vincible, the networks are lousy, and the people are abysmal.

Jeg er helt enig. Selv om bogen er skrevet i 2000, så har det næppe ændret sig væsentligt, og hvis du ikke allerede har læst bogen, så gør det.

Almindelige brugere forstår simpelthen ikke, hvad der foregår. Kvalificerede brugere ved måske lidt om, hvad der foregår, men de ved sjældent noget om sikkerhed ? eller også interesserer de sig ikke for det.

Derfor var det også fuldstændig tåbeligt, når en tilhører til en sikkerhedskonference i foråret foreslog, at bankerne skulle til at uddele dummebøder, når brugerne 'lod' deres bankkonti tømmes, fordi de ikke fattede, hvad der foregik.

Bankerne påtager sig ansvaret, fordi de rent faktisk er de eneste, som har kompetencen til at gøre noget ved problemet.

Verden er blevet så kompleks, at kun professionelle kan overskue den.

Jeg har til jobsamtaler altid spurgt systemadministratorer, om de interesserer sig for sikkerhed. Du vil være overrasket over, hvor mange som, når de skal svare ærligt, siger nej egentlig ikke. Og det er ikke et diskvalificerende svar.

Jeg mener principielt, at systemadministration og sikkerhed er to forskellige fag, selv om de selvfølgelig er beslægtede. Derfor skal sikkerhedsafdelingen også adskilles fra it-afdelingen.

Ja, det burde ikke komme som en overraskelse, at man selv skal vedligeholde sine passwords på privilegerede brugere i en Oracle-database. Men det gør det jo tilsyneladende for mange.

Men er det så leverandørens ansvar?

Juridisk er det selvfølgelig ikke, men når nu brugerne (nogle af dem i hvert fald) ikke kan finde ud af det selv, og leverandøren rent faktisk er i en position, hvor de kan gøre noget ved, har de så ikke et moralsk ansvar for rent faktisk at gøre noget ved det?

Har Oracle et ansvar for eksistensen af default passwords i databasen' Har Microsoft et ansvar for antallet af sikkerhedsfejl i deres produkter'

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Du er inde på de samme ting som gør at jeg finder moderne kryptografiske metoder ubrugelige i praksis:

Når jeg låser min hoveddør, kan jeg med et simpelt og intuitivt greb i dørhåndtaget checke at operationen lykkedes

Der er ingen kryptografiske metoder eller værktøjer der giver brugeren nogen som helst tilsvarende mulighed.

Ja, man kan hexdump'e data og se at de ser tilfældige ud, men man kan ikke se om de bare er blevet XOR'et med Pi eller et andet velkendt tal.

Er det mon godt nok til byretten at du troede at du krypterede persondata relaterede oplysninger ?

Poul-Henning

  • 0
  • 0
Karsten Nyblad

Et andet aspekt er, at alle laver fejl, og en gang imellem laver man nogle gevaldige brølere. Hvis det ikke var sådan, kørte lokofører aldrig forbi et rødt signal, bilister overså aldrig cyklister, sygeplejesker gav aldrig deres patienter forkert medicin, osv.

Min erfaring er, at en gang imellem laver folk en dumhed, der er så stor, at de end ikke kan forestille sig, at de har lavet den. Et klassisk eksempel er IT-manden, der ikke kan logge ind og ringer til support, fordi han har glemt caps-locken, så passwordet ikke virker.

Jeg havde selv en kollega, der var en erfaren systemadministrator og som ikke ville tro på mig. Han fik en teknikker ud til at kigge på en maskine, der ikke ville boote. Teknikker fjernede en diskette fra floppydrevet, og så virkede maskinen...

Idenfor IT glemmer folk at skifte password, kommer til at kopiere data over på et ikke krypteret drev, hvorefter laptoppen bliver stjålet, de kommer til at sætte firewallen galt, osv.

De mennesker jeg er mest bange for, er dem, der påstår, de aldrig laver fejl, så som at de aldrig ville glemme at skifte password.

Endelig, så kan det godt være, et firma kan have en ekspert i installation af Oracle databaser, men hvad gør de, hvis han siger op, bliver fyret, bliver syg, eller måske bare skal have sig 5 ugers ferie? Hvad nu hvis webserveren gør knuder og softwaren skal geninstalleres?

Så ja, Oracle bør kritiseres for at give IT-folkene en mulighed til for at dumme sig.

  • 0
  • 0
John Juul Jensen

"Så ja, Oracle bør kritiseres for at give IT-folkene en mulighed til for at dumme sig."

Det er da en vag holdning at have og alt for nemt at gemme sig bagved - "Det er alle de andres skyld at jeg ikke er dygtig nok"

Læs manualen istedet for at smide den væk. :-)

/John Juul Jensen

  • 0
  • 0
Jakob I. Pagter

John, at bede folk læse manualen istedet for at tage ansvar og konstruere et system som er sikkert for dets brugere til deres konkrete opgaver er, IMHO, et levn fra en fortid hvor der var få, veluddannede og motiverede brugere af systemer.

Jeg er ikke Oracle-ekspert, men udfra Jespers indlæg må jeg spørge: Hvorfor leverer de ikke deres produkt med "security-by-default"?

  • 0
  • 0
Kristian Larsen

Hej Jesper,
Vi har tidligere diskuteret emnet her i din blog og jeg mener stadig du skyder forkert.
I yderste konsekvens er det du siger jo at alle sikkerhedsproblemer er CISSP certificeredes skyld, fordi de har forståelsen og kan dermed stoppe dem.
"Alle sikkerhedsproblemer i Linux er Linus skyld" synes at være agendaen.

Jeg ved godt jeg sætter det på spidsen her, og selvfølgelig kan og bør vi forvente at banker laver en fornuftig sikring af deres netbank systemer, og presse dem til at forbedre denne, men at gøre bankerne ansvarlig for en spy/mal/crap/etc-ware inficeret maskine er vel at gå lidt for meget i overdrive.

Præcis ligesom TDC blev gjort ansvarlig når folk downloade dialer programmer til deres maskiner og bagefter AKTIVT tillod programmet at ringe op (skulle man ihvertfald med 98, om det også var tilfældet med 95 er jeg lidt usikker på). Men det var åbenbart TDC's skyld at folk ikke engang gad læse de dialogbokse deres system kom med.

Hvorfor giver det mening? Fordi TDC har penge? Fordi TDC burde have forhindret det (i så fald hvordan forhindrer man ignorance?).

  • 0
  • 0
John Juul Jensen

Jakob - her er hvad jeg mener eksemplificeret (er der noget der hedder det ??? ;-) )

Jeg laver ikke bremser på min bil, for det kan jeg ra'gu' ikke finde ud af - jeg bruger en mekaniker der har prøvet det før og ved noget om biler. Hvis jeg brugte noget tid på at skille og samle bremserne på min bil, kunne jeg nok godt ende op med selv at klare den opgave, men det gider jeg ikke bruge tid på.

På samme måde er det med software/hardware - hvis man ikke kan finde ud af det, så læs manualen - hvis den er for kompleks, eller man ikke har tid til at sætte sig ind i installation/administration, så få folk der har forstand på det til at ordne det - men giv ikke leverandøren skylden for at man ikke selv har brugt tid på at sætte sig ind i produktet.

/John Juul Jensen

  • 0
  • 0
Line Wolff

Du skriver: "Verden er blevet så kompleks, at kun professionelle kan overskue den. Jeg har til jobsamtaler altid spurgt systemadministratorer, om de interesserer sig for sikkerhed. Du vil være overrasket over, hvor mange som, når de skal svare ærligt, siger nej egentlig ikke. Og det er ikke et diskvalificerende svar."

Hvorfor er det ikke diskvalificerende? Bør vi ikke kunne forvente et minimum af sikkerhedskompetence hos disse folk? De er vel netop professionelle? Jeg havde ikke ansat ham! Jeg har også haft en del folk inde til jobsamtale til omtalte job, men jeg har pudsigt nok aldrig fået sådan et svar og havde heller ikke accepteret det.

"Ja, det burde ikke komme som en overraskelse, at man selv skal vedligeholde sine passwords på privilegerede brugere i en Oracle-database. Men det gør det jo tilsyneladende for mange."

Hvis det er sysadmin'erne du hentyder til, så undrer jeg mig virkelig. Findes der virkelig virksomheder derude, der nøjes med folk med så ringe kompetencer? Skal man finde sig i det?

Det mener jeg ikke.

Og jeg mener også det er forkert at indtage en så vag holdning overfor fagfolks kompetencer. Fagfolk skal være FAGfolk. De skal ikke være brugere eller anses som sådan. De skal ikke begå de samme fejl som brugerne begår. Så ja, vi kan godt forvente at system- og databaseadministratorerne derude kan finde ud af at konfigurere og sikre deres systemer. Det er trods alt deres job. Og kan de ikke det, er de bare ikke gode nok.

  • 0
  • 0
Jesper Laisen

>Bør vi ikke kunne forvente et minimum af sikkerhedskompetence hos disse folk?

Det handler selvfølgelig om at definere et minimum. Jeg ville ikke kunne acceptere en systemadministrator, der fuldstændig manglede fornuftige vaner omkring sikkerhed. Men nogle gange har man jo brug for en Windows systemadministrator med Oracleerfaring, og skal han så også nødvendigvis være sikkerhedsmand?

Mon ikke vi skal til at indse, at selv inden for snævre fagområder er der tale om specialisering? Behøver du at interessere dig for sikkerhed for at være performanceekspert på Oracle-databaser?

  • 0
  • 0
Jesper Laisen

>Det er da en vag holdning at have og alt for nemt at gemme sig bagved - "Det er alle de andres skyld at jeg ikke er dygtig nok"

Jeg siger ikke, at det er Oracles skyld, at nogle dba'er er sjuskede eller glemsomme. Jeg siger bare, at siden Oracle er i en position, hvor de kunne gøre noget for at forbedre sikkerheden, så burde de gøre det.

Tænk, hvor ville det være rigtig god service, hvis Oracle fjernede default passwords i databasen i stedet for at skrive i en manual, at dba'en skal huske at lave en række trivielle opgaver, hver gang han har gennemført en installation.

  • 0
  • 0
Jesper Laisen

;o)

Som jeg har skrevet, er det vigtigt, at der placeres et ansvar, hvor der er en kompetence. Ellers ender vi i situationer, hvor fx en virksomhed undlader at øge sikkerheden, fordi det koster dem penge.

En DR-korrespondent i USA fortalte en gang, hvordan han var blevet ringet op af sit kreditkortselskab med spørgsmålet: "Har du været i Sydamerika?" "Nej", svarede han uforstående. "Dit kredit er tilsynelandende blevet misbrugt. Vi krediterer nu beløbet på din konto. Vi beklager ulejligheden."

Kunne man forestille sig TDC gøre det? Nej vel, men hvorfor ikke?

Jeg ønsker, at den stærke part skal være motiveret til at have systemer, hvor de opdager fejl eller misbrugt, mens det sker.

Det er sådan set fair nok, at der er en mindre selvrisiko, når en bruger har dummet sig, men fx TDC skal have et overvågningssystem, hvor potentielt misbrug dukker op.

Det sikrer vi kun ved at gøre dem ansvarlige for misbrug over en hvis størrelse.

  • 0
  • 0
Jakob I. Pagter

@John:

Mht. biler, så bruger jeg også mekanikere eller læser manualen - når der er noget galt! Indtil da går jeg bare ud fra at de virker. Jeg tror bilfabrikerne ville få svært ved at slippe af sted med at sælge biler hvor bremserne ikke er slået til (måske de kunne skrive RTFM på airbag'en :/).

  • 0
  • 0
Karsten Nyblad

Jesper skrev:

"Jeg siger ikke, at det er Oracles skyld, at nogle dba'er er sjuskede eller glemsomme. Jeg siger bare, at siden Oracle er i en position, hvor de kunne gøre noget for at forbedre sikkerheden, så burde de gøre det."

Ikke nok med det. Er databasen tilstrækkeligt sikret i tiden fra den er installeret, til DBAen når frem til at ændre passwords?

Og nok en gang, hvad skal firmaerne gøre, hvis der opstår problemer og firmaets specialister ikke er til rådighed? Ringe til Oracle og betale store beløb for en konsulent, der ikke kan garantere, at databasen er korrekt installeret i forhold til resten af IT-systemet?

Hvis man kunne stole på, at mennesker altid gjorde det rigtige, var der ikke behov for rækværk på broer, for folk kan jo bare lade være med at gå ud over kanten. Det ville heller ikke være nødvendigt at kunne sikre våben, for folk affyrede dem jo alligevel kun, når de ville skyde.

Jeg tror ikke på, at det ville kræve mere end 50-100 linier kode at tvinge DBAen til at sætte passwordet under installationen. De få linier kode er en ringe invenstering for at undgå fejltagelser. At der så er mange DBAer, der ville vælge dårlige passwords, det er en anden sag, men man kan forvente, at IT-folk ved nok om passwords til at kunne vælge et godt et, så det vil jeg ikke laste Oracle for.

  • 0
  • 0
Kristian Larsen

Hej Jesper,

Du har ret, selvfølgelig skal leverandørerne presses til at gå op i sikkerhed, og lovgivningsmæssigt skal vi beskytte den svage part.

Men jeg mener stadig det er forkert at gøre virksomheder eller enkeltpersoner ansvarlige for noget de ikke har kontrol med, men omvendt er det logisk for mig at bankerne burde bruge en type token kontrol sammen med certifikat, brugernavn og password - besværligt ja, men til gengæld sikkert nok til at det helt sikkert er selvforskyldt når der sker misbrug.

Men mit eksempel med de her dialer programmer, hvor man aktivt skulle give programmet lov til at ringe op, som TDC blev gjort ansvarlige for, hvorfor det? Fair nok de kunne have et system som siger udsving over X[X]% skal undersøges, men et eller andet sted kan det vel ikke være TDC's skyld når en kunde opfører sig sådan, og jeg finder det personligt grotesk at man gjorde dem ansvarlige for det.

Mht. det nævnte omkring oracle: selvfølgelig skal der vælges et password ved installation, i dagens IT verden er det jo nærmest på amatør planet og et eller andet sted er det jo så der markedskrafterne burde sættes i værk, hvis det ikke var fordi der var så mange som føler de skal blande sig i IT fremfor dem der ved noget om det.

  • 0
  • 0
Poul-Henning Kamp Blogger

TDC blev gjort ansvarlig for de illegale dialer programmer fordi de tjente en formue på dem.

Dialer programmerne ringede typisk op til en eller anden bananstat og det tjener TDC en god skilling på.

Hvis ikke TDC (og andre) blev gjort ansvarlige, så ville de helt sikkert ikke kunne se nogen motivation for at gøre noget, specielt ikke så længe de kunne skyde skylden på dumme brugere og udenlandske bondefangere.

Poul-Henning

Poul-Henning

  • 0
  • 0
Log ind eller Opret konto for at kommentere