bloghoved sidsel jensen

Skal vi have en digital Genèvekonvention?

Knap har støvet lagt sig efter fredagens ormehuller fra WannaCrypt hvor vi i den grad fik et 80’er koldkrigsdrama under opførelse i en nyfortolket cyberudgave. Jeg har i løbet af det sidste års tid set rigtig mange ransomeware varianter og forsøgt på bedste beskub fra internettets skyttegrav at stoppe dem så godt jeg kunne, så de ikke havnede i folks mailbokse, hvor f.eks. den sidste Locky-variant kom i et særdeles velformuleret dansk, der fik rigtige mange mennesker til at hoppe i med begge ben og forsøge og åbne det vedhæftede dokument.

Vi burde vide bedre - efter “ILOVEYOU” ormen tilbage i år 2000 eller "Confiker" fra 2008, eller de massevis af ransomeware varianter sidste år og i år, burde folk sådan set have lært lektion: Sørg for at holde din maskine opdateret! Installer de patches med det samme! Specielt på Windows og nej - du kan ikke være sikker på at dit dyrt indkøbte antivirusprogram bekytter dig i starten. Med WannaCrypt var der ikke engang tale om en zero-day vulnerability - men en sårbarhed fra et to måneder gammelt læk fra NSA, som Microsoft patchede straks, da de fik kendskab til problemet.

Men her er netop et af problemerne: For hvorfor sidder en sikkerhedstjeneste som NSA og holder på exploits istedet for at offentliggøre dem? En sikkerhedstjeneste hvis fornemste opgave er at sikre de civile indbyggere i landet - alligevel bliver 90% af budgetterne i bl.a. USA brugt offensivt og ikke defensivt. Burde der i virkeligheden ikke være en pendant til Google Project Zero, som giver efterretningstjenester maksimalt 90 dage til at benytte en sårbarhed inden de er forpligtet til at offentliggøre den, så sårbarheden kan blive fixet, så vi alle er beskyttet?

Microsoft har for nyligt være ude og agitere for noget lignende - på RSA sikkerhedkonferencen tilbage i februar pitchede de ideen om en digital Genèvekonvention - (se videoen den varer kun 20 min). Wired har så sent som i sidste uge (inden WannaCrypt udbruddet!) været ude og ytre deres støtte til ideen. Microsoft skriver bl.a. i deres nyeste Lessons learned blog-indlæg:

The governments of the world should treat this attack as a wake-up call. They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. This is one reason we called in February for a new “Digital Geneva Convention” to govern these issues, including a new requirement for governments to report vulnerabilities to vendors, rather than stockpile, sell, or exploit them.

Deres budskab er klart: Der er brug for at IT-industrien, kunderne og regeringerne samarbejder for at beskytte borgerne imod yderligere cybersikkerhedangreb i WannaCrypt kaliberen. Det hele starter med et commitment om en 100% defensiv strategi og et krav om at efterretningstjenesterne offentliggør deres hamstrede exploits.

Men er det nok til at få genskabt tilliden til IT-industrien og troværdigheden til software generelt? Hvad siger I? Er det nok til at Sisyfos kan få rullet stenen op på bjerget?

Relateret indhold

Kommentarer (6)
Poul-Henning Kamp Blogger

Windows XP og tilsvarende er IT branchens svar på SuperFund sites. (Slå det op!)

Enten skal SW leverandørene give deres brugere mulighed for at forsvare sig selv, dvs. fuld bygbar kildetekst, eller også er ansvaret per definition deres.

Hvis de ønsker at tidsbegrænse dette ansvar, må de fra starten gøre det klart hvad begrænsningen er ("Windows XP vil selvdestruere 2012-01-01") så kunderne ved hvad det er de køber.

Endelig skal der være en sikkerhedsmyndighed, der kan gennemtvinge et "product recall" for producentens regning, hvis det bliver nødvendigt.

Når producenterne står ansigt til ansigt med et erstatningsansvar, ringer de til et forsikringsselskab, som helt automatisk vil stille krav til deres kvalitet og kvalitets-styring hvis policen skal være til at betale.

Det eneste nye er at vi bruger disse velkendte og velfungerende juridiske virkemidler på software og ikke kun på biler, naturgasfyr og håndmixere.

Jesper Ravn

Global Cyber lovgivning og samarbejde mellem visse stater, ser jeg som en naiv drøm.
Statslederne fra f.eks. Nordkorea, Rusland, Kina og USA, har alle brug for fjendebilleder, for at kunne overleve indenrigspolitisk.
Jeg ser mere realistisk på, at man får etableret et tættere og effektivt samarbejde mellem Tech giganterne og IT sikkerhedsindustrien.

Vi kan også snakke i lang tid om, hvilket ansvar og rolle Microsoft og NSA har haft i dette Cyberangreb.
Men som jeg ser det, vil det tage fokus væk fra det virkelige problem, at virksomheder og myndigheder skal begynde at tage IT sikkerhed seriøst i dag.

NHS blev formentlig hårdt ramt, fordi en stor del af deres klienter, var ikke-opdateret Windows 7 og out-of-date Windows XP til funktionsbestemt udstyr. Det kan give et mindre flashback til Conficker, som du også selv nævner. Her have MS også udsendt et fix måneder forinden, som ikke blev taget alvorligt.

Michael Cederberg

IT er en vigtig del af den 2. kolde krig. At forestille sig at stater skulle lægge reelle bånd på sig selv i situationer der handler om national sikkerhed er utænkeligt*.

Ydermere har IT den kompleksitet at man ikke kan bevise noget endeligt. Vi har stadigvæk folk her på sitet som er stensikre på at Putin intet havde at gøre med det amerikanske valg. I den specifikke situation, så kunne NSA uden problemer benægte at de har nogen del i WannaCry og andre tools der er spredt på samme tid. Hvad skulle svaret være såfremt de benægtede ejerskab?

*Man kan godt lave restriktioner á la max på 5000 atomsprænghoveder som basalt er ligegyldigt når 5000 er mere end nok.

Mette Nikander

Tillad mig at blive lidt ”konspirationsteoretisk”….Der er jo tegn der tyder på at dette malware oprindeligt kommer fra NSA.
Jeg vil mene, at det er naivt at tro at regeringer vil samarbejde og hjælpe hinanden og deres virksomheder indenfor dette felt. Det er almindeligt kendt at man kan købe zero day sårbarheder på nettet og at regeringerne er de største kunder.
Nogle efterretningstjenester samarbejder i fællesskaber- 5 eyes, 9 eyes og 13 eyes, er kendte begreber. Danmark er selv med i 9 eyes. Man bør huske på at efterretningstjenesterne ikke kun arbejder med militære formål, men også indenfor industrispionage. Der er således ikke noget incitament for dem, til at hjælpe virksomheder med at dæmme op;-)

Hvad vi andre så kan stille op - ja Zero-day sårbarheder er til salg på nettet, jo nyere des dyrere og der vil til stadighed blive fundet sårbarheder i Windows’ millioner af kodelinier der i nogle tilfælde stammer tilbage fra 1980’erne.

Et ansvar hos software producenterne, som Poul-Henning Kamp foreslår, på linje med alle andre produkter, er ikke urimeligt, men at der bliver lavet en storm ud af, at nogle udnytter en patchet sårbarhed, er desværre heller ikke en nyhed. I digitaliseringens hellige navn bør vi måske stoppe lidt op og sikre systemerne mere grundlæggende. Enhver patch er så veldokumenteret, at IT kriminelle producenter af malware let kan lave en reverse engineering på de opdaterede filer og dermed i detaljer se, hvilke huller der er lukket, og dermed angribe de systemer der ikke har lukket hullerne.

Forhåbentligt får dette mange virksomheder til at overveje at skifte deres systemer ud, der ikke længere er supporterede, eller stille krav til producenterne af F.eks. terminaler at de sørger for patching eller slet og ret bytter produkterne. Software branchen er nu langt over de 40 år på mikroprocessor området. Der bør kunne stilles krav…

Med venlig hilsen
Mette nikander

Bjarne Nielsen

Jeg vil mene, at det er naivt at tro at regeringer vil samarbejde og hjælpe hinanden og deres virksomheder indenfor dette felt.

Et skridt kunne måske være at få skilt offensivt og defensivt ansvar fra hinanden. Lige nu virker det mest som om, at man lader ulven vogte får.

Forhåbentligt får dette mange virksomheder til at overveje at skifte deres systemer ud, der ikke længere er supporterede, eller stille krav til producenterne af F.eks. terminaler at de sørger for patching eller slet og ret bytter produkterne.

De overvejelser vil næppe tage længe, for sikkerhed er tit besværligt og dyrt, uden at det giver noget synligt udbytte. Mennesker har svært ved at tænke langsigtet og virksomheder og det offentlige endnu sværere.

Vi bliver derfor nødt til at holde hinanden fast på fælles regler som kan hjælpe os med at synliggøre omkostningerne, så vi kan lave de rette fra- og tilvalg; PHKs forslag er bestemt en overvejelse værd, og GDPR ser jeg også som et forsøg på dette. IMHO er en væsentlig grund til periodiske bilsyn, at folk i almindelighed ellers ville sætte egen kortsigtede bekvemmelig over hensynet til fælles sikkerhed. IT er vel grundlæggende set ikke anderledes, selvom det nok er nogle andre tiltag som skal til.

Forhåbentlig så begynder vi også i højere grad at tænke over, om det nu er klogt at lægge flere og flere æg i større og støtte fælles og dårligt vedligeholdte kurve - det er måske bekvemt, men det gør det svært at begrænse skaden, når noget går galt. En god omgang YAGNI savnes. Og erkendelsen af, at hvis noget er værd at gøre, så er det også værd at gøre ordentligt.

Jørgen Gregersen

"De overvejelser vil næppe tage længe, for sikkerhed er tit besværligt og dyrt, uden at det giver noget synligt udbytte. Mennesker har svært ved at tænke langsigtet og virksomheder og det offentlige endnu sværere".

Jeg tror, at det er tæt på kernen i problemet, eller en del af det. Hvis vi ser på begrebet "eksternalisering", som jo dækker over at f.eks. et firma kan spare omkostninger ved at overføre et problem til samfundet, så kan vi ved at begrænse dette, måske få reduceret selve roden til de problemer vi ser med manglende softwaresikkerhed (lad os se bort fra den konkret MS-bug og den efterfølgende patch, som vel er rettidig).

Hvis vi på en eller anden måde kan sikre os, at de omkostninger, som bugs og sikkerhedshuller har for os alle, i et vist omfang kan overføres til dem, der producerer og markedsfører den ramte software, så vil incitementet til at lave det "rigtigt første gang" nok øges - for så vil en fejl kunne ses på bundlinjen.

Jeg advokerer ikke for et samfund hvor vi alle lægger sag an mod hinanden, men måske en lidt mere direkte linje mellem årsag og virkning.

PS: Ja, jeg har læst Bruce Schneier ;-)

Log ind eller Opret konto for at kommentere