Hackere er ikke helte

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Jeg møder ind imellem it-ansvarlige, der har den mening, at hackere er flinke unge mennesker, der gør samfundet en tjeneste ved at gøre opmærksom på truende it-sikkerhedsproblemer.

Tilsyneladende er det en udbredt holdning, at hackere hjælper softwareindustrien med at være på tæerne. Gennem konstante angreb sørger hackerne for, at virksomhederne får lukket sikkerhedshullerne i softwaren.

Det er imidlertid en fordrejet måde at anskue problematikken på. Hvis man vil hjælpe med at gøre programmerne mere sikre, så kan man henvende sig til firmaet, der står bag den sårbare software og gøre opmærksom på problemet. Hvis man i stedet vælger at udnytte sårbarheden til at angribe ubeskyttede computere, så bryder man loven.

Hvis man tilsvarende opdager et åbent kældervindue i en villa og vælger at kravle ind, så hjælper man heller ikke ejeren af huset ved at gøre opmærksom på et sikkerhedsproblem. Så bryder man loven.

Ormen Sasser skabte kaos
Den 18-årige tyske gymnasieelev, der i begyndelsen af maj blev anholdt for at have konstrueret internetormen Sasser, gjorde ikke softwareproducenterne en tjeneste ved at slippe ormen løs på nettet.

Han kostede der imod tusindvis af arbejdstimer for virksomheder på hele kloden. I USA og Australien forstyrrede han fly- og togdrift, og i Storbritannien og Taiwan ramte han vigtige samfundsfunktioner som kystvagt og postvæsen.

I Danmark var flere virksomheder ramt af ormen, og CT-scannere på Herlev Sygehus blev lukket ned med det resultat, at sygehuset måtte udskyde et dusin scanninger.

Den form for angreb på vitale institutioner kan et samfund selvsagt ikke sidde overhørig.

Skærpet lovgivning for it-kriminalitet
Folketinget vedtog den 11. maj en række skærpelser af strafferammerne for it-kriminalitet. Ifølge den nye lov kan en person, der "på retsstridig måde fremkalder omfattende forstyrrelse i driften af almindelige samfærdselsmidler, offentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsynsanlæg, informationssystemer eller anlæg, der tjener til almindelig forsyning med vand, gas, elektrisk strøm eller varme" straffes med en bøde eller fængsel i op til 6 år.

Det er et sundt signal at sende, at it-kriminalitet betragtes ligeså alvorligt som andre former for kriminalitet.

Vira koster virksomheder verden over enorme summer for oprydningsarbejde, og virusprogrammørerne kan sidestilles med ganske gemene hærværksmagere blot i en større målestok.

Indsamling til virusprogrammør
På websider i hackernes undergrundsmiljø samles der nu penge ind til Sassers bagmand. Han hyldes som en helt for at have konstrueret ormen.

På en dansk indsamlingsside beskrives Sasser som en harmløs advarsel om, hvad der kunne være sket. Den vurdering af skadernes omfang er der nok mange it-ansvarlige med Sasser-inficerede systemer, der er uenige i.

Hvis ikke deres Windows-computere havde installeret den seneste sikkerhedsopdatering fra Microsoft stod de pivåbne for infektion af Sasser.

Naturligvis er det en dårlig idé ikke at sørge for at opdatere sin software med de seneste sikkerhedsrettelser. Men selvom en bruger ikke holder sit system 100 procent opdateret, så ligger skylden for en virusinficeret computer ikke hos brugeren. Den ligger helt og holdent hos den virusprogrammør, der vælger at angribe den sårbare computer.

Oprindelig bragt i Børsen Informatik den 18. maj 2004

 

Keywords: