Tölvumál - 01.12.1994, Blaðsíða 21
Desember 1994
þekkja til, að brjótast inn í tölvu-
kerfi því ekki virðist vera almenn-
ur áhugi, þekking eða vitund um
öryggismál.
TCP/IP
Gallar í TCP/IP samskipta-
reglunum em nokkuð vel þekktir.
Meðal annars er hægt að yfírtaka
tengingar, þ.e. eftir að notandi
hefur tengst tölvu, getur annar
aðili stolið tenginguni og haldið
áfram þaðan sem eigandinn var
kominn. Einnig er vel þekkt að
ekki er innbyggð nein dulritun í
samskiptareglurnar sem aftur
hefur leitt til þess að lykilorð og
notendanöfn em send óbrengluð
yfír víðnet. Þá er einfalt að hlera
þessar sendingar og skrá niður
notandanafn/lykilorð þess sem er
að senda. Þetta er aðalástæðan
fyrir þvi að Ranum og Cheswick
leggja svo mikla áherslu á að
lykilorð eigi að vera einnota, þ.e.
að notuð sé "challenge/response"
aðferð til að staðfesta notendur.
Samkvæmt gögnum CERN ( Com-
puter Emergiency Responce
T eam) varð mikil aukning í hlerun
lykilorðaáþessuári. Síðustutölur
í haust bentu til þess að um einni
millj ón lykilorða hefði verið stolið
með þessum hætti á árinu. Hvað
gert er við þessi lykilorð er ekki
vitað með vissu, en athyglisvert er
að um svipað leyti og þessi um-
ræða var í hámarki, bámst fréttir
um mikla aukningu í fjölda árása
á tölvur hersins og stjómarinnar
vestanhafs.
Gallar í HTTP
Einn af stærstu vaxtarbroddum
Internetsins á síðasta ári er
"vefurinn" eða "WWW". Ýmsar
nýj ar og áhugaverðar hættur skap-
ast með þessu samskiptaformi við
Intemet. Einn stærsti hönnunar-
gallinn er að þegar sá sem biður
um upplýsingarnar er óþekkjan-
legur, er ekki hægt að nota HTTP
til að staðfesta hver hann er. HTTP
em samskiptareglur vefsins.
Þetta gerir það að verkum að
þetta annars ágæta viðmót er illa
til þess fallið að nota í hefðbundn-
um viðskiptum þar sem verið er
að senda viðkvæm gögn svo sem
greiðslukortanúmer. HTTP er þó
í endurskoðun og gert er ráð fyrir
að næsta útgáfa staðalsins, sem á
að vera tilbúin nú í desember,
innihaldi "public/privatekey" (sjá
síðar) notandastaðfestingu.
Aðalhættan við HTTP snýr að
notandanum. Einfalt er að ferðast
um á vefnum og gegnsæ samteng-
ing upplýsinga gerir það að verk-
um að hægt er að sækja upplýs-
ingar frá mörgum heimsálfum, án
þess að taka sérstaklega eftir því
hvaðan þær koma. Þessi tækni
gerir það einnig mögulegt að tengj a
forrit við texta. Þegar notandinn
velur textann er hægt að ræsa
forrit á miðlaranum. Textinn gæti
t.d. verið skoðanakönnun á því
hvaða stýrikerfi væri á tölvu
notandans. Forritið gæti síðar flett
upp í safni yfír öryggisgöt í stýri-
kerfum, tengst tölvu biðlarans og
reynt að brjótast inn. Samskiptin,
eins og þau eru i dag, grundvallast
á að notandinn treysti þeim sem er
að miðla honum upplýsingunum.
Lausnir
I fyrstu getur virst sem vanda-
málin séu óleysanleg. Erfítt er að
breyta markaðssetningu tölvu-
fyrirtækjana, framleiðendur nota
oft óbreytt forrit, sem áhugamenn
hafa skrifað. Of seint er að breyta
grandvallarvirkni TCP/IP og öll
fyrirtæki þurfa starfsfólk. Þessi
vandamál hafa valdið áhyggjum í
allnokkurn tíma og til eru ýmsar
lausnir, misgóðar.
Vandamálum sem upp koma
má yfirleitt skipta í tvo flokka,
notendavandamál og tæknileg
vandamál. Oft er ekki augljóst í
hverju raunverulegt vandamál
liggur og mörg dæmi eru um að
reynt hafí verið að leysa notenda-
vandmál með tæknilegum lausn-
um.
Notendavandamál
Það er stór áhættuþáttur sem
snýr að starfsmönnum og öðram
notendum tölvukerfa. Ranum taldi
einu öraggu leiðina vera að ráða
starfsmenn til lífstíðar, byggja
hótel áfast við starfshúsnæðið og
sjá til þess að þeir yfírgæfu aldrei
vinnustaðinn. Þessi aðferð er þó
ekki 100% þar sem starfsmenn
geta enn valdið fyrirtækinu skaða
með því að flytja gögn í gegnum
símalínur. Og ekki er hægt að
setja vopnaðan vörð við hvem
starfsmann því eins og máltækið
segir: "Hver gætir varðanna?"
Erlendis er algengt að starfs-
menn fyrirtækja verði að skrifa
undir samning áður en þeir fá
aðgang að Internetinu. Með þessu
era fyrirtækin að reyna að fírra sig
ábyrgð gagnvart hugsanlegri
misnotkun og ákærum. Dæmi eru
um að kært hafí verið vegna skrifa
um málefni sem vora í andstöðu
við landslög. Margir notendur
virðast líta svo á að sérreglur gildi
um það efni sem flutt er um Inter-
netið og að þar sem Intemetið er
alþj óðlegt þá nái engin lög til þess.
Mikilvægt er að gera notandanum
grein fyrir afleiðingum
misnotkunar og ábyrgð sinni í því
sambandi.
Tæknilegar lausnir
T æknilegar lausnir miða að því
að verja tölvukerfi gagnvart
notendum sem ekki er treyst, t.d.
er algengt að lokað sé á þjónustu
21 - Tölvumál