Sitat av
Rosander
For ett elendig eksempel.
Dersom det skulle blitt riktig så måtte du brutt deg inn og Så krevd finnerlønn.
Og helt ærlig, dersom du fant en tenåring i huset ditt med hendene fulle av alle dine papirer (pass, fotoalbum etc), hadde du vært tekknemelig?
Selv om man er uenig med saksgangen og konklusjonene så må man ikke glemme at det har blitt begått ett lovbrudd her.
Selv om jeg mistenker at naboen gjør noe ulovlig så gir det meg ikke rett til å bryte loven for å skaffe til veie bevis.
Dersom en fabrikk glemmer å låse porten, er det ok å gå inn på området å ta kopi av dokumenter?
Eller mener dere at et sikkerhetshull automatisk gir tillatelse til å laste ned andres informasjon?
Dersom dere mener dette så åpner dere samtidig opp for smutthull i loven ved at man kan kopiere hele databaser med informasjon om tredjeparter helt uten straff.
Jeg synes man skal skille mellom det å oppdage ett sikkerhetshull og det å utnytte hullet. Guttungen gjorde begge hvor det siste er ulovlig uansett hvordan man vrir og vender på det.
Ja vi vil ha ansvarlig varsling om sikkerhetshull.
Nei vi vil ikke at uvedkommende skal laste ned data de ikke har tillatelse til å oppbevare.
Tja, alle sikkerhetshull involverer også en kostnad som gjør det hele om til ett kost-nytte spørsmål.
Man kan også stille spørsmål rundt enkelte IT avdelingers evne til å kommunisere sikkerhet til ledere.
Jeg har sett flere eksempler hvor IT uttrykker bekymring rundt sikkerhet kun ved å presentere kostnader til ledelsen og ikke klarer å formidle den faktiske risikoen og kostnad ved en hendelse. Sikkerhetshull er også ganske vanlig og ressurskrevende å reparere.
Jeg sier ikke at noe av det jeg har skrevet over gir en unnskyldning for dårlig sikkerhet, for dårlig sikkerhet kan komme av veldig mange årsaker, ikke bare at noen er gumper eller ikke kvalifiserte.
Jeg tror også bransjen fortsatt (les: mellomledere og ledere) er umoden. Det er kun i senere tid at sikkerhet hatt fokus også hos vanlige folk.
Det er også en ting til, bransjen vil ikke ha tenåringer lurkende i systemene sine.
Se på freemykiwi som skulle teste sikkerheten til skolen sin, der måtte mods endre innleggene som ble lagt ut fordi de identifiserte skolen og dermed sitter det flere personer som allerede kan ha brutt seg inn fordi én person startet private penetrasjonstester.
Det er også flere eksempler på Twitter hvor én person varsler om noe og plutselig er 1000 proffer og amatører på skattejakt i datasystemer som inneholder informasjon om tredjeparter.
Det er
helt greit at tusenvis av proffe hackere bryter sammen et system som inneholder sensitiv informasjon. Se på det slik, hvis du vet at en dør er ulåst i det virkelige liv, så er det temmelig begrenset hvor mange som faktisk kan bryte seg inn. Det må jo da som oftest omfattende kostnader ut i reisemål for å komme seg dit, hvis en person i fra Asia skulle ha brutt seg inn på norsk tomt. Sånn fungerer ikke nettet. Der ligger sikkerhetshullet helt åpent, og fullt tilgjengelig, globalt,
for hele verden. Derfor er det kritisk at vi har flinke folk som graver etter sikkerhetshull og melder det i fra ansvarlig. Til tross for at det dem gjør er ulovlig.
Alternativet blir jo selvfølgelig veldig dramatisk veldig raskt. Si nettbanken din har et sikkerhetshull, og vi ikke har folk som undersøker dette. Hva tenker du om at en russisk/kinesisk/indisk/svensk/egyptisk hacker utnytter dette hullet og gradvis legger inn små transaksjoner i fra din konto? Ikke alle angrep fører til massiv sabotasje som plugges umiddelbart. Det kan ta måneder til flere år før det oppdages.
Hvis holdningen vår skal være å hamre ned på alle som forsøker å bidra, som i dette tilfellet, risikerer vi samtidig at dørene står åpne for hackere. De slutter uansett ikke med angrepene sine, og per dags dato er det svært lite man kan gjøre for å avdekke disse angrepene, uten at noen står frem.