Problemet ligger delvis i nettverksteknologien og delvis i hver enkelt pc's programkode, altså i operativsystemet og brukerprogrammene. Så lenge maskinen står selvstendig, uten noen form for nettverk blir angrepsvektorene kraftig redusert, angriperen må ha fysisk tilgang til maskinen. Dette var utgangspunktet til de mest brukte operativsystemene benyttet mens Internett ble allemannseie. Jeg tenker nå primært på Windows 95 og 98.
Programkodene er skrevet av mennesker og kan inneholde svakheter. Noen svakheter er et resultat av slurv, noen et resultat av uvitenhet, andre som resultat av intensjon (kjent som bakdører).
Et enda større problem er trolig resultatet av feilslått policy (fra et sikkerhetsperspektiv). Med denne kategorien mener jeg beviste valg. Funksjonalitet og kompatibilitet fremfor sikkerhet og personvern der det viktigste er at ting bare fungerer, helst rett ut av boksen. Sikkerhetsfunksjonalitet skaper bry og gjør at ting slutter å virke og det krever for mye kunnskap for å sette opp riktige innstillinger. Med policy mener jeg generelt: "default deny" vs. "default accept". Typsik Windows har lenge vært at alt står på som standard. Delte filer var tilgjenglige via Internettforbindelsen i Windows helt til brannmuren kom på plass. (XP service pack 2)
Vi har hatt et dårlig utgangspunkt, og siden kostnaden forbundet med å re-designe hele systemet for lengst er blitt alt for høy, må vi plastre på litt sikkerhetsfunksjonalitet her og der. Antivirus, anti-Adware, brannmurer, +++. Det har blitt et kappløp mellom angriperen og forsvareren. Et kappløp vi trolig ikke vil vinne med mindre vi sier fra oss en del friheter vi i dag tar for gitt...
Sikkerhet handler prinsipielt om å unngå hendelser vi ikke ønsker, samt å tillate hendelser vi ønsker. Vi ønsker å betale med kort på Internett fordi det er lettvint. Det vi ikke ønsker er at noen skal tømme kontoen vår uten at det var intensjonen vår.
Vi ønsker å behandle informasjon i datasystemer fordi det letter hverdagen vår. Likevel ønsker vi ikke at informasjonen skal falle i hende på hvem som helst, da den kan være sensitiv. Det er vanlig å dele sikkerhet inn i forskjellige kategorier:
- Prevention
- Detection
- Reaction
- Confidentiality: privacy and secrecy, unlinkability / traffic analysis, anonymity
- Integrity: "as supposed to be", "true to source", external and internal consistency,
- Availability: "accessible and usable", fault tolerance
- Accountability: identify, authenticate, secure audit trail
- Non-repudiation: origin, delivery (non-deniability)
- Reliability: safety, dependability
Konfidensialitet Informasjonen skal bare være tilgjengelig for de som er gitt tilgang til den
Autentisering Det skal være mulig å bekrefte / avkrefte om påstått identifikasjon faktisk stemmer
- Tilgangs og rettighetskontroll
Tilgjengelighet Informasjonen og systemet skal være tilgjengelig når autoriserte ønsker å bruke den
- Backup
- Oppetid netttjenester
- Tilgang ved mistet mulighet for autentisering
- Backup
Integritet Systemet må virke slik det er tiltenkt og informasjonen må forbli riktig (bare autoriserte skal kunne endre på den)
Benektelse Det skal ikke være mulig å benekte en "digital handling" du har gjort
Hvilke som er viktige, avhenger selvsagt av hva slags funksjon/oppgave systemet har.
Snakker vi om surfing på nettaviser spiller konfidensialitet ingen rolle. Informasjonen er fritt tilgjengelig. Tilgjengeligheten er viktig, uten den får vi ikke se nettavisen. Integriteten er viktig, men da i sammenheng med autentisering. Vi må vite at det faktisk er VG vi leser, og ikke noen som utgir seg for å være VG. Generelt sett mangler Internett denne egenskapen slik vi kjenner det i dag.
Behovet for sikkerhet starter med at vi har funnet konkrete trusler rettet mot oss, informasjonen vår og systemene våre...
Trussel mot: Brukerutstyret, nettverket og sentrale nettverkstjenester...
identitetstyveri
hvordan sikkerhet opp mot webbaserte tjester sikret, sessions, https,
Informasjonsinfrastruktur, informasjonssystem (der datasystemet bare er en del av totalen)
post vs e-post, tilgjengelighet og sikkerhet