FBI, GoDaddy: Tatt på fersken

A hole dug up under the steel graving fence with barbed wire, escape concept, 3d illustration

'Tenke selv' synes å være en tapt kunst - ikke bare hos politikere. Men at FBI glemmer å låse egne dører i årevis uten å oppdage det, sprenger alle grenser. Eller gjør det egentlig det?

Det er fristende å harselere rundt historien fra FBI, med en utadrettet web-server som ikke bare hadde gått ut på dato for evigheter siden, men hadde en design som eliminerte enhver reell sikkerhet. Det er imidlertid langt mer nyttig å ta erfaringen hjem: Hva med oss?  Har vi åpnet alle skap, sjekket under alle senger? Når selv de (antatt) beste – og definitivt mest paranoide utad – svikter på elementære punkter, er det nærliggende å ta en titt i speilet.

Behovet forsterkes av en enda ferskere historie, denne gangen GoDaddy, en av verdens største (og eldste) leverandører av web-hosting, DNS, epost og mange andre Internett-tjenester. Og som tilfellet var for FBI, er det ikke selve innbruddet som er oppsiktsvekkende, men hva innbruddet avslører av intern skjødesløshet. 1,2 millioner brukernavn og passord på vidvanke, de aller fleste tilhørende profesjonelle web-hosting (WordPress) kunder. Pluss et ukjent antall hos partnere som mer eller mindre uvitende benyttet samme mekanisme. Og som for FBI er hovedpoenget ikke selve innbruddet, men hva innbruddet avslører: GoDaddy hadde 'glemt' å kryptere passordene. Slik kryptering har vært normalen i IT-miljøer i mer enn 50 år, med stadig nye og bedre algoritmer. Men ikke hos GoDaddy.

Igjen skal vi motstå fristelsen til å raljere med graden av skjødesløshet, og trekke fokus tilbake til oss selv. Små tuer velter fortsatt store lass, og når vi først er i gang med passende ordtak: The devil is (always) in the details.

Den ultimate påminnelsen fra begge eksemplene - og tallrike andre - er at vi kan ha hvor mye teknologi som helst, men menneskelig svikt finnes fortsatt. Case in point: I en diskusjon om førerløse skip og sikkerhet for et par år siden, ble det påpekt at mer enn 90% av havarier/skader/ulykker til sjøs, spesielt rundt værharde Stadt, kan tilbakeføres til nettopp menneskelig svikt. 

Å fjerne mennesker fra ligningen der det er mulig, er med andre ord et mål i seg selv. Samtidig - å tro at menneskelig svikt noen gang blir borte, er naivt. Mennesker flytter kontinuerlig opp i 'næringskjeden', og trengs på nye områder – som vi også er inne på i ukens analyse - Det vi ikke vet om 2022.

Derfor - og dette er en noe bisarr observasjon: Vi trenger mennesker på nye områder for å redusere menneskelige feil på de gamle. For eksempel kaos-ingeniører – som vi diskuterte forleden (Lystelig, livsviktig kaos), og sikkerhetsspesialister som forstår helheten, holder fingrene fra fatet på de riktige stedene og introduserer pålitelig teknologi der det er mulig. 

Dessuten - og kanskje den egentlige rosinen i pølsen: Innbruddene – de nevnte og utallige andre – er ikke oppsiktsvekkende i seg selv. Snarere tvert imot – ubudne og usynlige gjester er vanlig i tekniske installasjoner (se Spion-chips: Hva om alle er infisert?). I en verden uten klassiske grenser og dermed uten klassisk ringforsvar (perimeter security), er sikringen av verdi-objektene viktigere enn en søken etter mer eller mindre fiktive grenser. Og objektene er ikke infrastruktur, men data og – i neste runde – tjenester.

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.