"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
news:f7p0st8oin259sb4ntj7f182t8hfr0hfog@4ax.com...
> Jeg tror vi må have en journalist/politiker på banen som kan sige
> noget højt kvalificeret om den diskussion.
>
Altid til tjeneste!
First things first: Det er helt rimeligt at forvente, at en ISP håndterer
abuse i ét eller andet omfang.
Det fremgår af RFC 3013:
"Whether or not an ISP has a CSIRT, they should have a well-advertised
way to receive and handle reported incidents from their customers.
In addition, they should clearly document their capability to respond
to reported incidents, and should indicate if there is any CSIRT
whose constituency would include the customer and to whom incidents
could be reported."
Hele RFC'en kan læses her:
www.faqs.org/rfcs/rfc3013.html
TDC oprettede i 1999 CSIRT.DK, som dog primært håndterer erhvervskunder, men
som også rådgiver resten af virksomheden i sikkerhedsspørgsmål.
Ved opslag i WhoIs-databaser kan man tydeligt se, hvem der er
"abuse"-kontakt for den pågældende IP-adresse, hvis det er en kunde i TDC's
netværk. Det vil enten være csirt@csirt.dk eller abuse@post.tele.dk
Det formelle er altså på plads, men tilbage til virkeligheden... Det
fungerer alt sammen smukt og nydeligt under normale omstændigheder, men Code
Red Worm og senest Nimda-ormen har desværre vist, at der er så mange
ikke-patchede maskiner på nettet, at man somme tider kan blive nødt til at
prioritere sin indsats - hvilket de fleste ISP'er vel har måttet sande. Det
betyder naturligvis ikke, at man ikke foretager sig noget, men der kan gå
lidt længere tid end sædvanligt - og helt ærligt: Der er endnu ingen, som
har mistet liv, penge eller fortrolige data, fordi deres ZoneAlarm har fået
40 entries i loggen.
Det er ærlig talt synd for den kunde, som har et sikkerhedsproblem uden at
vide det. Og det er ærgerligt for den, som bliver generet af andres
maskiner, som hamrer løs i et forsøg på at sprede Code Red, Nimda, SirCam,
miltbrand og hvad ved jeg, men desværre er der efterhånden så mange
sikkkerhedsbrister, at ingen kan have råd til at have et udrykningshold
stående klar til at hjælpe i hver enkelt sag.
Men lad os da bare lege "blame game"...
"Netudbydere løber fra virus-ansvar" hed overskriften i Jyllands-Posten
forleden. Historien var en énkilde-historie, hvori antivirus-producenten
Trend Micro beklagede sig over, at ISP'erne ikke leverer "virusfrit"
Internet på samme måde som vandværkerne leverer rent vand. Og Trend Micro
havde da tilfældigvis en løsning, som de gerne ville sælge til ISP'erne...
Jamen, fint nok. Er vi så også villige til at betale lige så meget for en
megabyte virusfri data, som vi betaler for en liter rent vand?
Eller en anden analogi: Vil vi også forlange, at postvæsenet forhindrer, at
en upopulær politiker får tilsendt en lort i en prøvekuvert? (den slags
forsendelser er blevet leveret et par gange, har jeg læst)
Eller en tredje: Vil vi forlange, at TDC TeleDanmark skal forhindre
telefonfis?
Og så er der også lige juraen: Hvis en ISP skal være den, der opdager virus
og andre sikkerhedsbrister, så skal ISP'en foretage en omfattende
overvågning af kundernes systemer og data. En ISP-scanning for virus i
e-mails skal være obligatorisk, hvis den for alvor skal have effekt à la
"rent vand fra vandværket".
Det ville være ensbetydende med, at ISP'en skulle have lov til at
indholdsscanne kundernes e-mail. Og en sådan scanning vil kræve kundernes
accept, for ellers ville det være et ulovligt indgreb i
meddelelseshemmeligheden (i strid med Grundloven). Altså skulle man rent
formelt opsige alle kundeaftaler og tilbyde en gentegning af abonnementer
med nye kundevilkår. Muligt? Ja. Sandsynligt? Nej.
Skulle man opdage sårbarheder i kundernes systemer, ville det kræve endnu
tættere overvågning, idet det ville kræve adgang til den enkelte pc, som
skulle scannes for manglende servicepacks, hotfixes, shared folders,
manglende password på gæste-logins osv. osv. Muligt? Tjoh... Sandsynligt?
Nej.
Og så tør jeg slet ikke tænke på de sagsanlæg, der ville opstå, hvis en
kunde alligevel fik en virus eller blev hacket, for med en så massiv
omklamring fra ISP'ens side ville kunden miste ethvert argument for selv at
interessere sig for sikkerheden.
Altså: Udgangspunktet må være, at ISP'erne gør som nu: Holder styr på, hvem
der er tildelt en given IP-adresse på et givet tidspunkt. Og nix weiter
(uanset hvad paranoide mennesker med fantasier om danske versioner af
Echelon og Carnivore ellers påstår). ISP'en kan ikke påtage sig rollen som
den, der opdager hændelser, men kan og bør selvfølgelig være den, der
reagerer på hændelser.
Hvordan skal ISP'en så reagere på hændelser?
Der er flere muligheder allerede:
- information
- teknisk support
- sanktioner med henvisning til kundevilkårene
Alle tre muligheder er i brug, omend sanktionerne er sjældne. Det er faktisk
sjældent, at Internetbrugere generer hinanden med vilje, selv om
journalister somme tider kan få det til at se sådan ud.
Den tekniske support har hidtil været tilstrækkelig, idet Internettet hidtil
har været forbeholdt de teknisk interesserede, som var motiverede for at
lære mere, og antallet af hændelser ("incidents") har været beskedent i
forhold til personaleressourcerne. Sådan er det ikke længere.
En mulighed kunne være i videre omfang at udføre "triage", således at de
mest banale incidents bliver håndteret af "trained monkees", som kan hjælpe
med ét problem - og ikke andet. Og dyrt er det jo stadig.
Som borger og demokrat er jeg stolt af, at Danmark har en vision om at blive
en førende IT-nation, hvor stadig flere får adgang til Internettet. Det
giver imidlertid en række udfordringer at skulle oplyse disse nye
Internetbrugere, der som oftest har et meget ringe kendskab til IT generelt.
Derfor må vejen frem være information. Og der er allerede sket meget, og der
sker hele tiden mere. Men det er hårdt arbejde, og mange kunne hjælpe til.
IT-leverandørerne kunne udvise et større ansvar. Jeg har talt med kunder,
som blev ramt af Code Red Worm to dage efter, at de havde fået leveret en
"færdig" løsning fra leverandøren. Med andre ord: Han havde leveret en
standardinstallation helt uden servicepacks og patches. Og den stakkels
kunde var rådvild, for de havde jo både købt antivirus og firewall og alt
muligt... I det mindste kunne IT-leverandørerne hjælpe kunden med at blive
opmærksom på problemet.
Kunderne kunne selv gøre mere. Danskere er berygtede for at smide manualen
væk sammen med emballagen og så ringe bagefter for at skælde ud over, at de
ikke kan hitte ud af det. Den slags ændrer man ikke lige "overnight"...
Og producenterne. Ak, ja. Microsoft har ofte stået for skud. Jeg synes nu,
at de klarer det relativt godt, men det er stadig forbeholdt teknikere at
hitte ud af dét der med sikkerheden. Min mor lærer aldrig at installere en
hotfix. Men det bliver da lidt bedre hele tiden. Det går bare så langsomt...
Det var et langt indspark, men jeg finder af indlysende grunde diskussionen
overordentligt spændende, så jeg håber, at mange vil bidrage.
Med venlig hilsen
Thomas B. Maxe
(som er stolt af at være journalist hos CSIRT.DK, men som i denne sammenhæng
repræsenterer sig selv og hverken CSIRT.DK, TDC Internet eller nogen andre)