Den største sikkerhetsfarsen
…handler om deg og meg og en Internett-ruter. Som ISPen eier, du bruker og noen (sannsynligvis) misbruker.
Vi skulle ønske det var en spøk, men dessverre: Nesten alle har Internett. Og alle som har Internett, har en ruter. Like naturlig som at alle har strøm og sikringsskap. Med én viktig forskjell: I sikringsskapet bor sikringer, i ruteren bor kinesere. Eller russere, muligens amerikanere, tyskere, briter eller nord-koreanere.
Hvem som ‘bor’ der spiller mindre rolle, poenget er at DIN internettruter er like sikker som et åpent hundebur. Lavt prioritert fra fabrikant, enda lavere fra ISPene (Internett-leverandørene), og lavest fra deg. For når sant skal sies, selv om du og jeg er IT-profesjonelle, hvor ofte sender vi Internett-ruteren en tanke? Kun når den (eller linjen) skaper trøbbel, og med alt annet enn sikkerhet i tankene: «Når kan vi komme på lufta igjen?»
Avhengigheten av Internettet er like total som på jobben. Har vi driftsproblemer, er det kun én ting som gjelder – å re-etablere forbindelsen. Familien klager, alarmsystemet piper, strømmetjenester (inkl. TV og radio) stopper, jobben er over på 4G – i beste fall. Vi er like ’nedetid-adverse’ som vi er risikovillige. For mens Internett-kunder flest kan unnskyldes med at de ikke vet bedre, må vår egen overlagte ignorans kalles risikovilje. Ikke sjekker vi om det er rapportert om hull og bugs, ikke søker vi etter oppdateringer, ei heller installerer vi dem om de finnes. På toppen av det hele plugger vi USB-disker rett i ruteren og lar den ta ansvaret for vårt digitale privatliv – backups, bilder, arkiver og mye mer. Ille nå og verre blir det – i takt med at hjemmet IoT’ifiseres: Dørlåser, varmestyring, lysstyring, og fjernstyring av alle tenkelige enheter, fra garasjeporter til gardiner.
En elendighet som burde gi søvnløse netter, men som ikke gjør det – kanskje fordi det er langt mellom skrekkhistorier i media. Men manglende rapporter betyr ikke manglende incidenter. Hvem oppdager misbruk først? ISPen – som garantert ikke vil ha publisitet om saken. Istedet får kunden plutselig en ny ruter i posten, med oppfordring om å installere snarest. Muligens fulgt av høyere båndbredde som incentiv: «Vi har oppdatert infrastrukturen … kostnadsfritt.» Billig og effektivt for ISPen, greit for kunden – som fortsatt er (nesten) like eksponert. For den nye ruteren ble produsert for 3 år siden og er overmoden for software-oppdatering. Prikken over i’en er at den ene ruter-leverandøren etter den andre har fjernet SNMP fra produktene, og dermed blokkert vår beste mulighet for å holde kontroll med situasjonen.
Bransjen – ISPene og ruterleverandørene – har feilet dramatisk i utøvelse av selvjustis. De har levd i et åpent, uregulert marked og ensidig utnyttet situasjonen i stedet for å balansere den. Kunden taper og markedet skriker etter regulering, hvilket amerikanske FCC er i ferd med å ta tak i. I et 3-siders notat griper FCC fatt i en rekke svakheter i dagens regime, og foreslår tiltak/reguleringer som kan bli vedtatt allerede om få uker. Forslagene vil få stor (lobby-) motstand, men vil sannsynligvis bli vedtatt – i 1. eller 2. runde. Og vil få smitteeffekter for resten av verden. For situasjonen er omtrent den samme over alt. Et vill-vest marked med lite regler, ditto ansvar og mager sikkerhet.
Endringen er overmoden. Vi ser frem til tilsvarende initiativer på hjemmefronten, der en virus-pakke for Windows er det typiske tilbudet fra ISPene på sikkerhetssiden. Nyttig for 15 år siden …
Se også …
- Sikkerhet: The blame game
- Hvem trenger bakdører når vi har brukere?
- Lar du deg lade – offentlig?
- … og Sikkerhetsfarsen: Veien ut…, der vi skisserer en alternativ vei ut av uføret.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.