Mens tiden er gået med at implementere cookie-direktiver er dine login-oplysninger inklusive potentielt privatlivsfølsomme oplysninger blevet lækket gang på gang.
Sidst år i oktober blev Adobe kompromitteret og 153 millioner konti bestående af id, brugernavn, email, krypteret kodeord og hints i ren-tekst. Ikke nok med det, men fordi at alle kodeord var krypteret med samme algoritme og med samme initialiseringsdata og hints i ren-tekst har det ikke taget længe at finde de faktiske kodeord. Xkcd beskriver det som den største kryds og tværs nogensinde.
Fornylig blev vi igen mindet om at vi har et problem – da der blev fundet en fejl i OpenSSL, et bibliotek der menes benyttet på op til to trediedele af internettets webservere. Fejlen gjorde at der frit kunne læses fra web-serverens hukommelse uden at efterlade spor. Fejlen blev døbt heartbleed, ingen tvivl om at den kommer til at score højt på årets Google Trends.
Ydermere går trenden imod mere distribuerede services og her er kæden desværre ikke stærkere end det svageste led. Vi øger hermed den sårbare snitfalde.
Vi har et problem men hvem har ansvaret?
Nogle problemer skal givetvis løses i infrastruktur men firewalls og deep packet inspection når kun et stykke af vejen. Alt skal jo have adgang til internettet – ellers havde vi nok valgt den eneste sikre vej; at klippe ethernet-kablet.
Den største del af problemet skal løses i det software der bliver produceret og dermed påhviler ansvaret os udviklere.
Vi kan lige så godt antage at vi bliver hacket.
Det er svært at få rigtigt og problemet ses ofte først af beslutningstagere når det er for sent – når det påvirker bundlinjen i negativ retning.
For nogen firmaer er reaktionen mere lukkethed, en løsning der blot skaber mere utryghed og tvivl. Security-by-obscurity løser intet, der skal nok være en hacker der finder hullet, og så giver det ikke den almene befolkning mulighed for at reviewe løsningen.
I mine øjne burde et så vitalt stykke software som Nemid være offentligt eje og open source – det er den eneste måde hvorpå vi kan dele ansvaret for sikkerheden. Med lukket kode må ansvaret påhvile programmøren.
Forslag
I stedet for at forsøge at lukke os inde og lade vore brugere håbe på at sikkerheden er i orden skal vi offentligt udstille vore sikkerhedspolitikker.
I fællesskab udvikler vi et spørgeskema som skal stille de website-ansvarlige en række kritiske spørgsmål.
Det er givet at der er mange, men vi tager hul på problematikken ved at stille spørgsmål ved de mest basale sikkerhedsfejl først.
- Gemmes passwords i ren tekst (ja det sker), eller benyttes der en form for kryptografisk algoritme, i såfald hvilken?
- Bliver alle formularer der indeholder legitimationsoplysninger og/eller personfølsomme oplysninger overført over sikker forbindelse (HTTPS)?
- …
- Findes der lockout mekanismer ved for mange mislykkede login-forsøg?
Dette kunne så give en samlet sikkerhedsrating. Denne rating kan vi så udstille på de enkelte sites, så brugere kan se hvad de kan forvente, og der kan iøvrigt linkes til svarerene. Hvis du bruger 3. parts sites eller services kan din rating ikke blive højere end deres. Dermed ligges der automatisk pres på leverandører af services til at de også skal have styr på sikkerheden for at få en ordentlig rating.
Det er klart at for at en løsning skal virke, skal der fælles fodslag til. Det er muligt at der allerede findes initiativer som dette, men jeg kunne godt tænke mig at se noget fra offentlig hånd. Har du forslag til måder hvorpå vi kan løfte sikkerheden for os brugere af internettet?