SIKKERHET

Når et hull blir en bakdør

Alle låser er laget for at noen skal kunne åpne dem. Slik fungerer også en bakdør. En sårbarhet er som regel noe annet.
Alle låser er laget for at noen skal kunne åpne dem. Slik fungerer også en bakdør. En sårbarhet er som regel noe annet. Foto: Colourbox
30. aug. 2019 - 13:09

Denne kommentaren gir uttrykk for skribentens meninger.

Funn av sikkerhetshull på iPhone blir i dag feilaktig omtalt som en bakdør. Dermed har en del norske aviser, som publiserte NTB-nyheten, gjort vanlige folk litt mindre kloke.

Kilden til saken, Googles sikkerhetsteam Project Zero, har ingen slike referanser. De gir derimot en lang og teknisk gjennomgang av et sett med sårbarheter de har påvist i en rekke versjoner av Apples mobile operativsystem.

Minst én av disse var en såkalt nulldagssårbarhet. I dette tilfellet ble sårbarheten utnyttet allerede før leverandøren ble informert 1. februar i år.

Foruten bruk av lange kjeder bygd opp av flere ulike sårbarheter, som til sammen gjorde det mulig å omgå telefonens innebygde forsvarsverk, inkludert sandkasse-teknologien – slik at en angriper kan skaffe seg full kontroll, så er det kampanjens omfang som er mest oppsiktsvekkende.

Project Zero mener at opphavet, en ukjent gruppering, målrettet har angrepet iPhone-telefoner over en periode på minst to år. Dette var ikke teoretiske sårbarheter, men reelle angrep. Noen bakdør var det derimot ikke.

Begreper til forvirring

Programvare har svakheter og sårbarheter, som kan omtales som hull, feil, brist, svikt eller lignende. Slike kan oppstå i utviklingen, typisk i form av tastefeil, forglemmelser eller slett arbeid. Dette rammer naturligvis også Apple, slik det rammer Microsoft, Samsung, Facebook, Google selv, og alle andre.

Utallige verktøy, rammeverk og prosesser er lagd for å unngå dette, inkludert testing i alle bauger og kanter. Likevel er det et uomtvistelig faktum at feil skjer, også etter lansering. Det er ikke rart når programvaren kan bestå av hundretusener eller millioner av kodelinjer, både i kjerneproduktet og tilhørende, importerte ressurser og biblioteker fra tredjepart.

Kanskje er det først i en kjede av mange ulike kodebiblioteker at svakheten oppstår. Eller ved senere bruk i sammenhenger ingen har tenkt på. En vanlig forståelse er at slike sårbarheter oppstår som følge av det man kan kalle uheldige omstendigheter.

En bakdør er derimot bevisst plassert. De er planlagt av noen med vilje og ønske om å få adgang til et datasystem, en tjeneste eller applikasjon eller fysisk utstyr.

Bakdøra trenger heller ikke å være plassert med veldig onde hensikter. Enkelte ser seg tjent med å opprette skjulte mekanismer av mer eller mindre legitime årsaker, som flere ruterprodusenter kan være et aktuelt eksempel på. Hvor lurt det er, kan diskuteres.

For en del år siden ble mange Nextgentel-rutere hacket fordi de hadde en innebygd superbruker med passordet «VebBfB1963» som visstnok var forkortelse for «Vi er berømte Brann fra Bergen 1963». Målet har en tendens til ikke å hellige middelet når det gjelder bakdører… I hvert fall når de ender opp med å bli misbrukt.

Andre bakdører kan og blir selvsagt opprettet for å overvåke, stjele opplysninger eller kontrollere programvare, eller for å skaffe noen adgang til data man ellers er forhindret fra.

Nytalen

I USA har det lenge pågått en debatt om myndighetene skal kunne pålegge produsentene å svekke sikkerheten i elektronikk ved å plante bakdører. Et slikt tvangsmiddel er selvsagt svært kontroversielt.

I diskusjonens kjerne settes da forhold som kundenes eller hele befolkningens personvern og sikkerhet opp mot hensynet til nasjonal sikkerhet. Politiet må kunne ransake en mistenkt terrorists låste mobiltelefon, er et velkjent argument.

Altså ganske likt debatten som med ujevne mellomrom dukker opp også i Norge, som ved innføringen av datalagringsdirektivet eller digitalt grenseforsvar. Jeg og andre har argumentert for at sistnevnte er et overvåkningstiltak som setter alminnelige rettsprinsipper helt på hodet, og kan oppfattes som en bakdør inn mot hele befolkningens kommunikasjon.

Politikere, byråkrater, politi og domstoler unngår gjerne å bruke bakdør-begrepet, fordi det er et så negativt ladet ord. I stedet kan man oppleve kreative påfunn og omskrivninger, som krav om «ansvarlig kryptering», nytalen USAs daværende visejustisminister Rod Rosentein tok til orde for i 2017.

Bakdør var det okke som.  Det er et mer folkelig begrep, som brukes av både eksperter og fagpresse, men dessverre altså ikke Norsk telegrambyrå.

Akkurat som et hus, en bygning eller en middelaldersk borg kan føres opp med en skjult dør inn, så kan også programvarens arkitektur inneholde skjulte dører.

En sårbarhet er altså ikke en bakdør, selv om en bakdør er en sårbarhet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.