Om snakeoil.dk

Her følger et par grove men sande observeringer:

PC programmer som private og firmaer benytter er af utilstrækkelig kvalitet.

Bilerne i 1930 var ikke særligt sikre. De var designet til at være funktionelle og intet andet: de fik ejeren fra punkt A til B. Bilister som kørte galt havde en meget stor risiko for at få knust benene og trykket rattet op i ansigtet. Ufatteligt mange mennesker blev slået ihjel i trafikuheld i disse tider. Rapporter om hvor usikre biler egenligt var blev tilbageholdt og folk fandt sig i det, fordi de ikke kendte til bedre alternativer. Der gik mange år før bilfabrikanterne overhovedet begyndte at undersøge hvad der egenligt sker i trafikuheld.

Bilerne i 2002 er af betydeligt bedre kvalitet. Bilister som er indblandet i uheld har en meget større chance for at overleve end tidligere. Dette skyldes at bilerne nu bliver designet til at være funktionelle og til at kunne modstå misbrug. ABS og tracktion control medvirker til at forbedre kontrollen over bilen. Sikkerhedsseler og airbags beskytter en del i tilfælde af uheld og et forstærket karosseri beskytter passagerne mod at blive knust. Disse faktorer (og mange andre) giver føreren en vis garanti for at overleve uheld.

Der er hårdt brug for denne type garanti andre steder.

Størstedelen af dagens PC programmer er af omtrent samme kvalitet som bilerne i 1930. Det er derfor der regelmæssigt bliver fundet sikkerhedsfejl i udbredte programmer som Microsoft Windows og lignende. Det er ikke onde "hackere" der planter disse fejl i programmerne. Det er producenten som ikke har udvist tilstrækkelig omhu under udviklingen. Det er derfor det er muligt for knægte at bryde ind i systemer de ikke har adgang til.

Selv programmer som specifikt markedsføres som beskyttelse har utallige problemer. I mange tilfælde kan de endda medvirke til at forringe sikkerheden hos brugeren. Til tider narrer producenten sig selv, ved at overvurdere kvaliteten af deres eget produkt. I andre tilfælde er der direkte tale om bedragere som lever af at vildlede deres kunder.

Snakeoil.dk er et sted at poste analyser af programmer som fremstår som værende af tvivlsom kvalitet. Vi ønsker at råbe højt med det formål at få producenterne til at forbedre kvaliteten af deres programmer.

Hverken private PC brugere eller firmaer forstår at analysere sikkerhedstrusler eller beskytte sig korrekt.

Det er faktisk ikke urimeligt når vi forlanger at almindelige PC brugere forstår det værktøj de bruger. En hammer er et værktøj der kan bruges rigtigt eller forkert. Nøjagtigt det samme gør sig gældende for en PC. Den nødvendige forståelse kan opnås ganske hurtigt. Vi anbefaler at PC brugere læser Ofte Stillede Spørgsmål i dk.edb.sikkerhed som opdateres løbende.

De fleste offentlige og private organisationer i Danmark har rigtigt dårlig IT sikkerhed. Det samme gælder alle andre lande, men der er ingen grund til at bide over mere end man kan tygge i småstykker og sluge.

Det gælder alt fra din kommune, din bank og dit forsikringsselskab. Usikkerheden skyldes at der ikke er brugt tid på at fastslå hvilke værdier der skal beskyttes og hvor mange resourcer der kan bruges på det. Mange steder har ingen sikkerhedspolitik. Mange steder som har en sikkerhedspolitik overholder den ikke. Den typiske ledelse ser for meget på hvad der kan spares nu uden at tænke på hvad disse besparelser kan komme til at koste i fremtiden. Det er ikke nødvendigt med sådan en snæver tankegang. Der er formelle metoder til at vurdere risiko som hjælper ledelsen til at beskytte organisationens værdier og bruge penge de rigtige steder.

Ledelsen skal til at ændre synspunkt på IT. Tænk på hvad der kan spares i fremtiden hvis der i dag bruges X antal kr. på at uddanne udviklere til at skrive sikker kode, til at forbedre kvalitetsprocesser eller generelt uddanne brugere og sætte systemer op korrekt. Her følger nogle typiske fejl:

Alle disse problemer er set gang på gang. Læs RISKS ugenligt for at få et indblik i hvordan verdenen virkeligt ser ud og hvad nogle af verdens dygtigste sikkerhedsspecialister mener om de basale fejl der begås igen og igen.

Medierne og politikere hjælper sjældent til at forbedre forståelsen af sikkerhedsproblemer.

Journalister og politikere har ikke tiden til at forstå alle aspekter af IT sikkerhed og det kan man vel heller ikke forvente.

Desværre er medierne ofte mere interesserede i en god historie end i at få alle detaljer korrekt. Det er endda set at medierne ukritisk rapporterer om hvad vi betragter som snake oil. Disse handlinger bidrager til at brugere tror at magiske sikkerhedsprodukter kan redde deres liv.

Vi vil gerne kunne bidrage til at højne rigtigheden af mediernes rapporter uden at fremme vores medlemmers personlige eller økonomiske sager. Det er sjældent at en såkaldt "sikkerhedsekspert" citeres i medierne uden at vedkommende formår at lægge sine egne økonomiske interesser ind i sagen.

Vi ser også politikere komme med f.eks. lovforslag i god mening som kan få ubehagelige følger. Amerika's DMCA lov er blevet brugt adskellige gange til at true eller fængsle sikkerhedsresearchere til ikke at afsløre sikkerhedsfejl.

Vi påstår ikke at have alle svarene, men vi så gerne at de kommentarer som bliver postet til snakeoil.dk kan bruges af borgere, politikere og journalister til at opnå mere viden.

Baggrund for vores navn.

Snake oil er en engelsk betegnelse originalt brugt om enhver substans eller mixtur solgt under den påstand at det er medicin, somregel uden at der er dokumenteret medicinske egenskaber. Begrebet bruges nu blandt andet om (IT-sikkerheds)produkter der sælges uden der er bevis for at produktet kan løse opgaven.

Vi håber at kunne forklare de problemer vi finder i hvert produkt på så simpel en måde som muligt, uden at tale ned til ikke-specialister. I så vidt muligt omfang vil vi bakke vores ikke-tekniske forklaringer op med tekniske beviser. Dette gør at ikke-specialister kan bede betroede specialister om at sammenholde vores tekniske beviser med vores ikke-tekniske forklaringer. Der må aldrig være tvivl om snakeoil.dk's oprigtighed, og tilgængeligheden af tekniske beviser er med til at fremhæve vores formål: at almindelige mennesker kan foretage en beslutning, fuldt vidende om et produkts kvalitet.

Vi føler vi bør pege på andre som var her før os, og som på ærlig vis bringer oplysninger om bedragere og inkompetente frem i lyset:

$Date: 2004-06-23 09:35:15 $