____________________________________________________________________________
  ____________________________________________________________________________

      -uXu-                   DEN SVENSKA RAPPORTEN                  -uXu-

                        Information För Entusiaster Nr. 06
                                  (del 2 av 3)
 
                              Släppt Juni 30, 1992
                                    Innehåll:

                                    Ed's Ord
 
                           Sökregister Över Huliganer

                          Datastölder för 1,6 Miljoner

                              Säkerheten Inventeras

                              Sex Spännande Månader

                 85 000 i Skadestånd När Chefen Läste Hans E-Post

                               Chefen Läste E-Post

                               Inga Svenska Exempel

                      Säkerhetsbrister Måste Upptäckas i Tid

                   Grävande Journalister Vägrar Följa Datalagen

                               Hemliga Dataprojekt

                          Fjärrmätning Ska Ge Färre Fel

                                  Nytt Datorhot

                                 BBS För Inbitna

          Den Som Hävdar Att Hackers Inte Är En Säkerhetsrisk Är Naiv
                        Eller Drivs Av Ekonomiska Motiv

         _____________________________________________________________


                      av TC, Editor Den Svenska Rapporten

  ____________________________________________________________________________
  ____________________________________________________________________________

ED'S ORD:                                                                  DSR

   Den Svenska Rapporten accepterar utomstående källor ännu.  Vem som helst
   kan skriva för/lämna information till DSR. Skribenten/Lämnaren blir adderad
   som informations-lämnare, eller författare till artikeln. Full diskretion
   om författaren/lämnaren så önskar. Artiklar/Information kan lämnas på de
   system som finns listade i slutet av varje nummer av DSR.

   Värt att notera: Felskrivningar, felstavningar och rena fakta-fel ligger
   på källans sida och ej på den som rapporterat eller skrivit in texten/
   avsnittet. DSR kan ej heller anklagas för dessa oumbärliga fel då
   rapporterna i sin helhet är helt likvärdiga och överrensstämmer med
   originalet.

                                                             TC, DSR Editor
  ____________________________________________________________________________
  ____________________________________________________________________________

SÖKREGISTER ÖVER HULIGANER:                                         DSR (6/92)

    Polisen får upprätta ett sökregister över videofilmade fotbolls-
huliganer. Det har datainspektionen beslutat. Registret ska förstöras
omedelbart efter fotbolls-EM. Polisen videofilmar allt som rör sig under
fotbolls-EM, och det behöver de inget tillstånd för. Men det kommer
att bli 1 500 filmer, och för att kunna hitta rätt huligan bland alla
rullarna har polisen begärt att få upprätta ett datoriserat spanings-
register. Endast personer som är skäligen misstänkta för brott eller
som har stört ordningen får registreras i spaningsregistret.

  ____________________________________________________________________________
  ____________________________________________________________________________

DATASTÖLDER FÖR 1,6 MILJONER:                                       DSR (6/92)

    Tre män i 20-årsåldern åtalades den 4 juni för datastölder vid Örebro
tingsrätt. De anklagas för datastölder för totalt 1,6 miljoner kronor.
Stölderna har ägt rum under ett års tid i Örebro-området. Den största
stölden var på LEA-bolaget i Hallsberg där datorer och annan kontors-
utrustning för 380 000 kronor stals. Ledaren för stöldligan är en 22-årig
Hallsbergsbo som erkänt. Det mesta av stöldgodset har sålts till hälare i
Stockholm, Västerås och Norrköping.

  ____________________________________________________________________________
  ____________________________________________________________________________

SÄKERHETEN INVENTERAS:                                              DSR (6/92)

    Nybildat ADB-Säkerhetsråd

    Bild: Jan Freese.
    Text: Säkerhetsman. En av de 18 medlemmarna i det nybildade ADB-
          säkerhetsrådet är Industriförbundets Jan Freese.

    Sårbarheten i samhällsviktiga datasystem måste minska. Det är den
viktigaste uppgiften för det nybildade ADB-säkerhetsrådet. Bakom rådet står
Överstyrelsen för Civil Beredskap, Överbefälhavaren och Statskontoret.

    Den första uppgiften för det nya organet har blivit att göra en säker-
hetsinventering hos myndigheter och organisationer. Det ska dessutom utveckla
metoder och teknik för att öka myndigheters datasäkerhet. Det gäller att
utveckla säkerheten samtidigt som den inte får krocka med offentlighets-
principen. Det arbetet har framför allt Statskontoret nytta av, men det är
också tillgängligt för andra myndigheter och organisationer. Rådet verkar
inom ÖCB och Statskontoret. Och det har nyligen publicerat rapporten "ABD-
säkerhet i Sverige: Vad som gjorts och vad som pågår".

    De aderton

    ADB-säkerhetsrådet består av 18 personer, med Gunilla André (ÖCB:s
generaldirektör) och Jan Carling (dito Statskontoret) som ordföranden. Bland
ledamöterna återfinns bland annat Industriförbundets Jan Freese, Jan Ridefelt
från rikspolisstyrelsen, Handelsbankens Georg Espling och Rabbe Wrede, Data-
föreningen i Sverige. En av de första sakerna rådet ägnat sig åt är in-
venteringen av vad som gjorts i Sverige på säkerhetsområdet under senare år.
Rapporten bygger på en intervjuundersökning som gjorts med representanter för
omkring 45 myndigheter och organisationer. Intervjuerna gjordes i februari
i år. Man ville ta reda på de olika organisationernas säkerhetsmålsättningar,
deras egna utredningar och projekt, genomförda eller pågående samt vad man
ytterligare önskade förbättra.

    Förankring och anpassning

    En slutsats är att de flesta organisationer föredrar att säkerhetsarbetet
anpassas till det egna arbetet. Man är alltså inte i lika hög grad beredd
att anpassa arbetet till säkerhetskraven.

    Egna säkerhetsprojekt

    Trots vad som ofta antagits är datasäkerhetsmedvetandet relativt högt
utvecklat i Sverige. I ADB-säkerhetsrådets rapport framkommer att 29 av de
tillfrågade organisationerna genomfört egna säkerhetsprojekt och/eller
publicerat egna rapporter. ADB-säkerhetsrådet kommer nu att fortsätta sitt
arbete, som främst går ut på att verka inom ÖCB och Statskontoret. Där ska
det vara en "referensgrupp, kompetenscentrum och sakkunnig panel". Det ska
också bygga upp kontaktnät för att utbyta säkerhetsinformation med andra
myndigheter och organisationer. Samt utgöra en påtryckargrupp och opinions-
bildande grupp gentemot omvärlden.

  ____________________________________________________________________________
  ____________________________________________________________________________

SEX SPÄNNANDE MÅNADER:                                              DSR (6/92)

    [Enbart täckande de notiser som är av intresse för DSR's läsare -ED]

    April - Diab Data hamnar i blåsväder när företaget drabbas av ett
            hackerintrång. Hackarna fick bland annat tag på telefonnummer
            till försvarets datasystem.

            FAS 90-projektet läggs ner - den borgerliga regeringen tyckte
            att det var för integritetskänsligt.

    Juni  - Chefen på Memorex Telex norska dotterbolag tittade i en
            anställds elektroniska brevlåda och fick betala 85 000 kronor
            i skadestånd.

  ____________________________________________________________________________
  ____________________________________________________________________________

85 000 I SKADESTÅND NÄR CHEFEN LÄSTE HANS E-POST:                   DSR (6/92)

    Första domen mot olovlig övervakning av anställda

    Bild: Knut Martinussen sittande på en bänk.
    Text: Chefen läste hans brev. Norske Knut Martinussen får 85 000
          efter att chefen gått in och läst hans privata e-post.

    Chefen på Memorex Telex norska bolag tittade i en anställds privata
elektroniska brevlåda. Det kostar henne 85 000 kronor. Juridiska experter
betecknar domen som ytterst intressant. Det är första gången som en arbets-
givare fälls i domstol för att olovligt ha tittat i personalens privata
e-post. Varken i Norge eller något annat land är en liknande dom känd sedan
tidigare. Idag går det inte att få något klart besked om vad som gäller i
Sverige. De svenska juristerna är mycket tveksamma till om en svensk domstol
skulle kunna fälla någon på samma grunder som man gjort i Norge. Kärnfrågan
är: Tillhör den elektroniska posten den anställde eller företaget?

  ____________________________________________________________________________
  ____________________________________________________________________________

CHEFEN LÄSTE E-POST:                                                DSR (6/92)

    85 000 i skadestånd

    Bild: Knut Martinussen.
    Text: Fick E-Posten genomsökt av chefen. Den norske datamannen Knut
          Martinussen får skadestånd efter att hans chef utan att under-
          rätta honom gått in och läst hans privata elektroniska post.

    Chefen på det norska dataföretaget Memorex Telex tittade i en anställds
privata E-post. Det skulle hon inte ha gjort. Norsk domstol dömde företaget
nyligen att betala 85 000 kronor i skadestånd. Juridiska experter i Norge
betecknar domen som ytterst intressant. Det är första gången som en arbets-
givare fällts i domstol för att olovligt ha tittat i personalens privata
E-post. Varken i Norge eller något annat land är någon liknande dom känd
sedan tidigare.

    -En mycket intressant sak, konstaterar Georg Aspenes, på Datatilsynet,
Norges motsvarighet till Datainspektionen. Georg Aspenes säger till Computer-
world Norge att domen, som sannolikt inte kommer att överklagas, kan komma
att bli praxisbildande. Fler domar av samma typ är att väntas.

    Seger i rätten

    Mannen som fick sin privata E-post systematiskt genomsökt av sin chef
heter Knut Martinussen. Han är mycket lättad efter den rättsliga segern över
sin tidigare arbetsgivare, dataföretaget Memorex Telex i Oslo.

    -Det var tufft, men i dag är jag glad att jag valde att gå vidare med
saken, säger han. Hela saken har egentligen mest med vanlig enkel moral att
göra, anser Knut Martinussen. Jag öppnar inte min frus post och försöker inte
ta mig in för att snoka i mina kollegors låsta skrivbordslådor. Samma enkla
förhållande bör givetvis gälla arbetsgivare när det gäller personalens privata
E-post, säger han till Computerworld Norge.

    De anställda på Memorex Telex har tillgång till ett E-post system som
binder samman den internationella koncern där det norska företaget ingår.
Personalen tilldelades varsitt personligt lösenord från systemansvariga i
Bryssel.

    Lösenord till ledningen

    Men utan att personalen på Memorex Telex visste om det, distribuerades
lösenorden ut också till företagsledningen. I den nu aktuella domen är det
just detta som Asker og Baerums Herredsrett fäster stor vikt vid. Hade
företaget tydligt informerat personalen om att ledningen kunde gå in och läsa
också lösenordsskyddade E-post-meddelanden, då hade det inte blivit någon
fällande dom. Också i dag, efter domen, har Memorex Telex behållt möjligheten
att läsa all E-post på företaget. Skillnaden är att man nu är noga med att
skriftligt informera personalen om detta.

    E-post-tvisten mellan Knut Martinussen och chefen på Memorex Telex Anne
Britt Heltmark började egentligen med att Martinussen blev omplacerad i 
samband med en omorganisation. Den följande konflikten mellan de två blev
allt mer inflamerad och slutade med att Heltmark sa upp Martinussen. Det var
under uppsägningstiden som Knut Martinussen upptäckte att någon hade varit
inne och tittat på hans lösenordsskyddade E-post-meddelanden.

    -Jag aktiverade en logfunktion och kunde konstatera att intrången skedde
från direktörens terminal. Jag upptäckte också att intrången skedde på helger,
på kvällar och då jag var ute på lunch, berättar Knut Martinussen. Jag blev
förbannad och kände mig kränkt. Jag konfronterade direktören med uppgifterna.
Men hon bara blånekade.

    Knut Martinussen bestämde sig för att gillra en fälla. Han skrev ett brev
ställt till koncernledningen i Italien där han framförde sina klagomål mot
direktören. Han lade det i sin privata E-post-area, men skickade aldrig iväg
det. Några dagar senare skrev han ett påhittat svar från koncernschefen och
lade också det bland sina övriga E-post-meddelanden. Chefen fastnade på kroken.
Enligt Martinussen kom hon mycket uppbragt inspringande på hans rum med ut-
skrifter av de två breven i högsta hugg och gav honom sparken med omedelbar
verkan.

    Rätten dömde företaget att betala ut ett skadestånd på 85 000 norska
kronor till Martinussen.

  ____________________________________________________________________________
  ____________________________________________________________________________

INGA SVENSKA EXEMPEL:                                               DSR (6/92)

    I Sverige finns inga domstolsutslag som ger en fingervisning om lagen
tolererar att arbetsgivaren läser personalens E-post utan deras vetskap.
Ingela Halvorsen på Datainspektionen är mycket tveksam till om svenska
datalagen skulle kunna fälla en arbetsgivare i ett sådant här fall.

    -Men det är inte helt omöjligt, tillägger hon.

    Att en arbetsgivare inte utan vidare får läsa brev som är privat-
adresserade till en anställd torde de flesta vara eniga om. Men resonemanget
kan inte utan vidare överföras till privat adresserad E-post, anser Ingela
Halvorsen.

    -Det är lite mer komplicerat eftersom man faktiskt tar arbetsgivarens
datorer, lagringsutrymme och liknande i anspråk, säger hon.

    Ingela Halvorsen berättar att Datainspektionen ibland blir uppringda av
anställda som är upprörda för att chefen tittat i deras privata E-post utan
att fråga.

    -Man kan säga att det inte får finnas några privata handlingar i
företagets E-post-system. Om inte arbetsgivaren särskilt tillåtit detta,
får man kanske acceptera att man inte har full kontroll över privata
dokument, säger Ingela Halvorsen.

  ____________________________________________________________________________
  ____________________________________________________________________________

SÄKERHETSBRISTER MÅSTE UPPTÄCKAS I TID:                             DSR (6/92)

    Tack Richard Strömqvist för synpunkterna (CS-debatt nr 21,22 maj) på
min tidigare artikel om auktoriserade hackers. Argumenten du anför kan
emellertid helt förenas med mitt något udda förslag om att legalisera hackers
för att på det sättet skapa säkrare system.

    Det är riktigt att de skyddsåtgärder du nämner är nödvändiga för effektivt
skydd. Det gäller emellertid att kontrollera att de verkligen finns, vilket
nämnvärda kontrollanter förhoppningsvis skall konstatera. Med andra ord är det
som vanligt inte fråga om antingen eller utan både och. Kort sagt, är skydds-
åtgärderna väl införda kan utförd kontroll verifiera en god säkerhet. I det
beskrivna fallet hade hackerintrånget obehindrat kunnat hålla på i 11 timmar.
Hade den av Richard Strömqvist nämnda begränsningen på tre försök införts
hade försöket ju stoppats på mycket tidigare stadium.

    Svårigheterna med att skaffa pålitliga och kunniga "auktoriserade hackers"
tror jag, särskilt i dagens arbetsmarknadsläge, är överdrivna. Dessutom
innebär ju mitt förslag att Datainspektionen som statlig myndighet skulle
ansvara för kontrollens utförande. Det hela kan jämföras med Statskontorets
känsliga sårbarhetsutredningar. Givetvis vet man hos båda myndigheterna först
i efterhand om man fått de bästa medarbetarna för uppdraget. Farhågorna om
spridning av upptäckta brister är ur sårbarhetssynpunkt berättigade.

    Men vilket är värst: att utan kontroll misstänka stor sårbarhet eller
att upptäcka brister och i tid åtgärda? Revisorer har ju sin givna roll inom
skilda områden och att hindra revision är sällan tillrådigt. Även revisorer
har som sina brister och någon garanti för att alla brister upptäcks finns
inte. I din egenskap av konsult känner du dock till att "management by
exeptions", ofta är effektivt nog.

  ____________________________________________________________________________
  ____________________________________________________________________________

GRÄVANDE JOURNALISTER VÄGRAR FÖLJA DATALAGEN:                       DSR (6/92)

    Grundlagen går före

    Bild: Tommy Klaar.
    Text: "Inget personregister". Journalisten Tommy Klaar vägrar att ställa
          konferenssystemet Reporter BBS under DIs insyn.

    Datainspektionen angrips av Sveriges undersökande journalister.
Konferenssystemet Reporter BBS i Sundsvall vägrar att rätta sig efter
myndighetens beslut - med hänvisning till yttrandefriheten och meddelar-
friheten. Datainspektionen menar att det rör sig om ett personregister som
ska ha tillstånd.

    Datainspektionen (DI) skrev den 25 mars till journalisten Tommy Klaar
och begärde att han skulle skaffa tillstånd för Reporter BBS, eftersom den
innehåller personuppgifter. Reporter BBS är ett så kallat konferenssystem
eller en BBS (Bulletin Board System) som Klaar driver i Sundsvall. Basen
samarbetar bland annat med föreningen Grävande Journalister. Klaar svarade
med ett brev, där han med hänvisning till regeringsformen (RF) och tryck-
frihetsförordningen (TF) hävdar att systemet är grundlagsskyddat.

    -I avvaktan på att DI förklarar hur datalagen skall tillämpas trots
grundlagsgarantierna avstår jag från att söka om något tillstånd, säger
Tommy Klaar.

    Olöslig konflikt

    Bakgrunden är en konflikt mellan Datalagen, som är en vanlig lag, och RF,
TF och den nyligen antagna Yttrandefrihetsgrundlagen (YGL). De senare är
grundlagar som gäller före vanliga lagar. Den tjugo år gamla Datalagen säger
å ena sidan att den som har personuppgifter lagrade på datamedium skall ha
tillstånd av DI. Å andra sidan säger RF att varje medborgare har yttrande-
frihet. Dessutom säger TF att varje medborgare har rätt att lämna uppgifter
avsedda för publicering utan att myndigheter har rätt till att efterforska
källan. Om DI har tillsyn över Reporter BBS hamnar man i konflikt med med-
delarskyddet, menar Klaar.

    -Systemet är uppbyggt för att främst användas av journalister, säger
Tommy Klaar som själv arbetar på Sundsvalls Tidning. Av det skälet betraktar
jag verksamheten som dubbelt grundlagsskyddad, och oåtkomlig för tvångsmedel
med stöd av datalagen. Reporter BBS används bland annat för att överbringa
information där meddelarskydd krävs. Och någon misstanke om att uppgifter
sprids som är kvalificerat hemliga finns inte.

    -Det vore ett grundlagsbrott av mig att göra innehållet i mitt kommuni-
kationssystem tillgängligt för en statlig myndighet, säger Tommy Klaar. Han
hänvisar också till en statlig utredning (SOU 1991:21) som slår fast att det
verkligen finns konflikter mellan datalagen och grundlagarna.

    Mer information

    DIs handläggare är Åsa Wiklund.

    -Jag kan inte säga något om ärendet, säger hon. Det är inte avslutat
ännu och jag har inga uppgifter om vad det är för ett register. Hon ska nu
först försöka få information om var Reporter BBS är för något. Hur lång tid
handläggningen av ärendet kan ta kan hon inte säga. SOU 1991:21 har hon en
del synpunkter på.

    -Utredningen har föreslagit att vissa journalistiska register ska undantas
från tillståndsplikt, säger hon. Det gäller produktionsregister för desktop
publishing och ordbehandling, register över inkomna nyhetstelegram, vissa
källregister, inklusive klipparkiv om de används som källa. DI har lämnat ett
yttrande där vi vänder oss emot förslaget. Ett eventuellt förslag om lagändring
kan komma inom det närmaste året. Helt klart är dock att det finns en konflikt
mellan yttrandefrihet och meddelarskydd samt datalagen.

    -Vi får inte glömma att integritetsskyddet, som DI är satt att värna,
också är grundlagsskyddat, säger Åsa Wiklund.

    Datalagen föråldrad

    Tommy Klaar menar att Datalagen är föråldrad. Den tillkom 1972 och avsåg
att reglera stora personregisterpå ett relativt begränsat antal stor- och
minidatorer. Att det senare skulle finnas en miljon persondatorer i landet,
på vilka folk brevväxlar eller skapar textfiler, tänkte man inte på.

    -Jag finner hela situationen absurd, säger Tommy Klaar. Mitt system är
inget "personregister" i den mening lagstiftaren avsåg 1972 när datalagen
tillkom. Det som sker i systemet är en snabb brevväxling, och att en statlig
myndighet nu försöker skaffa sig kontroll över denna brevväxling med åberopande
av lagregler som skapats för helt andra ändamål är minst sagt stötande.

  ____________________________________________________________________________
  ____________________________________________________________________________

HEMLIGA DATAPROJEKT:                                                DSR (6/92)

    Televerket spenderar varje år miljardbelopp på nyutveckling av datasystem.
Vad för slags projekt och hur mycket de kostar vill dock inte Televerket
berätta om. Till dessa hemliga system räknar Televerket även system för
administration av löner och personal. Televerket köper sina system främst
från dotterbolaget Televerket Data på konsultbasis. Men en del system
utvecklas även av externa konsulter. Många av projekten är riktiga tung-
viktare. Utvecklingstider på över fyra år är inga ovanligheter. Här några
av Televerkets hemliga projekt:

    - ALT-TT, "Teknisk och administrativ anpassning för införandet av Toll
               Ticketing". Kostar 120 miljoner kronor i år.

    - Telematik MA. Har kostat 90 miljoner kronor hittills. Kostar 25
                    miljoner i år.

    - NYBAS, ett system för personaladministration, order lager och
             fakturering som utvecklades under fem år men så småningom
             avvecklades.

    - Lokus, mångårigt projekt för kundadministration. Har knappt börjat
             användas. Problem med långa svarstider. Kostar 35 miljoner
             kronor i år.

    - SD, står för "synkron digital hierarki"

  ____________________________________________________________________________
  ____________________________________________________________________________

FJÄRRMÄTNING SKA GE FÄRRE FEL:                                      DSR (6/92)

    Televerket inför nu fjärrmätning av abbonentledningar på alla telefon-
stationer i landet. Före årets slut ska de flesta av landets 7 000 telefon-
stationer ha utrustats. Hittills klarar 1 400 stationer fjärrmätning. 
Meningen är att Televerket ska hitta fel på telenätet innan abbonenterna
märker något. Systemet består av en central dator på varje kundmottagning
och en mikrodator ute på stationerna. Under natten när teletrafiken är låg
körs mätprogram som kontrollerar nätets kondition.

  ____________________________________________________________________________
  ____________________________________________________________________________

NYTT DATORHOT:                                                      DSR (6/92)

    Ett nytt hot mot datasäkerhet är något som kallas "Mutation Engine" eller
mutationsmotor. Det är inget vanligt virus, utan en objektmodul som är länkad
till koden för ett virus. Innan ett virus blir aktivt måste det dekrypteras.
Koden för detta är normalt konstant, vilket gör att man kan upptäcka viruset
genom att matcha byte. Mutationsmotorn använder en speciell logaritm för att
generera olika dekrypteringsrutiner varje gång. På så sätt blir den mycket
svår att upptäcka. Mutationsmotorn upptäcktes först i en elektronisk anslags-
tavla (BBS) för ett par månader sedan. Flera företag, till exempel Mcaffe och
Digital Dispatch har börjat utveckla antivirusprogram mot mutationsmotorn.

  ____________________________________________________________________________
  ____________________________________________________________________________

BBS FÖR INBITNA:                                                    DSR (6/92)

    BBSernas säregna värld domineras idag av tonåringarna. Företrädelsevis
handlar det om unga killar, som besitter betydande datakunskaper och en
högt uppskruvad fingerfärdighet framför PCn. Vad gör man då i BBSerna? Och
i vad består själva lockelsen som gör att stora skaror tonårshackers - och
andra också för den delen - regelmässigt väljer bort den hälsobringande
nattsömnen för att i stället susa runt med modemet mellan olika BBSer?

    De allra flesta BBSer innehåller två huvudområden. Dels finns här ofta
väldiga ansamlingar av gratisprogram av olika slag, som användaren får ladda
över till sin egen dator. Dels finns här elektroniska diskussionsforum där
användarna kan delta i debatter och replikskiften i alla upptänkliga ämnen.
Dessa BBS-debatter domineras av tonåringar som tilltalar varandra med
täcknamn som "Dr DOS", "Phearless" och "Big Eagle". De debatterar med för-
kärlek ämnen hacking och diverse andra datatekniskt intrikata frågor. Inte
sällan lider dessa debatter av en viss kantring åt det "pubertala" hållet.

    Uppenbarligen har också företrädare för den undre världen lärt sig
att uppskatta BBSerna. Mac & PC behöver inte botanisera runt länge bland
BBSerna innan vi stöter på ett inlägg från en herre som förklarar sig
intresserad av att köpa polisuniformer, utrangerade polisbilar samt hand-
eldvapen.

    För hackers

    BBS-programmen som används är teckenbaserade och ofta ganska krångliga
att använda. De innehåller ofta komplicerade inloggningsfunktioner som är
obegripliga för en oinvigd. Ofta innehåller de kommandon som inte knyter
an alls till vare sig DOS eller något annat operativsystem som användaren
kan vara bekant med från sin egen dator. Lite tillspetsat kan man säga att
dessa program ibland ser ut att vara skrivna för överhettade hackers för
andra hackers. Lättanvändbarhet ser definitivt inte ut att ha varit någon
målsättning med många av dessa program. Ibland ser det nästan ut som om det
skulle vara precis tvärt om.

  ____________________________________________________________________________
  ____________________________________________________________________________

"DEN SOM HÄVDAR ATT HACKERS INTE ÄR EN SÄKERHETSRISK ÄR NAIV
ELLER DRIVS AV EKONOMISKA MOTIV":                                   DSR (6/92)

    Bild: Håkan Borgström
    Text: Debatt - LKD och andra som försökt tona ned riskerna med
          hackers får här svar på tal av frilansjournalisten Håkan
          Borgström. Hans artiklar i Dagens Nyheter om hackerintrång
          har skakat om ordentligt i branschen.

    Den som hävdar att hackers inte utgör någon säkerhetsrisk är antingen
naiv eller drivs av ekonomiska motiv. När det gäller datasäkerhet finns alltid
någon som vinner på att undanhålla obehagliga fakta. Leverantörer vill inte
tala om brister i produkterna, datorägare vill inte förlora andras förtroende,
konsulter och systemoperatörer vill behålla sina jobb. Men ingen vinner i
längden på att dölja de faktiska förhållandena.

    Det verkar fortfarande finnas de som tror att dagens hackers är 13-
åriga Vic 64-entusiaster. De bedrar sig. Nu handlar det oftast om vuxna
personer med kunskaper som vida överglänser många systemoperatörers.
Arbetsredskapen är allt från egna persondatorer till de angripnas super-
datorer. Man byter inte längre passwords med varandra, det är ingen sport.
Man "hackar" fram dem. Dagens hackers själ hela lösenordsfiler och matchar
fram "passwords".

    Det finns program som krypterar hela ordlistor och kontrollerar om orden
finns med i den stulna lösenordsfilen. För Unix-datorer finns till exempel
Lard, för PC ett som heter Guess 386 DES. En del program klarar 700-800
gissningar per sekund! Till flera medföljer ordlistor, upp till 15 Mb stora,
med vanliga lösenord. Andra provar "login" i kombinationer med olika tillägg,
som password. Det rör sig alltså om avancerade verktyg för att knäcka lösenord.

    Dessutom utnyttjar hackers buggar i systemprogramvaran. De lusläser
manualer och nyhetsbrev och håller sig á-jour med de senaste program-
versionernas fel och brister, och inte bara i Unixsystem. Även välkända
buggar utnyttjas, eftersom många systemoperatörer inte bryr sig om att
ta bort dem. Till exempel hos Diab Data som missat att fixa buggen i 
TFTP (Trivial File Transfer Protocol). En fatal och vanlig lucka i säker-
heten. Buggen har varit känd i flera år.

    Hackerintrången är inte heller så oskyldiga som de framställs i debatten.
Hans-Iwan Bratt (LKD) menar att det ofta rör sig om publika system, t ex
hos Pentagon. Men när blev Pentagons elektroniska postsystem öppet för alla?
All hackerverksamhet är inte heller riktad mot postsystemet. Nyligen bekräftade
amerikanska myndigheter att en holländsk hacker varit inne i Pentagons datorer
och kommit åt information bland annat om Patriotrobotarnas verkningsgrad mitt
under pågående Gulfkrig.

    Likaså har det hävdats att den hackergrupp jag skrev om i Dagens Nyheter
inte kommit åt några hemluga akter i svenska datorer. Nej, jag skrev bara att
de fått fram en lista med modemnummer, login och i vissa fall passwords till
379 datasystem från Diab Data. Gruppen valde att träda fram innan de pene-
trerat datasystemen hos invandrarverket, SIDA, flygstaben och andra som fanns
på Diab-listorna. Och stockholmspolisens ursäkt var: "Jasså den datorn, där
finns bara lite personuppgifter, löner, adresser och personalplanering",
dokument som inte är intressanta för en blåögd 17-åring!

    Men uppgifterna kan ju vara åtråvärda för andra grupper, och det är
som sagt inte heller bara ungdomar som hackar. Kjell Strömlid, styrelse-
ordförande i LKD, går så långt att han talar om "hackerhysteri" och att det
inte är något fel på säkerheten. Men se då på dessa exempel:

    - Ett företag som fått påhälsning är Dimension AB. Där hade system-
      operatören valt lösenordet "DIM" till en central fileserver. Vad
      skyddar ett sådant lösenord?

    - Telesoft förvarade kundstatistik på en icke-skyddad plats i
      företagets datorsystem.

    - Diab Dara hade sin korrespondans med kunder (felanmälningar och
      protokoll från olika projekt) lätt åtkomlig. Förutom modemnummer
      och inloggningsförfaranden fanns prydliga listor över X-25-Host
      lite varstans, liksom underhållsavtal och andra känsliga handlingar.

    Ytterligare exempel:

    Flertalet företag och myndigheter som "fick besök" av den engelska
hackergruppen 8LGM i slutet av 1990 via Datapak, visste inte ens om att
de haft datorintrång. De hade inte sina loggar påslagna. Vid stort data-
företag, som numera finns i Kista, använde gruppen två Unixmaskiner för
att "hoppa bock" till andra system. Medlemmarna ringde ut 108 521 gånger
utan att någon reagerade!

    Jag tvivlar på att LKD ocj kommunikationskonsulten Peter Löthberg,
som intervjuades i radioprogrammet God Morgon Världen, är naiva. Det måste
finnas andra motiv till att de förnekar riskerna med hackers. I ett öppet
samhälle går det aldrig att stoppa hackers. Man kan inte stänga ute "vissa"
människor från dataflödet mellan nationer, yrkesgrupper och enskilda. Ju
fler datorförbindelser, desto fler hackers. Det är ett samhällsfenomen vi
får leva med.

    I USA har polisen nyligen genomfört en stor operation kallad "SunDevil"
där de försökt skrämma så många hackers som möjligt. Tusentals ungdomar
ingår i utredningen. Men denna anti-hacker-våg möter nu motstånd. Kända
datapionjärer som Mitch Kapor, mannen bakom kalkylprogrammet Lotus 1-2-3,
har startat en fond för åtalade hackers rättegångskostnader. Man diskuterar
i USA till och med möjligheten att ge "ärligt intresserade" tillgång till
begränsade delar av datorsystemen.

    I hackerkretsar säger man dock att hackandet kommer att självdö om
spänningen med att göra något olagligt försvinner. Kanske något för Hans-
Iwan Bratt att tänka på, i stället för att utmana till knäckande av nya
datorsystem med sitt påstående att säkerheten är tillfredställande.

  ____________________________________________________________________________
  ____________________________________________________________________________

     DSR tar gärna emot nya sponsor/support System. Om du har speciellt
  intresse för Rapporten, och vill stödja DSR -- Lämna ditt BBS nummer -- och
  annan information på THE STASH Bulletin Board System.
  ____________________________________________________________________________
  ____________________________________________________________________________

  Anonymous :: +45-###-#####    --------     Sedes Diaboli :: +46-###-#####
     16.8 kbps DSR DK                            2400 bps DSR Information

                                   THE STASH
                       - Svenska Rapporten Support BBS -
                         Den Svenska Rapporten #1 Node
                        14.4k bps, 170+ Megs, Dygnet Runt
  ____________________________________________________________________________
  ____________________________________________________________________________

                     Detta Avslutar Detta DSR Numret Nr. 06
                                  (del 2 av 3)

                              Släppt Juni 30, 1992

                                     av TC
                         Editor av Den Svenska Rapporten
  ____________________________________________________________________________
  ____________________________________________________________________________