Bedre på sikkerhet, verre for brukerne

Slik vurderer Bruce Schneier, kjent ekspert innen IT-sikkerhet, Microsofts utvikling de siste årene.

By Harald Brombach
digi.no
May 6, 2007

Bruce Schneier er blant verdens mest kjente eksperter på IT-sikkerhet. Han er utdannet innen kryptografi og er gründer og teknisk sjef i et selskap som i fjor høst ble kjøpt av British Telecom (BT). Selskapet heter nå BT Counterpane.

Schneier var i forrige uke i Norge og digi.no fikk en prat med ham. Det var flere temaer som var naturlige å ta opp med Schneier, blant annet sikkerheten i Windows Vista.

Overraskende nok har ikke Schneier, som riktignok er kjent for å være skeptisk til Microsoft, prøvd Windows Vista noe særlig. Han hadde likevel både litt ris og ros å komme med.

– Microsofts skriver bedre kode nå en før, sier Schneier. Dette betyr at det antallet sikkerhetshull i programvare er færre enn tidligere, eller i alle fall vanskeligere å finne. Et produkt som SQL Server er et eksempel på dette.

Men Schneier mener samtidig at Microsoft har blitt dårligere til å lage brukergrensesnitt, ved at Vista er mer komplisert enn XP. Mer kompleksitet øker faren for at brukeren gjør feil.

Schneier mener han ikke har nok kunnskap om detaljene i Windows Vista til å vurdere om Vista er bedre enn XP når det gjelder sikkerheten samlet sett.

Schneier mener i likhet med mange andre sikkerhetseksperter at det er en sikkerhetsmessig fordel for bedrifter ikke å satse alt på én plattform, men i stedet ha flere forskjellige typer systemer, for eksempel både Windows og Unix.

– Men dette er ikke den endelige løsningen. Ulempene er blant annet kostnadene forbundet med økt behov for opplæring og support, sier Schneier.

Han mener at tynne klienter i mange tilfeller vil være en god idé, spesielt hvis man har med naive brukere å gjøre, det vil si dem som har lett for å falle for phishingforsøk og som stadig ender opp med å få maskinen sin infisert av ormer og trojanere.

– Dette avhenger veldig av brukerne. Det er en god løsning for dem som ikke trenger mulighetene til å gjøre alt mulig. Men for andre vil en slik ordning være forferdelig.

Samtidig mener Schneier at mange brukere tror de trenger mer funksjonalitet enn de egenlig gjør.

– De fleste skal til syvende og sist bare surfe på nettet, lese e-posten sin og skrive noen dokumenter, sier Schneier. Han tror det egentlig finnes et stort, potensielt marked for tynnklienter rettet mot hjemmebrukerne.

For det blir stadig vanskeligere å beskytte seg mot skadevare.

– Situasjonen har blitt verre helt siden virusenes dager, som ble skrevet for disker som ble delt. Nå er det nettbaserte ormer og trojanere som dominerer. Infeksjonsmekanismene er blitt annerledes. Forfatterne utnytter både sårbarheter og sosial hacking, sier Schneier.

– Men viktigst er det at det er andre som angriper i dag. Mens det tidligere var hackere som lagde virus, er det i dag kriminelle som står bak angrepene. Og disse bryr seg ikke om at angrepene er stygge. De utnytter alt som er mulig og er ute etter å stjele eller å drive med utpressing.

Schneier har hørt tall som forteller at datakriminaliteten i USA i dag er større i dollar enn narkotikahandelen, men han tør ikke gå god for påstandene.

earlier story: Regn med at kundene er idioter
later story: Trading Off Crime with Terrorism
back to News and Interviews

Photo of Bruce Schneier by Per Ervland.

Schneier on Security is a personal website. Opinions expressed are not necessarily those of Co3 Systems, Inc..