Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
myter: Naturligvis er der også myter om sikkerhed.
Nogle mere farverige end andre. Men alle
er de forhindringer på vejen til bedre sikkerhed.
Computerworld har checket en flok af de mere almindelige myter. Der er langt flere, men dette er de myter, der oftest er dukket op i vores virtuelle indbakker.
Myte: Der er flere supervira, som almindelige antivirusprogrammer ikke kan fange.
Fakta: Ingen af de etablerede antivirus-fabrikanter har råd til den dårlige reklame det ville være, hvis deres programmer lod orme eller vira undslippe opdagelse. Og der er da også samarbejde mellem software-fabrikanterne om nye trusler. Det betyder, at der kun går kort periode, fra en ny virus eller orm bliver opdaget, før der findes en kur mod den.
Myte: Langt den største del af it-kriminalitet begås af hackere, der er en form for lystforbrydere.
Fakta: Der eksisterer sådanne hackere, men de er få. Der er derimod massevis af de såkaldte scriptkiddies, som for skæg anvender nogle af de hacker-værktøjer, der er frit tilgængelige på internet.
Dertil er grænserne for industrispionage og hacking ved at udviskes. Faktisk er det interne personer, der for eksempel lige tager kundedatabasen med under armen, som er de mest aktive it-kriminelle.
Myte: Sikkerhedsopdateringer bør ske dagligt.
Fakta: De mest skadelige orme i den seneste tid har udnyttet konfigureringsfejl. Ormen SQL-Slammer anvendte en IP-port (1434), der normalt burde have være lukket. Ormen CodeRED brugte to unødvendige bindinger til Internet Data Administration (.ida) og Internet Data Query (.idq) filer i Microsofts Internet-server. Naturligvis skal servere opdateres, men mere styr på konfigurationen havde forbygget problemerne. Og der er flere sikkerhedseksperter, der anser en god pansret konfiguration af systemerne for vigtigere end opdateringsfrekvensen.
Myte: En firewall er al rigelig beskyttelse.
Fakta: En firewall er et filter, der skal holdes velkonfigureret og opdateres som al anden it. Men en firewall fungerer som alle andre mure. Kommer der en ondsindet person inden for muren, har vedkommende frit spil. Og efterlader man døre åbne i muren, så er sikkerheden væk.
Myte: Der er så meget trafik på internettet, at mine emails forsvinder i mængden og derfor behøver jeg ikke kryptering eller andre hemmelighedstiltag.
Fakta: De fleste stykker epost drukner i mængden, men det gør postserveren ikke. Og den kan hackes!
Myte: Der er intet interessant på denne computer, så den behøver ikke beskyttes.
Fakta: Båndbredde, diskplads og cpu er også ressourcer, der er interessante for it-autonome. Computeren kan blive basis for et Denial-of-Service angreb, diskene kan bruges til at lagre ulovligt kopierede film eller porno, og cpu'en kan bruges til at knække passwords eller starte et DoS-angreb (Denial of Service)
Myte: Langt det meste software kommer med standard-konfiguration, der er sikkerhedsmæssig god nok.
Fakta: Meget få fabrikanter tænker sikkerhed ved installationen, hvilket betyder, at det er reglen fremfor undtagelsen, at softwaren skal rekonfigureres med hensyn til sikkerhed. Det er blevet bedre, for eksempel ved Windows Server 2003, men forsigtighed tilrådes.
Myte: Open source-software er mere usikkert end andre former for software.
Fakta: Open source-samfundet har gentagne gange vist, at der kan reageres meget hurtigt med fejlrettelser. Dertil betyder adgang til kildekoden tilsyneladende ikke den store forskel med hensyn til at hackere skulle have nemmere ved at finde svagheder. Ellers ville webserveren Apache være under langt flere angreb end tilfældet er.
Myte: Alle epost-systemer er lige sårbare.
Fakta: Næsten alle de orme, der har misbrugt epost-systemer, anvender Microsofts epost-system. Antallet af orme, der har brugt Lotus Notes, Novell GroupWise eller Sendmail sidste år i Danmark, er et rundt nul.