"Eksperter: Det er et spørgsmål om uger, før Explorer-virus rammer danskerne."
Sådan lød en af overskrifterne om den sårbarhed i Internet Explorer, der var blandt de største sikkerhedshistorier i sidste måned.
Andre medier talte om "Kæmpehul i Explorer." Flere brugte ordet "virus."
Når sikkerhedseksperter opdager en alvorlig sårbarhed, stiller det krav både til os i sikkerhedsverdenen og til medierne. Vi skal i fællesskab sørge for at kommunikere ordentligt om sagen.
I dette tilfælde synes jeg, at nogle medier skruede rigeligt op for sensationen.
Ja, sårbarheden var alvorlig. Men der findes ingen virus, der udnytter den - forstået som et program, der automatisk spreder sig til sårbare computere.
Historien om et hul
Historien om hullet i Internet Explorer er denne:
I august var der meget fokus på et nyopdaget hul i Java. Det blev udnyttet aktivt til angreb.
Et af angrebene foregik fra en webserver, som en sikkerhedsforsker undersøgte nærmere. Her fandt han en mappe med nogle mystiske filer.
Det viste sig, at filerne udnyttede et hidtil ukendt hul i Internet Explorer.
Det skrev han om på sin blog. Dagen efter bekræftede Microsoft, at der ganske rigtigt var tale om en sårbarhed i Internet Explorer.
For at blive offer for sårbarheden skulle man altså besøge et websted, hvorpå der lå et program, som udnyttede den.
Der var ingen orm eller virus, der udnyttede den.
Det pågældende websted ser ud til at have været brugt i målrettede angreb. Det vil sige, at det sandsynligvis har ramt få, nøje udvalgte ofre.
Det skal folk vide
Samtidig med at sårbarheden blev kendt, udsendte folk fra Metasploit-projektet et angrebsprogram, der udnytter den.
Dermed blev det let at lave websider, der angriber besøgende med sårbare pc'er.
I Dk-Cert var vores udfordring derfor, at vi skulle formidle følgende oplysninger:
- Internet Explorer har en alvorlig sårbarhed.
- Den har hidtil kun været udnyttet til begrænsede angreb.
- Der er potentiale for, at den vil kunne udnyttes bredere.
- Man kan undgå at blive ramt, hvis man undlader at bruge Internet Explorer.
- Man kan beskytte sig ved at sætte sikkerhedsniveauet til "Høj" for zonen Internet.
Der manglede jo en oplysning
Der var også mere teknisk krævende beskyttelsesmetoder, men ovenstående var dem, som vi skønnede, at almindelige pc-brugere kunne håndtere.
De råd gav vi videre.
Og inden længe hørte jeg fra folk, der havde ændret sikkerhedsniveauet til "Høj."
Da de så opdagede, at deres netbank ikke virkede længere, satte de niveauet tilbage til "Mellem" - og var dermed ubeskyttede igen.
For det manglede jo en oplysning:
Hvis man vil bruge websider med aktivt indhold, efter at man har sat sikkerhedsniveauet for Internet-zonen til "Høj", skal man tilføje de websider til zonen Pålidelige websteder.
Vi vil få folk til at handle
Jeg nævner disse detaljer for at illustrere, hvor svært det er at informere dækkende om sikkerhedstrusler.
Det er nemt nok at sige: Katastrofe, verden går under!
Det er langt sværere at informere sagligt, så man får de nødvendige detaljer med, uden at det bliver uforståeligt.
Målet med kommunikationen er, at folk skal forstå, hvad truslen går ud på. De skal vide, om deres computer kan være i farezonen.
De skal vide, hvad de kan gøre for at beskytte sig.
Og allerhelst skal de også gøre det!
Udfordring vokser
At kommunikere virkningsfuldt om sikkerhedstrusler er en af de sværeste opgaver, vi sikkerhedsfolk har. Og den bliver større i fremtiden.
I dag er de fleste trusler stadig på pc-platformen.
Men vi har set de første eksempler på skadelige programmer til mobiltelefoner.
Det er kun et spørgsmål om tid, før der er sårbarheder i og trusler mod tavlecomputere, tv-apparater, harddiskoptagere, digitalkameraer, GPS'er og al den anden elektronik, vi omgiver os med.
Det stiller endnu større krav til os om at kommunikere sagligt, forsvarligt og forståeligt.
Når overdrivelse ikke fremmer
Til slut vil jeg indrømme, at jeg selv kan falde for fristelsen til at smøre for tykt på i min udmelding om en ny trussel.
Det er vi flere sikkerhedsfolk, der gør.
Årsagen er nok, at vi tror, det er nødvendigt at overdrive for at få opmærksomhed om en reel trussel.
I dag kan vi ikke klage over, at it-sikkerhed ikke får nok opmærksomhed. Så der er ingen grund til at overdrive, medierne skal nok dække de nye trusler.
Det er godt. Men både sikkerhedsbranchen og medierne skal blive bedre til at informere.
Vores mål skal være: Saglig, neutral og handlingsanvisende information, der får modtagerne til at handle.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT er en tjeneste fra UNI-C, en styrelse under Ministeriet for Børn og Undervisning.
Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.