Tid for betaling av «skatt»

Siden fristen for innlevering av vanlig selvangivelse går ut i kveld, vil Sikkerhetsbloggen minne alle om dette. Det er dog ikke bare selvangivelse og vanlig skatt som man bør ha fått øynene opp for den siste tiden. Det er på tide å tenke på hvilken annen «skatt» man bør betale.

Det er nå noen uker siden The Heartbleed Bug ble sikkerhetsoppdatert og annonsert. Denne sårbarheten har blitt grundig beskrevet og omtalt både nasjonalt og internasjonalt. Blant annet har Åsmund Ahlmann Nyre hos SINTEF IKT - Fagruppe for informasjonssikkerhet skrevet om sårbarheten i innlegget Når hjertet blør.

Ill.: Colourbox.no

Ill.: Colourbox.no

Erfaring har vist at det er umulig å luke bort alle feil, så sårbarheter dukker opp hele tiden. Heldigvis har de fleste feil små konsekvenser, mens noen få har dessverre enorme konsekvenser. Heartbleed hadde og vil fortsatt ha stor konsekvens.

Koden er allerede fikset og det var enkelt. Det store problemet er å oppdatere alle systemene. Selv om de store nettstedene har blitt oppdatert, er OpenSSL-koden implementert i stort antall i mange ulike enheter og det vil derfor ta lang tid før all kode blir (om den vil bli) oppdatert og deretter tar det tid før den blir installert.

For NSM er det viktig at kode gjennomgås, og ikke bare at koden kan gjennomgås, men at den blir gjennomgått. Like viktig er det at de som gjennomgår den har kompetanse på dette; både kompetanse på å gjennomgå design og kode, og på krypto. Dette er ikke kompetanse som Norge eller resten av verden flommer over av og det er heller ikke billig kompetanse å benytte seg av.

For Heartbleed var det ingen komplisert feil, så den burde vært funnet og luket bort tidligere, selv i vanlig kodegjennomgang.

Så tilbake til «skatten»; OpenSSL er et eksempel på et hobbyprosjekt som har blitt viktig, om ikke kritisk, for sikkerheten på Internett. Det er både bedrifter, offentlige etater og privatpersoner som benytter OpenSSL i ulike sammenhenger, og det resulterer også i en rekke kommersielle produkter. Dette er utviklere som kan benytte et funksjonsrikt system for det de skal bygge uten å gi noe tilbake til de som har bygd grunnen.

For at feil skal letes etter og fikses, må det være noen insentiver for dette. De som bruker slike programvarebibliotek burde betale “skatt” for denne bruken. Fordelen med fri programvare er at den er fri og at man kan prøve, utvikle og forbedre koden og funksjonaliteten, og det uten å betale lisens. Men det bør allikevel ikke stoppe utviklere og leverandører fra å gi tilbake til fellesskapet når produktet er ferdig og i stor grad basert på andres innsats.

The Linux Foundation har nå etablert Core Infrastructure Initiative. Dette vil forhåpentligvis øke kvaliteten til OpenSSL og andre kritiske komponenter og dermed gi økt tillit.

Ill.: Colourbox.no

Ill.: Colourbox.no

I NSM har det vært liten tradisjon for bruk av åpen/fri kildekode. NSM har vært og er opptatt av at koden blir gjennomgått. Hvorvidt den er åpen for alle eller bare for utvalgte har vært underordnet, men NSM har krevd at kode for sikkerhetskritiske komponenter skal være evaluert og sertifisert. I evalueringen blir design og/eller implementasjonen gjennomgått.

NSM har allikevel ønske om å betale sin “skatt” og vil gjennom vårt forsknings- og utviklingsprogram initiere studier for å se på åpne kryptobibliotek og -implementeringer. Etter sommeren håper vi å kunne komme tilbake med mer informasjon om planene våre, men vi har et ønske om at dette kan bli et bidrag som gir økt kvalitet til systemer som brukes vidt og bredt. Hvorvidt det blir OpenSSL eller annet/andre kryptobibliotek og -implementeringer er ikke avgjort.

Dersom noen har innspill på hva vi bør se på og ikke minst hvorfor, legg igjen kommentar. Om dere ikke ønsker at kommentaren skal publiseres, er det bare å gi beskjed, så tar vi kontakt utenfor bloggen.

About Lars Olaussen

Lars Olaussen er sjefingeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen elektronisk identifikasjon, kryptoløsninger og nøkkelforvaltning for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in Informasjonssikkerhet, Internettsikkerhet, Kryptografi. Bookmark the permalink.