Nyhet

Trues av myndighetene for å lete etter sikkerhetshull på Internett

Amerikansk lovgivning gjør det visst vanskelig å avdekke sårbarheter.

Aktiv innsats for å avdekke sårbarheter og sikkerhetshull på Internett er blitt stadig viktigere, særlig etter den mye omtalte Heartbleed-sårbarheten, som har satt en real støkk i verdens digitale fellesskap.

Dessverre ser det ut til at forskere som jobber med å oppdage slike sårbarheter møter motbør fra uventet hold, nemlig fra lovverket selv. Ifølge avisen The Guardian har flere av verdens fremste sikkerhetsforskere opplevd å bli truet med tiltale av myndighetene for å lete etter sikkerhetshull på Internett.

Bakgrunnen for dette skal visstnok være den amerikanske CFAA-loven (Computer Fraud and Abuse Act), som blant annet omhandler hacking og datasikkerhet.

Sikkerhetseksperter anklages for hacking

Ifølge The Guardian skal sikkerhetseksperter paradoksalt nok selv ha blitt utsatt for «aggressiv anvendelse» av denne loven i utøvelsen av sitt yrke, noe som tilsynelatende har gjort virksomheten mer utrygg.

Et eksempel er utvikleren av det såkalte Metasploit-prosjektet, HD Moore. Metasploit er et «etisk» hacker-verktøy, det vil si at det brukes av sikkerhetseksperter til å bryte seg inn i PC-er og nettverk ved å benytte de samme metodene som kriminelle hackere, i den hensikt å finne og fikse sikkerhetsmessige svakheter.

Moore skal ha blitt advart av amerikanske myndigheter i fjor i forbindelse med et omfattende sikkerhetsprosjekt ved navn Critical.IO. Dette prosjektet avdekket alvorlige sårbarheter på store deler av Internett, hvorav én hadde satt så mye som 50 millioner datamaskiner i fare.

Slutter i jobben

Til tross for dette ble Moore likevel forfulgt av lovens lange arm i USA, noe som førte til at han omsider tok en pause fra hele sikkerhetsarbeidet. Sjefen i et sikkerhetsselskap som heter Whitehat Security uttalte overfor The Guardian at praksisen fører til at sikkerhetseksperter simpelthen slutter i jobben, noe som allerede skal ha skjedd i flere tilfeller.

Det betyr i så fall at flere farlige sårbarheter på Internett kan forbli uoppdagede i lang tid fremover, og muligens utnyttes av hackere til å begå reell kriminalitet.

Mye av problemet ligger visstnok i at CFAA-loven opererer med veldig rigide definisjoner av hva hacking er, og skiller ikke mellom lovlig og ulovlig hacking. I tillegg er den angivelig også vag og vrien å forholde seg til. Loven skal ha blitt forsøkt reformert, men hittil uten nevneverdig hell.

Enda mer paradoksalt er det vel om myndighetene selv bedriver hacking:
NSA skal ha utnyttet Heartbleed-feilen i flere år » (Hardware.no)

Les også
Denne uken gjorde Mac-en din noe den aldri før har gjort
Les også
Du må vente enda lenger på Java-fri nettbank
Les også
Amerikanerne vil ha retten til å snoke på deg overalt i verden
Les også
Slik lures du av falske Android-apper
Les også
Sjekk om din mobil har Heartbleed
Les også
Forbyr mobil i regjeringsmøtene
Les også
Android-appen «Virus Shield» lurte tusenvis av brukere
Les også
USA hacket Huawei
Les også
USA gir fra seg kontrollen over Internett
Les også
Tordentale fra Zuckerberg – ringte selv til Obama
annonse