Til hovedinnhold
Nyhet

Trues av myndighetene for å lete etter sikkerhetshull på Internett

Amerikansk lovgivning gjør det visst vanskelig å avdekke sårbarheter.

scyther5/Shutterstock.com

Aktiv innsats for å avdekke sårbarheter og sikkerhetshull på Internett er blitt stadig viktigere, særlig etter den mye omtalte Heartbleed-sårbarheten, som har satt en real støkk i verdens digitale fellesskap.

Dessverre ser det ut til at forskere som jobber med å oppdage slike sårbarheter møter motbør fra uventet hold, nemlig fra lovverket selv. Ifølge avisen The Guardian har flere av verdens fremste sikkerhetsforskere opplevd å bli truet med tiltale av myndighetene for å lete etter sikkerhetshull på Internett.

Bakgrunnen for dette skal visstnok være den amerikanske CFAA-loven (Computer Fraud and Abuse Act), som blant annet omhandler hacking og datasikkerhet.

Sikkerhetseksperter anklages for hacking

Ifølge The Guardian skal sikkerhetseksperter paradoksalt nok selv ha blitt utsatt for «aggressiv anvendelse» av denne loven i utøvelsen av sitt yrke, noe som tilsynelatende har gjort virksomheten mer utrygg.

Et eksempel er utvikleren av det såkalte Metasploit-prosjektet, HD Moore. Metasploit er et «etisk» hacker-verktøy, det vil si at det brukes av sikkerhetseksperter til å bryte seg inn i PC-er og nettverk ved å benytte de samme metodene som kriminelle hackere, i den hensikt å finne og fikse sikkerhetsmessige svakheter.

Moore skal ha blitt advart av amerikanske myndigheter i fjor i forbindelse med et omfattende sikkerhetsprosjekt ved navn Critical.IO. Dette prosjektet avdekket alvorlige sårbarheter på store deler av Internett, hvorav én hadde satt så mye som 50 millioner datamaskiner i fare.

Slutter i jobben

Til tross for dette ble Moore likevel forfulgt av lovens lange arm i USA, noe som førte til at han omsider tok en pause fra hele sikkerhetsarbeidet. Sjefen i et sikkerhetsselskap som heter Whitehat Security uttalte overfor The Guardian at praksisen fører til at sikkerhetseksperter simpelthen slutter i jobben, noe som allerede skal ha skjedd i flere tilfeller.

Det betyr i så fall at flere farlige sårbarheter på Internett kan forbli uoppdagede i lang tid fremover, og muligens utnyttes av hackere til å begå reell kriminalitet.

Mye av problemet ligger visstnok i at CFAA-loven opererer med veldig rigide definisjoner av hva hacking er, og skiller ikke mellom lovlig og ulovlig hacking. I tillegg er den angivelig også vag og vrien å forholde seg til. Loven skal ha blitt forsøkt reformert, men hittil uten nevneverdig hell.

Enda mer paradoksalt er det vel om myndighetene selv bedriver hacking:
NSA skal ha utnyttet Heartbleed-feilen i flere år »

Les også
100 hackere arrestert i storstilt politiaksjon
Alvorlig sikkerhetshull i alle versjoner av Internet Explorer
Utnyttet Heartbleed til å angripe stort selskap
Den første Heartbleed-hackeren er arrestert
– NSA har utnyttet Heartbleed i årevis
Mer om
DataDatakriminalitetDatasikkerhetNettverk
annonse