FBI och flera andra polisorganisationer brukar regelmässigt föreslå att Apple och andra ska installera bakdörrar i sina program, i sin kryptering, för att underlätta brottsutredningar. Lösningen utmålas som en säker lösning och en effektiv lösning för att kunna utreda brott men historien och erfarenheter visar med skrämmande tydlighet vilken farlig idé förslaget är.
Nyligen avslöjades att den taiwanesiska tillverkaren av moderkort, Gigabyte, lagt in en egen bakdörr i mjukvaran för sina moderkort. Tanken med bakdörren var att mjukvaran för moderkorten skulle kunna uppdateras snabbt och enkelt. Problemet var att bakdörren var illa skyddad och den skickades med i moderkort som skeppades till till kunder – utan att berätta för kunderna att bakdörren fanns där. Kunderna satt alltså med ett moderkort som vem som helst kunde ta sig in i och kapa – via företagets egen bakdörr.
Bakdörrens existens avslöjades i en rapport av säkerhetsföretaget Eclypsium.
Microsoft
När Microsoft förlorade en av sina viktigaste nycklar för att läsa upp surfplattor, telefoner och datorer i augusti 2016 så tog det bara några dagar innan det fanns detaljerad information ute på nätet om hur nyckeln kunde användas för att skapa trojaner och andra farliga dataprogram.
Bankkunder
När den sydafrikanska banken Postbank blev av med en av sina nycklar så tvingades över 12 miljoner bankunder byta bank- och betalkort. En anställd hade lyckats att stjäla nyckeln och kort efter det att nyckeln, 26 siffror, stulits så stals flera miljoner dollar. Banken hade sett till att skydda kopiering digitalt av den aktuella nyckeln med flera metoder men räknade inte med den enklaste och mest logiska – papper och penna. Den anställde skrev av nyckeln, 36 siffror, som skulle göra den ”idiotsäker”.
Tolv miljoner bankkort måste bytas sedan anställd stulit huvudnyckel
Solarwinds
Det stora, omfattande intrånget i Solwarwinds system Solarwinds Orion så lyckades obehöriga plantera egen kod i mjukvaran, som sedan distribuerades av Solarwinds själva. Brottslingarna tog sig in på Solarwinds servrar, la in koden, och väntade sedan på att den nya versionen skulle distribueras ut till kunder – sedan inleddes en serie attacker och intrång. Idén föddes sedan Solarwinds satsat pengar på en reklamkampanj där de berättade hur framgångsrika de varit och vilka kunder de hade.
Skapa inga bakdörrar
Apples och många andra utvecklare har en tämligen enkel grundregel – det enda sättet att se till att inga obehöriga eller kriminella kan exploatera en bakdörr är att aldrig skapa en bakdörr. Utveckla inga bakdörrar, bygg inte in några bakdörrar – oavsett om de består av krypteringsnycklar eller funktioner som kan anropas mera direkt.
Alla sådana funktioner och information rörande sådana funktioner kommer att läcka ut – förr eller senare. Det visar historien med en skrämmande tydlighet och exemplen ovan är bara några i en lång rad av liknande exempel där enskilda, företag och organisationer har råkat illa ut – på grund av en bakdörr.
Kriminella
Bakdörrar som skapas i akt och mening att se till att rättsvårdande myndigheter ska kunna utreda brott kommer att hittas och användas av kriminella för det är det farliga med bakdörrar – funktionen och mjukvaran gör ingen skillnad på vem användaren är och det är en utopi att tro att bara ”de goda” kommer att kunna ges tillgång till en väg in, en bakdörr.
Det enda säkra sättet att se till att bakdörrar inte kan exploateras av kriminella är att aldrig skapa några bakdörrar.
0 kommentarer