OBS! Denna textfil ingår i ett arkiv som är dedikerat att bevara svensk undergroundkultur, med målsättningen att vara så heltäckande som möjligt. Flashback kan inte garantera att innehållet är korrekt, användbart eller baserat på fakta, och är inte heller ansvariga för eventuella skador som uppstår från användning av informationen.
____________________________________________________________________________
____________________________________________________________________________
-uXu- DEN SVENSKA RAPPORTEN -uXu-
Information F+r Entusiaster Nr. 06
(del 2 av 3)
Sl+ppt Juni 30, 1992
Innehill:
Ed's Ord
S+kregister -ver Huliganer
Datast+lder f+r 1,6 Miljoner
S+kerheten Inventeras
Sex Sp+nnande Minader
85 000 i Skadestind N+r Chefen L+ste Hans E-Post
Chefen L+ste E-Post
Inga Svenska Exempel
S+kerhetsbrister Miste Uppt+ckas i Tid
Gr+vande Journalister V+grar F+lja Datalagen
Hemliga Dataprojekt
Fj+rrm+tning Ska Ge F+rre Fel
Nytt Datorhot
BBS F+r Inbitna
Den Som H+vdar Att Hackers Inte -r En S+kerhetsrisk -r Naiv
Eller Drivs Av Ekonomiska Motiv
_____________________________________________________________
av TC, Editor Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________
ED'S ORD: DSR
Den Svenska Rapporten accepterar utomstiende k+llor +nnu. Vem som helst
kan skriva f+r/l+mna information till DSR. Skribenten/L+mnaren blir adderad
som informations-l+mnare, eller f+rfattare till artikeln. Full diskretion
om f+rfattaren/l+mnaren si +nskar. Artiklar/Information kan l+mnas pi de
system som finns listade i slutet av varje nummer av DSR.
V+rt att notera: Felskrivningar, felstavningar och rena fakta-fel ligger
pi k+llans sida och ej pi den som rapporterat eller skrivit in texten/
avsnittet. DSR kan ej heller anklagas f+r dessa oumb+rliga fel di
rapporterna i sin helhet +r helt likv+rdiga och +verrensst+mmer med
originalet.
TC, DSR Editor
____________________________________________________________________________
____________________________________________________________________________
S-KREGISTER -VER HULIGANER: DSR (6/92)
Polisen fir uppr+tta ett s+kregister +ver videofilmade fotbolls-
huliganer. Det har datainspektionen beslutat. Registret ska f+rst+ras
omedelbart efter fotbolls-EM. Polisen videofilmar allt som r+r sig under
fotbolls-EM, och det beh+ver de inget tillstind f+r. Men det kommer
att bli 1 500 filmer, och f+r att kunna hitta r+tt huligan bland alla
rullarna har polisen beg+rt att fi uppr+tta ett datoriserat spanings-
register. Endast personer som +r sk+ligen misst+nkta f+r brott eller
som har st+rt ordningen fir registreras i spaningsregistret.
____________________________________________________________________________
____________________________________________________________________________
DATAST-LDER F-R 1,6 MILJONER: DSR (6/92)
Tre m+n i 20-irsildern italades den 4 juni f+r datast+lder vid -rebro
tingsr+tt. De anklagas f+r datast+lder f+r totalt 1,6 miljoner kronor.
St+lderna har +gt rum under ett irs tid i -rebro-omridet. Den st+rsta
st+lden var pi LEA-bolaget i Hallsberg d+r datorer och annan kontors-
utrustning f+r 380 000 kronor stals. Ledaren f+r st+ldligan +r en 22-irig
Hallsbergsbo som erk+nt. Det mesta av st+ldgodset har silts till h+lare i
Stockholm, V+steris och Norrk+ping.
____________________________________________________________________________
____________________________________________________________________________
S-KERHETEN INVENTERAS: DSR (6/92)
Nybildat ADB-S+kerhetsrid
Bild: Jan Freese.
Text: S+kerhetsman. En av de 18 medlemmarna i det nybildade ADB-
s+kerhetsridet +r Industrif+rbundets Jan Freese.
Sirbarheten i samh+llsviktiga datasystem miste minska. Det +r den
viktigaste uppgiften f+r det nybildade ADB-s+kerhetsridet. Bakom ridet stir
-verstyrelsen f+r Civil Beredskap, -verbef+lhavaren och Statskontoret.
Den f+rsta uppgiften f+r det nya organet har blivit att g+ra en s+ker-
hetsinventering hos myndigheter och organisationer. Det ska dessutom utveckla
metoder och teknik f+r att +ka myndigheters datas+kerhet. Det g+ller att
utveckla s+kerheten samtidigt som den inte fir krocka med offentlighets-
principen. Det arbetet har framf+r allt Statskontoret nytta av, men det +r
ocksi tillg+ngligt f+r andra myndigheter och organisationer. Ridet verkar
inom -CB och Statskontoret. Och det har nyligen publicerat rapporten "ABD-
s+kerhet i Sverige: Vad som gjorts och vad som pigir".
De aderton
ADB-s+kerhetsridet bestir av 18 personer, med Gunilla Andr+ (-CB:s
generaldirekt+r) och Jan Carling (dito Statskontoret) som ordf+randen. Bland
ledam+terna iterfinns bland annat Industrif+rbundets Jan Freese, Jan Ridefelt
frin rikspolisstyrelsen, Handelsbankens Georg Espling och Rabbe Wrede, Data-
f+reningen i Sverige. En av de f+rsta sakerna ridet +gnat sig it +r in-
venteringen av vad som gjorts i Sverige pi s+kerhetsomridet under senare ir.
Rapporten bygger pi en intervjuunders+kning som gjorts med representanter f+r
omkring 45 myndigheter och organisationer. Intervjuerna gjordes i februari
i ir. Man ville ta reda pi de olika organisationernas s+kerhetsmils+ttningar,
deras egna utredningar och projekt, genomf+rda eller pigiende samt vad man
ytterligare +nskade f+rb+ttra.
F+rankring och anpassning
En slutsats +r att de flesta organisationer f+redrar att s+kerhetsarbetet
anpassas till det egna arbetet. Man +r alltsi inte i lika h+g grad beredd
att anpassa arbetet till s+kerhetskraven.
Egna s+kerhetsprojekt
Trots vad som ofta antagits +r datas+kerhetsmedvetandet relativt h+gt
utvecklat i Sverige. I ADB-s+kerhetsridets rapport framkommer att 29 av de
tillfrigade organisationerna genomf+rt egna s+kerhetsprojekt och/eller
publicerat egna rapporter. ADB-s+kerhetsridet kommer nu att forts+tta sitt
arbete, som fr+mst gir ut pi att verka inom -CB och Statskontoret. D+r ska
det vara en "referensgrupp, kompetenscentrum och sakkunnig panel". Det ska
ocksi bygga upp kontaktn+t f+r att utbyta s+kerhetsinformation med andra
myndigheter och organisationer. Samt utg+ra en pitryckargrupp och opinions-
bildande grupp gentemot omv+rlden.
____________________________________________________________________________
____________________________________________________________________________
SEX SP-NNANDE M+NADER: DSR (6/92)
[Enbart t+ckande de notiser som +r av intresse f+r DSR's l+sare -ED]
April - Diab Data hamnar i blisv+der n+r f+retaget drabbas av ett
hackerintring. Hackarna fick bland annat tag pi telefonnummer
till f+rsvarets datasystem.
FAS 90-projektet l+ggs ner - den borgerliga regeringen tyckte
att det var f+r integritetsk+nsligt.
Juni - Chefen pi Memorex Telex norska dotterbolag tittade i en
anst+llds elektroniska brevlida och fick betala 85 000 kronor
i skadestind.
____________________________________________________________________________
____________________________________________________________________________
85 000 I SKADEST+ND N-R CHEFEN L-STE HANS E-POST: DSR (6/92)
F+rsta domen mot olovlig +vervakning av anst+llda
Bild: Knut Martinussen sittande pi en b+nk.
Text: Chefen l+ste hans brev. Norske Knut Martinussen fir 85 000
efter att chefen gitt in och l+st hans privata e-post.
Chefen pi Memorex Telex norska bolag tittade i en anst+llds privata
elektroniska brevlida. Det kostar henne 85 000 kronor. Juridiska experter
betecknar domen som ytterst intressant. Det +r f+rsta gingen som en arbets-
givare f+lls i domstol f+r att olovligt ha tittat i personalens privata
e-post. Varken i Norge eller nigot annat land +r en liknande dom k+nd sedan
tidigare. Idag gir det inte att fi nigot klart besked om vad som g+ller i
Sverige. De svenska juristerna +r mycket tveksamma till om en svensk domstol
skulle kunna f+lla nigon pi samma grunder som man gjort i Norge. K+rnfrigan
+r: Tillh+r den elektroniska posten den anst+llde eller f+retaget?
____________________________________________________________________________
____________________________________________________________________________
CHEFEN L-STE E-POST: DSR (6/92)
85 000 i skadestind
Bild: Knut Martinussen.
Text: Fick E-Posten genoms+kt av chefen. Den norske datamannen Knut
Martinussen fir skadestind efter att hans chef utan att under-
r+tta honom gitt in och l+st hans privata elektroniska post.
Chefen pi det norska dataf+retaget Memorex Telex tittade i en anst+llds
privata E-post. Det skulle hon inte ha gjort. Norsk domstol d+mde f+retaget
nyligen att betala 85 000 kronor i skadestind. Juridiska experter i Norge
betecknar domen som ytterst intressant. Det +r f+rsta gingen som en arbets-
givare f+llts i domstol f+r att olovligt ha tittat i personalens privata
E-post. Varken i Norge eller nigot annat land +r nigon liknande dom k+nd
sedan tidigare.
-En mycket intressant sak, konstaterar Georg Aspenes, pi Datatilsynet,
Norges motsvarighet till Datainspektionen. Georg Aspenes s+ger till Computer-
world Norge att domen, som sannolikt inte kommer att +verklagas, kan komma
att bli praxisbildande. Fler domar av samma typ +r att v+ntas.
Seger i r+tten
Mannen som fick sin privata E-post systematiskt genoms+kt av sin chef
heter Knut Martinussen. Han +r mycket l+ttad efter den r+ttsliga segern +ver
sin tidigare arbetsgivare, dataf+retaget Memorex Telex i Oslo.
-Det var tufft, men i dag +r jag glad att jag valde att gi vidare med
saken, s+ger han. Hela saken har egentligen mest med vanlig enkel moral att
g+ra, anser Knut Martinussen. Jag +ppnar inte min frus post och f+rs+ker inte
ta mig in f+r att snoka i mina kollegors lista skrivbordslidor. Samma enkla
f+rhillande b+r givetvis g+lla arbetsgivare n+r det g+ller personalens privata
E-post, s+ger han till Computerworld Norge.
De anst+llda pi Memorex Telex har tillging till ett E-post system som
binder samman den internationella koncern d+r det norska f+retaget ingir.
Personalen tilldelades varsitt personligt l+senord frin systemansvariga i
Bryssel.
L+senord till ledningen
Men utan att personalen pi Memorex Telex visste om det, distribuerades
l+senorden ut ocksi till f+retagsledningen. I den nu aktuella domen +r det
just detta som Asker og Baerums Herredsrett f+ster stor vikt vid. Hade
f+retaget tydligt informerat personalen om att ledningen kunde gi in och l+sa
ocksi l+senordsskyddade E-post-meddelanden, di hade det inte blivit nigon
f+llande dom. Ocksi i dag, efter domen, har Memorex Telex behillt m+jligheten
att l+sa all E-post pi f+retaget. Skillnaden +r att man nu +r noga med att
skriftligt informera personalen om detta.
E-post-tvisten mellan Knut Martinussen och chefen pi Memorex Telex Anne
Britt Heltmark b+rjade egentligen med att Martinussen blev omplacerad i
samband med en omorganisation. Den f+ljande konflikten mellan de tvi blev
allt mer inflamerad och slutade med att Heltmark sa upp Martinussen. Det var
under upps+gningstiden som Knut Martinussen uppt+ckte att nigon hade varit
inne och tittat pi hans l+senordsskyddade E-post-meddelanden.
-Jag aktiverade en logfunktion och kunde konstatera att intringen skedde
frin direkt+rens terminal. Jag uppt+ckte ocksi att intringen skedde pi helger,
pi kv+llar och di jag var ute pi lunch, ber+ttar Knut Martinussen. Jag blev
f+rbannad och k+nde mig kr+nkt. Jag konfronterade direkt+ren med uppgifterna.
Men hon bara blinekade.
Knut Martinussen best+mde sig f+r att gillra en f+lla. Han skrev ett brev
st+llt till koncernledningen i Italien d+r han framf+rde sina klagomil mot
direkt+ren. Han lade det i sin privata E-post-area, men skickade aldrig iv+g
det. Nigra dagar senare skrev han ett pihittat svar frin koncernschefen och
lade ocksi det bland sina +vriga E-post-meddelanden. Chefen fastnade pi kroken.
Enligt Martinussen kom hon mycket uppbragt inspringande pi hans rum med ut-
skrifter av de tvi breven i h+gsta hugg och gav honom sparken med omedelbar
verkan.
R+tten d+mde f+retaget att betala ut ett skadestind pi 85 000 norska
kronor till Martinussen.
____________________________________________________________________________
____________________________________________________________________________
INGA SVENSKA EXEMPEL: DSR (6/92)
I Sverige finns inga domstolsutslag som ger en fingervisning om lagen
tolererar att arbetsgivaren l+ser personalens E-post utan deras vetskap.
Ingela Halvorsen pi Datainspektionen +r mycket tveksam till om svenska
datalagen skulle kunna f+lla en arbetsgivare i ett sidant h+r fall.
-Men det +r inte helt om+jligt, till+gger hon.
Att en arbetsgivare inte utan vidare fir l+sa brev som +r privat-
adresserade till en anst+lld torde de flesta vara eniga om. Men resonemanget
kan inte utan vidare +verf+ras till privat adresserad E-post, anser Ingela
Halvorsen.
-Det +r lite mer komplicerat eftersom man faktiskt tar arbetsgivarens
datorer, lagringsutrymme och liknande i ansprik, s+ger hon.
Ingela Halvorsen ber+ttar att Datainspektionen ibland blir uppringda av
anst+llda som +r uppr+rda f+r att chefen tittat i deras privata E-post utan
att friga.
-Man kan s+ga att det inte fir finnas nigra privata handlingar i
f+retagets E-post-system. Om inte arbetsgivaren s+rskilt tillitit detta,
fir man kanske acceptera att man inte har full kontroll +ver privata
dokument, s+ger Ingela Halvorsen.
____________________________________________________________________________
____________________________________________________________________________
S-KERHETSBRISTER M+STE UPPT-CKAS I TID: DSR (6/92)
Tack Richard Str+mqvist f+r synpunkterna (CS-debatt nr 21,22 maj) pi
min tidigare artikel om auktoriserade hackers. Argumenten du anf+r kan
emellertid helt f+renas med mitt nigot udda f+rslag om att legalisera hackers
f+r att pi det s+ttet skapa s+krare system.
Det +r riktigt att de skyddsitg+rder du n+mner +r n+dv+ndiga f+r effektivt
skydd. Det g+ller emellertid att kontrollera att de verkligen finns, vilket
n+mnv+rda kontrollanter f+rhoppningsvis skall konstatera. Med andra ord +r det
som vanligt inte friga om antingen eller utan bide och. Kort sagt, +r skydds-
itg+rderna v+l inf+rda kan utf+rd kontroll verifiera en god s+kerhet. I det
beskrivna fallet hade hackerintringet obehindrat kunnat hilla pi i 11 timmar.
Hade den av Richard Str+mqvist n+mnda begr+nsningen pi tre f+rs+k inf+rts
hade f+rs+ket ju stoppats pi mycket tidigare stadium.
Svirigheterna med att skaffa pilitliga och kunniga "auktoriserade hackers"
tror jag, s+rskilt i dagens arbetsmarknadsl+ge, +r +verdrivna. Dessutom
inneb+r ju mitt f+rslag att Datainspektionen som statlig myndighet skulle
ansvara f+r kontrollens utf+rande. Det hela kan j+mf+ras med Statskontorets
k+nsliga sirbarhetsutredningar. Givetvis vet man hos bida myndigheterna f+rst
i efterhand om man fitt de b+sta medarbetarna f+r uppdraget. Farhigorna om
spridning av uppt+ckta brister +r ur sirbarhetssynpunkt ber+ttigade.
Men vilket +r v+rst: att utan kontroll misst+nka stor sirbarhet eller
att uppt+cka brister och i tid itg+rda? Revisorer har ju sin givna roll inom
skilda omriden och att hindra revision +r s+llan tillridigt. -ven revisorer
har som sina brister och nigon garanti f+r att alla brister uppt+cks finns
inte. I din egenskap av konsult k+nner du dock till att "management by
exeptions", ofta +r effektivt nog.
____________________________________________________________________________
____________________________________________________________________________
GR-VANDE JOURNALISTER V-GRAR F-LJA DATALAGEN: DSR (6/92)
Grundlagen gir f+re
Bild: Tommy Klaar.
Text: "Inget personregister". Journalisten Tommy Klaar v+grar att st+lla
konferenssystemet Reporter BBS under DIs insyn.
Datainspektionen angrips av Sveriges unders+kande journalister.
Konferenssystemet Reporter BBS i Sundsvall v+grar att r+tta sig efter
myndighetens beslut - med h+nvisning till yttrandefriheten och meddelar-
friheten. Datainspektionen menar att det r+r sig om ett personregister som
ska ha tillstind.
Datainspektionen (DI) skrev den 25 mars till journalisten Tommy Klaar
och beg+rde att han skulle skaffa tillstind f+r Reporter BBS, eftersom den
innehiller personuppgifter. Reporter BBS +r ett si kallat konferenssystem
eller en BBS (Bulletin Board System) som Klaar driver i Sundsvall. Basen
samarbetar bland annat med f+reningen Gr+vande Journalister. Klaar svarade
med ett brev, d+r han med h+nvisning till regeringsformen (RF) och tryck-
frihetsf+rordningen (TF) h+vdar att systemet +r grundlagsskyddat.
-I avvaktan pi att DI f+rklarar hur datalagen skall till+mpas trots
grundlagsgarantierna avstir jag frin att s+ka om nigot tillstind, s+ger
Tommy Klaar.
Ol+slig konflikt
Bakgrunden +r en konflikt mellan Datalagen, som +r en vanlig lag, och RF,
TF och den nyligen antagna Yttrandefrihetsgrundlagen (YGL). De senare +r
grundlagar som g+ller f+re vanliga lagar. Den tjugo ir gamla Datalagen s+ger
i ena sidan att den som har personuppgifter lagrade pi datamedium skall ha
tillstind av DI. + andra sidan s+ger RF att varje medborgare har yttrande-
frihet. Dessutom s+ger TF att varje medborgare har r+tt att l+mna uppgifter
avsedda f+r publicering utan att myndigheter har r+tt till att efterforska
k+llan. Om DI har tillsyn +ver Reporter BBS hamnar man i konflikt med med-
delarskyddet, menar Klaar.
-Systemet +r uppbyggt f+r att fr+mst anv+ndas av journalister, s+ger
Tommy Klaar som sj+lv arbetar pi Sundsvalls Tidning. Av det sk+let betraktar
jag verksamheten som dubbelt grundlagsskyddad, och oitkomlig f+r tvingsmedel
med st+d av datalagen. Reporter BBS anv+nds bland annat f+r att +verbringa
information d+r meddelarskydd kr+vs. Och nigon misstanke om att uppgifter
sprids som +r kvalificerat hemliga finns inte.
-Det vore ett grundlagsbrott av mig att g+ra innehillet i mitt kommuni-
kationssystem tillg+ngligt f+r en statlig myndighet, s+ger Tommy Klaar. Han
h+nvisar ocksi till en statlig utredning (SOU 1991:21) som slir fast att det
verkligen finns konflikter mellan datalagen och grundlagarna.
Mer information
DIs handl+ggare +r +sa Wiklund.
-Jag kan inte s+ga nigot om +rendet, s+ger hon. Det +r inte avslutat
+nnu och jag har inga uppgifter om vad det +r f+r ett register. Hon ska nu
f+rst f+rs+ka fi information om var Reporter BBS +r f+r nigot. Hur ling tid
handl+ggningen av +rendet kan ta kan hon inte s+ga. SOU 1991:21 har hon en
del synpunkter pi.
-Utredningen har f+reslagit att vissa journalistiska register ska undantas
frin tillstindsplikt, s+ger hon. Det g+ller produktionsregister f+r desktop
publishing och ordbehandling, register +ver inkomna nyhetstelegram, vissa
k+llregister, inklusive klipparkiv om de anv+nds som k+lla. DI har l+mnat ett
yttrande d+r vi v+nder oss emot f+rslaget. Ett eventuellt f+rslag om lag+ndring
kan komma inom det n+rmaste iret. Helt klart +r dock att det finns en konflikt
mellan yttrandefrihet och meddelarskydd samt datalagen.
-Vi fir inte gl+mma att integritetsskyddet, som DI +r satt att v+rna,
ocksi +r grundlagsskyddat, s+ger +sa Wiklund.
Datalagen f+rildrad
Tommy Klaar menar att Datalagen +r f+rildrad. Den tillkom 1972 och avsig
att reglera stora personregisterpi ett relativt begr+nsat antal stor- och
minidatorer. Att det senare skulle finnas en miljon persondatorer i landet,
pi vilka folk brevv+xlar eller skapar textfiler, t+nkte man inte pi.
-Jag finner hela situationen absurd, s+ger Tommy Klaar. Mitt system +r
inget "personregister" i den mening lagstiftaren avsig 1972 n+r datalagen
tillkom. Det som sker i systemet +r en snabb brevv+xling, och att en statlig
myndighet nu f+rs+ker skaffa sig kontroll +ver denna brevv+xling med iberopande
av lagregler som skapats f+r helt andra +ndamil +r minst sagt st+tande.
____________________________________________________________________________
____________________________________________________________________________
HEMLIGA DATAPROJEKT: DSR (6/92)
Televerket spenderar varje ir miljardbelopp pi nyutveckling av datasystem.
Vad f+r slags projekt och hur mycket de kostar vill dock inte Televerket
ber+tta om. Till dessa hemliga system r+knar Televerket +ven system f+r
administration av l+ner och personal. Televerket k+per sina system fr+mst
frin dotterbolaget Televerket Data pi konsultbasis. Men en del system
utvecklas +ven av externa konsulter. Minga av projekten +r riktiga tung-
viktare. Utvecklingstider pi +ver fyra ir +r inga ovanligheter. H+r nigra
av Televerkets hemliga projekt:
- ALT-TT, "Teknisk och administrativ anpassning f+r inf+randet av Toll
Ticketing". Kostar 120 miljoner kronor i ir.
- Telematik MA. Har kostat 90 miljoner kronor hittills. Kostar 25
miljoner i ir.
- NYBAS, ett system f+r personaladministration, order lager och
fakturering som utvecklades under fem ir men si sminingom
avvecklades.
- Lokus, mingirigt projekt f+r kundadministration. Har knappt b+rjat
anv+ndas. Problem med linga svarstider. Kostar 35 miljoner
kronor i ir.
- SD, stir f+r "synkron digital hierarki"
____________________________________________________________________________
____________________________________________________________________________
FJ-RRM-TNING SKA GE F-RRE FEL: DSR (6/92)
Televerket inf+r nu fj+rrm+tning av abbonentledningar pi alla telefon-
stationer i landet. F+re irets slut ska de flesta av landets 7 000 telefon-
stationer ha utrustats. Hittills klarar 1 400 stationer fj+rrm+tning.
Meningen +r att Televerket ska hitta fel pi telen+tet innan abbonenterna
m+rker nigot. Systemet bestir av en central dator pi varje kundmottagning
och en mikrodator ute pi stationerna. Under natten n+r teletrafiken +r lig
k+rs m+tprogram som kontrollerar n+tets kondition.
____________________________________________________________________________
____________________________________________________________________________
NYTT DATORHOT: DSR (6/92)
Ett nytt hot mot datas+kerhet +r nigot som kallas "Mutation Engine" eller
mutationsmotor. Det +r inget vanligt virus, utan en objektmodul som +r l+nkad
till koden f+r ett virus. Innan ett virus blir aktivt miste det dekrypteras.
Koden f+r detta +r normalt konstant, vilket g+r att man kan uppt+cka viruset
genom att matcha byte. Mutationsmotorn anv+nder en speciell logaritm f+r att
generera olika dekrypteringsrutiner varje ging. Pi si s+tt blir den mycket
svir att uppt+cka. Mutationsmotorn uppt+cktes f+rst i en elektronisk anslags-
tavla (BBS) f+r ett par minader sedan. Flera f+retag, till exempel Mcaffe och
Digital Dispatch har b+rjat utveckla antivirusprogram mot mutationsmotorn.
____________________________________________________________________________
____________________________________________________________________________
BBS F-R INBITNA: DSR (6/92)
BBSernas s+regna v+rld domineras idag av toniringarna. F+retr+delsevis
handlar det om unga killar, som besitter betydande datakunskaper och en
h+gt uppskruvad fingerf+rdighet framf+r PCn. Vad g+r man di i BBSerna? Och
i vad bestir sj+lva lockelsen som g+r att stora skaror tonirshackers - och
andra ocksi f+r den delen - regelm+ssigt v+ljer bort den h+lsobringande
natts+mnen f+r att i st+llet susa runt med modemet mellan olika BBSer?
De allra flesta BBSer innehiller tvi huvudomriden. Dels finns h+r ofta
v+ldiga ansamlingar av gratisprogram av olika slag, som anv+ndaren fir ladda
+ver till sin egen dator. Dels finns h+r elektroniska diskussionsforum d+r
anv+ndarna kan delta i debatter och replikskiften i alla uppt+nkliga +mnen.
Dessa BBS-debatter domineras av toniringar som tilltalar varandra med
t+cknamn som "Dr DOS", "Phearless" och "Big Eagle". De debatterar med f+r-
k+rlek +mnen hacking och diverse andra datatekniskt intrikata frigor. Inte
s+llan lider dessa debatter av en viss kantring it det "pubertala" hillet.
Uppenbarligen har ocksi f+retr+dare f+r den undre v+rlden l+rt sig
att uppskatta BBSerna. Mac & PC beh+ver inte botanisera runt l+nge bland
BBSerna innan vi st+ter pi ett inl+gg frin en herre som f+rklarar sig
intresserad av att k+pa polisuniformer, utrangerade polisbilar samt hand-
eldvapen.
F+r hackers
BBS-programmen som anv+nds +r teckenbaserade och ofta ganska kringliga
att anv+nda. De innehiller ofta komplicerade inloggningsfunktioner som +r
obegripliga f+r en oinvigd. Ofta innehiller de kommandon som inte knyter
an alls till vare sig DOS eller nigot annat operativsystem som anv+ndaren
kan vara bekant med frin sin egen dator. Lite tillspetsat kan man s+ga att
dessa program ibland ser ut att vara skrivna f+r +verhettade hackers f+r
andra hackers. L+ttanv+ndbarhet ser definitivt inte ut att ha varit nigon
mils+ttning med minga av dessa program. Ibland ser det n+stan ut som om det
skulle vara precis tv+rt om.
____________________________________________________________________________
____________________________________________________________________________
"DEN SOM H-VDAR ATT HACKERS INTE -R EN S-KERHETSRISK -R NAIV
ELLER DRIVS AV EKONOMISKA MOTIV": DSR (6/92)
Bild: Hikan Borgstr+m
Text: Debatt - LKD och andra som f+rs+kt tona ned riskerna med
hackers fir h+r svar pi tal av frilansjournalisten Hikan
Borgstr+m. Hans artiklar i Dagens Nyheter om hackerintring
har skakat om ordentligt i branschen.
Den som h+vdar att hackers inte utg+r nigon s+kerhetsrisk +r antingen
naiv eller drivs av ekonomiska motiv. N+r det g+ller datas+kerhet finns alltid
nigon som vinner pi att undanhilla obehagliga fakta. Leverant+rer vill inte
tala om brister i produkterna, dator+gare vill inte f+rlora andras f+rtroende,
konsulter och systemoperat+rer vill behilla sina jobb. Men ingen vinner i
l+ngden pi att d+lja de faktiska f+rhillandena.
Det verkar fortfarande finnas de som tror att dagens hackers +r 13-
iriga Vic 64-entusiaster. De bedrar sig. Nu handlar det oftast om vuxna
personer med kunskaper som vida +vergl+nser minga systemoperat+rers.
Arbetsredskapen +r allt frin egna persondatorer till de angripnas super-
datorer. Man byter inte l+ngre passwords med varandra, det +r ingen sport.
Man "hackar" fram dem. Dagens hackers sj+l hela l+senordsfiler och matchar
fram "passwords".
Det finns program som krypterar hela ordlistor och kontrollerar om orden
finns med i den stulna l+senordsfilen. F+r Unix-datorer finns till exempel
Lard, f+r PC ett som heter Guess 386 DES. En del program klarar 700-800
gissningar per sekund! Till flera medf+ljer ordlistor, upp till 15 Mb stora,
med vanliga l+senord. Andra provar "login" i kombinationer med olika till+gg,
som password. Det r+r sig alltsi om avancerade verktyg f+r att kn+cka l+senord.
Dessutom utnyttjar hackers buggar i systemprogramvaran. De lusl+ser
manualer och nyhetsbrev och hiller sig +-jour med de senaste program-
versionernas fel och brister, och inte bara i Unixsystem. -ven v+lk+nda
buggar utnyttjas, eftersom minga systemoperat+rer inte bryr sig om att
ta bort dem. Till exempel hos Diab Data som missat att fixa buggen i
TFTP (Trivial File Transfer Protocol). En fatal och vanlig lucka i s+ker-
heten. Buggen har varit k+nd i flera ir.
Hackerintringen +r inte heller si oskyldiga som de framst+lls i debatten.
Hans-Iwan Bratt (LKD) menar att det ofta r+r sig om publika system, t ex
hos Pentagon. Men n+r blev Pentagons elektroniska postsystem +ppet f+r alla?
All hackerverksamhet +r inte heller riktad mot postsystemet. Nyligen bekr+ftade
amerikanska myndigheter att en holl+ndsk hacker varit inne i Pentagons datorer
och kommit it information bland annat om Patriotrobotarnas verkningsgrad mitt
under pigiende Gulfkrig.
Likasi har det h+vdats att den hackergrupp jag skrev om i Dagens Nyheter
inte kommit it nigra hemluga akter i svenska datorer. Nej, jag skrev bara att
de fitt fram en lista med modemnummer, login och i vissa fall passwords till
379 datasystem frin Diab Data. Gruppen valde att tr+da fram innan de pene-
trerat datasystemen hos invandrarverket, SIDA, flygstaben och andra som fanns
pi Diab-listorna. Och stockholmspolisens urs+kt var: "Jassi den datorn, d+r
finns bara lite personuppgifter, l+ner, adresser och personalplanering",
dokument som inte +r intressanta f+r en bli+gd 17-iring!
Men uppgifterna kan ju vara itriv+rda f+r andra grupper, och det +r
som sagt inte heller bara ungdomar som hackar. Kjell Str+mlid, styrelse-
ordf+rande i LKD, gir si lingt att han talar om "hackerhysteri" och att det
inte +r nigot fel pi s+kerheten. Men se di pi dessa exempel:
- Ett f+retag som fitt pih+lsning +r Dimension AB. D+r hade system-
operat+ren valt l+senordet "DIM" till en central fileserver. Vad
skyddar ett sidant l+senord?
- Telesoft f+rvarade kundstatistik pi en icke-skyddad plats i
f+retagets datorsystem.
- Diab Dara hade sin korrespondans med kunder (felanm+lningar och
protokoll frin olika projekt) l+tt itkomlig. F+rutom modemnummer
och inloggningsf+rfaranden fanns prydliga listor +ver X-25-Host
lite varstans, liksom underhillsavtal och andra k+nsliga handlingar.
Ytterligare exempel:
Flertalet f+retag och myndigheter som "fick bes+k" av den engelska
hackergruppen 8LGM i slutet av 1990 via Datapak, visste inte ens om att
de haft datorintring. De hade inte sina loggar pislagna. Vid stort data-
f+retag, som numera finns i Kista, anv+nde gruppen tvi Unixmaskiner f+r
att "hoppa bock" till andra system. Medlemmarna ringde ut 108 521 ginger
utan att nigon reagerade!
Jag tvivlar pi att LKD ocj kommunikationskonsulten Peter L+thberg,
som intervjuades i radioprogrammet God Morgon V+rlden, +r naiva. Det miste
finnas andra motiv till att de f+rnekar riskerna med hackers. I ett +ppet
samh+lle gir det aldrig att stoppa hackers. Man kan inte st+nga ute "vissa"
m+nniskor frin datafl+det mellan nationer, yrkesgrupper och enskilda. Ju
fler datorf+rbindelser, desto fler hackers. Det +r ett samh+llsfenomen vi
fir leva med.
I USA har polisen nyligen genomf+rt en stor operation kallad "SunDevil"
d+r de f+rs+kt skr+mma si minga hackers som m+jligt. Tusentals ungdomar
ingir i utredningen. Men denna anti-hacker-vig m+ter nu motstind. K+nda
datapionj+rer som Mitch Kapor, mannen bakom kalkylprogrammet Lotus 1-2-3,
har startat en fond f+r italade hackers r+ttegingskostnader. Man diskuterar
i USA till och med m+jligheten att ge "+rligt intresserade" tillging till
begr+nsade delar av datorsystemen.
I hackerkretsar s+ger man dock att hackandet kommer att sj+lvd+ om
sp+nningen med att g+ra nigot olagligt f+rsvinner. Kanske nigot f+r Hans-
Iwan Bratt att t+nka pi, i st+llet f+r att utmana till kn+ckande av nya
datorsystem med sitt pistiende att s+kerheten +r tillfredst+llande.
____________________________________________________________________________
____________________________________________________________________________
DSR tar g+rna emot nya sponsor/support System. Om du har speciellt
intresse f+r Rapporten, och vill st+dja DSR -- L+mna ditt BBS nummer -- och
annan information pi THE STASH Bulletin Board System.
____________________________________________________________________________
____________________________________________________________________________
Anonymous :: +45-###-##### -------- Sedes Diaboli :: +46-###-#####
16.8 kbps DSR DK 2400 bps DSR Information
THE STASH
- Svenska Rapporten Support BBS -
Den Svenska Rapporten #1 Node
14.4k bps, 170+ Megs, Dygnet Runt
____________________________________________________________________________
____________________________________________________________________________
Detta Avslutar Detta DSR Numret Nr. 06
(del 2 av 3)
Sl+ppt Juni 30, 1992
av TC
Editor av Den Svenska Rapporten
____________________________________________________________________________
____________________________________________________________________________