Det store, stygge internettet var ikke født farlig. I den spede begynnelsen var internett en sammenkobling av et lite antall datamaskiner hvor det var fullt mulig å kjenne alle brukerne personlig. Derfor var ikke sikkerhet det første man tenkte på – hvis mailen var merket med Pål eller Yngvar som avsender, så kom den jo selvfølgelig fra nettopp Pål eller Yngvar.
Denne uskyldige tiden er forbi – vi må nå forholde oss til Phishing eller Phisking (må ikke forveksles med Phising eller Phlatulens), der slemme mennesker sender oss epost hvor de utgir seg for å være banken vår, kredittkortselskapet vårt, eller et stort utvalg i Nigerianske prinsesser og prinser. Hensikten er å lure fra oss passord eller andre detaljer som de kan bruke til å tappe kontoen vår for surt ervervede midler.
Sikkerheten til epost har vært sammenlignet med å sende postkort – alle instanser (rutere, tjenere, etc.) meldingen er innom på sin vei fra avsender til mottaker kan fritt lese innholdet. Det har vært flere forsøk på å lage sikrere alternativer (de mest kjente er kanskje PGP og S/MIME) men av forskjellige årsaker har disse aldri slått an blant det brede lag av folket. Heri ligger også årsaken til at det er så lett å bli lurt av Phishing – det er ingenting i en vanlig epostmelding som vi kan bruke for å verifisere at meldingen kommer fra den påståtte avsenderen.
Til tross for denne sørgelige tilstanden, finnes det flere presumtivt oppegående firma og organisasjoner som glatt overser problemet, og bortimot gjør det de kan for å lære sine kunder og medlemmer opp til å bli gode Phisker. Vi kunne sikkert hengt ut mange her, men skal nøye oss med et par eksempler: Fagforeningen Tekna lager hvert år en lønnstatistikk ved å be hvert enkelt medlem om å oppgi sin nåværende lønn, og aggregere resultatene. Dette gjør de ved (akkurat!) å sende ut en mail til hvert medlem, og be dem om å klikke på en vedlagt lenke. Lenken går til et analysefirma – husker ikke nå hvilket firma det er, men la oss si at det er confirmit.no. Poenget er at de fleste mennesker vel er som meg i dette henseendet – vi går ikke rundt og husker på hvilket firma Tekna bruker til sin undersøkelse. Hvis man er interessert i å vite lønnen til mange Tekna-medlemmer, skulle det derfor være en smal sak å opprette siden (f.eks.) conffirmitt.com, legge ut et falskt Tekna spørreskjema, og så forfalske en epost som utgir seg fra å være fra Tekna, med link til conffirmitt.com. Dette er ikke måten å gjøre det på! Løsningen her er enkel – Tekna har en “medlemsportal” med individuell innlogging. Hvis de hadde lagt ut en link til undersøkelsen her, er problemet løst – og så kan de sende en mail og be folk gå inn på medlemsportalen for å fylle ut statistikken.
Det andre eksempelet er hakket grovere. IEEE Communications Society arrangerer som andre foreninger valg av tillitsvalgte, og naturlig nok tilbys medlemmene å stemme elektronisk, dvs. over internett. Her er et utdrag av mailen de sendte ut i denne forbindelse:
Den erfarne leser skjønner hvor dette bærer. Ikke nok med at man oppfordrer medlemmene til å gå til en (for mange) vilt fremmed side, men man ber dem attpåtil om å oppgi sitt brukernavn og passord til medlemsportalen på denne fremmede siden – nei og nei! Samme løsning som foreslått over hadde fungert her – kjør avstemmingen via medlemsportalen, etter at brukeren har logget inn.
Kverulant som jeg er, sendte jeg en mail for å påpeke hvor uheldig denne løsningen er. Jeg ble belønnet med følgende goddag-mann-økseskaft-svar:
Sikkerhet er tydeligvis vanskelig…
Illustrasjon ved Flickr bruker whologwhy