Bruce Schneier

Data migrerer til mindre fysiske enheder

For mere end et år siden skrev jeg om den stigende risiko for datatab fordi flere og flere filer puttes i stadig mindre enheder. I dag bruger jeg en 4 GB Memory stick til backup når jeg rejser. Jeg kan lide mageligheden, men hvis jeg mister dimsen risikerer jeg at miste alle mine data.

Historien her handler om om "Secustick", der røg ud af markedet, da den manglende sikkerhed blev afsløret.

Kryptering er den åbenbare løsning på problemet -- jeg bruger PGP-disk -- men "Secustick" lyder endnu bedre: Den sletter automatisk sig selv efter en serie forkerte passwords-forsøg. Selskabet kommer med et bundt af andre påstande, der gør indtryk: Produktet blev først sat i kommission og måske endda godkendt af den franske efterretningstjeneste; det bliver brugt i mange forsvarsenheder og banker; teknologien er revolutionerende.

Uheldigvis er det eneste, der gør indtryk ved Secustick Hybris (Overmod), som gav bagslag, da Tweakers.net fuldstændig brød dets sikkerhed. Der var ingen selv-slettende mekanisme. Passwordbeskyttelsen kunne ret let omgås. Data er ikke engang krypteret. Set som sikker lagerenhed er Secustick helt nytteløs.

Hvorfor er der så mange dårlige it-sikkerhedsprodukter?

På overfladen ligner det et nyt fupprodukt indenfor sikkerhed.( "Snake Oil story") (1).
Men der er et dybere spørgsmål: Hvorfor er der så mange dårlige sikkerhedsprodukter?
Det kan ikke være fordi det er svært at designe god sikkerhed - selv om det godt kan være tilfældet - og det er heller ikke, fordi ikke alle og enhver kan designe et sikkerhedsprodukt som vedkommende ikke selv kan bryde. Hvrfor slår simple sikkerhedsprodukter de gode ud på deres eget marked?

Citronmarkedet - om kvaliteten på brugte biler

I 1970 skrev den amerikanske økonom George Akerlöf en artikel, han kaldte "Citronmarkedet". Artiklen indeholdt en teori om asymmetrisk information, der får markedets gennemskuelighed til at forsvinde. Akerlof fik Nobelprisen for sit arbejde i 2001. Det handler om markeder, hvor sælgerne ved en masse mere om produktet end køberne.

Akerlof illustrerede sine ideer med et eksempel: Markedet for brugte biler. Et brugtbilmarked omfatter både gode biler og dårlige biler (= citroner, "lemons").

Sælgeren kan godt se forskellen, men køberen kan ikke, i det mindste ikke før efter handlens indgåelse. Jeg vil ikke gå ind på matematikken her, men det hele ender med, at køberen baserer sin prisvurdering på den gennemsnitlige kvalitet.

Spiralproces udsulter kvaliteten, så kun de usleste er tilbage

Det indebærer, at de bedste eksemplarer ikke bliver solgt. Deres priser er for høje - hvilket indebærer, at ejerne af de bedste biler ikke kan udbyde dem på markedet - og her starter spiralprocessen. Fjernelsen af de bedste biler fra markedet reducerer den pris, den gennemsnitlige bilkøber er villig til at betale, hvorefer de kvalitetsmæssigt set gode biler også bliver trukket ud. Det fortsætter, indtil der kun er "lemons" tilbage på markedet.

På et marked, hvor sælgeren har mere information om produktet end køberen, kan dårlige produkter slå de gode ud af markedet.

Computersikkerhedsmarkedet

Computersikkerhedsmarkedet har en del tilfælles med citronmarkedet. Tag blot markedet for krypterede USB-sticks. Adskillige selskaber sælger krypterede USB-sticks. Kingston Technology sendte mig et for nogle dage siden - men heller ikke jeg kunnr sige, om Kingstons tilbud er bedre end Secustick. Eller om det er bedre end noget andet krypteret USB-drev. De bruger de samme krypteringsalgoritmer. De laver de samme anprisninger. Og hvis ikke jeg kan fortælle forskellen, vil cde flesdte forbrugere heller ikke kunne.

Selvfølgelig er det dyrere at lave et virkelig mere sikkert USB-drev. God sikkerhed tager tid, og naturligvis begrænser det funktionaliteten. God sikkerhedstestning tager endnu mere tid, specielt hvis produktet er noget værd. Det betyder, at de mindre sikre produkt vil være billigere, hurtigere på markedet og have flere features. På et sådant marked vil det sikreste USB-drev blive taberen.

Igen og igen...

Jeg ser den slags foregå igen og igen indenfor computersikkerhed.
Sidst i 1980erne og først i 1990erne var der mere end et hundrede konkurrerende firewallprodukter. De få, som vandt var ikke de mest sikre. Det var dem, der var nemme at sætte op, nemme at bruge og ikke kedede deres brugere for meget.
Fordi køberne ikke kunne basere deres beslutning på de relativt gode sikkerhedsberetninger, blev købet afgjort på andre kriterier. Intrusion Detection Sustemer, IDS, udviklede sig ligesådan, og før dem det samme med antivirusmarkedet.
De få produkter der vandt var ikke de sikreste, for køberne kunne ikke se forskellen.

Brug for et signal

Hvordan løses denne udfordring? Der er behov for, hvad økonomer kalder et "signal" - en måde køberne kan få lært forskellen at kende på. Garantier er et fælles signal. Som alternativ kunne en uafhængig automekanisk ekspert skelne mellem gode og dårlige brugte biler, og en køber kan hyre hans ekspertise. Historien om Secustick demonstrerer dette. Hvis der var en forbrugergruppe til at evaluere forskellige produkter på kvaliteten, så kan "the lemons" blive udstillet som det, de er.

Secustick, ser ud til at være trukket ud af markedet.

Aftestning er dyrt og langsomt

Men aftestning af sikkerhed er både dyrt og langsomt, og det er ikke muligt for et uafhængigt laboratorium at teste alt muligt. Uheldigvis var udstillingen af Secustick en undtagelse. Det var et simpelt produkt, og simpelt aft afsløre, hvis nogen een gang satte sig for at undersøge det nærmere. Et komplekst softwareprodukt som en firewalkl, et IDS - er meget vanskeligt at teste ordentligt. Og selvfølgelig: Når det endelig er testet, har forhandleren en ny version på gaden.

I virkeligheden må vi stole på de flertydige signaler til at skelne de gode sikkerhedsprodukter fra de dårlige. Standardisering er et signal. Den udbredte AES krypteringsalgoritme har som standard reduceret, men ikke fjernet mange lusede krypteringsalgoritmer på markedet. Omtalen, rygtet - er et mere almindeligt signal. vi vælger sikkerhed på basis af salgsvirksomhedens omdømme, nogle historier om
sikkerhed knyttet til det, artikler i magasiner og anbefalinger fra kolleger eller generelt buzz fra medierne.

Alle disse signaler har deres problemer. Selv produktanmeldelser, som burde være lige så omfattende som Tweakers "Secustick"- anmeldelse, er sjældne. Mange sammenligninger af firewalls fokuserer på egenskaber brugerne selv kan teste af, som antallet af pakker der transmitteres i sekundet, end hvor sikkert produktet er. I sammenligninger af IDS (Intrusion Detecting Systems) kan du finde sammenligning af "antallet af signaturer". Køberne labber det i sig. I fraværet af dybere forståelse sluger de lykkeligt mere ligegyldige data.

Med så mange tvivlsomme sikkerhedsprodukter på markedet og vanskeligheden ved at komme igennem med et stærkt kvalitetssignal har producenterne ikke de stærkeste tilskyndelser til at investere og udvikle gode produkter. Og sælgerne som prøver, har en tilbøjelighed til at dø en død i stilhed.