”Gå inte på reklamen som säger att du inte behöver oroa dig. Du kan aldrig lägga över ansvaret för säkerheten till molnet”, skriver Åsa Schwarz.
Publicerad: 2012-09-09 03:00, i Computer Sweden
Häromdagen fastnade jag för en bloggpost som handlade om trojanen OSX Crisis. Det som fångade min uppmärksamhet var att den inte bara kan exekveras på Windows-mobiler, Mac och pc utan även på virtuella maskiner. Det är alltså första steget ut i den virtuella världen för vad som med ett samlingsnamn kallas för elak kod.
Trojanen avlyssnar ett antal program som till exempel Skype och Messenger för att sedan skicka informationen till en ip-adress. Den utnyttjar att våra datorer förvandlats till övervakningscentraler med kamera, gps, telefoner och ljudinspelningar.
Möjligheterna att tanka ned information om oss är numera oändliga. Sammanfattningsvis kan en person få total insikt i all kommunikation som användaren har, oberoende av vilken teknisk plattform som används.
Nu är just den här trojanen inte speciellt spridd. Men tyvärr är virus- och trojanmakare både rationella och lata så vi kommer säkert få se ett antal både bättre och effektivare kopior.
Förr var det enkelt att råda bot på problem med elak kod. Standardrekommendationen var att ha en brandvägg, ett antivirussystem och se till att uppdatera systemen. All trafik in och ut ur nätverket skulle skannas för elak kod. Om något dök upp, skulle ett larm gå centralt. Den stora utmaningen låg i att få användarna att inte klicka på fel länk.
Nu krävs det mer för att vi ska hålla jämna steg med buset. Därför bokade jag en lunch med Per Hellqvist på Symantec. Jag frågade honom vad företag ska fokusera på i framtiden för att slippa de största problemen med elak kod.
”Det blir allt viktigare med säkerhet i webbläsaren. Ju fler affärssystem som ligger i molnet, desto fler angrepp sker den vägen. Bovarna dras dit pengarna är. Två-faktor-autentisering borde vara ett krav”, sa han.
Jag frågade också hur han trodde att den elaka koden skulle se ut om fem år:
”Jag tror att nästa steg är att angripa själva molntjänsterna, inte bara inloggningen.”
Det har han säkert rätt i. Det är där pengarna kommer att finnas. Det är där som stora delar av våra elektroniska liv utspelas. Det är där allt kommer att hända.
Så klart buset vill in i molnet.
Då kan vi luta oss tillbaka och låta leverantörerna av molntjänster hantera problemen. Det är de som får övervaka och bygga stabila tjänster när den elaka koden strömmar till. Visst låter det bra? Det vi glömmer bort är att om de misslyckas är det vår affär som riskeras.
Gå inte på reklamen som säger att du inte behöver oroa dig. Du kan aldrig lägga över ansvaret för säkerhet till molnet.
Du måste fortfarande ställa krav på säkerhet även om outsourcing har fått snyggare gränssnitt och bytt namn.
Åsa Schwarz 