Etterord#
Etterord av Bruce Schneier#
Eg er ein tryggleiksteknolog. Jobben min er å gjere folk trygge. Eg tenkjer på tryggleikssystem og korleis ein kan knekke dei. Så, korleis ein kan gjere dei sikrare. Datatryggleikssystem. Overvakingssystem. Flyplasstryggleikssystem og stemmemaskiner og RFID-brikker og alt mogleg anna.
Cory inviterte meg inn på dei siste sidene av boka si fordi han ville at eg skulle fortelje dykk at tryggleik er gøy. Det er utruleg gøy. Det er katt og mus, kven som kan overliste kven, jeger mot bytte-gøy. Eg trur det er den gøyaste jobben ein kan ha. Om du synest det var gøy å lese om korleis Marcus overlista kameraa for gangelagsattkjenning med steinar i skoa, tenk på kor mykje gøyare det ville vore om du var den første personen i verda som tenkte på det.
Å jobbe med tryggleik betyr å kunne mykje om teknologi. Det kan bety å kunne om datamaskiner og nettverk, eller kamera og korleis dei fungerer, eller kjemien bak bomberegistrering. Men eigentleg er tryggleik ein mentalitet. Det er ein måte å tenkje på. Marcus er eit flott døme på den måten å tenkje på. Han leitar alltid etter måtar eit tryggleikssystem kan svikte på. Eg veddar på at han ikkje kunne gått inn i ein butikk utan å finne ut ein måte å stele på. Ikkje at han ville gjort det – det er skilnad på å vite korleis ein skal omgå eit tryggleikssystem og å faktisk gjere det – men han ville visst at han kunne.
Det er slik tryggleiksfolk tenkjer. Vi ser konstant på tryggleikssystem og korleis vi kan kome oss rundt dei; vi kan ikkje la vere.
Denne måten å tenkje på er viktig uansett kva side av tryggleiken du er på. Viss du har vorte hyra til å byggje ein tjuverisikker butikk, bør du vite korleis du steler. Viss du designar eit kamerasystem som registrerer individuelle gangelag, bør du planleggje for at folk puttar steinar i skoa sine. For viss du ikkje gjer det, kjem du ikkje til å designe noko bra.
Så når du vandrar gjennom dagen din, ta deg eit augneblink til å sjå på tryggleikssystema rundt deg. Sjå på kameraa i butikkane du handlar i. (Hindrar dei kriminalitet, eller flyttar dei den berre til nabobutikken?) Sjå korleis ein restaurant opererer. (Om du betaler etter at du har ete, kvifor stikk ikkje fleire folk av utan å betale?) Følg med i tryggleikskontrollen på flyplassen. (Korleis kunne du fått eit våpen om bord i eit fly?) Sjå kva kasseraren gjer i ein bank. (Banktryggleik er designa for å hindre tilsette i å stele like mykje som den er for å hindre deg i å stele.) Stir på ein maurtue. (Insekt handlar berre om tryggleik.) Les grunnlova, og legg merke til alle måtane den gir folk tryggleik mot staten. Sjå på trafikklys og dørlåsar og alle tryggleikssystema på fjernsyn og i filmar. Finn ut korleis dei fungerer, kva truslar dei vernar mot og kva truslar dei ikkje vernar mot, korleis dei sviktar, og korleis dei kan utnyttast.
Bruk nok tid på dette, og du vil oppdage at du tenkjer annleis om verda. Du vil byrje å leggje merke til at mange av tryggleikssystema der ute faktisk ikkje gjer det dei hevdar, og at mykje av den nasjonale tryggleiken vår er bortkasta pengar. Du vil forstå personvern som essensielt for tryggleik, ikkje i motsetning til det. Du vil slutte å bekymre deg for ting andre folk bekymrar seg for, og byrje å bekymre deg for ting andre folk ikkje eingong tenkjer på. Nokre gonger vil du leggje merke til noko om tryggleik som ingen nokon gong har tenkt på før. Og kanskje du vil finne ut ein ny måte å knekke eit tryggleikssystem på.
Det var berre for nokre få år sidan at nokon fann opp phishing.
Eg blir ofte forbløffa over kor enkelt det er å knekke nokre ganske kjende tryggleikssystem. Det er mange grunnar til dette, men den største er at det er umogleg å bevise at noko er sikkert. Alt du kan gjere er å prøve å knekke det – viss du mislukkast, veit du at det er sikkert nok til å halde deg ute, men kva med nokon som er smartare enn deg? Kven som helst kan designe eit tryggleikssystem så sterkt at han sjølv ikkje kan knekke det.
Tenk på det eit sekund, for det er ikkje openbert. Ingen er kvalifisert til å analysere sine eigne tryggleiksdesign, fordi designaren og analytikaren vil vere same person, med dei same avgrensingane. Nokre andre må analysere tryggleiken, fordi den må vere sikker mot ting designarane ikkje tenkte på.
Dette betyr at vi alle må analysere tryggleiken som andre folk designar. Og overraskande ofte, knekkjer ein av oss den.
Bedriftene til Marcus er ikkje usannsynlege; slikt skjer heile tida. Gå på nettet og slå opp «bump key» eller «Bic pen Kryptonite lock»; du vil finne eit par verkeleg interessante historier om tilsynelatande sterk tryggleik som vart overvunnen av ganske enkel teknologi.
Og når det skjer, sørg for å publisere det på internett ein stad. Hemmeleghald og tryggleik er ikkje det same, sjølv om det kan verke slik. Berre dårleg tryggleik baserer seg på hemmeleghald; god tryggleik fungerer sjølv om alle detaljane om den er offentlege.
Og å publisere sårbarheiter tvingar tryggleiksdesignarar til å designe betre tryggleik, og gjer oss alle til betre forbrukarar av tryggleik. Viss du kjøper ei Kryptonite-sykkellås og den kan overvinnast med ein Bic-penn, får du ikkje særleg god tryggleik for pengane dine. Og likeins, viss ein gjeng smarte ungar kan overvinne DHS sine antiterror-teknologiar, då kjem dei ikkje til å gjere ein særleg god jobb mot ekte terroristar.
Å byte personvern mot tryggleik er dumt nok; å ikkje eingong få noko reell tryggleik på kjøpet er endå dummare.
Så lukk boka og gå. Verda er full av tryggleikssystem. Hack eit av dei.
Bruce Schneier http://www.schneier.com
Etterord av Andrew «bunnie» Huang, Xbox-hackar#
Hackerar er utforskarar, digitale pionerar. Det ligg i ein hackar sin natur å stille spørsmål ved konvensjonar og bli freista av innfløkte problem. Eit kvart komplekst system er ein leikeplass for ein hackar; ein bieffekt av dette er hackaren sin naturlege affinitet for problem som involverer tryggleik. Samfunnet er eit stort og komplekst system, og er absolutt ikkje unntatt frå litt hacking. Som eit resultat blir hackarar ofte stereotypiserte som ikonoklastar og sosiale avvikarar, folk som trassar sosiale normer for trassens skuld.
Då eg hacka Xbox i 2002 medan eg var på MIT, gjorde eg det ikkje for å gjere opprør eller for å skade; eg følgde berre ein naturleg impuls, den same impulsen som fører til å fikse ein øydelagd iPod eller utforske taka og tunnelane på MIT. Diverre fører kombinasjonen av å ikkje følgje sosiale normer og å vite «truande» ting som korleis ein les arphid-brikka på kredittkortet ditt eller korleis ein dirkar låsar, til at nokre folk fryktar hackarar. Men motiva til ein hackar er typisk like enkle som «eg er ein ingeniør fordi eg likar å designe ting.»
Folk spør meg ofte: «Kvifor hacka du tryggleikssystemet til Xbox?» Og svaret mitt er enkelt: For det første eig eg dei tinga eg kjøper. Viss nokon kan fortelje meg kva eg kan og ikkje kan køyre på maskinvara mi, så eig eg den ikkje. For det andre, fordi den er der. Det er eit system med tilstrekkeleg kompleksitet til å vere ein god sport. Det var ei flott avveksling frå dei seine kveldane med doktorgradsarbeidet.
Eg var heldig. Det faktum at eg var doktorgradsstudent på MIT då eg hacka Xbox-en, legitimerte aktiviteten i auga til dei rette folka. Men retten til å hacke bør ikkje berre gjelde for akademikarar. Eg starta med hacking då eg berre var ein gut på barneskulen, og tok frå kvarandre kvart einaste elektroniske apparat eg kunne få tak i, til stor fortviling for foreldra mine. Lesestoffet mitt inkluderte bøker om modellrakettar, artilleri, kjernevåpen og produksjon av eksplosivar – bøker eg lånte frå skulebiblioteket mitt (eg trur den kalde krigen påverka utvalet i offentlege skular). Eg leika òg med min del av improvisert fyrverkeri og vandra rundt på opne byggjeplassar for hus som vart reiste i mitt nabolag i Midtvesten. Sjølv om det ikkje var det klokaste å gjere, var dette viktige erfaringar i mi modning, og eg voks opp til å bli ein fritenkjar på grunn av den sosiale toleransen og tilliten i samfunnet mitt.
Noverande hendingar har ikkje vore like nådige mot aspirerande hackarar. Little Brother viser korleis vi kan kome frå der vi er i dag til ei verd der sosial toleranse for nye og annleis tankar døyr heilt ut. Ei nyleg hending understrekar nøyaktig kor nære vi er ved å krysse grensa inn i verda til Little Brother. Eg var heldig og fekk lese eit tidleg utkast av Little Brother tilbake i november 2006. Spol fram to månader til slutten av januar 2007, då politiet i Boston fann mistenkte eksplosive einingar og stengde ned byen for ein dag. Desse einingane viste seg å vere ingenting meir enn kretskort med blinkande LED-lys, som reklamerte for eit program for Cartoon Network. Kunstnarane som plasserte denne urbane graffitien vart tekne inn som mistenkte terroristar og til slutt sikta for grovt brotsverk; nettverksprodusentane måtte ut med eit forlik på 2 millionar dollar, og sjefen for Cartoon Network gjekk av som følgje av etterdønningane.
Har terroristane allereie vunne? Har vi gjeve etter for frykt, slik at kunstnarar, hobbyfolk, hackarar, ikonoklastar, eller kanskje ei uanseleg gruppe born som speler Harajuku Fun Madness, så lett kan bli impliserte som terroristar?
Det finst eit omgrep for denne dysfunksjonen – det blir kalla ein autoimmun sjukdom, der forsvarsystemet til ein organisme går i så høggir at det ikkje kjenner att seg sjølv og angrip sine eigne celler. Til slutt øydelegg organismen seg sjølv. Akkurat no er Amerika på randen av å gå i anafylaktisk sjokk over sine eigne fridomar, og vi må inokulere oss sjølve mot dette. Teknologi er ingen kur for denne paranoiaen; faktisk kan den forsterke paranoiaen: den gjer oss til fangar av våre eigne einingar. Å tvinge millionar av menneske til å kle av seg ytterkleda og gå berrføtt gjennom metalldetektorar kvar dag er heller ingen løysing. Det tener berre til å minne befolkninga kvar dag på at dei har ein grunn til å vere redde, medan det i praksis berre utgjer ein spinkel barriere for ein bestemt motstandar.
Sanninga er at vi ikkje kan stole på at nokon andre skal få oss til å føle oss frie, og M1k3y kjem ikkje og reddar oss den dagen fridomane våre går tapt til paranoia. Det er fordi M1k3y er i deg og i meg – Little Brother er ei påminning om at uansett kor uføreseieleg framtida kan vere, vinn vi ikkje fridom gjennom tryggleikssystem, kryptografi, avhøyr og stikkprøvekontrollar. Vi vinn fridom ved å ha motet og overtydinga til å leve kvar dag fritt og handle som eit fritt samfunn, uansett kor store truslane er i horisonten.
Ver som M1k3y: gå ut døra og våg å vere fri.