VG nett skriver i dag om hvordan hackere tjener store penger på å selge hackede brukerkontoer på CIAs personopplysningsinnsamlingstjeneste Facebook billig.

Hvem har skylden for disse frekke hackerne sin umoralske oppførsel? Gary Clark i Safenet forteller VG at brukerne må oppdras og legger så mesteparten av skylden på de som drifter nettstedene som det stjeles fra. Internett-tjenester som er sikret dårlig er helt klart ett problem. Personlig tror jeg usikker programvare er ett mye større problem. Bloggeren Gusland sitt råd om å holde Windows oppdatert er, for de som bruker dette operativsystemet og dets medfølgende programvare, ett veldig godt råd. Mitt råd: Ikke bruk Windows, bruk en GNU/Linux variant som f.eks Ubuntu Linux.

Hvilken programvare du bruker, og om den er oppdatert, spiller etter min mening mye større rolle enn hvilken sikkerhet nettstedene du besøker har. La meg gi ett konkret eksempel:

1. Jeg legger til kode som bruker sikkerhetshullet i Internet Explorer som Microsoft lanserte sikkerhetsoppdateringer for 18. desember til på ett av nettstedene mine. Eksempelkode for hvordan dette sikkerhetshullet kan utnyttes lå fritt tilgjengelig på milw0rm m.fler 15. desember, tre dager før Microsoft lanserte sikkerhetspatchen. Og det er stadig mange som ikke har oppdatert utgaven av Internet Explorer. Mer alvorlig er det at det er de som bruker eldre datamaskiner med eldre Windows-utgaver hvor det ikke lenger kommer sikkerhetsoppdateringer når slike hull oppdages. GNU/Linux varianter, derimot, fungerer godt på eldre maskiner og disse blir stadig sikkerhetsoppdatert når det er noe.
2. Koden som utnytter det siste - eller andre - sikkerhetshull kjøres når tilfeldige mennesker besøker nettstedet der jeg har lagt den til og installerer så en bakdør som f.eks BO2K slik at jeg får full oversikt over hva datamaskineren gjør, inkludert tastetrykk vedkommende skriver inn på tastaturet.
3. Nå som jeg har full oversikt over tastetrykk, skjermbilder og alt annet som skjer på maskinene der jeg har installert min bakdør kan jeg uten problemer stjele innloggingsopplysninger, e-post, filer og alt mulig annet rart.
4. $$$ Profitt
5. if (!$transactions_are_traced_back_to_me){ FancyLivsstil }else{ SonelangstraffiFengsel }

Dette eksemplet krever at brukere med usikker nettleser forviller seg innom ett nettsted med min ondskapsfulle kode, noe som i større grad enn en kan forvente gjøres gjennom annonser kjøpt hos Google Adsense, Adbrite og tilsvarende, og lar meg deretter stjele alt jeg føler det for godt å stjele.

Den eneste måten nettsteder kan forsvare seg mot slike angrep er å bruke engangskort og engangskoder slik nettbanker som Skandiabanken krever. Selv om motstanderen stjeler alt de kan via datamaskinen min - personnummer, nettbankpassord og så videre - vil motstanderen likevel feile i sine forsøk på å logge på Skandiabanken uten å fysisk bryte seg inn hos meg og stjele en fysisk gjenstand. Er det sikkerhetsmessig lurt å bruke kodekort med engangskoder for å f.eks logge på bloggtjenester som denne? Ja. Er det verd bryet og kostnaden? Tja, tjenester som gir enorm profitt bør nok vurdere det… og om denne tjenesten på magisk vis skulle havne i den kategorien så blir det kanskje kodekortinnlogging her også.