Topdanmark er fornærmet

Selvom de selv var skyld i problemet har Topdanmark ikke tænkt sig at blive klogere. I hvert fald er deres reaktion, efter at deres kvartalsregnskab blev refereret i medierne for tidligt, udadvendt med ord som “politianmeldelse” (eller rettere, “politimæssig efterforskning”[1]) som det nuværende omdrejningspunkt.

Reuters refererede dele af forsikringskoncernens kvartalsregnskab op til et kvarter før fondsbørsmeddelelsen blev udsendt og Finanstilsynet har kritiseret Topdanmark for dette. Helt efter bogen.

URL-hacking

At Reuters fandt kvartalsregnskabet gennem en meget simpel procedure der har fået det lidt voldsomme navn “URL-hacking” er kun sjovt. URL-hacking er så simpel så enhver kan gøre det: Man tager en adresse på en hjemmeside og så ændrer man et tegn eller flere for at se hvad man så kan se; man prøver altså andre adresser.

Det kan naturligvis gøres manuelt, f.eks. hvis en bruger kan se at der er et vist mønster i adresserne eller maskinelt hvor man sætter en computer til at afprøve forskellige adresser ud fra en eller anden sandsynlig model. På Topdanmarks investorsite kan man f.eks. se at deres delårsrapport for 1. – 3. kvartal ligger på http://www.topdanmark.dk/download?file=regnskab/2010/3kvt_medd_dk.pdf og ud fra det kunne jeg nemt gætte at den for 1. kvartal lå på http://www.topdanmark.dk/download?file=regnskab/2010/1kvt_medd_dk.pdf. Med lidt eksperimentering ville jeg nok også være kommet frem til http://www.topdanmark.dk/download?file=regnskab/2010/halv_medd_dk.pdf.

For Topdanmark handler det udadtil om hvorvidt de havde offentliggjort informationerne ved at lægge dem på deres hjemmeside men uden at lave et link til adressen eller om Reuters havde tiltvunget sig adgang ved deres URL-hacking. Topdanmark er ikke i tvivl om at de er uden skyld.

Jeg er ikke i tvivl om at informationer der ligger klar til at blive overført så snart en hvilken som helst anonym bruger forespørger dem er offentliggjort. At forestille sig at der skulle være en officiel side der angiver hvilke andre sider der er offentliggjorte er en misforståelse både af den tekniske standard og af mediet. Tror man at brugere skal forbi forsiden for at komme ind har man ikke forstået WWW.

Topdanmark har fået professor Lars Bo Langsted til at udarbejde et responsum i deres forsvar overfor Finanstilsynet og det er interessant læsning. Langsted fokuserer naturligvis på at forsvare Topdanmark og argumenterer for at der ikke er sket en offentliggørelse i loven om værdipapirhandels forstand bare ved at lægge en meddelelse ud på en offentlig server. Og for en god ordens skyld at Topdanmark da i det mindste ikke er strafansvarlige da de reagerede så hurtigt som de gjorde; det er altid svært når man skal argumentere for frifindelse og mild straf på samme tid.

Derefter går Langsted i gang med at argumentere for hvorvidt URL-hacking er strafbart efter straffelovens § 263. Her virker det som om Langsted forledes af benævnelsen fremfor handlingen. Han når endda frem til følgende sætning:

Denne proces er ganske den samme, som når hackere forsøger at ”gætte sig” til passwords.

Langsted erklærer dog ingen steder at URL-hacking er strafbart og fremhæver at det er usikkert at det er.

Jeg mener at der er stor lighed med andre juridiske situationer hvor kun beskyttelser der er effektive faktisk gives en juridisk betydning. Hvad den videre sag vil give os af afgørelse er spændende.

Security through obscurity

Janus Boye har kort kommenteret historien og påpeger at der teknisk er meget enkle metoder, endda i den løsning Topdanmark anvender på deres hjemmeside, til at beskytte informationer der ikke skal være offentlige (endnu); adgangskode eller tidsstyring. Jeg vil tro at alle professionelle CMS’er har begge disse funktioner og ved man som webmaster ikke hvordan de kan anvendes bør man lære det hurtigt. Spørgsmålet er om Topdanmark, med den retorik de bruger, kan vende dette til konstruktiv læring indadtil.

Historien handler dybest set om det klassiske “security through obscurity” som påfaldende mange stadig tror på. OK, “hemmelige” adgangsveje kan give et ekstra lag af sikkerhed men alt hvad det faktisk gør er enten at mindske angrebsfladen eller at forsinke et angreb. Har man ellers styr på sin sikkerhed kan begge dele være nok til at gøre at man kan undgå store katastrofer, f.eks. i forbindelse med zero-day angreb.

Men at holde en adgangsvej hemmelig, om det er en hemmelig adresse, et hemmeligt telefonnummer eller en hemmelig algoritme, er ikke sikkerhed i sig selv. De første hører vi jævnligt om i pressen mens den sidste ofte optræder i mere tekniske artikler. Eksempler kunne være:

Why Security-Through-Obscurity Won’t Work – artikel fra 1998 hvor eksemplet er at en virksomhed truer en programmør for at han ikke offentliggør et sikkerhedshul, i den naive tro at netop denne udvikler er den eneste der er klog nok til at have opdaget sikkerhedshullet.

Kerckhoffs’s Principle – refereret af Ed Felten i “Security by Obscurity”, at kravet til et system til kryptering er at det skal være sikkert selvom alt om systemet undtagen den hemmelige kode kendes. Kerckhoffs skrev dette i 1883.

New $2B Dutch Transport Card is Insecure – Ed Felten igen, denne gang om den hollandske fiasko med tog- og buskort. Ed Felten er i øvrigt nu blevet Chief Technologist hos FTC, det amerikanske Finanstilsyn.

————

[1] Topdanmark har siden ændret deres hjemmeside så linket ikke længere passer. Så vidt jeg kan se er meddelelsen nu tilgængelig her: http://inv.dk.topdanmark.com/releasedetail.cfm?ReleaseID=558048 eller som PDF.

Dette indlæg blev udgivet i Jura og tagget , , , , , , , , . Bogmærk permalinket.

3 svar til Topdanmark er fornærmet

  1. Pingback: Yay! | Hennings blog

  2. Pingback: Topdanmark og sansen for ironi | Hennings blog

  3. Pingback: Endnu et blog-år | Hennings blog

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s