antibiomatika

Tellerskrittkapring

2002-09-25 13:53

Jeg har vært forsøkt utsatt for tellerskrittyveri. Jeg ville tapt penger, om jeg som for noen år siden var modembruker. Nå er jeg heldigvis ikke det, og kan gå videre uten blødende lommebok.

Siden jeg absolutt ikke frivillig har installert slike kapringstjenester, har det fått meg til å tenke. Tenke på hvor ansvaret kanskje bør ligge.

Microsofts nettleser og deres ulike epostprogram er utstyrt med et vell av funksjonalitet. Også mye som den vanlige bruker ikke ser.

Endel av den usynlige funksjonaliteten ligger i Microsofts kobling mellom operativsystem og nettleser, gjerne kalt ActiveX. Endel av disse ActiveX-komponentene er inkludert som standard, og gir webutviklere endel muligheter som ikke ellers finnes.

Det er dog et fundamentalt problem med bruk av denne teknologien. Mens andre nettlesere har skapt et skarpt skille mellom nettleser og operativsystem. Denne måten å gjøre ting på kalles gjerne en "sandkasse", der ingenting av det som er i nettleseren skal kunne påvirke operativsystemet. Dette er en mentalitet som er vokst frem av behov for sikkerhet mot ondsinnede websideforfattere.

Microsoft visker ut dette skillet gjennom å, ved hjelp av den nevnte ActiveX-tekonologien tillate kobling mellom operativsystemet og nettleseren. ActiveX inneholder altså potensielle bakdører inn i PCen din. Det er denne teknologien som har gjort de siste års virusepidemier mulig, med de irritasjonene og økonomiske tapene det har ført til.

Støtten for ActiveX kan deaktiveres, men er aktivert som standard, og det er heller ikke direkte intuitivt hvordan en skal skru av denne støtten. Det tragiske faktum er også at svært få brukere egentlig trenger støtten for dette.

Denne historien har, på tross av en litt teknisk begynnelse et poeng, da den nevnte Microsofteknologi har ført til at jeg er fryktelig glad for at mine private PCer ikke er nettilkoblet via ISDN/Modem, men ADSL.

Jeg bruker ikke veldig mye tid på de mørkere delene av nettet, og inntil nylig trodde jeg faktisk ikke jeg noensinne hadde besøkt noen av disse mørke delene.

Helt til jeg, ved en liten gjennomgang av Windows Registry, stedet hvor Windows, og store og små programmer lagrer innstillingene sine, oppdager et sett med nøkler knyttet opp mot noe som heter "MainPean". Hvor disse nøklene har dukket opp fra, aner jeg ikke, og jeg stoler på at den programvaren jeg har installert i det siste, som er både kjent og har åpen kildekode, ikke er trojanske hester med en annen last enn de hevder.

Litt etterforskning viser at MainPean er en trojansk hest som erstatter den alminnelige dialup-oppkoblingen i Windows med en som ringer et dyrt, utenlandsk nummer. Den installeres uten noen form for samtykke. Den gir deg altså ingen dialogboks som bekrefter at du vil ha dette installert, og gir seg heller ikke til kjenne på noen måte. Dersom man forsøker å slette den nye dialup-koblingen som har dukket opp, reinstallerer den så langt jeg kan se seg selv.

Så vidt jeg vet, finnes det også en skog av slike tjenester. Jeg har ikke sjekket disse ut i detalj, men når vi vet at det stort sett er skumle deler av pornobransjen som driver med slikt, og man finner blant annet "UnderageHost" i en liste over trojanere av den sorten. Betyr dette at en bruker ufrivillig kan ende opp som sponsor for barnepornoindustrien?

I mitt oppsett med nettverk, ville antagelig en av PCene stått som gateway for dialup-tjenestene, og koble opp og ned automatisk uten at jeg som bruker måtte bekrefte disse oppkoblingene på forhånd. Følgelig ville jeg neppe i rimelig tid oppdaget at jeg ringte et nummer som kostet lassevis av kroner i sekundet, og jeg kunne vært fattigere enn den fattigste kunstner.

Et annet scenario jeg ser for meg, er at slike trojanske hester spres gjennom SPAM, hvor man kan bli infisert bare ved å motta mail og vise den i forhåndsvisningsvinduet. La oss bare håpe det ikke når så langt.

Hvem er det som så bør bære det økonomiske ansvaret for at slike ting kan skje?

I debatten omkring diallertjenestene, som ringer dyre nummer på Seychellene, er det mange som har klagd på teleselskapene. I mine øyne er dette å skyte på pianisten fordi ølet smaker vondt. Det blir som å klage til myndighetene for at det finnes vei frem til huset ditt, etter at noen har brutt seg inn hos deg. Telenor og andre tilbyr bare veien, og bør ikke sperre den for legitim bruk - selv om det medfører at det kan forekomme ulovlig bruk.

De fleste programvareselskap har en lisensavtale for programvaren sin, der de fraskriver seg ethvert ansvar for økonomisk tap, så også Microsoft.

Men, vi kan og skal ikke glemme at Microsoft har et de-facto-monopol. De konkurrerer ikke i det frie markedet, hva enn Linuxoptimister måtte ønske. De fleste nye pcer som selges, leveres preinstallert med Windows, med Internet Explorer, med Outlook Express. For mange hjemmepc-løsninger i bedrifter er også Office preinstallert.

Hvilket bringer oss tilbake til de tidligere nevnte ActiveX-komponenter, og Microsofts manglende skille mellom nettleser og operativsystem.

Den alminnelige bruker har ikke muligheten til å verne seg mot truslene vi opplever i det digitale nettverkssamfunnet. Det er rett og slett for vanskelig for hvermansen å endre i innstillinger han eller hun ikke vet hva innebærer. De har kjøpt et ferdig digitalt hus, med ferdig vei frem til huset. De har ikke bygd det selv - det har Microsoft gjort for dem. De bør kunne stole på at huset er trygt og sikkert.

Da er det skjødesløst av Microsoft å fraskrive seg ansvaret for at de har bygd et digitalt hus i et kriminelt nabolag, hvor låsene virker, men hvor man må ha spesialkunnskap for å kunne låse dem, man må sågar være låsesmed selv, og det er også hemmelige, ulåste dører innbruddstyver kan gå gjennom.

Hadde en ferdighusprodusent nektet å bære det økonomiske tapet til kunden ved innbrudd i et slikt hus, ville myndighetene grepet inn og stilt husprodusenten til ansvar. Uansett hvilken avtale produsenten hadde inngått med kunden. Uten å være jurist, så har jeg forstått det slik at i forbrukersammenheng er en urimelig kontrakt ugyldig.

En EULA (End User Licence Agreement) er en slik kontrakt. Mellom kunden og programvareleverandøren - altså Microsoft.

De kjente og ukjente sikkerhetsfeilene i Microsofts operativsystem og programvare, er de hemmelige, ulåste dørene i huset. Funksjonaliteten i programvaren, er de kjente dørene som ikke kan låses uten spesialkunnskap.

Spørsmålene jeg kunne tenke meg å få et svar på er: Er Microsofts EULA en i forbrukersammenheng urimelig avtale? Kan, og bør noen stille Microsoft til økonomisk ansvar for tapene?

Jeg ser helt klare fordeler ved at Microsoft blir stilt til økomomisk ansvar ovenfor sine kunder, og må betale telefonregninger med erstatning for tort og svie i tillegg. Siden mange av de digitale innbruddstyvene opererer over landegrenser, er det vanskelig for enkeltstater å gjøre noe med problemet.

Microsoft er en svært stor aktør, og en av de virkelig få organisasjonene som har kapasitet og økonomi til å forfølge disse digitale svindlerne, og få dem fjernet fra kartet, få fjernet selve trusselen. Verken det norske forbrukerrådet, Telenor, eller andre har denne makten. Rettsystemet i de ulike opprinnelsesland har denne makten, og Microsoft er store, store nok til å kunne bruke rettsystemet i de ulike landene. Microsoft har altså makt.

Kommentarer

Det er ikke åpent for å legge til flere kommentarer.