UiO skal styrkja datatryggleiken

Alle operativsystem av typen Windows 95,98 og NT skal utfasast i løpet av våren 2003 og erstattast med Windows 2000. Både nett og maskinutstyr skal scannast for å finna usikra maskiner og tenester. Det er to av tiltaka som USIT (Universitetets senter for informasjonsteknologi) vil setja i gang for å hindra at hackarar igjen skal kunna bryta seg inn på viktige servarar ved UiO.

LETTARE Å OPPDAGA - Det vil bli lettare for oss å oppdaga innbrota tidlegare enn før med dei nye sikringstiltaka, seier IT-direktør Arne Laukholm.
Foto: Ståle Skogstad

USIT har allereie bytt ut NT-domene med Windows 2000 Active Directory for autentisering av PC-brukarar. Grunnen er at det er eit litt sikrare system med ei kryptering som er hardare å knekka. Dessutan blir opplegget for automatisk installasjon av sikringsoppgraderingar og liknande på arbeidsplassutstyr utvida til å gjelda fleire maskiner. God datatryggleik er i stor grad avhengig av lojal oppfylging frå dei lokale IT-ansvarlege, heiter det i notatet frå USIT.

Formålet med desse tiltaka er altså å hindra at hackarar bryt seg inn på ein av dei sentrale datatenarane ved UiO, slik det blei oppdaga eit alvorleg tilfelle av 14.november i fjor. Då braut tyske hackarar seg inn på informasjonstenararen som styrte datasystemet til Sentralbordet. Dei brukte tenaren til å lagra DVD-filmar som var dubba til tysk. Det mest uvanlege den gongen var at innbrytarane klarte å få tak i passordfilen til universitetet sitt NT-domene. Til saman måtte 22 500 brukarar skifta passord i løpet av dei første vekene etterpå.

- Må tetta igjen

- Dei røynslene me fekk då, har lært oss at UiO også i framtida kjem til å bli utsett for datainnbrotsforsøk. Difor er me nøydde til å tetta igjen alle veikskapar i brannmuren rundt vårt interne datasystem, understrekar universitetsdirektør Tor Saglie. Han viser til at det blei oppdaga veike punkt som ein ikkje hadde vore klar over tidlegare.

- Sjølv om me hadde god kontroll på dei sentrale dataressursane, stod det verre til med randsoneaktivitetane. Enkelte studentorganisasjonar med Internett-tilknyting hadde ikkje alltid vore like flinke til å fylgja pålegg USIT hadde kome med for å gjera datanettet sikrare, seier Saglie. Han er godt nøgd med korleis USIT klarte å løysa problema som oppstod etter dette datainnbrotet.

Imponert over USIT

- Eg er imponert over innsatsen til USIT og deira medarbeidarar då dette skjedde. Dei kom med ei rask påvising av problemet, og dei var også rasketil å handla og løysa ein situasjon der over 20 000 databrukarar måtte skifta passord. Dette er ein innsats som er lagt merke til av folk utanfor UiO,konstaterer universitetsdirektøren. Han er overtydd om at det i framtida må satsast enda meir på datatryggleik.

- Me må nok prioritera sikringsfunksjonen til datasystemet til universitetet enda meir enn det me har gjort. Difor har kvar og ein av oss ansvar for å fylgja opp dei rutinane og pålegga som blir innførte, lyder oppfordringa frå Tor Saglie.

Det var IT-direktør Arne Laukholm som måtte forklara pressa kva som hadde skjedd etter at datainnbrotet blei avslørt 14. november. Både han og gruppeleiar for Windows og MacOs, Are Garnåsjordet er nøgde med måten USIT handterte den situasjonen på.

Lettare å oppdaga innbrot

- Men er dei sikringstiltaka USIT kjem til å setja i verk tilstrekkelege for å hindra framtidige datainnbrot?

- Eg kan ikkje garantera at det ikkje skjer tilfelle av nye datainnbrot, men dei nye tiltaka vil i alle fall gjera det så vanskeleg som mogleg for dei å få det til. Det vil bli lettare for oss å oppdaga innbrota tidlegare enn før.

- Kan studentar eller tilsette som misbrukar UiOs datasystem risikera å mista brukarnamnet sitt?

- I løpet av våren vil me laga eit nytt IT-reglement og då vil det bli understreka meir presist kva sanksjonar me kan setja i verk som reaksjon på forskjellige handlingar. Me har heimel for å ta brukarnamnet frå databrukarar også i dag. Problemet er at om du tar brukarnamnet frå ein student, så kan han eller ho heller ikkje studera. Difor vil det nok vera vanlegare at me gir studentane avgrensa tilgang til tenester og nett enn at me inndrar tilgangen heilt.

- Det viktigaste no er at me får innført ein modernisert sikringsfilosofi i høve til eit endra trugsmålsbilete. Ikkje minst er den gode tilgangen for hjelpeverkty til innbrot eit problem. Desse verktya gjer det mogleg for folk med relativt liten IT-kompetanse å gjera avanserte innbrotsforsøk, forklarar Laukholm og Garnåsjordet. Det faktum at UiO er ein forskingsinstitusjon set også datasystemet på prøvar som andre ikkje treng ta omsyn til.

Vanskeleg å avgrensa databruken

- Forskarane ved UiO driv internasjonal samarbeid med folk over heile verda og utvekslar informasjon med dei via nettet. Difor vil det vera vanskeleg for oss å avgrensa databruken. Mykje av det vitskaplege utstyret er også knytt til ei datamaskin. Ein del av dette utstyret har også "svarte boksar" i den meininga at dei inneheld programvare som me ikkje har høve til å endra, og der det hender det finst graverande sikringshol. Desse er leverandørane ikkje alltid opptekne med å retta, forklarar Laukholm og Garnåsjordet.

Begge har oppdaga at den store pressedekkinga av datainnbrotet i november har fått fylgjer dei ikkje kunne tenkt seg.

- Eit attraktivt hackarmål

- Det har blitt enda meir attraktivt for hackarar å bryta seg inn på datasystemet til UiO. Dei har klart å koma seg inn, men dei har blitt funne omtrent med ein gong, forsikrar dei før dei kjem med ei bøn til alle UiO-tilsette med heimedatamaskiner.

- Skaff dykk ein gratis brannmur på nettet og styr unna tvilsame nettstader. Last heller ikkje ned fleire program enn det de treng til eige bruk, er rådet dei kjem med.

Tiltak som blir sette i verk

*Alle brukarane skal ha operativsystem, virusprogramvare og brukarprogram der alle sikringsoppgraderingar til ei kvar tid er gjort
*USIT kjem til å gripa inn i mykje større grad enn tidlegare dersom dette ikkje er tilfelle

Emneord: Hackere, USIT, Universitetspolitikk Av Martin Toft
Publisert 16. jan. 2003 14:04 - Sist endret 10. des. 2008 16:04
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere