(Det här brukar vara ett hett debattämne sÃ¥ jag sätter väl pÃ¥ mig jul-asbest-kallingarna…)

Bruce Schneier har en postning om sin blogg om hur polisen i Conyers, USA agerar för att minska mängden inbrott i parkerade bilar.

Vad polisen gör i Conyers är att gå runt på parkeringsplatser och titta vad som finns i bilarna.

I de bilar polisen ser att det finns värdesaker att sno sätter polisen en varningslapp på bilen. En stor, gul lapp.

Men jösses?!

Inom IT-säkerhet pratar man om olika sätt att berätta om/avslöja säkerhetsproblem. Termer som full disclosure, reasonable disclosure används för att beskriva hur någon som upptäcker ett säkerhetsproblem agerar. Det har länge pågått en debatt om för- och nackdelarna med de olika sätten att agera.

Det är sannolikt så att hade vi inte haft folk som öppet rapporterat om svagheter i IT-system hade mängden säkerhetsproblem som fixats varit mycket mindre. Vi har efter åratal av incidenter fått upp ett arbetssätt hos de flesta företag att leta efter svagheter i sina produkter, men även fått arbetssätt att reagera på och hantera svagheter som rapporteras av användare och aktörer.

Samtidigt verkar det finnas en klar koppling mellan en publicerad svaghet och nya svagheter som elak kod använder för att ta över ett system. Att publicera en svaghet får alltså konsekvenser något den som publicerar svagheten måste vara medveten om.

Jag säger inte att man inte skall publicera. Vad jag säger är att den som levererar produkten/tjänsten svagheten är kopplad till måste få en chans att reagera. Men om denna inte reagerar går det inte heller att vänta i all evighet. Så publiceringen måste ske. Den stora frågan är vad som tas med i publiceringen. Vad är det som avslöjas om svagheten?

Detta är en svår balans. Den som publicerar vill kunna visa upp så mycket att andra skall kunna verifiera att det finns en svaghet. Samtidigt kan detta innebära att de som vill utnyttja svagheten för onda syften snabbt kan ta till sig svagheten och omsätta den i verkliga attacker.

Tittar man på publicerade svagheter varierar innehållet från allmänna beskrivningar, ex ett fel av typ XYZ har upptäckts i delen ABC av produkten GHI, till färdiga program och script för att utnyttja svagheten. Även om jag kan tycka att det är kul att testa en del exempelkod anser jag att det på det stora hela är oansvarigt.

Ett Svenskt exempel på vad jag anser vara oansvarigt avslöjande är hur Dan Egerstad på Deranged Security i höstas postade inloggningsuppgifter för eposten till olika ambassader runt om i världen på sin webbplats. Att undersöka Tor är helt rätt, att när man upptäcker säkerhetsproblem kontakta de drabbade är helt rätt. Men att hänga ut de drabbade på det sätt Dan gjorde är fel. Mycket fel.

Jag har svårt att se att polisen i Conyers agerar mycket annorlunda. Att de går runt och upptäcker att folk är slarviga med att plocka undan värdesaker är helt rätt. Men sättet man agerar för att få bilägarnas (användarnas) uppmärksamhet är fel. Man hade kunnat agera mycket annorlunda. Ex skriva upp bilnumren och sedan skicka brev (eller tom böter) till bilägarna.

Och detta kanske är poängen: Även om det är en myndighet, tom den polisiära makten som avslöjar ett säkerhetsproblem eller en svaghet går det inte att agera hur som helst. När SVT avslöjar att ICA-handlare märker om köttfärs är detta inget som drabbar utan gagnar konsumenterna. Men när polisen hjälper biltjuvarna att hitta till godsakerna är det fel sätt att agera.

Säkerhetsproblem är dumt, men det gör inte att vi kan agera korkat när vi upptäcker dom.

Uppdatering 2008-01-03:
Björn Persson pekade på att det skett en uppdatering i historien om polisen och deras gula lappar. Justin Troutman, en av användarna på Bruce Schneiers blog kontaktade polisen i Conyers och fick deras förklaring:

I contacted Conyers Police Department, basically iterating the same thought that this lets thieves know which vehicles they should be paying attention to.

Their response to me was:

“Thank you for contacting the Conyers Police Department. We appreciate that you took the time to write us with your comments about our flyer initiative.

Unfortunately, the media did not impart the whole story in regard to the flyers. Flyers were not just placed on vehicles that contained visible items. Flyers were also placed on vehicles that contained no visible items with a note saying “Nothing Observed (Good Job!)”. All vehicles were targeted. This initiative was not aimed only at vehicles that had items actually visible. Therefore, the flyers would not have been of any use to a thief for targeting vehicles since vehicles without items also received flyers. In addition, it was also not reported that all of the areas had extra patrols and officers on foot who were distributing the flyers.

We are sorry that the media did not provide this information despite the fact we asked them to. We hope that makes you see that our initiative was better planned than you believed.”

Hopefully, thieves won’t be able to easily differentiate between a flyer that indicates loot versus a flyer that indicates no loot; if the former looks noticeably different, they’ll ignore the latter.

Dvs man lappade alla bilar – Men notera att det fanns en skillnad i hur lapparna sÃ¥g ut, det är inte uppenbart om skillnaden gör det enkelt att identifiera (för tjyvar) intressanta bilar eller ej.