Riskfyllt att lägga ut lösenord

Indiska journalister har kommit över hemlig e-post på indiska ambassaden i Kina med hjälp av de lösenord som svenske IT-säkerhetskonsulten Dan Egerstad lagt ut på internet.

31 augusti 2007 kl 21:31, uppdaterad: 27 september 2007 kl 20:53

Han gjorde det för att hjälpa, men agerandet ifrågasätts av branschexperter.

Egerstad lade ut inloggningsuppgifter till 100 olika ambassader, departement och politiska partier, främst i Asien och Mellanöstern.

Han gjorde det för att ruska om och öka medvetenheten om säkerhetsrisker. Han räknar med att de som hängts ut på hans lista nu snabbt kan täppa till säkerhetsluckorna, men han medger att han kan ha ställt till skada.

- Det är en risk jag tagit som jag är väl medveten om. Men riskerna skulle vara större om jag inte lyft fram det här, säger han till TT.

Agerandet ifrågasätts av Per Hellqvist, säkerhetsspecialist vid dataföretaget Symantec.

Det händer hela tiden att luckor och brister upptäcks, understryker han. Det vanliga tillvägagångssättet är då att den som ringat in säkerhetsproblemet kontaktar tillverkaren av programvaran, som får en viss tid på sig att åtgärda felet. Först om detta inte sker offentliggörs bristerna. Att hänga ut användarna tycker han är tveksamt.

- Han hade inte behövt lägga ut lösenorden. Nu kan väldigt känsliga uppgifter hamna i fel händer, säger Per Hellqvist.

Också Johan Jarl, IT-expert vid företaget F-Secure, anser att tillverkaren borde ha kontaktats i första hand. Han tycker samtidigt att det är bra varje gång säkerhetsproblematiken uppmärksammas. Det slarvas för mycket med säkerheten, anser han.

- Det finns säkerligen många luckor som ingen berättar om. Det är det som är det riktigt farliga, att det finns de som utnyttjar dem och inte berättar om dem. Däremot tycker jag inte att man ska hjälpa dem som attackerar.

Egerstads lista på internet väckte stor uppmärksamhet, inte minst i Indien. När TT besökte honom dagen efter offentliggörandet hade han pratat med journalister hela natten och telefonen fortsatte att gå varm.

Att förse någon med inloggningsuppgifter som sedan används kan vara brottsligt, uppger en åklagare med stor erfarenhet av intrångsfrågor. Brottet skulle i så fall vara medhjälp till dataintrång.

Dan Egerstad understryker att han själv inte använt de avslöjade inloggningsuppgifterna och att han avrått andra från att göra det. Själv är han osäker på vilka de juridiska följderna kan bli.