21.10.2019
4 min læsetid

Vi putter usikker software i ting, som vi strør salt på vores mad

Der er alt for god økonomi i at lave software med høj kompleksitet og lav sikkerhed. Tidligere Security Researcher i Google Thomas Dullien mener, at software-udviklingen er en historisk undtagelse, som vi skal gribe anderledes an, end vi gør i dag.

Morten Scriver Andersen

af Morten Scriver Andersen

Vi tænker ofte på software som noget, der tilføjer egenskaber til vores computer. Men i virkeligheden er software noget, der begrænser, hvad en computer kan, mener Thomas Dullien.

Vi kender det med plastik. Det er billigt, holdbart og det findes i dag i alverdens produkter. Men der er en hage ved det. Som de fleste efterhånden ved, er plastik svært at nedbryde for naturen, og plastikposer, plastikflasker og bittesmå stykker mikroplast flyder rundt i verdenshavene og gemmer sig i skovbunden.

Noget af set samme sker med digitaliseringen. Men hvor plastik er skadeligt for miljøet er den billige software skidt for vores allesammens sikkerhed.

Det mener Security Researcher Thomas Dullien, der 1. november besøger it-konferencen Driving IT i København med sine tanker om den bekymrende udvikling, hvor vores hjem og samfund i stadig større grad flyder med billig software, der er dybt forurenende for vores cybersikkerhed.

Dullien peger på to afgørende årsager til udviklingen.

Den første finder vi i den hastige forbedring af computerprocessorers ydeevne. Som Moores Lov forudsagde i 1965 fordobles antallet af transistorer i en processor og dermed computerkraften hvert år. Inden for de seneste år har vi ramt en grænse. Kraftige computerchips er blevet så billige og digitaliseringen har åbnet for uendeligt mange muligheder, at vi, som Dullien formulerer det, putter software i ting, som vi putter salt på vores mad.

Driving IT 2019

Driving IT er IDA IT's store årlige 4-spors konference, hvor alt det vigtige og fremadrettede om IT tages op på en dag.

Afholdes 1. november i IDA-huset på Kalvebod Brygge i København.

Læs mere og tilmeld dig her.

Se program.

Vi skal finde ud af, hvordan vi bliver ved med at have den økonomiske fordel ved Moores Lov samtidig med at kompleksiteten ikke eksploderer i vores hoveder.

Thomas Dullien,
Security Researcher

Som et produkt deraf finder vi den anden årsag: Det er blevet billigere at bruge komplekse multifunktionelle computere end skræddersyet software til simple opgaver. Og det giver store sikkerhedsmæssige huller, som hackere kan udnytte.

Historisk undtagelse

Thomas Dullien mener, at udviklingen af software står i skarp kontrast til tidligere teknologi.

Han sammenligner med datidens mekaniske ure. De var dyre luksusvarer, fordi det var en indviklet mekanisk enhed. I software koster det omvendt penge at reducere kompleksiteten. En computer uden software kan som udgangspunkt gøre alt, selvom det kan kræve meget tid og programmering.

”Vi tænker ofte på software som noget, der tilføjer egenskaber til vores computer. Men i virkeligheden er software noget, der begrænser, hvad en computer kan. Før du putter software i din computer, kan den gøre alt. Og når du tilføjer software, kan den kun gøre det, du gerne vil have den til,” forklarer Thomas Dullien, der tidligere har arbejdet for Googles Project Zero.

Men med masseproduktionen af virkelig komplekse processorer, er det pludselig billigere at tage en general purpose processorer og få den til at simulere de simple ting. Det kalder Thomas Dullien den billige kompleksitets anomali – altså at der er tale om en historisk undtagelse.

Jo mere kompleksitet, jo mere usikkerhed

Sikkerhedsproblemerne kommer, når din software bliver brudt af ondsindede hackere. De kan udnytte, at en computer, der er tiltænkt en simpel opgave såsom at måle lyset i din lejlighed, også er i stand til at udføre mange utilsigtede opgaver, såsom at overvåge din adfærd.

”Vi ved fra computer science, at når du har en general purpose CPU (processor, red.), så kan du simulere andre CPU’er. Fordi det er så billigt at bruge noget, der kan gøre alt og specialiseres til at gøre noget specifikt, så har vi de her latente devices, man kan få til at gøre noget helt uventet overalt,” siger han og giver et eksempel.

”I dag kan jeg ikke få min lyskontakt til at overvåge, hvor jeg går i mit soveværelse. Men når jeg tilføjer en computer til den for at gøre den smartere, kan den pludselig gør alt muligt, som den ikke kunne før.”

Belønnet for kompleksitet

Thomas Dullien mener ikke, at vi helt skal stoppe med at bruge de billige general purpose processorer. Men det er et problem, at stort set alle organisationer og softwarevirksomheder har en incitamentsstruktur, hvor alle bliver belønnet for at tilføje kompleksitet, og kun få bliver belønnet for at reducere den.

”Vi skal finde ud af, hvordan vi bliver ved med at have den økonomiske fordel ved Moores Lov samtidig med at kompleksiteten ikke eksploderer i vores hoveder.

Lige nu er et godt tidspunkt, mener Thomas Dullien. Meget tyder på, at Moores Lov lakker mod enden, og derfor er kloge hoveder rundt i verden ved at redesigne kernen af den måde, vi bygger hardware og software på.

”Det er en spændende tid. Mange prøver at regne ud, hvordan computere skal laves for at følge med al den her specifikke hardware, den enorme efterspørgsel efter machine learning og meget mere. Samtidig er man ved at gøre det, ingen troede var muligt i 90’erne og 00’erne. At gentænke programmeringssprogene. Nu er måske et godt tidspunkt at tage højde for sikkerhed,” siger han.

Du kan høre mere til Thomas Dullien 1. november på it-konferencen Driving IT i København, hvor han blandt andet vil give nogle bud på, hvordan vi kommer sikkerhedsproblemerne til livs.