Säkerhet är ju dyrt och komplicerat och vi ser gång på gång hur det slarvas med det bland mindre nogräknade aktörer. Varje gång det händer något, står de som slarvat eller helt enkelt inte riktigt förstått området och försöker förklara sig. Men det är en annan typ av säkerhetsentrepenörer som faktiskt kan vara riktigt skadliga för hela branschen. Och det är de som far med osanning och överdrifter för att få affärer eller locka kunder. Detta var till viss del ett värre problem i början av 2000-talet då branschen var i sin linda och man kunde sälja säkerhetslösningar med ord som ”terrorism”, ”cyberbrott” och ”hackers”. Man hade vaknat ur sin törnrosa sömn och allting verkade farligt. Idag är det inte så stort behov av att överdriva hot för att driva affärer till sig. Säkerhetsområdet har under de senaste 5-6 åren varit glödhett. Men det finns fortfarande ”charlataner” som säljer undermåliga lösningar baserade på skrämselpropaganda. Vill man botanisera i området, finns Attrition.orgs sida där den hänger ut folk i säkerhetsområdet som bygger sin hela verksamhet på tvivelaktiga lösningar som säljer lösningar med löften om ”100% säkerhet mot hackare” eller folk som inte riktigt är värda sitt goda namn. Vill man se hur en bransch som denna faktiskt drar till sig en del lycksökare, är det bara att gå till http://attrition.org/errata/charlatan/

En varning bara: de flesta artiklarna talar om saker som hände för 15-20 år sedan och den är ganska USA-centrerad. Personligen tycker jag att den är en utmärkt exposé över en del av ”hästhandlarna” och den gör att man förstår hur de arbetar och vad de håller på med.

När jag började på mitt förra jobb, startade min första arbetsvecka med utredningen av en säkerhetsprodukt som skulle vara det bästa sedan skivat bröd. Jag fick i uppgift att se om den var värd att utvärdera vidare. Den såldes med ord som att den var ”oknäckbar” och ”byggde på en patenterad lösning”. Visst låter det bra med att den är patenterad. Jag köper inte sånt rakt av utan, skaffade fram patentpappren och kunde snabbt konstatera att den var patentsökt, inte patenterad. Dessutom var beskrivningen full med överdrifter och lösningar förklarade med en kort beskrivning av den typ som chefer gillar för att snabbt sätta sig in i ett område. Visst är det bra, men inte i ett patentpapper som ska förklara varför det ska patenteras. Själva implementationen hade ett antal tveksamheter. Men det som fick mig att totalt slå bakut var att de stolt berättat att det var en unik kryptografi uppfunnen av personen som hade startat företaget. Alltså en regel inom kryptografin: det är inget problem att skapa ett krypto som du själv inte kan knäcka. Men blandar man in andra i bilden, blir det rätt snabbt en helt annan situation. Alla seriöst byggda produkter bygger på kryptografi som är vältestad under många år och allmänt känd. Denna lösning kanske inte såldes med fruktan, men den såldes med direkta osanningar och dessutom med löften som inte går att infria (”Garanterat oknäckbar” ?).

Så var försiktig när någon säljer säkerhet med fruktan eller vidlyftiga löften om perfekt säkerhet. Ulf Peder Olrogs gamla slagdänga ”Allting kan man sälja med mördande reklam – Kom och köp, kom och köp konserverad gröt” klingar rätt bekant även här