Vaccine til mobilen

Virus og hackerangreb regner ned over os. Og ikke kun via computeren. Mobiltelefonen og en række andre elektroniske apparater er også i farezonen. Sammen med TDC vil CISS brede en paraply ud.

”The Umbrella Project”. Det lyder næsten som et stjernekrigsprojekt eller navnet på en kriminalroman. Men paraplyprojektet handler i virkeligheden om tre studerende ved Aalborg Universitet og deres forsøg på at beskytte vores dagligdag mod internettets farer.

Elektronisk influenza

”Vores elektroniske apparater kommunikerer i højere og højere grad via internettet, og dermed stiger risikoen for virus og hackerangreb. For nylig var der et eksempel på, at der var blevet udviklet en virus til Bluetooth-teknologien på en speciel type mobiltelefon. Resultatet var, at hvis to tændte mobiltelefoner kom i nærheden af hinanden, kunne de smitte hinanden - nøjagtig ligesom influenza kan smitte mellem mennesker,” forklarer en af de studerende, Michel Thrysøe.

I bedste fald kan den slags angreb betyde, at telefonen går ned - i værste fald kan uvedkommende få adgang til alle oplysninger på telefonen - fra adressekartotek over kalender til e-mails og sms-beskeder.

Kan redde menneskeliv

For TDC var det et oplagt forskningsprojekt at koble sig på, og virksomheden var da heller ikke sen til at tilbyde en medfinansiering, da en medarbejder hørte om de tre studerendes specialeprojekt på datalogistudiet. I første omgang er det dog ikke mobiltelefoner, men et fremtidsprojekt om internetbaserede alarmbokse, der skal nyde godt af de tre studerendes arbejde.

”Internetbaserede alarmer kræver en internetopkobling med flere kanaler, så alarmen kan få sin separate kanal. Det er noget, vi arbejder med, men for at være helt sikre på, at ingen får adgang til vores systemer via alarmboksene, eller nogen udefra kan sætte alarmboksene ud af drift, har vi koblet os på Umbrella-projektet. I sidste ende kan driftsikkerheden på dette område være afgørende for menneskeliv, så vi skal stille så mange forhindringer op, at ingen kan bryde det,” siger systemkonsulent Frank Larsen fra TDC.

Dørvagt og isolation

Ideen bag The Umbrella Project kan beskrives i to dele. For det første skal et elektronisk apparat kun være i stand til at downloade software fra en godkendt udbyder. Det kræver, at udbyderen identificerer sig med en elektronisk signatur. For det andet skal det downloadede software isoleres, når det kommer ind i apparatet.

”Prøv at forestille dig, at ’I love you’-virussen, eller de andre vira, der tidligere har hærget verdens computere, ikke havde adgang til mailsystemet eller adressekartoteket. Så ville de ikke kunne brede sig, og ødelæggelserne ville være langt mindre,” siger Kristian Sørensen, der er en af de tre studerende bag The Umbrella Project. På en mobiltelefon betyder det, at for eksempel downloadede spil eller lignende ikke kan bruges som ’bagdør’ for hackere.

Omvendt logik

For at opnå dette, begynder de tre studerende så at sige bagfra.

”I dag beskriver de fleste systemer, hvad det enkelte program eller den enkelte bruger skal have adgang til. Vi begynder med at definere, hvad de ikke skal have adgang til. Dermed får vi dannet en sikkerhedsskal omkring programmet, og samtidig sparer det os for en masse arbejde. Antallet af ’forbudte’ områder er nemlig langt mindre end det modsatte,” siger Kristian Sørensen.

Simpelt og brugbart

Det lyder simpelt, og netop det simple har været et hovedkrav, siden de tre studerende begyndte på specialeprojektet.

”Der findes sikkerhedssystemer i forvejen, men de er meget store og komplicerede. Vi har arbejdet med det i to år nu, og vi har stadig ikke helt forstået dem. Derfor egner de sig slet ikke til indlejret software, hvor regnekraften og ressourcerne af naturlige årsager er begrænset,” siger Søren Nøhr, den sidste af de tre bagmænd.

”Hvis det skal udbredes, bliver vi nødt til at lave noget enkelt, som kan køre på selv meget små systemer. Det har været vores mål fra starten,” siger Søren Nøhr.

Store perspektiver

Og noget tyder da også på, at de tre studerende har ramt ’en guldåre’. Interessen fra virksomheder verden over har været stor, men i første omgang handler det om at sikre TDC’s fremtidige alarmbokse. Siden kan man så begynde at kigge på, hvor sikkerheds-ideerne ellers kan anvendes.

”Hvis ideen viser sig at være så god, som den ser ud til, kan det selvfølgelig munde ud i et kommercielt patent, og vi vil da også følge udviklingsarbejdet nøje. Det allerbedste ville jo være, hvis det blev et offentligt system, som kunne sikre vores allesammens elektroniske apparater, og jeg synes, at perspektiverne er ganske store,” siger Frank Larsen fra TDC.

First we take Manhattan...

The Umbrella Project har vakt stor opsigt - også uden for landets grænser. De tre studerende bag projektet er netop vendt hem fra en workshop i USA, hvor de trykkede hånd med de rigtig store.

Sony, Phillips, Panasonic, IBM og Samsung. Det er bare nogle af de navne, der var præsenteret, da de tre studerende Michel Thrysøe, Kristian Sørensen og Søren Nøhr sammen med deres vejleder Emmanuel Fleury i efteråret drog til Princeton i New Jersey for at deltage i et møde med en sikkerheds-arbejdsgruppe under Consumer Electronics Linux Forum. På mødet skulle de studerende bl.a. præsentere deres Umbrella projekt og diskurere sikkerhed med de involverede firmaer.

"Da vi startede projektet, søgte vi efter forskellige Linux-baserede producenter, som vi kunne udveksle erfaringer med. Panasonic var en af de producenter, der henvendte sig, og siden har de været på vores mailing-liste, og vi har haft lidt løbende kontakt. Det har dog hele tiden været meget uformelt, så vi var noget overraskede, da de pludselig inviterede os med til workshoppen," siger Søren Nøhr.

Til referat

CISS invilgede i at betale for eventyret, og så gik turen til New York og siden lidt syd på til New Jersey.

"Det var jo noget anderledes pludselig at gå rundt i New York en mandag morgen, når vi er vant til at sidde nede på vores hummer blandt cola-flasker og pizzabakker, men det hele var faktisk meget uformelt, da vi kom til Princeton. Der var cirka 15 mennesker, der sad og snakkede i et mødelokale, og så fik vi ellers byttet visitkort til den helt store guldmedalje," siger Kristian Sørensen, og understreger samtidig, at den afslappede stemning absolut ikke gik ud over det professionelle.

"Det var en meget kompetent forsamling, som repræsenterede en utrolig bred vifte af produkter, men de lyttede, når vi sagde noget, og man kan også læse vores bemærkninger og indvendinger i referatet," siger Kristian Sørensen.

Samarbejde og jobtilbud

Helt konkret har workshoppen betydet, at den hidtil uformelle kontakt til Panasonic fra begyndelsen af 2005  vil blive mere formel. Der bliver skrevet en kontrakt, og det har stor betydning for det fremtidige samarbejde.

"Når der er kommet noget på papir om tavshedspligt og den slags, vil de kunne fortælle os meget mere om, hvor de ´er svage´, og hvilke problemer de reelt har med sikkerheden. På den måde kan vi være sikre på, at vi arbejder på at løse de rette problemer," siger Søren Nøhr.

Desuden har turen til USA betydet, at IBM Research har inviteret de tre studerende til at komme til Tokyo og arbejde til sommer, men endnu er der ingen, der med sikkerhed ved, hvad fremtiden bringer - men én ting er sikkert: Mulighederne er mange.

Klap på skulderen

"Vi har ikke noget veldefineret mål i horisonten. Indtil videre er det bare dejligt at blive klappet på skulderen og få at vide, at vi er fede. Nu må vi overveje de forskellige muligheder, men for øjeblikket har vi nok at gøre med udvikle de sidste dele af projektet og lave en prototype klar til TDC," siger Michel Thrysøe.

I første omgang skal der dog skrives en artikel, så ´ejendomsretten´ på det hidtidige arbejde på The Umbrella Project bliver fastslået. Og selvom der ikke er noget veldefineret mål, er der ingen tvivl om, hvad der ville være den ultimative anerkendelse for de tre studerende.

"Vi tør jo næsten ikke tænke tanken, men det ville helt sikkert være det største, hvis vores arbejde på en eller anden måde kunne blive en integreret del af Linux. Det ville være den optimale anerkendelse i vores fag - og så ville det jo se rigtig godt ud på CV´et," griner Søren Nøhr.