Da Katie Moussouris, en amerikansk sikkerhetsekspert med fortid fra både Symantec og Microsoft, som nå jobber i sikkerhetsselskapet HackerOne, var på vei hjem etter å ha deltatt under 31st Chaos Communication Congress (31C3) i forrige uke, ble hun stoppet av en sikkerhetsvakt på veien ut til flyet som skulle gå fra Charles de Gaulle-flyplassen i Paris.
Der ble hun bedt om å finne fram sin bærbare pc. Bortsett fra stedet – altså i tunnelen mellom gaten og flyet – var det ikke noe uvanlig ved dét. Så ble hun bedt om å skru på pc-en. Heller ikke det lenger så uvanlig, for eksempel som en sjekk av at batteriene ikke er byttet ut med eksplosiver.
Sikkerhetsvakten nøyde seg dog ikke med å se at maskinen startet opp. Hun krevde også at Moussouris skulle logge seg inn på maskinen.
I Moussouris’ tilfelle betydde dette også at den krypterte harddisken måtte dekrypteres. Dette skriver Moussouris selv i et blogginnlegg.
Hvilket grunnlag sikkerhetsvakten hadde for å be Moussouris logge seg på maskinen, er uklart. Moussouris skriver at hun føyde seg kun for å kunne rekke flyet.
Heldigvis for henne var sikkerhetsvakten fornøyd da hun så at også innloggingen fungerte som normalt, men Moussouris skriver at hun nok ikke hadde rukket flyet dersom vakten også hadde krevd å få undersøke maskinen på egenhånd. På grunn av språkvansker fikk hun ingen tydelig forklaring på hvorfor hun måtte logge på, bortsett fra en henvisning til «reglene».
Spekulasjoner
Moussouris rakk bare å skrive en kort twittermelding om hendelsen, men innen hun landet hadde mange kommentert meldingen og spekulert på om hun ble valgt ut på grunn av hennes stilling i et selskap som jobber med informasjon om sårbarheter. Men Moussouris skriver at dersom så var tilfellet, så må det ha vært på grunn en misforståelse fordi selskapet bare tilbyr verktøy de trenger til å ivareta egne ordninger for sårbarhetskoordinering.
Ingen ansatte i HackerOne skal ha tilgang til klientenes konfidensielle sårbarhetsrapporter eller sensitive data.
@i0n1c I really did have to decrypt my HD flying through CDG in France. I really had nothing to hide, but that’s not the point, is it?
— Katie Moussouris (@k8em0) January 2, 2015
Pink Panther
– Selv om yrket mitt kan ha utløst at jeg er på en liste som forårsaket en ny gjennomsøking, fikk jeg en «Inspector Clouseau»-følelse mer enn noe annet. Dette er artig nå som jeg er hjemme, men det ville ha vært en helt annen sak dersom hun ytterligere forsøkte å få tilgang til dataene mine, noe jeg ser for meg at ville foregå omtrent slik, skriver hun og viser til videosnutten nedenfor.
The Register, som omtaler saken her, bemerker forøvrig at det i diskusjonen på Twitter i ettertid har blitt fremmet forslag om at man bør ha en gjestekonto på maskinen som man logger på i slike tilfeller, samt at sensitive data oppbevares i krypterte diskområder som holdes skjult for uvedkommende.
I diskusjonen blir det også sagt at også franske innbyggere har opplevd noe tilsvarende og at grunnlaget er regler som ble innført fra nyttår, men dette har så langt ikke blitt bekreftet.
Leave a Reply