I samband med en resa till IBMs anläggning i Rom väckte jag frågan om en tävling med rubriken “Hacka en AS/400”. Tanken är inte ny. Få har väl undgått tävlingen där temat var att hacka en Macintosh. Macintosh betraktades länge som den säkraste plattformen för web-servers. I och med tävlingen fick Macintosh ännu större publicitet som en mycket säker plattform för web-servers. Till sluts lyckades man hitta något hål i servern, men det tog lång tid. I och med att någon hittade ett hål efter lång tid, så fanns det kritiker som ansåg att Macintosh-plattformen inte längre var att lite på. Jag låter det vara osagt. Jag antar att tävlingen medfört att ännu fler har fått upp ögonen för Macintosh som en av de säkraste plattformarna för web-servers. Kanske den säkraste.
Tillbaka till AS/400 tävlingen. IBMs representation i Rom tycke inte att idén med att hacka en AS/400 var så tokig. De skulle ta den med sig. Tyvärr resulterar ofta ett sådan svar sällan till någon konkret handling. Men, det är inte för sent ännu. Jag har full förståelse för att det tar tid att arrangera en sådan här aktivitet och att förankra den tar troligen ännu längre tid.
Vad är vitsen med tävlingen? Ni har väl inte glömt tävlingen att hacka en Macintosh? Om AS/400 lever upp till vad reklamen lovar så har AS/400 mycket goda förutsättningar att bli den säkraste plattformen för web-servers. Fördelen med tävlingen, förutom publiciteten och spänningen, är att systemet testas för alla tänkbara attacker. En motsvarande test är svår att uppnå i laboratoriemiljö.
Givetvis behöver det inte vara IBM som tar initiativet till tävlingen “Hacka en AS/400”, men jag tror att IBM bör ha haft möjlighet att granska den AS/400 som skall kandidera som den säkraste web-servern. Det vore trist om någon lyckades slå hål på AS/400 på grund av att den var olyckligt konfigurerad.
Tävlingen borde delas upp i två deltävlingar. En del som enbart handlar om att slå ut servern, dvs Denail-Of-Service attacker och en del som har handlar om att manipulera data i servern. I den förstnämnda, amatörtävlingen om uttrycket tillåts, räcker det med ett mindre pris. I den andra delen av tävlingen, bör det vara ett större pris som hägrar för att locka fram det riktiga proffsen.
Någon som vågar anta utmaningen?
Thomas Nilsson
