Gå til innhold

Sikkerhetshull i IE førte til tyveri


Anbefalte innlegg

Et tydeliv tegn på at Microsoft er skyld i det meste av negative ting her i verden... skam på seg!

 

Jeg ville vel heller si "SKAM deg din 120% ubrukelige IT-sjef" hos Valve. At de ikke hadde f.eks en firewall som beskyttet mot slike ting er jo helt på trynet. Tror Valve burde se et par ganger igjennom sikkerhetsplanene sine rimelig kjapt. Dette er for sløvt;

 

- Bedriftens mest verdifulle hemmeligheter ligger på ubeskytta maskiner, uten sikkerhetsoppdateringer ut mot nettet.

- Ingen firewall som beskytter tydeligvis.

- De hadde merket at noen snoka rundt over lengere tid, uten å sette en dramatisk stopper for dette (ved å sette firewallen til "Ultra Paranoid Mode".

 

 

Den/de som har ansvaret for IT-sikkerhet hos Valve burde fått sparken på timen. Han som ble fraståjlet kildekoden burde fått refs ut av en annen verden for ha ansvaret for så usikrede PC'er.

 

Slike bedriftshemmeligheter bør egentlig ligge på interne nettverk som er fysisk adskilt fra det vanlige nettet. Selv firewaller og IE'er kan feile ... fysisk adskillelse gir bra nok sikkerhet. (forutsatt at de maskinene er fysisk sikra, f.eks låst inne og de ansatte ikke stjeler ). En bedrift som tydeligvis har så slapp sikkerhetspolitikk burde man nesten tenke to ganger om man skal handle med sier nå jeg. Det er synd å si det; men dette fortjente de. Kanskje de lærer i framtiden.

Lenke til kommentar
Videoannonse
Annonse
Et tydeliv tegn på at Microsoft er skyld i det meste av negative ting her i verden... skam på seg!

 

Hmm hvor får folk ideén om at det finnes feilfrie OS fra?

Rett før helgen kom det 3 sikkerhetspatcher til Linux også.

Er ikke så lenge siden (1 år ca??) man fant et gigant hull i telnet tjenesten, som medførte at mange kuttet hele tjensten og bare baserer seg på ssh heretter.

 

Nei problemet med Windows er at sikkerheten er satt så svakt som default og den gjengse bruker har ikke peil på hvordan man kan med noen få grep sørge for å knyte sekken litt igjen.

Men det er mulig å gjøre Windows OS ganske sikkre, husk at NT og 2000 er brukt blandt noen av verdens største etterettnings institusjoner.

 

Men så lenge boksen din er tilknyttet internet er den aldrig 100%sikker mot inbrudd.

 

Oppgave 1: høyreklikk på disken, velg "sharing and security" klikk på "security" hvilken rettigheter har "everyone" brukeren?

:oops: :cry::roll:

 

G.

Lenke til kommentar
Et tydeliv tegn på at Microsoft er skyld i det meste av negative ting her i verden... skam på seg!

 

Dersom dette skulle vere viktige koder er det 100% HL2 teamet sin feil. De burde ikkje ha viktige koder på ei maskin med tilgang til nettet og iallefall ikkje når det mangler sikkerhetsoppdateringer.

 

Om det er eit stunt eller mangel på oppdateringer synest eg det er dårlig av HL2 teamet uansett.

 

Hvordan kan du si at det er 100% HL2 teamets feil.. dem har aldri GITT ut dette for fri nedlasting.

 

Jeg vil si det er slurvete av valve´s ansatte, men det er selvsagt personene som har stjålet koden sin skyld.

 

Klart det er Valve sin skyld at de har havna i dette uføret. Hadde de tatt IT-sikkerhet på alvor, så hadde dette aldri skjedd. De har ingen unnskyldning for å være SÅ sløve. Å drive en IT-bedrift idag og ikke beskytte bedriftsnettverket sitt er direkte useriøst. Når man i tillegg legger verdifulle bedriftshemmeligheter på ubeskytta maskiner med full tilgang fra nettet ... OG som det har vært litt snusk rundt... ... ... DA syns jeg de fortjener det så inderlig.

 

[EDIT]: det ville jo være like useriøst om en bank bare lot alle pengene ligge i en haug i midt på gulvet og ikke låse døra.

Lenke til kommentar

Hvis dette er et PR stunt så har Valve folkene lagt gull egget. :woot:

 

Det er ikke bare Valve sine HL2 sourcecode som er stjålet, men også koder som de har lisensiert fra andre. Det værste som kan skje for Valve er at de blir saksøkt og det kan hende de sitter igjen med 0 i fortjeneste etter at de har brukt 5 år på å lage HL2. Kaller ikke det bra butikk..

 

Uansett så må Valve gjøre om STEAM kodene før de kan sende HL2 ut til spillerne.

 

Ryktene går om at skal bli lagt ut en full (beta a' 10.Sept) ver. av HL2 i kveld eller imorgen. Det er ikke Valve som skal legge den ut. :lol:

 

Ja tankene har svirret litt rundt at dette er ett eneste STORT PR stunt fra VALVE's side . Ett meget bra stunt ogsaa.
Lenke til kommentar

Heheeheheheheheh så braaa... yikes..

 

Jaja... fint og la pc'ene sine stå upatcha slik at folk kan sjtele kva dei vil.

Lurer på om dei står upatcha enda eg?

 

Men det stod jo ikkje så jævlig masse intresant i den kildekoden som oss vanlige dødlige kan skjønne noke av...

 

shit happents...

 

vis det skal vere eit pr stunt, noke eg ikkje trur det er, så legger jo dei ikkje ut den ekte kildekoden da... da finner dei på noke og endrer masse, eller ALT!....

Lenke til kommentar

Postet nettopp denne i en relatert artikkel:

 

---Snip---

Av nysgjerrighet har jeg lastet ned HL2 kildekoden og kikket litt gjennom source treet. Det tar tid å gå gjennom hundretusenvis av linjer kode produsert av et utviklerteam i en periode over 5 år, så det er vanskelig å komme med noen endelige konklusjoner på hvilke følger denne lekkasjen vil medføre for såvel Valve som oss gamere.

 

Et par ting kan jeg likevel si med en viss grad av sikkerhet:

- Denne lekkasjen er definitivt ikke en del av en gigantisk markedsføringskampanje for å skape blest rundt lanseringen av Half-Life 2. Kildekoden er ekte, og tror man virkelig at dette noe man bare kan frigi for å få mer publisitet, vet man fint lite om hvordan industrien fungerer.

 

Svært få har egentlig forstått hvor katastrofal denne saken er for Valve. En ting er at det samlede arbeidet til et helt team av utviklere som har arbeidet i årevis (med alle kostnader det innebærer) nå er tilgjengelig gratis på nettet for enhver konkurrent og hacker med C++ kunnskap. En annen er at mye av den forventede finansieringen av kostnadene som er blitt brukt, er basert på lisensiering av source-enginen til andre spillutviklere. De vil nok fremdeles få solgt noen lisenser, men jeg skulle tro de fleste tenker seg to ganger om før de betaler hundretusenvis av dollar for kode de uansett kan "låne" gratis.

 

Et siste moment, som de færreste tenker på, er at mye av kildekoden er lisensiert fra partnere (som f.eks. fysikkmotoren Havok) som Valve er forpliktet til å holde hemmelig. At denne lekasjen også rammer dem, stiller Valve åpne for søksmål i mange-millioner-klassen.

 

Enhver med fornuften i behold ser at denne lekasjen har medført enorme tap for Valve, det kan til og med gå så langt at de blir tvunget til å henge kroken på døra (avhengig av hvordan de håndterer situasjonen nå i ettertid). Det at folk mener at Valve får som fortjent på grunn av sin dårlige sikkerhet, er rett og slett latterlig. Det blir som å si at folk som blir slått ned og ranet i sitt eget hjem får som fortjent fordi de ikke har investert i skuddsikre vinduer og den nyeste alarmen. Faktum er at hvis en person har den rette kunnskapen og motivasjonen, kan de aller fleste systemer brytes seg inn i.

 

Half-Life 2 blir utsatt på ubestemt tid for å omskrive store deler av koden i et forsøk på å opprettholde sikkerheten rundt Steam. Det er slettes ikke sikkert vi nå får se en lansering i løpet 2003. Det er forresten ikke bare Half-Life 2 som nå utsettes, men også multiplayer spillet "Team Fortress 2" som det har vært mye hysj-hysj rundt de seneste årene og som enkelte av oss så mer frem til enn Half-Life 2 (kildekoden som er lekket inkluderer også Counter Strike, Half-Life1, Team Fortress 2 og Worldcraft)

---Snip---

Lenke til kommentar

Enig i det meste du sier utenom:

 

De vil nok fremdeles få solgt noen lisenser, men jeg skulle tro de fleste tenker seg to ganger om før de betaler hundretusenvis av dollar for kode de uansett kan "låne" gratis.

 

For de profesjonelle utvikleren og firmaene deres som eer de som er intressert i å lisensiere HL2-enginen og gfx-motoren fra Havok med modifikasjoner fra Valve er det for mye å tape på å ulovlig kopiere koden. Så jeg tror ikke de kommer til å tape så mye på lisensieringen fra de store selskapene.

Etter det jeg har hørt er det lett å se hvilken motor et spill bruker, ryktene skal ha det til at Id Software (Doom, Quake) for et par år siden brukte å teste spill for å se om det var noen som hadde "lånt" kode.

 

Men det kan jo være at en del mindre firmaer med små ressurser laster ned koden for å se hvordan Valve har løst problemer. Deretter kan man lage sin egen versjon som bygger på enkelte prinsipper og ider som Valve har brukt.

Lenke til kommentar
Klart det er Valve sin skyld at de har havna i dette uføret. Hadde de tatt IT-sikkerhet på alvor, så hadde dette aldri skjedd. De har ingen unnskyldning for å være SÅ sløve. Å drive en IT-bedrift idag og ikke beskytte bedriftsnettverket sitt er direkte useriøst. Når man i tillegg legger verdifulle bedriftshemmeligheter på ubeskytta maskiner med full tilgang fra nettet ... OG som det har vært litt snusk rundt... ... ... DA syns jeg de fortjener det så inderlig.

 

Det er så å si umulig å lage et vanntett system bygd opp med Microsoft komponenter.

Bare i løået av det siste året har det jo vært ca 35 forskjellige sårbarheter i IE. Har ikke tall for Outlook, men det har nok vært noen hull der også.

Nå kunne jo Valve sikkert ha redusert risikoen for at noe slikt kunne sklje dersom de hadde vært flinkere til å patche, men så lenge man har et system som er knyttet til Internet så er det en risiko for at dersom noen virkelig vil inn så klarer de det før eller senere.

 

Det er jo litt forskjellig for US.mil da ettersom de i mange tilfeller har budsjetter nok til å ha separate systemer; ett klasifisert som ikke er knyttet til internet og et "usikkert" som er knyttet til internett og som blir brukt for informasjon, rekruttering, web, surveilance osv.

Og tror faktisk ikke at Win2000 har fått den høyeste sikkerhetsklasifiseringen man kan få. Tror verken Linux eller Windows systemer har fått det, leste en artikkel om det et par måneder tilbake, der gikk det frem at for enkelte systemer måtte man bruke VMS, HP-UX eller AIX.

Men både Win2k, Linux og OpenBSD er på vei inn som OS. US Marines har vistnok et gigantisk prosjekt for å bruke Win2k.

Lenke til kommentar

Det er så å si umulig å lage et vanntett system bygd opp med Microsoft komponenter.

Bare i løået av det siste året har det jo vært ca 35 forskjellige sårbarheter i IE. Har ikke tall for Outlook, men det har nok vært noen hull der også.

Nå kunne jo Valve sikkert ha redusert risikoen for at noe slikt kunne sklje dersom de hadde vært flinkere til å patche, men så lenge man har et system som er knyttet til Internet så er det en risiko for at dersom noen virkelig vil inn så klarer de det før eller senere.

 

Vel ... greit at det er dyrt å ha to adskillte systemer, med trenger begge systemene være blodspec'a ? La oss si at de ansatte trenger en kraftig arbeidsstasjon for å jobbe på, men trenger de noe råskinn til bruk på nettet og som har alt annet? Neppe!

 

Det koster ikke SÅÅÅ mye mer for en cheap'O Duron-maskin til hver ansatt som han/hun kan surfe på, mens han/hun jobber på en relativt mer oppegående maskin (som igjen er fysisk adskillt). De har ihvertfall ikke råd til å la være.

 

Det går ann å sette opp en billig intern server for intern mail, osv osv. Trenger ikke være noe råskinn i det hele tatt. Kan til og med få en drittunge neddi gata til å sette opp noe sånt. Ellers kunne kanskje mektige Valve suge tak i en liten Linux-mann som klarer å sette opp en mailserver elr.no

 

Men når det er sagt; så tyder det som har kommet fram på at Valve IKKE har hatt spesielt mye tanke på sikkerhet;

1.) De hadde ikke oppdater IE med sikkerhetspatcher. Sikkert ikke den eneste maskinen som hadde DET problemet.

2.) De hadde lagt merke til at noen drev med noe muffens på systemet dems(Noen hadde vært inne i en mailkonto blant annet). Likevel gikk de ikke grundig til verks med sikkerheten. Og sikra seg at vedkommende ikke kom inn en gang til. Dette gjøres bla. ved å sjekke alle maskiner for exploits, reinstallere OS for å fjerne trojaner, patche ALLE systemer og sette opp enda strengere brannmurer.

3.) Tydeligvis ikke bra nok brannmurer. En effektiv brannmur ville kunne oppdaget at noen snoka og evt sagt ifra/blokka vedkommende.

4.) Kritisk sensitiv informasjon ble lagret på relativt usikra maskiner ut mot nettet. Informasjon som er kritisk for bedriftens eksistens har IKKE noe der å gjøre, uansett kostnadd (omtrent).

Lenke til kommentar

valve er ein gjeng idioter. Vist dette er eit PR stunt så er det like skadene for min del.

 

Sant: For ein gjeng med amatører

Usant: Kvifor skal vi tru på dem. Last ned spillet ikkje belønn dem for dette

 

Uansett så bryr eg meg lite om dette.

F.eks. Valve lagde jo ikkje CS :woot:

Lenke til kommentar
Et tydeliv tegn på at Microsoft er skyld i det meste av negative ting her i verden... skam på seg!

 

HeY!

Er du tett?

Mulig at det er for dårlig av MS, men at det er deres skyld at noen utnytter slike hull kan du ikke si.

Blir som om Rema skal få skylda for tyveri av varer pga av at det er MULIG å stjele noe,..

Alle har et valg når det gjelder Kriminalitet.

 

Apropo Ms-hets, Tror ikke noen av oss har vært det grann bedre hvis vi hadde sittet på Pengebingen.. Bruk heller kreativ kritikk, noe annet smaker bare misunnelse.

Lenke til kommentar
Et tydeliv tegn på at Microsoft er skyld i det meste av negative ting her i verden... skam på seg!

 

HeY!

Er du tett?

Mulig at det er for dårlig av MS, men at det er deres skyld at noen utnytter slike hull kan du ikke si.

Blir som om Rema skal få skylda for tyveri av varer pga av at det er MULIG å stjele noe,..

Alle har et valg når det gjelder Kriminalitet.

 

Apropo Ms-hets, Tror ikke noen av oss har vært det grann bedre hvis vi hadde sittet på Pengebingen.. Bruk heller kreativ kritikk, noe annet smaker bare misunnelse.

 

Rema er egentlig et veldig dårlig eksempel, for da har vi ikke tre parter inne i bildet, vi har bare "Rema og tyv". Hvis vi derimot ser på en bank, har vi tre parter: Banken, tyven og selskapet som lagde sikkerhetsløsningene til banken. Hvis tyven lett kan komme seg inn i velvet, ta penger, og komme seg ut igjen, er dette selskapet som lagde sikkerhetsløsningenes skyld, ikke banken.

Lenke til kommentar

Men i siste innstans så er det Valve sitt ansvar å ha sikkerhetssystemer som faktisk funker. Det hadde de ikke.

 

Dere kan bitche og whine'e så mye dere vil om hvilke produkter som er dårlige og ikke ... men det fjerner IKKE Valve sitt ansvar om å beskytte sine bedriftshemmeligheter. Om Valve velger å drite i IT-sikkerhet, så får de ta skylda på egen kappe. Det er ikke MS sin feil om Valve velger å IKKE patche f.eks ... eller at Valve ikke har gode firewall'er, eller at Valve-ansatta ikke ringer i bjella når de merker at noen uvedkommende er inne og snoker, eller at kritiske bedriftshemmeligheter ligger på usikra maskiner ut mot nettet.

 

IT-sjefen og alle andre som har myndighet i spørsmål om IT-sikkerhet hos Valve burde etter mitt syn fått sparken, så sant ikke ledelsen hos Valve har sett bort i fra anbefalinger fra IT-staben(f.eks ved å kreve at porter ut på nettet er åpne). Ellers kan de umulig ha gjort jobbene sine.

 

Greit artikkel å lese; forklarer litt om tankegangen bak IT-sikkerhet og brannmurer; "Fire Your IT-Director Now! "

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...