Teknologidirektør i hemmelig tjeneste mener IT-sikkerhetsbransjen selger middelaldersk heksekunst

[Harald Brombach (digi.no)]

Teknologidirektør i hemmelig tjeneste mener IT-sikkerhetsbransjen selger middelaldersk heksekunst

[tommyb]

"Vi tillater at selskaper med et massivt incitament til å definere den offentlige oppfattelsen av problemet"

 

Hmm. Den setningen henger mer på grep om man sender den tilbake gjennom google translate igjen. Kommer den muligens fra noe sånn som "We allow companies with a massive incentive to define the public perception of the problem"? Her passer det dårlig å oversette "to define" til "til å definere", men tar dere bort "at" og "til" så får setninga mening også på norsk.

[Kakeshoma]

"Vi tillater at selskaper med et massivt incitament til å definere den offentlige oppfattelsen av problemet"

 

Hmm. Den setningen henger mer på grep om man sender den tilbake gjennom google translate igjen. Kommer den muligens fra noe sånn som "We allow companies with a massive incentive to define the public perception of the problem"? Her passer det dårlig å oversette "to define" til "til å definere", men tar dere bort "at" og "til" så får setninga mening også på norsk.

 

Ssssj, ikke påpek dette. Da må de jo jobbe..

[Øystein Jakobsen]

Når man bygger et hus, kommer en mann fra brannvesenet på besøk for å se om brannsikringen er gjort etter forskriften. Først når han har signert får de lov å ferdigstille huset.

 

Kanskje man burde gjort det samme for tjenester definert som samfunnskritiske? Dvs "Norge blir negativt berørt hvis tjenesten blir kompromittert"? Hatt en sikkerhetskar som går over en enkel sjekkliste med punkter som

- Passord lagret som krydret hash (ikke klartekst)

- WLAN WPA2-passord slått på

- Ingen fabrikkinstillinger på trådløstpassord, ruteradministrasjon og andre dingser

- Ikke åpne porter uten at det er nødvendig

- Nettsidene kjører HTTPS

- Ikke kjører plugins o.a. som utleverer brukerne (facebook, google analytics). Unntak kan gis hvis behov blir dokumentert

- Ikke krever plugins som svekker brukersikkerheten (f.eks. Java)

- Har regime for sikkerhetsoppdateringer

 

Her er det mange lavthengende frukter å nå, og myndighetene kan bistå så god sikkerhet er oppnåelig og ikke bare er en irriterende forskrift.

[tommyb]

Jeg er ikke uenig, men noen av disse er allerede påpakket på endel offentlige tjenester, så det skjer ting i riktig retning. 

 

Selv om mange sikkert føler de har gjort sitt når de fikk pressa gjennom cookie-direktivet  

[EysteinHS]

Jeg er ikke uenig, men noen av disse er allerede påpakket på endel offentlige tjenester, så det skjer ting i riktig retning. 

 

Selv om mange sikkert føler de har gjort sitt når de fikk pressa gjennom cookie-direktivet  

 

Tror nok dette er ett MINST likte stort problem hos de private som hos det offentlige. Det har nok dessverre vært ett stort oversalg av sikkerhetsløsninger de siste årene, med det resultatet at en ofte får så komplekse systemer at bare innleide konsulenter kan betjene dem.....

 

Win - Win der altså....

[Gjest Slettet-Pqy3rC]

Hatt en sikkerhetskar som går over en enkel sjekkliste med punkter som ...

Du mener han inderen som leverte det billigste anbudet på jobben ?

[Anders Jensen]

Sikkerhetsselskaper selger i hovedsak "enumerating badness". De lager programvare som rutinemessig skal oppdateres med lister over ting som er skummelt slik at de kan sjekke at systemet ikke allerede har blitt utsatt for noe angrep i henhold til lista. Dette er kjent som den dummeste ideen innen IT sikkerhet, og alle selger det. Problemet er at vi ikke har veldig gode alternativ for å lappe sammen dagens usikre systemer. Sikkerhet kan ikke legges til et allerede designet produkt det må bygges inn fra starten i henhold til Saltzer og Schroeders 8 prinsipper for it sikkerhet. Listen har senere blitt utvidet med noen punkter, men den er en god start. For oss vanlige dødelige er det nok tilstrekkelig å bygge applikasjoner etter disse prinsippene, men om en er reelt utsatt for angrep fra en eller flere APT så er problemet litt større. F.eks finnes det ikke tilstrekkelig med åpen hardware (open design er ett av prinsippene) det betyr i praksis at du ikke kan vite om det finnes en "magisk NSA pakke" som vil trigge kode i nettverkskortet ditt og laste en bakdør inn i harddisken sin firmware eller lignende. Ei heller kan du vite om slike firmware baserte bakdører allerede er installert av våre amerikanske venner. Det du kan være rimelig sikker på er at kineserne og russerne har klart å reverse engineere eller stjele dokumentasjonen til slike bakdører. Problem nummer to er at alle OS, Linux inkludert, er bygd på en default permit arkitektur som står i strak kontrast til least privilege prinsippet. Dermed kan du ikke stole på at OS vil hjelpe deg heller, selv om du kan gjøre mye med å implementere least privilege i SElinux på toppen av default permitt arkitekturen.

 

Men som sagt, om en designer applikasjoner etter disse prinsippene så er en kommet langt.

http://nob.cs.ucdavis.edu/classes/ecs153-2000-04/design.html

 

Six dumbest ideas;

http://www.ranum.com/security/computer_security/editorials/dumb/

Endret 7. februar 2017 av Anders Jensen

[Harald Brombach (digi.no)]

"Vi tillater at selskaper med et massivt incitament til å definere den offentlige oppfattelsen av problemet"

 

Hmm. Den setningen henger mer på grep om man sender den tilbake gjennom google translate igjen. Kommer den muligens fra noe sånn som "We allow companies with a massive incentive to define the public perception of the problem"? Her passer det dårlig å oversette "to define" til "til å definere", men tar dere bort "at" og "til" så får setninga mening også på norsk.

 

Takk. Noen ganger gjør man det dessverre mer komplisert enn nødvendig.

[tommyb]

Det gjør jeg alltid :D D:

Endret 8. februar 2017 av tommyb