KOMMENTAR: Standardiserte nettverk kan gi standardisert hacking

[Redaksjonen.]

KOMMENTAR: Standardiserte nettverk kan gi standardisert hacking

[Gjest Slettet+987123849734]

glemte 4. tipset.

Lei inn et svindyrt selskap som kan komme med noen putty terminaler koblet opp mot switchene deres med lime grønn skrift som kjører noen kommandoer som får det til gå en del tekst over skjermen sånn at det ser helt crazy ut og at de holder på noe deep shit opplegg for å avdekke sårbarheter.

[Anders Jensen]

Min erfaring er at du har to typer nettverk. De som etterstreber å følge best practise og de som ikke etterstreber å følge noe som helst. De første blir nokså standardiserte og har et nokså felles sett av sårbarheter. De andre har en variert buffet av andre sårbarheter i tillegg.

 

Ganske sikker på hva jeg selv ville foretrukket.

[Sandormen]

Min erfaring er at du har to typer nettverk. De som etterstreber å følge best practise og de som ikke etterstreber å følge noe som helst. De første blir nokså standardiserte og har et nokså felles sett av sårbarheter. De andre har en variert buffet av andre sårbarheter i tillegg.

 

Ganske sikker på hva jeg selv ville foretrukket.

Tar utgangspunkt i ‘hva jeg selv ville foretrekke’, og tilføjer ‘å hakke’.

 

Jeg vil definitivt sette pris et topp oppdatert og ‘standarisert’ system... ...Finner man så et hull igjennom der, så har man strengt tatt en universal-oppskrift på ‘alle andres’ systemer.

 

Ikke-standardiserte systemer derimot. Langt vanskeligere å hakke, og oppskriften for et system vil med garanti ikke fungere på et annet system, med mindre man er fryktelig heldig.

 

Forestill deg at alle bruker samme passord.

Plutselig finner man passordet, vips, har man tilgang til ALLE systemer, om det så er NASA eller naboen.

 

Standariserte sikkerhetssystemer vil/bør/kan/må aldri bli et faktum. Så skyter man seg jo i foten.

 

Tror jeg vil flytte Pkt. 2 opp til Pkt. 1

hvor det tidligere Pkt. 1, nå Pkt. 2 er en absolutt selvfølge, ellers behøver man ikke et Pkt. 1.

Pkt. 3 Er en naturlig ting bygget på ISO/IEC 270001.

Om den ansvarlige (Pkt. 1) ikke er bekjent med den, skal man umiddelbart; a.) Ansette en annen, eller b.) Sende personen på kurs.

Endret 16. november 2018 av Sandormen

[Anders Jensen]

Jeg er ikke uenig i at diversifisering er et viktig prinsipp for antifragility, det er et ettervert velkjent faktum. Men mine observasjoner er at de som jobber med standardisering har færre sårbarheter enn de som ikke gjør det. Det er nok forankret i at industrien er svært umoden, og at vi i realiteten bygger systemer hvor alle de fysiske komponentene og mange av software komponentene er sorte bokser fulle av sårbarheter. Som om ikke det var nok er de fleste komponenter sårbare for extensibility, altså evnen til å få ny funksjonalitet, ønsket eller ikke.

 

I denne elendige usikkerhets sumpen IT befinner seg i pt mener jeg standardisering av metoder er fordelaktig. Standardisering av komponenter er ikke nødvendigvis det, men her er utvalget i realiteten begrenset. Spesielt på infrastruktur og sterkt tiltagende på plattform nivå.

Endret 17. november 2018 av Anders Jensen