Gir praktikant skylda for passordet «solarwinds123»

[Gjest Marius B. Jørgenrud]

Gir praktikant skylda for passordet «solarwinds123»

[pitrh]

Jeg synes dette lukter avledningsmanøvre. Å legge passord tilgjengelig for all offentlighet er selvfølgelig en tabbe. Men er det nødvendigvis det som var hele veien inn her?

Meg bekjent har det ikke kommet noen troverdig forklaring på det som er reelt mer sentralt i saken: Hvordan fikk de som plantet kode i byggesystemet deres tilgang, og hvordan gikk det til at de kunne fortsette å operere i måneder, kanskje år, før de ble oppdaget?

Ut fra generell bakgrunn ville jeg tippe på at vi her har mer å gjøre med slett endepunkt-sikkerhet hos enten utviklere eller adminer, men igjen, vi blir nødt til å tippe siden en ordentlig gjennomgang av fakta i saken fortsatt ikke har blitt tilgjengelig.

 

[angeland89]

Praktikanter tør ikke å lage passord så svake.

[XIFXEGLO]

Så det de sier er at praktikanten hadde så god tilgang til sentrale servere at det var ham som satt passordene. I tillegg så logget aldri noen høyere opp i systemet seg på serverne?  (som man kanskje kunne forventet å ha litt bedre passordrutiner)

Det er jo åpenbart at dette er ren løgn. 

[Sandormen]

Enig med foregående kommentarer. Det lukter litt av historia. Mon hva den hele og fulle sannhet er.

Meen. Jeg har arbeidet et sted, med mye uskyldigere produkter enn Solarwinds. Likevel, der var bruken av, og sikkerheten så slett at jeg kan den dag i dag sitte på en benk utenfor og logge meg inn i systemene. Jeg kan vedde den venstre nøtta mi på at passordet er det samme i dag. Det gir full tilgang til kassesystem, overvåkningskameraer og computere. Var det ikke for den manuelle stålport/gitter, kunne man få ytterdøra til å stå vidåpen.

Store firmaer og selskaper pleier å ha ‘litt’ mer kontroll, men det er fremdeles alt for mye som kjører på tillit (Fin måte å spare penger, kortsiktig).

[oceana]

Dette er bare bløff hele veien, lukter mer inside job enn som så. Og som nevnt over, en praktikant vil være så pliktoppfyllende atte hjælp.

[Sandormen]

oceana skrev (12 minutter siden):

Dette er bare bløff hele veien, lukter mer inside job enn som så. Og som nevnt over, en praktikant vil være så pliktoppfyllende atte hjælp.

Yep. En praktikant, så vidt meg bekjent vil alltid spørre «Hvilket passord skal jeg bruke?» Rettet til mentor, supervisor eller systemadministrator. Sjøl en ikke-praktikant vil spørre om passord til systemer. Derimot, en som eier systemet kan hurtigere finne på å ta ‘passord-snarveier’. -Jeg mistenker at den her ‘praktikant’ er et godt undskyldningsord for å komme ut av fette-fatet.

[Kristian Abrahamsen]

Er dette et måte å prøve å dytte feilen ned i systemet på?

Skal man ikke ha regler for passordstyrke på Servere?

Hvorfor får en praktikant rettighet til å sette adminpassord på en server i et selskap hvor sikkerhet er ekstremt viktig? (viktig alle steder, men noen steder er det viktigere enn andre)

Hvorfor har man ikke rutner for å endre passord etter at ansatte har sluttet?

Mange har antydet her at denne "bortforklaringen" neppe er hele sannheten, men selv "unnskyldningen" de kommer med vitner å svake rutiner og det er vel gode rutiner + kompetanse som gir god sikkerhet?