Sikkerheds WooDoo

Jeg modtog for nyligt et "draft security advisory" fra en flok "independent security researchers".

"Independent security researcher" *er som titel af samme lødighed, som når en kvinde med langt glat, ofte affarvet, hår præsenterer sig som *"dancer" i en USAnsk provinsby[1].

Det var en imponerende liste software de havde fået listet op i deres "advisory", helt klart noget der ville set godt ud på CV.'et.

Der er bare den detalje, at de havde fat i den forkerte ende af geværet.

Kernen i deres "afsløring", erindrer jeg første gang at have diskuteret i DIKU's maskinrum, dengang man målte sin egen VAX's afstand fra MCVAX i UUCP-hop.

Forresten var det vist nok trejde gang jeg modtog denne "vulnerability" i 2009.

Med andre ord: nice try boys.

Jeg har sendt dem en email, med mit svar, som jeg bad om blev inkluderet i sin helhed i deres advisory, hvis de medtager Varnish som "vulnerable". Kendere af min stil kan forestille sig indholdet.

Enten kommer der ikke noget advisory, et klart tegn på intelligens, eller også kommer der et advisory, blot uden min software, hvilket vil bekræfte mistanken om hvad danseren faktisk lever af.

Det værste der kan ske for noget fagområde, er at blive gjort til genstand for et WooDoo marked, der fjerner opmærksomheden fra det der tæller og sender alle i den forkerte retning i jagten på "Johannes Døberens Kranie fra da han var 12 år" fordi der er nogen der har set Jesus ansigt, på et stykke Toast, eller muligvis en skinke, i Catalonien.

Computer-sikkerhed, og for den sags skyld sikkerhed i lufthavne, har for længst passeret ind i WooDoo land.

Der er "Corporate Security Officeres" der ikke vil tillade FreeBSD installationer, fordi der leverandøren ikke har scannet install-medierne med en virus-scanner og som andre kvaksalvere og mirakel-helere offentliggør antivirusfirmaerne ugentligt imponerende nyhedsbreve med omhyggeligt regnskab over det antal katastrofer de har afværget (for blot $CALL/måned!)

Når markedet er der, vil håbefulde unge "golddiggers" prøve om de kan "score big"...

... og vi andre må slås med deres røgslør i øjnene.

phk

[1] Dog udsættes "security researcheren" sjældent for de efterfølgende mere eller mindre skjulte forsøg på rumfangs- og elasticitetsvurderinger.

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Kunne være skægt med en voodoo-liste over sikkerhedståbeligheder derude. Der må være masser at tage fat i. De skulle nok kunne submittes anonymt, dog, så personer eller virksomheder ikke udstilles ...

Det sjove ved sikkerheds-voodoo er, at uanset hvor tåbeligt det måtte vise sig at være med tiden, så sløjfes det aldrig. Enten fordi der ikke er nogen proces for at sløjfe sikkerhedsprocedurer, eller også fordi folk for længst har fundet en workaround for "problemet", så dagligdagen kan gå videre.

Helt komisk bliver det, når disse workarounds dokumenteres forskellige steder i virksomheden. Den slags absurditeter afsløres hovedsageligt af nyansatte. Vi andre har lært at leve med det :-)

  • 0
  • 0
Anonym

fordi der er nogen der har set Jesus ansigt, på et stykke Toast, eller muligvis en skinke, i Catalonien.

Ruller rundt på gulvet og griner !

  • 0
  • 0
Log ind eller Opret konto for at kommentere