henrik knopper bloghoved

Ulven kommer - og han bruger Messenger!

Jeg ved ikke med dig, men jeg kan godt blive en lille smule træt af alle de halve vinde der drøner rundt, senest i debatten om messenger. Dels lugter de ikke særlig godt, og dels er det som om de formørker folks sind så meget at det bliver umuligt at skelne frygt fra fakta.

En artikel fra i fredags "slog fast" at de fleste messenger programmer ikke egner sig til erhvervsbrug.

Øhh javel.Og hvorfor så ikke' Det er altid sikkerheden der bliver hevet frem som synderen, men hvad er det lige for en sikkerhed der efterlyses?

1. Folk kan udgive sig for at være "en anden". Ptjaeh, det er vel rigtigt. Men hvis ansatte i et firma begynder at chatte med en kontakt der pludselig kommer frem på deres messenger og siger "Hej, jeg er din længe savnede onkel fra Uruguay, åbn lige den fil her der hedder StoreBryster.exe" så mener jeg firmaet har et mere generelt problem end hvad der kan løses ved at forbyde messenger.

2. Inficerede filer kan komme ind uden om de officielle mail-filtre, firewalls osv osv. Enig. Men det kan de også via CD'er, zip-filer i mails. Og ellers burde antivirus på pc'en fange skidtet lige så snart det kommer forbi harddisken.

I øvrigt er er meget stor del af løsningen på både 1) og 2) at sætte sin messenger-klient op til kun at acceptere beskedder fra personer der i forvejen står på adresselisten.

  1. Fortrolige filer kan komme ud, uden om de officielle mail-filtre, firewalls osv osv.
    Enig. Men er det et problem? Ja, for revisionen, som skal give håndfaste garantier i en verden hvor intet er håndfast. Derfor er revisionfirmaerne også de fremmeste bannerfører i "korstoget mod moderne samarbejdsformer". VI andre har erkendt at der går flere fortrolige data ud af firmaerne på nøglemedarbejderes tabte/stjålne bærbare pc'er end hvad diverse småkriminelle medarbejdere har formået at stjæle via messenger, USB-keys, mobiltelefoner, web-mail osv osv. Som revisor er det bare lettere at lukke den lille dør og lade porten stå åben end det er at sætte begrænsninger op for nøglemedarbejderne.

I øvrigt lærte jeg på mit CISSP-kursus at it-sikkerhed hviler på 3 grundpiller: Integritetet, fortrolighed og tilgængelighed. Messenger er i høj grad en del af tilgængeligheden. SÅ i stedet for at dømme en genial måde at samarbejde på ude i kulden skal vi se at få drejet debatten hen på hvordan vi styrket de to andre grundpiller.

Det oplagte svar på fortroligheden er at al messenger-trafik skal være krypteret samt evt bruge en messenger-proxy..

Til gengæld ved jeg ikke lige hvordan vi klarer integriteten. Gør du?

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Sofie Nielsen

Du har helt ret i dit indlæg; og så fik jeg også på fornemmelsen fra artiklerne i denne uges Version2, at man en del steder forbyder brug af IMs (eller i hvert fald andre IMs end virksomhedens interne), fordi det anses for at være noget useriøst noget, som medarbejderne ikke kan spilde arbejdstid på.

Jeg synes da, at det kan være utrolig nyttigt lige at kunne spørge en gammel studiekammerat om et teknisk anliggende - og derudover tror jeg kun, det er en fordel for virksomhederne, hvis medarbejderne ikke føler en skarp opdeling i arbejdstid og fritid (for det fører som regel til mere arbejde ;-)

  • 0
  • 0
#2 Morten Jensen

Well, husk at journalister ogsaa er noedt til at saelge deres vare, saa overskrifter skal kun fange din interesse. Som IT chef i et stoerre firma kaempede jeg imod Yahoo, som var det en gruppe af mine brugere vill have. Det viser sig at det er helt normalt i deres branche at lave "deals" over det medie. Det er hurtigt og effektivt. -Desvaerre var det ogsaa tvingende noedvendigt at kunne bevise hvad der var blevet sagt i en given chat. Det tillod saa mig at tvinge ledelsen til at investere i en dyr proxy loesning, som saa ogsaa fungerede rigtigt godt. Jeg laerte at chat KAN bruges professionelt, ledelsen laerte ogsaa at kigge paa exposure naar man bygger en business case for aendringer.

-Men, i et stort flertal af de smaa firmaer bliver alt det her bare sprunget over og det er der problemet ligger. Sikkerhed er altid "work in progress" men i naesten alle smaa virksomheder bliver der gjort noget naar der er et problem, ikke naar det bliver implementeret.

  • 0
  • 0
#3 Jakob Møllerhøj Editor

Hej Henrik,

1: 'Men hvis ansatte i et firma begynder at chatte med en kontakt der pludselig kommer frem på deres messenger og siger "Hej, jeg er din længe savnede onkel fra Uruguay, åbn lige den fil her der hedder StoreBryster.exe" så mener jeg firmaet har et mere generelt problem end hvad der kan løses ved at forbyde messenger.'

Et andet eksempel kunne være:

  • 'henrik-t-knopper[at]hotmail.com (fiktiv - håber jeg ;-)) wants to add you to his/hers contact-list'

  • Jeg accepterer, han blogger jo på vores website.

  • Henrik T. Knopper says: "Hej Jakob, jeg har en kommentar til jeres blad, gider du læse den?"

  • Henrik T. Knopper wants to send you the file 'kommentar.doc - Accept/Decline'

  • Filen virker tilforladelig og jeg åbner, hvorefter jeg bliver ramt af et zero-day exploit, som hackeren, der har udgivet sig for at være en anden, har inficeret Word-dokumentet med.

(eks. http://www.version2.dk/artikel/752 )

Dertil kommer hele problematikken omkring orme-vira og IM-klienter.

2: 'Enig. Men det kan de også via CD'er, zip-filer i mails.'

Mig bekendt kan antivirus-software på mailservere godt scanne zip-filer, med mindre filerne selvfølgelig er krypterede. Under alle omstændigheder er det muligt at bortfiltrere filer af typen zip via mailserveren, hvis den it-sikkerhedsansvarlige ønsker det.

Og til forskel fra CD'er, usb-nøgler, osv., så er det vel væsentligt mere oplagt lige at sende 'den sjove' exe-fil til sin ven via IM end via en CD ...

'Og ellers burde antivirus på pc'en fange skidtet lige så snart det kommer forbi harddisken.'

Det er vel et spørgsmål om temperament, hvorvidt virksomhedens it-sikkerhed skal stå og falde med antivirus-softwaren på klientsiden, der, som du selv formulerer det, 'burde' 'fange skidtet'.

3: 'Enig. Men er det et problem?' Æh, som du selv er inde på, afhænger det vel af situationen. Det er værd at holde sig for øje, at eksempelvis MSN-traffik som udgangspunkt ryger en tur omkring Microsofts servere et sted på internettet, og altså ikke bliver holdt inden for virksomhedens vægge. Heller ikke selvom der er tale om intern kommunikation mellem medarbejdere.

Blandt andet derfor er kryptering en god idé, det rejser dog problemet i forhold til, at man kun kan kommunikere sikkert med andre, som også bruger kryptering.

Ovenstående og artiklerne i Version2 er ikke et korstog mod IM generelt, men blot et forsøg på at rette fokus mod it-sikkerhed og brugen af IM-software.

mvh Jakob Møllerhøj Journalist, Version2

P.S.

Som den nuværende undersøgelse på version2.dk viser, så er nogen af den opfattelse, at brugernes uvidenhed er den største trussel mod it-sikkerheden. Og det vil alverdens mail-, IM- eller datakrypteringspolitikker nok ikke ændre på, men et sikkerhedsfokus på områderne kan være med til at mindske antallet af faldgruber, som brugerne risikerer at ryge i.

  • 0
  • 0
#4 Henrik Knopper

Hej Jakob

  1. Jeg er som sådan fuldstændig enig i dit scenario, men nu har vi to jo så også bevæget os ud i en noget mere nuanceret debat, for vi har lokaliseret truslen til at være begrænset til filoverførsel via messenger.

Så vi har fået reduceret det store totale trusselsbillede til en konkret trussel, som der tilmed findes op til flere midler imod.

Hvis vi kunne få den generelle debat til at blive konkret tror jeg vi kunne undgå regelmæssige krav om at der går en mand og vifter med et flag foran ethvert automobil.

  1. De fleste "sjove ting" jeg har fået har været placeret på usb-keys. Men der har jeg jo så været het sikker på identiteten af afsenderen.

  2. Al kommunikation hvor man ikke selv styrer serveren kan potentielt aflyttes. Det gælder alle typer messenger, telekonference, videokonference, telefoni, mail, alt. Det er der ikke noget nyt i og det eneste vi som almindelige borgere kan bekymre os om er hvem der vogter vogterne. "Quis custodiet custodes?" (Hvem sagde Dan Brown og Digital Fortress)

Henrik

  • 0
  • 0
#5 Jakob Møllerhøj Editor

Hej Henrik,

1: '... vi har lokaliseret truslen til at være begrænset til filoverførsel via messenger.'

Jeg er ikke enig. Mit scenarie med filoverførsel var bare ét eksempel på, hvorfor det er problematisk ikke at kunne identificere skribenten i den anden ende. Eksemplet kunne også have handlet om en person fra en konkurrerende virksomhed, der lokkede fortrolige oplysninger ud af en godtroende medarbejder - kun fantasien sætter grænser.

'Så vi har fået reduceret det store totale trusselsbillede til en konkret trussel, som der tilmed findes op til flere midler imod.'

Som sagt er jeg ikke enig i, at trusselsbilledet kun handler om filoverførsel. Men rigtigt, at der findes midler mod det trusselsscenarie, du nævner. Men før midlerne kan anvendes, så problemet kan løses, kræver det vel, at brugerne og de it-ansvarlige bliver opmærksomme på, at der overhovedet er et problem ...

Det er blandt andet derfor, vi vælger at sætte fokus på problematikken.

2: 'De fleste "sjove ting" jeg har fået har været placeret på usb-keys'

Jeg kan selvfølgelig ikke anfægte dine personlige oplevelser omkring, hvordan de "sjove ting" kommer ind på din computer. Selv er det ikke min oplevelse eller erfaring, at vira og andet skidt lettest finder vej til computeren gennem USB-porten.

'Men der har jeg jo så været het sikker på identiteten af afsenderen.'

Ja, nemlig ;-)

3: 'Al kommunikation hvor man ikke selv styrer serveren kan potentielt aflyttes. Det gælder alle typer messenger, telekonference, videokonference, telefoni, mail, alt.'

Nøgleordet her er vel kryptering. Og hvad sikkerhed angår, mener jeg ikke, at mail- og im-traffik kan sammenlignes direkte. Mange virksomheder har deres egen mailserver stående. Det betyder, at interne beskeder sendt over mail forbliver interne i modsætning til eksempelvis standard MSN-traffik.

Endeligt er det mit indtryk, at de fleste er opmærksomme på og forholder sig til mails som et muligt entry point for skadelige filer.

Spørgsmålet er, hvorvidt de it-sikkerhedsansvarlige også er opmærksomme på IM som entry point for skadeligt fil-indhold.

Som en af kilderne i online-udgaven af historien formulerer det:

"Man kunne sagtens forestille sig ordvekslingen: Nå, den gik ikke igennem på mail, så sender jeg den bare til dig på messenger"

Der er jo ikke nogen pointe i at bygge en borg uden bagmur.

Og sidst, men ikke mindst. Graden af opmærksomhed omkring it-sikkerhed er forskellig. Nogen er knapt så opmærksomme i forhold til et specifikt emne, mens andre er meget opmærksomme og vidende (som dig selv). Og så er der dem midtimellem. Derfor vil der også være forskel på, i hvor høj grad en specifik artikel bidrager med noget til læserens hverdag.

Og jeg vil gerne gentage:

"Ovenstående og artiklerne i Version2 er ikke et korstog mod IM generelt, men blot et forsøg på at rette fokus mod it-sikkerhed og brugen af IM-software."

mvh

Jakob Møllerhøj Journalist, Version2

  • 0
  • 0
#6 Rolf Ask Clausen

Pinger lige denne tråd inspireret af en "spændende" MSN-henvendelse, jeg for et øjeblik siden fik fra en bekendt.

Nej, jeg klikkede ikke på det medsendte link. Men det kunne nemt være sket, for linket og afsenderen så troværdig ud. Det eneste underlige var, at bekendten var off-line.

Der er tale om en kendt MSN-infektion, som har været in the wild nogen tid.

Som eksemplet viser, er det ikke længere seriøst at affeje IM-trusler som ren teori eller noget, brugerne selv må sørge for at passe på.

  • 0
  • 0
#7 Stig Johansen

Det kan godt være jeg spørger dumt (bruger ikke MSN) men..

Når du skriver "medsendte link", er det så en vedhæftet fil, eller er det et link til en placeholder (inficeret webserver) ?

Jeg har indtrykket af, at 'direkte distribuering' er erstattet med alle mulige 'fake downloads'.

  • 0
  • 0
Log ind eller Opret konto for at kommentere