Jakob H. Heidelberg

Hej Gert,

Jeg tror, du finder svar på det hele i mit blogindlæg "Drop de komplekse adgangskodekrav og styrk virksomhedens forsvar" - godt nok 2 år gammelt, men det har ikke ændret sig: https://www.version2.dk/blog/adgangskoder-670319

God (forlænget) weekend! :)

Jeg er ikke overbevist om at det øger sikkerheden at sætte en udløbsdata for passwords på 60 eller måske 90 dage hvis vi snakker om brugere med almindelig domain user adgang.

Hej Jakob,

Tak for din kommentar. Jeg ved ikke om det er til nogen bestemt deltager i kommentartråden eller mit oprindelige indlæg, men vil blot henlede opmærksomheden på dette indlæg, hvor netop den med udløb behandles: https://www.version2.dk/blog/adgangskoder-670319

Mvh /Jakob

Hvad betyder 'Æg' forresten...?

Typo. "Æh".

Hmm...? :: Det begriber jeg ikke --- og er det nu også helt sandt? [/quote]

Æg, spørger du mig virkelig om jeg lyver?

Det er mit indtryk at alle interessenter/producenter p.t. er helt oppe på lakridserne for at gøre alt for at
få øget sikkerheden i deres systemer.

Hahahaha, den var god!!

Fx ved at dele din viden med Microsoft, så de hurtigst muligt kan få muret hullerne i Windows til. Uden at vide en pind om de (eventuelle) juridiske finurligheder, vil jeg umiddelbart tro, at de faktisk vil være glade for din hjælp.

Måske står det ikke klart nok i artiklen, men vi bruger faktisk energi og tid på at oplyse producenterne om fejl i deres produkter, inkl. Microsoft. I det her tilfælde, ønsker de ikke at gøre noget ved det, da de ikke betragter det som sikkerhedsproblem, Spørg mig ikke hvorfor, men det er deres retningslinjer.

Se også https://www.version2.dk/artikel/saarbarhed-kendt-ni-maaneder-ibm-reagerede-foerst-efter-v2-blogger-truede-med

Best Practise er flere lag af automatiseret og intelligent sikkerhed. Uden dette, så er det blot spørgsmål om tid og/eller held.

Det kan godt være, at det traditionelt har været betragtet som "Best Practise" at hælde flere sikkerhedsprodukter og systemer ind i netværket, men i realiteten gør den slags oftest netværket mere usikkert, da der introduceres nye angrebsflader og ofte falsk tryghed i IT-afdelingen. Antivirus-leverandører vil altid sælge flere licenser, men hvis antivirus virkede, ville vi ikke igen og igen kunne blive ramt.

Det der skal være "Best Practice" fremover - hvis det ikke allerede er det - er at stramme platformen på teknisk niveau, så der ikke kan eksekveres kode, som ikke er autoriseret. Whitelisting er det nye sorte - eller "nye": http://techgenix.com/default-deny-all-applications-part1/ - de fleste virksomheder har den funktionalitet som del af deres operativsystem allerede. Man har bare ikke viljen til at bøvle med implementeringen, for tænk nu hvis bruger X ikke kan køre applikation Y i 15 minutter...

Derudover, så taler vi ganske enkelt IT-hygiejne, hvor man ved man har, isolerer det og fjerner unødvendige adgange og protokoller m.v. løbende. Hygiejne og kærlighed til IT-miljøet - det er vejen frem. Og så masser af backup :)

Er der kun brugt ren WinDbg?</p>
<p>Hvis et af målene har været at finde forskelle mellem versioner, lyder det oplagt at bruge fx BinDiff?

Der står "blandt andet" :-)

Selv om Watson er noget helt andet, så siger historien i artiklen jo noget om IBM's holdning til datasikkerhed - det er der bekymringen kan komme ind.

Absolut. Så længe vi taler en virksomhed, der undlader at lappe sikkerhedshuller/sårbarheder, lige så lang tid de har succes med at holde informationen tæt til kroppen - og dermed lader kunderne være i farezonen længere end højst nødvendigt - og et firma, der ikke tilbyder sikkerheds-researchere bug bounty for at finde sårbarheder, som de fleste af de store velansete softwarehuse gør det, så er er der bestemt grund til bekymring. Yderligere taler vi et firma, som når de skal frigive en workaround til deres enterprise kunder, publicerer en manuel løsning [doh!]... Der er altså plads til forbedring på sikkerhedsområdet her.

P.S. Mit firma, Improsec, finder ikke sårbarheder for bug bounty. Vi har en helt anden forretningsmodel, så det er ikke penge, det drejer sig om for mig.

På mit arbejde logger "man" ikke på en PC der administrerer TSM. Det sker fra en dedikeret PC, på et dedikeret net, hvor kun dedikerede admins kan logge på .

Det lyder godt. Hvordan kommunikerer TSM agenten så med backend? Det er agenten der er sårbar, ikke backend (i denne omgang).

Selvfølgelig kan de lave ravage i den, hvis de vil. Men kan alle admins ikke det?

Det kommer da an på hvad du lægger i begrebet "admins", det kan jo være alt fra admin over et fildrev til domain admin etc, - og så er der forskel på hvor høj grad af ravage man kan lave.

Her er problematikken basalt set, at en almindelig uprivilegeret bruger, kan få adgang til data, som vedkommende ikke skal have, samt muligvis opnå privilegerede rettigheder i miljøet. Er det ikke også slemt og et brud på reglerne på din arbejdsplads?

Er det normal praksis i virksomheder der er store nok til at bruge TSM, at direktøren og admin bruger den samme PC, på samme netværk? Hvis svaret er ja, så kan jeg godt komme i tvivl om hvor den største risiko er.

Terminal Servere og Citrix farme m.v. anvendes mange steder. Der skelnes sjældent mellem høj og lav. Dertil er det jo ikke kun scenariet med almindelig bruger vs. direktør der her er tale om.

Placeringen af node-password afhænger på unix af indstillingen for "passworddir": <a href="https://www.ibm.com/support/knowledgecenter/en/SSEQVQ_8.1.0/client/r_op…;
<p>Placeringen er på Linux-servere /etc/adsm, hvori man finder filen TSM.PWD. Et hurtigt kig på nogle Linux-servere får mig til at konkludere, at TSM.PWD har fornuftige (root-only) indstillinger, med mindre nogen aktivt har ændret noget. Så det er jo godt.

Tak!

Svarede IBM nogensinde på, om ikke-Windows systemer er omfattet af et lignende problem?

Tak for det. IBM har svaret, at de vil tjekke og inkludere alle supporterede versioner og platforme af TSM. Dermed håber jeg, at de f.eks. på Linux/Unix sørger for, at der ikke ligger klartekst konfigurationsfiler (inkl. Node adgangskode) med Read rettighed til almindelige brugere osv., men reelt kan jeg ikke være sikker på, at de har tjekket op på det og jeg har desværre ikke lige umiddelbart mulighed for at teste det i nærmeste fremtid.

"Tilbage i 2016 strammede Windows da også op på området..."

Afvikling af makroer i Office pakken har ikke noget med "Windows" at gøre, med mindre man spørger ens bedstemor, som overhovedet ikke har forstand på computere. "Windows" strammer ikke op, men Microsoft kan stramme op, eller der kan blive strammet op om sikkerheden i produkt X, Y eller Z (i dette tilfælde sikkerhedsfunktioner i Office-pakken).

"Windows er godt selv klar over, at den efterhånden gamle funktion udgør en sikkerhedsrisiko."

Nej, "Windows" er ikke selv "klar over". Microsoft kan "være klar over"...

Undskyld, men kan der blive tid til lidt kvalitetskontrol hos Version2? Så banale ting skal ikke slippe igennem. I forvirrer bare min bedstemor o.a.

Farver og andet fancy stuff, bvadr, så tror jeg alligevel det bliver for meget ligesom Windows! God weekend ;-)

Damn, vil det sige, at jeg har kunnet spare 4 tegn, hver gang jeg har brugt kommandoen, siden Backtrack blev til Kali? Det løber sgu op! Tak :-)

bare en lille slåfejl tænker jeg :)

Det er vigtigt at du forstår at det Colin har lavet er et kryptografisk princip for sikre backups. Det faktum at han har valgt at implementere det på UNIX (først?) er en ligegyldig detalje, for princippet virker på tværs af alle OS og platforme.

Det er ikke så vigtigt for mig, før det findes hos, eller er en reel mulighed for, de virksomheder, jeg besøger.

Og hvis du vælger at lukke øjnene for de "perverse incentives" Cloududbyderne lader sig friste af til at levere ringere sikkerhed for en højere pris, bliver det ret hurtigt ligegyldigt at høre på hvad du måtte have at sige...

Ja okay så...

Hvis du ikke har styr på din egen sysadmin er du under alle omstændigheder totalt blottet. Se også: NSA, Snowden.

Man kan f.eks. sikre sig, at sysadmins ikke har adgang til ens seneste cloud backups løbende, altså også efter de er stoppet i virksomheden ;-)

Det lyder fint med Colin til *nix. Andre løsninger kan selvfølgelig også kryptere m.v. Jeg forholder mig ikke til priser.

Jeg har ikke meget forstand på det praktiske i den her disciplin, men er det gennemførligt, at skifte krypteringsnøglen på flere terrabyte backup, som ligger i den store cloud hos Amazon eller en af deres kolleger, når en af IT-administratorerne skifter job ?

Jeg tror ikke, at nogen har anbefalet løbende skift af krypteringsnøglen/r. Ved ikke om jeg misforstår dig Morten?

Det kan sagtens lade sig gøre at lave et sikkert remote backup system, det har Colin Percieval bevist med tarsnap.

Jeg skriver det måske ikke klart nok, men det er i bund og grund ikke systemerne der er problemet, men de tilknyttede administrative procedurer. Dog med undtagelse af angrebsscenarie F, som jeg vil komme tilbage til.

Ift. tarsnap kunne man måske forestille dig, at en (ex)admin tog en key-fil med sig? Jeg kender ikke systemer, da jeg primært opererer i Windows verdenen. Måske er det ikke muligt?

Jeg tror ikke det var det jeg sagde.

Jeg var også overbevist om, at det ikke var et alt for nøjagtigt citat :)