Hej Gert,
Jeg tror, du finder svar på det hele i mit blogindlæg "Drop de komplekse adgangskodekrav og styrk virksomhedens forsvar" - godt nok 2 år gammelt, men det har ikke ændret sig: https://www.version2.dk/blog/adgangskoder-670319
God (forlænget) weekend! :)
Hej Jakob,
Tak for din kommentar. Jeg ved ikke om det er til nogen bestemt deltager i kommentartråden eller mit oprindelige indlæg, men vil blot henlede opmærksomheden på dette indlæg, hvor netop den med udløb behandles: https://www.version2.dk/blog/adgangskoder-670319
Mvh /Jakob
Hvad betyder 'Æg' forresten...?
Typo. "Æh".
Hmm...? :: Det begriber jeg ikke --- og er det nu også helt sandt? [/quote]
Æg, spørger du mig virkelig om jeg lyver?
Hahahaha, den var god!!
Måske står det ikke klart nok i artiklen, men vi bruger faktisk energi og tid på at oplyse producenterne om fejl i deres produkter, inkl. Microsoft. I det her tilfælde, ønsker de ikke at gøre noget ved det, da de ikke betragter det som sikkerhedsproblem, Spørg mig ikke hvorfor, men det er deres retningslinjer.
Det kan godt være, at det traditionelt har været betragtet som "Best Practise" at hælde flere sikkerhedsprodukter og systemer ind i netværket, men i realiteten gør den slags oftest netværket mere usikkert, da der introduceres nye angrebsflader og ofte falsk tryghed i IT-afdelingen. Antivirus-leverandører vil altid sælge flere licenser, men hvis antivirus virkede, ville vi ikke igen og igen kunne blive ramt.
Det der skal være "Best Practice" fremover - hvis det ikke allerede er det - er at stramme platformen på teknisk niveau, så der ikke kan eksekveres kode, som ikke er autoriseret. Whitelisting er det nye sorte - eller "nye": http://techgenix.com/default-deny-all-applications-part1/ - de fleste virksomheder har den funktionalitet som del af deres operativsystem allerede. Man har bare ikke viljen til at bøvle med implementeringen, for tænk nu hvis bruger X ikke kan køre applikation Y i 15 minutter...
Derudover, så taler vi ganske enkelt IT-hygiejne, hvor man ved man har, isolerer det og fjerner unødvendige adgange og protokoller m.v. løbende. Hygiejne og kærlighed til IT-miljøet - det er vejen frem. Og så masser af backup :)
Der står "blandt andet" :-)
Absolut. Så længe vi taler en virksomhed, der undlader at lappe sikkerhedshuller/sårbarheder, lige så lang tid de har succes med at holde informationen tæt til kroppen - og dermed lader kunderne være i farezonen længere end højst nødvendigt - og et firma, der ikke tilbyder sikkerheds-researchere bug bounty for at finde sårbarheder, som de fleste af de store velansete softwarehuse gør det, så er er der bestemt grund til bekymring. Yderligere taler vi et firma, som når de skal frigive en workaround til deres enterprise kunder, publicerer en manuel løsning [doh!]... Der er altså plads til forbedring på sikkerhedsområdet her.
P.S. Mit firma, Improsec, finder ikke sårbarheder for bug bounty. Vi har en helt anden forretningsmodel, så det er ikke penge, det drejer sig om for mig.
Det lyder godt. Hvordan kommunikerer TSM agenten så med backend? Det er agenten der er sårbar, ikke backend (i denne omgang).
Selvfølgelig kan de lave ravage i den, hvis de vil. Men kan alle admins ikke det?
Det kommer da an på hvad du lægger i begrebet "admins", det kan jo være alt fra admin over et fildrev til domain admin etc, - og så er der forskel på hvor høj grad af ravage man kan lave.
Her er problematikken basalt set, at en almindelig uprivilegeret bruger, kan få adgang til data, som vedkommende ikke skal have, samt muligvis opnå privilegerede rettigheder i miljøet. Er det ikke også slemt og et brud på reglerne på din arbejdsplads?
Terminal Servere og Citrix farme m.v. anvendes mange steder. Der skelnes sjældent mellem høj og lav. Dertil er det jo ikke kun scenariet med almindelig bruger vs. direktør der her er tale om.
Svarede IBM nogensinde på, om ikke-Windows systemer er omfattet af et lignende problem?
Tak for det. IBM har svaret, at de vil tjekke og inkludere alle supporterede versioner og platforme af TSM. Dermed håber jeg, at de f.eks. på Linux/Unix sørger for, at der ikke ligger klartekst konfigurationsfiler (inkl. Node adgangskode) med Read rettighed til almindelige brugere osv., men reelt kan jeg ikke være sikker på, at de har tjekket op på det og jeg har desværre ikke lige umiddelbart mulighed for at teste det i nærmeste fremtid.
"Tilbage i 2016 strammede Windows da også op på området..."
Afvikling af makroer i Office pakken har ikke noget med "Windows" at gøre, med mindre man spørger ens bedstemor, som overhovedet ikke har forstand på computere. "Windows" strammer ikke op, men Microsoft kan stramme op, eller der kan blive strammet op om sikkerheden i produkt X, Y eller Z (i dette tilfælde sikkerhedsfunktioner i Office-pakken).
"Windows er godt selv klar over, at den efterhånden gamle funktion udgør en sikkerhedsrisiko."
Nej, "Windows" er ikke selv "klar over". Microsoft kan "være klar over"...
Undskyld, men kan der blive tid til lidt kvalitetskontrol hos Version2? Så banale ting skal ikke slippe igennem. I forvirrer bare min bedstemor o.a.
Farver og andet fancy stuff, bvadr, så tror jeg alligevel det bliver for meget ligesom Windows! God weekend ;-)
Damn, vil det sige, at jeg har kunnet spare 4 tegn, hver gang jeg har brugt kommandoen, siden Backtrack blev til Kali? Det løber sgu op! Tak :-)
bare en lille slåfejl tænker jeg :)
Det er ikke så vigtigt for mig, før det findes hos, eller er en reel mulighed for, de virksomheder, jeg besøger.
Ja okay så...
Man kan f.eks. sikre sig, at sysadmins ikke har adgang til ens seneste cloud backups løbende, altså også efter de er stoppet i virksomheden ;-)
Det lyder fint med Colin til *nix. Andre løsninger kan selvfølgelig også kryptere m.v. Jeg forholder mig ikke til priser.
Jeg tror ikke, at nogen har anbefalet løbende skift af krypteringsnøglen/r. Ved ikke om jeg misforstår dig Morten?
Jeg skriver det måske ikke klart nok, men det er i bund og grund ikke systemerne der er problemet, men de tilknyttede administrative procedurer. Dog med undtagelse af angrebsscenarie F, som jeg vil komme tilbage til.
Ift. tarsnap kunne man måske forestille dig, at en (ex)admin tog en key-fil med sig? Jeg kender ikke systemer, da jeg primært opererer i Windows verdenen. Måske er det ikke muligt?
Jeg tror ikke det var det jeg sagde.
Jeg var også overbevist om, at det ikke var et alt for nøjagtigt citat :)
- Forrige side
- Nuværende side
- Side
- Side
- Side
- Side
- …
- 7
- Næste side
Jakob H. Heidelberg