Marc Andersen

Når de store drenge slås...

Hvordan kan vi (udover at minimere rettighederne) beskytte mod sådan en vektor, som vel må fungere på tværs af software- og hardwareplatforme?

Minimér angrebsfladen på systemerne.

Klienter: Er det virkelig nødvendigt at brugernes klienter kan forbinde til hinanden? Brug den lokale for den lokale firewall og tillad udelukkende trafik til klienten fra et dedikeret net (f.eks. en NOC).

Servere: Få serverne ud af gen-pop. De har ikke noget at søge sammen med brugerne. Eksponér kun den del der er nødvendigt.

Administratorer: Administration af systemer bør så vidt muligt foretages fra dedikerede systemer til det formål. Det skal ikke være den samme maskine man bruger til at læse V2.dk

Der er ikke tale om mikso-segmentering her, men ovenstående tiltag vil hjælpe gevaldigt.

7. juli 2017 kl. 14:25
Når de store drenge slås...
7. juli 2017 kl. 14:09
Wikileaks: CIA udviklede malware til rumaflytning med mikrofonen i Samsung TV

Jeg er muligvis også tungnem, men nu er jeg usikker på hvad både du og Jens mener ;-)</p>
<p>Skåret ind til benet, så forsøger vi som virksomhed og internetudbyder at beskytte vores brugeres privatliv i det omfang, lovgivningen giver os mulighed for det.</p>
<p>Det gælder lige fra vores liberale identitetscheck, hvor vi ikke kræver CPR-nummer, til vores opbygning af netværket, hvor vi forsøger at undgå at ligge inde med detaljer, der kan misbruges, hvis vores system en dag bliver hacket. Det er ikke en særlig ydelse, vi kan eller vil tage penge for, det er en ideologisk tilgang, der nok primært er formet af undertegnedes skepsis over for den stigende overvågning, der gennemsyrer samfundet.

De første indlæg her var omkring C&C channels, blokeringer med firewalls (eller manglende blokering). Så jeg antog, at det var det du hentydede til i form af brugerbeskyttelse (DNS blokering, firewalls, etc.); derfor min kommentar. Det var på ingen måde møntet på, at skulle tage penge for at levere en basal ydelse såsom at sikre sine egne systemer eller forsvarligt behandle folks data.

Alt det andet du beskriver ville jeg ønske andre leverandører tog ligeså alvorligt som jer. At brugerne så selv vælger at lægge deres privatliv frit frem for nettet er jo til dels deres eget valg; til gengæld ser det jo ud til, at du har taget beslutningen, at det I hvertfald ikke skal være jer på vegne af brugeren (bevidst eller ubevidst). Selvom det, som du siger

Anyway. Jeg svarede i øst, mens tråden havde bevæget sig mod vest.

8. marts 2017 kl. 22:52
Wikileaks: CIA udviklede malware til rumaflytning med mikrofonen i Samsung TV

Det vej skal jeg ikke ud af. Lige pludselig er det mig der er skurken og overvåger kunderne...

Det var det jeg prøvede at pointere med mit bit-pusher argument. Kan være jeg har misforstået hvad Yoel mente med "beskytte brugernes privatliv".

8. marts 2017 kl. 14:28
Wikileaks: CIA udviklede malware til rumaflytning med mikrofonen i Samsung TV

Jeg overvejer af og til, om man mon alligevel skulle stille op i politik. Selv om vi i min virksomhed forsøger at hjælpe vores brugeres privatliv lidt på vej, er det op ad bakke og en næsten håbløs kamp - og den politiske vinkel er også svær.

Jeg tror alle er bedst tjent, hvis I bare are bit-pushere. Det er ikke jeres opgave at beskytte slutburgeren på det niveau. Dermed ikke sagt, at man ikke kunne tilkøbe nogen ekstra services. Men de skal være ekstra (opt-in).

7. marts 2017 kl. 22:42
Den modne open source løsning

Jeg har observeret at implementering af små løsninger, som ikke var kritiske for organisationen, virkede fint. Når de så havde bevist deres værdi, så er det som du siger, udvidelse efter behov, ikke budget.

De løsninger, som fik lov til at køre med den originale open source stack, levede i stabilt og performede som de skulle. Hvis funktionen disse løsninger varetog derimod blev lagt over til standardsystemerne (behovet var der jo), så faldt ydelsen typisk betragteligt, men blev til gengæld dyrere: samme antal mandetimer, men med licens for ekstra software, og ekstra licens til den software der styrede software, og så lige licenser for ekstra brugere.

Den generelle modgang bliver ofte ytret i vendinger som "no vendor support" eller "umodenhed". Graver man lidt i det, så finder man ud af, at modgangen rent faktisk mere i "det er kompliceret", "man skal kunne kode", "der er ikke nogen GUI" og lignende. Til dels korrekte, til dels ukorrekte opfattelser.

Der er nok mere tale om berøringsangst tæt fulgt af forkert opfattelse af ansvarsfraskrivelse (man vil gerne pege på en leverandør når noget går galt med software).

Det sjove er, at de fleste bruger open source uden at vide det, men er stadig imod:https://opensource.microsoft.com/https://opensource.apple.com/

25. februar 2017 kl. 16:00
It-sikkerhed: Stigning i ransomware-angreb er ude af kontrol

...og derfor går det galt.

Så er vi jo enige. Slutbrugeren sidder i en position til potentielt at udgøre et vigtigt forsvar. Slutbrugerens opgave er dog ikke at agere forsvar, men passe sit arbejde. Da dette potentielle forsvar endda beviseligt ikke kan bruges tilforladeligt, så er det nok ikke det bedste forsvar.

25. februar 2017 kl. 15:34
Bagdøre og datakompromittering via backupsystemer

En udbredt backupstrategi forsøger at isolere backupsystemer fra det almindelige netværk, både på netværksniveau og i forhold til autentifikationssystem. Det vil sige, at man gør sig uafhængig af almindelige centrale autentifikationssystemer, såsom Active Directory (AD).

Noget siger mig, at selvom man burde gøre det, gør de færreste det nok. Både i forhold til en misforståelse af, at ens TCO stiger og sandsynligvis, fordi det er den eneste adgangsgivende mekanisme man har på det niveau. Så er der helt sikkert også nogen compliance krav, som på papiret opfyldes udelukkende med AD authentication.

Men jeg kan sagtens tage fejl.

I forlængelse af ovenstående: samtlige sikkerhedkontroller fra AV til SIEM, bør ikke bruge AD, da det er det første man ikke kan stole på ved kompromittering. Generelt burde IT funktionernes adgangsgivende kontroller ikke blandes mere end nødvendigt sammen med dem fra den generelle befolkning. Faktisk burde de ikke engang sidde på det samme netværk. Hvordan skal man sobert fejlsøge en platform, der har problemer, når man sidder på selveste platformen, der er påvirket, f.eks. standard klienten på et netværk? Business: "Brugerne kan af en eller anden grund ikke logge på" IT: "Næh, det kan vi heller ikke..."

25. februar 2017 kl. 10:41
It-sikkerhed: Stigning i ransomware-angreb er ude af kontrol

Det kan umuligt være det bedste forsvar.

Det er absolut der sidste forsvar, hvis alt andet fejler. Det er brugerens opgave at åbne filer, læse dokumenter og klikke på links. Hvis den gængse bruger var i stand til at tage de beslutninger og det ansvar vi fejlagtigt lægger i deres hænder, så undres man da, at vi efter 20 år stadig prædiker det samme i vores awarenesskampagner.

If it doesn't work, stop doing it.

23. februar 2017 kl. 17:31
Halvdelen af danske unge streamer film og tv ulovligt

hvis alt amerikansk indhold var tilgængeligt på det danske marked, frygter de danske producenter at folk ikke længere gider konsumere de danske produkter.</p>
<p>

Jeg troede det var distributørerne det går ud over, dvs. dem der står for at købe/sælge rettigheder videre i de forskellige lande og "distribuere" de gamle fysiske medier.

Dvs. firmaer som Scanbox og evt. andre internationale distributører det går ud over (SONY Danmark?). Når Netflix sender sine egne serier globalt eller køber globale rettigheder fra rettighedshaverne, som de lige har gjort med The Expanse, så er der nogen af leddene der ikke tjener noget på det i den lange kæde mellem rettighedshaver og forbruger.

Medmindre jeg har misforstået.

23. november 2016 kl. 11:10
Nets-kunde: »Nets er en mur af elendighed og modvilje«

Jeg har lige været igennem hele oprettelsesproceduren for at bestille medarbejder signatur. Ikke nok med, at det tog længere tid at få respons eller andet indenfor den frist, som NETS selv havde lagt, så kunne man heller ikke få hjælp for at checke, hvor langt ens bestilling er nået:

Her fra nets.eu (https://www.nets.eu/dk-da/kundeservice/NemID-medarbejdersignatur/Pages/Hjaelp-til-bestilling.aspx)

Det er mere end 7 hverdage siden jeg indsendte min aftale, men har stadig ikke hørt fra jer?
Dette kan skyldes at:</p>
<p>Nets DanID ikke har modtaget aftalen. Indsend venligst aftalen igen.
Gerne via. mail <a href="mailto:bestilling@danid.dk">bestilling@danid.dk</a&gt;
Du har indtastet en forkert e-mail-adresse i bestillingen.
Har du IKKE modtaget en automatisk e-mail kvittering efter gennemført bestilling, skal du gennemføre en ny bestilling og indsende den tilhørende nye aftale​.

Så med andre. Du kan ikke checke status. Du skal bestille igen. Det samme får man at vide, når man ringer ind. En telefonbesked fortæller (fra hukommenlsen): "Du kan ikke checke status på dit medarbejder ID".

Godt så.

Iøvrigt kom jeg til ovenstående side fra: nemid.nu, som så linker til nets.eu, men man skal skrive til danid.dk.

Hvor mange firmaer kan lige slippe afsted med det?

21. november 2016 kl. 12:25
Svindelsag vokser: 100.000 danskere kan få spærret deres kreditkort

Det sker når man tager sikkerhedsstandarder ad-verbum og ikke fortolker den til den virkelighed, som systemerne befinder sig i. At være blindt konform med sikkerhedsstandarder har ingen som helst påvirkning på, om man er sikker.

26. oktober 2016 kl. 15:17
Hvad er det ideelle mediecenter?

Har selv købt denne her:http://www.edbpriser.dk/Product/Details.aspx?q=asrock+330&pid=694811

En anelse underpowered, men det kan man leve med (der findes nyere versioner nu).

Hvis du selv vil bygge et mediecenter er her nogen learning points:

Selv i Windows er det ikke bare plug and play. Det første USB tunerkort jeg havde kunne 50% af gangene ikke komme ud af stand-by, hvilket resulterede i, at der ikke blev optaget noget. Så undersøg hvilket kort der skal til. Der er forskellige fora hvor diverse kort bliver diskuteret.

W7 understøtter ikke BluRay. Hav pengepungen klar til et software player (f.eks. PowerDVD) (hvis du nu alligevel skulle vælge at købe en med BluRay drev).

Regionskodning på DVD'er har jeg ikke tænkt over i flere år, men W7 låser til regioner. Hav' penge klar til at købe noget software, der omgår dette.

Denne her maskine satser på, at alt beregningstungt kan køre gennem Nvidia ION (CUDA), dvs. decoding af videoer. Generelt virker det fint dog skal der også ekstra programmer til at få det til at virke med playere, der ikke bare lige understøtter CUDA. Disse programmer kan findes på nettet (free as in beer). Endda flashplayer udnytter GPU'en nu. iTunes gør ikke. Jeg kan ikke afspille HD content via iTunes på min Asrock 330.

Ellers virker den fint. Tråløs og det hele. Og W7 indeholder jo Media Center.

mine 2c

27. september 2010 kl. 10:39