Det er rystende, jeg gentager lige, at applikationer kan komme i søen uden at være testet for OWASP top 10 fejl. Det er ganske enkelt uprofessionelt, at et system, der håndterer data om børn, på vegne af en offentlig myndighed ikke er testet. De fejl er ikke rocket science at finde. SQLi og XSS e...
Som Henrik Kramshøj nævner, så er der en række værktøjer, der er meget nyttige ifm. forensics - herunder http://sleuthkit.org/, som findes på Backtrack. Ja, som oftest vil du kunne producere en fornuftig kopi, med mindre, at der er ændret i elementer som firmware eller lignende, så du blokeres. D...
Man kan også tænke sig, at man har gaflet nogle passwords på disken i klar tekst - og så har satset på, at de er genbrugt. Det ville være en approach, jeg ville kunne finde på. Men ja - for Windows' vedkommende, så kan dvalefilen indeholde ukrypterede passwords, som de forskellige forensics værkt...
Det er mod enhver god procedure at skrive på den originale disk, der skal bruges som bevismateriale. Der burde være gode muligheder for at bevare original disken uberørt. Det er godt nok uphill....
Jeg mindes stadig et besøg i et større varehus her i landet for ca. 1 år siden. Her lå der en 4 ports switch med to ledige porte ved næsten alle kasserne. Den ene var brugt til dankort terminalen og den anden til kassen. Det tredje og fjerde kunne du selv "disponere" over. Bagsiden vendte...
Ja, de søger en medarbejder - ikke en sikkerhedschef. Det er selvfølgelig en start, men der skal nok mere pondus til, hvis medarbejderen skal have den fornødne gennemslagskraft. Hvis medarbejderen refererer til den chef, der skal have noget "udført", så kan krav til sikkerheden hurtigt...
Jeg er umiddelbart indifferent omkring konsekvenser og sanktioner, men noget skal der være. Om det så skal være en "wall of shame", hvor man hænger virksomheder og institutioner ud. Private virksomheder kan man lade være med at handle med, men hvad med de offentlige syndere. Kommuner,...
I 2012 deltog jeg i et Business Continuity Manager kursus med en instruktør fra Seattle. Hun fortalte, at i visse områder af USA var modne IT-sikkerheds- og business continuity programmer en konkurrence parameter. En række store virksomheder vil helst ikke handle med firmaer, der ikke har styr på...
Nej det synes jeg ikke det er. Vil folk have wifi, så må de anskaffe det selv - just my 2 cents. Er der ikke også noget med at kommunerne ikke må konkurrere med private firmaer. I dette tilfælde vil det nok koste nogle abonnementer hos de private, hvis det bliver rullet ud.
Today, 192 rockets were fired towards Israel. 141 of them hit Israel, and an additional 44 were intercepted by Iron Dome. http://en.wikipedia.org/wiki/List_of_Palestinian_rocket_attacks_on_Israe...
Hvis nu tyske militante hældte et par hundrede raketter ind over grænsen, hvor hurtigt vil I regne...
Noget af det, der undrer mig er, at forholdet omkring FTP serveren ikke er afdækket i en periodisk test. En FTP server er i min optik noget, der bør overvåges med ganske korte mellemrum.
... er vel, at det er den certificering, og den alene, du bliver målt på.
Er du compliant eller ej. Hvis man ensidigt fra ledelsen fokuserer på PCI, så kan man forledes til at glemme, at der er andre ting indenfor Informationsikkerhed, der bør tages højde for. ISO2700x for eksempel.
Det er lidt...
COMMISSION REGULATION (EU) No 611/2013, Official Journal of the European Union, L 173/2.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002...
Jeg er faktisk ikke klar over, hvorvidt det falder for retsforbeholdet, men der er faktisk nogle udmærkede takter i dette. Datatils...
I lov om finansiel virksomhed er der jo nogle straframmer, som kunne komme i spil her, men når man tænker på at Finanstilsynet ikke har været på besøg i 4 år....
Under min gennemlæsning af artiklen og kommentarerne kom jeg til at tænke på denne gamle Disney sang - Stol på mig: https://www.youtube.com/watch?v=Xh15DXpKMvQ
;-)
Det er ganske enkelt jordens tyndeste forklaring. Du kan ikke udlicitere ansvar. Det er stadigvæk Nets's ansvar at sikrer sig mod en rouge medarbejder ved en underleverandør. Jeg er glad for, at det ikke er min stol, der står, hvor ansvaret placeres. Den må være ret varm.
/Michael
Kommentarer
Manglende test
Re: »De her programmer bruges i
Genbrug af passwords
Det er mod god procedure
Åbent hus
Re: Der lyttes efter...og rapporten nytter
Lidt lige som NemID....
Wall of shame
Ja tak til krav.
Wifi en kommunal kerneopgave??
Måske er der mål at gå efter.
Stille undren omkring FTP
Faren ved PCI...
Man kunne jo også kigge på lidt EU stof
Ny lovgivning kunne ønkes
Ny slagsang til Nets
Tynd forklaring
Re: 100% fejlrate?
Det giver ikke nogen mening i min optik
Separation of duty ved IBM