|
|
 | Er jeg "sikker" ????
Fra : Soren Pedersen |
Dato : 22-06-02 20:39 |
|
Jeg har fået en Astaro F/W i luften, og er nu igang med en wu-ftpd ftp
server (under RedHat 7.3), og det ser da også ud til at det kører.....Men
findes der et sted hvor man kan afprøve sikkerheden (konfigurationen) på ftp
serveren ? - Eller findes der nogle værktøjer som kan hjælpe begyndere som
ikke (endnu) har den store indsigt ?
Mvh
/Søren
| |
 Alex Holst (22-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 22-06-02 22:08 |
|
Soren Pedersen <smp@privat.dk> wrote:
> Jeg har fået en Astaro F/W i luften, og er nu igang med en wu-ftpd ftp
> server (under RedHat 7.3), og det ser da også ud til at det kører.....Men
> findes der et sted hvor man kan afprøve sikkerheden (konfigurationen) på ftp
> serveren ? - Eller findes der nogle værktøjer som kan hjælpe begyndere som
> ikke (endnu) har den store indsigt ?
Brug tid paa at laere din ftp server at kende - og skift den evt. ud med
en anden. wu-ftpd har haft mange fejl, og jeg tror ikke kvaliteten af
deres kode er blevet bedre det sidste stykke tid.
Hvis du vil vaere sikker er der ikke nogen "let" vej ud. Det kraever du
bruger tid paa forstaaelse og at foretage nogle haarde valg. Jeg har
personligt haft Apache 1.3.24 lukket ned i 2 dage pga. risikoen ved det
exploit der er tilgaengeligt mod Apache og mit OS da jeg opdagede at
baade ISS og ASF's fix ikke virkede.
Kig ioevrigt i OSS'en som daekker emnet:
http://a.area51.dk/sikkerhed/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 02:28 |
|
Alex Holst wrote:
> personligt haft Apache 1.3.24 lukket ned i 2 dage pga. risikoen ved det
> exploit der er tilgaengeligt mod Apache og mit OS da jeg opdagede at
Kun i 2 dage, vil det sige du har fundet en løsning?
| |
 Povl H. Pedersen (23-06-2002)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 23-06-02 06:51 |
|
In article <3D152436.5010006@example.net>,
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
> Alex Holst wrote:
> > personligt haft Apache 1.3.24 lukket ned i 2 dage pga. risikoen ved det
> > exploit der er tilgaengeligt mod Apache og mit OS da jeg opdagede at
>
> Kun i 2 dage, vil det sige du har fundet en løsning?
>
Hvis de viser hvorledes serveren kanlægges ned, så kan man vel bare selv
lede efter fejlen og lappe hullet.
| |
Alex Holst (23-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 23-06-02 11:28 |
|
Povl H. Pedersen <nospam@home.terminal.dk> wrote:
> In article <3D152436.5010006@example.net>,
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
>
>> Alex Holst wrote:
>> > personligt haft Apache 1.3.24 lukket ned i 2 dage pga. risikoen ved det
>> > exploit der er tilgaengeligt mod Apache og mit OS da jeg opdagede at
>>
>> Kun i 2 dage, vil det sige du har fundet en løsning?
>>
>
> Hvis de viser hvorledes serveren kanlægges ned, så kan man vel bare selv
> lede efter fejlen og lappe hullet.
Tja, baade ISS og Apache folkene havde hver et forsoeg paa at rette
fejlen i v1.3.24, og ingen af dem virkede. Jeg ved at begge fixes blev
hevet ind i OpenBSD's kode, og der var ingen der opdagede at fixet ikke
rettede fejlen. Dette undrer mig da en simpel test viser af exploitet
stadigt segfaulter et af Apache 1.3.24's child processes efter httpd er
blevet patched.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Alex Holst (23-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 23-06-02 11:19 |
|
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Alex Holst wrote:
>> personligt haft Apache 1.3.24 lukket ned i 2 dage pga. risikoen ved det
>> exploit der er tilgaengeligt mod Apache og mit OS da jeg opdagede at
>
> Kun i 2 dage, vil det sige du har fundet en løsning?
Ja, 1.3.26 er ikke saarbar; Se den opdaterede advisory paa
http://httpd.apache.org/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 15:56 |
|
Alex Holst wrote:
>>Kun i 2 dage, vil det sige du har fundet en løsning?
> Ja, 1.3.26 er ikke saarbar; Se den opdaterede advisory paa
>
> http://httpd.apache.org/
1.3.26 har jeg ikke set, har været for travlt optaget med at finde andre
producenter med sårbarheden, der er en del :(
| |
Michael Jenner (23-06-2002)
| Kommentar
Fra : Michael Jenner |
Dato : 23-06-02 09:31 |
|
Soren Pedersen wrote:
> Jeg har fået en Astaro F/W i luften, og er nu igang med en wu-ftpd ftp
> server (under RedHat 7.3), og det ser da også ud til at det kører.....Men
> findes der et sted hvor man kan afprøve sikkerheden (konfigurationen) på ftp
> serveren ? - Eller findes der nogle værktøjer som kan hjælpe begyndere som
> ikke (endnu) har den store indsigt ?
Sådan et værktøj kunne jeg også tænke mig.
Man kan læse manualer til man er helt blå i ansigtet - og det er jo
menneskeligt at fejle - så selv efter grundigt at have læst diverse
(ofte kryptisk formulerede) manualer kan man jo lave fejl.
Man kunne sagtens forestille sig et værktøj hvor man vælger server og
evt. versions-nummer hvorefter programmet finder exploits i sin database
- og afprøver dem en efter en. Programmet vil dog sikkert være et trin
bagefter de nyeste exploits, men alligevel vil det være meget brugbart.
Du kan evt. alliere dig med en hacker og få en kopi af vedkommendes
værktøjer. Jeg kender (desværre) ikke en jeg kan henvise til.
Mvh Michael
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 09:58 |
|
Michael Jenner <mj@kom.auc.dk> writes:
>> serveren ? - Eller findes der nogle værktøjer som kan hjælpe begyndere som
>> ikke (endnu) har den store indsigt ?
>Sådan et værktøj kunne jeg også tænke mig.
Det værktøj hedder mailinglister. En udmærket af slagsen er Bugtraq,
som man kan melde sig på via http://www.securityfocus.com/
SecurityFocus har også et arkiv af Bugtraq, ligesom de har databaser
over fejl i software og alt muligt andet. Man kan altså søge på alle
de programmer, man har installeret i dag og se, om der er et problem
med dem. Ved at tilmelde sig listen, får man ret hurtigt information
om nye problemer, så man kan rette dem på ens egen installation.
Det er naturligvis ikke et automatisk værktøj, for sikkerhed er ikke
bare noget, man enabler ved at sætte et flueben. Det er mange timers
hårdt, manuelt arbejde. Og man bliver aldrig færdig med det. Vil man
undgå det arbejde, må man enten køre en usikker server eller undlade
at køre en server i det hele taget. Der er ikke anden vej frem - man
kan selvfølgelig bruge firewalls og den slags, men det bliver aldrig
en løsning i sig selv. At tro andet er falsk sikkerhed.
Der findes også en tilsvarende liste til Windows. Logisk nok er dens
navn NTBugtraq. Se http://www.ntbugtraq.com/ for mere info. I øvrigt
er den ikke begrænset til NT - alle andre Windows-udgaver diskuteres
også på den liste.
>Man kunne sagtens forestille sig et værktøj hvor man vælger server og
>evt. versions-nummer hvorefter programmet finder exploits i sin database
>- og afprøver dem en efter en. Programmet vil dog sikkert være et trin
>bagefter de nyeste exploits, men alligevel vil det være meget brugbart.
Næh. Hvis det er én dag bagud, er det totalt ubrugeligt.
>Du kan evt. alliere dig med en hacker og få en kopi af vedkommendes
>værktøjer. Jeg kender (desværre) ikke en jeg kan henvise til.
De vil næppe hjælpe dig. For det første kommer script-kiddie-scripts
ikke altid (ret sjældent faktisk) sammen med rapporten om problemet.
For det andet hjælper de ikke ret meget. Du kan konstatere, at du er
sårbar over for et eller andet problem, men hvad der er sket med din
maskine, da du kørte scriptet, og hvordan du skal fikse sårbarheden,
ved du ikke. Med andre ord: du står nu med en maskine, der er sårbar
endnu, og du har kørt et script, der måske har åbnet din maskine for
alle og enhver.
Så det er altså tilbage til den go'e gamle mailingliste og læse der.
Selvom det tager temmelig lang tid.
Mvh.
Klaus.
| |
Michael Jenner (23-06-2002)
| Kommentar
Fra : Michael Jenner |
Dato : 23-06-02 12:41 |
|
Klaus Ellegaard wrote:
> Michael Jenner <mj@kom.auc.dk> writes:
>
>>Man kunne sagtens forestille sig et værktøj hvor man vælger server og
>>evt. versions-nummer hvorefter programmet finder exploits i sin database
>>- og afprøver dem en efter en. Programmet vil dog sikkert være et trin
>>bagefter de nyeste exploits, men alligevel vil det være meget brugbart.
>
>
> Næh. Hvis det er én dag bagud, er det totalt ubrugeligt.
>
Hvis du kan give mig ret i at man aldrig kan sikre sig 100% - så kan vi
netop begynde at snakke sandsynligheder. Hvis man har lukket 95% af de
huller som der findes i et bestemt program - må det, alt andet lige,
være bedre end kun at lukke 50%
Altså er et sådant værktøj brugbart!
Man må selvfølgelig ikke begå den fejl at stole på at hvis man bruger
værktøjet så er man 100% sikret - men det kan bl.a. hjælpe til at undgå
"åbenlyse" fejl.
Når vi nu snakker fejlsandsynligheder - så tror jeg faktisk at en stor
del af de hack's "man" oplever - skyldes "basale" konfigurationsfejl -
et fænomen der sikkert ikke bliver mindre jo flere "hjemme-fuskere" der
selv begynder at installere servere (mig selv inkl). Endnu et "faktum"
som taler for at relativt simple scannere kan være en værdifuld hjælp.
Mvh Michael
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 12:59 |
|
Michael Jenner <mj@kom.auc.dk> writes:
>Hvis du kan give mig ret i at man aldrig kan sikre sig 100% - så kan vi
>netop begynde at snakke sandsynligheder. Hvis man har lukket 95% af de
>huller som der findes i et bestemt program - må det, alt andet lige,
>være bedre end kun at lukke 50%
Hvis det koster en million kroner at blive hacket, hvad er så den
nærmere forskel på...
- at blive hacket, fordi man kun havde lukket for 50% af hullerne
- at blive hacket, fordi man kun havde lukket for 95% af hullerne
?
Eller vendt på hovedet: man har et betydeligt større problem end
et hul eller to, hvis den scanner finder noget. Det er hele ens
opgraderings- og sikkerhedsprocedure, der er i stykker.
Mvh.
Klaus.
| |
Michael Jenner (23-06-2002)
| Kommentar
Fra : Michael Jenner |
Dato : 23-06-02 13:30 |
|
Klaus Ellegaard wrote:
> Michael Jenner <mj@kom.auc.dk> writes:
>
>>Hvis du kan give mig ret i at man aldrig kan sikre sig 100% - så kan vi
>>netop begynde at snakke sandsynligheder. Hvis man har lukket 95% af de
>>huller som der findes i et bestemt program - må det, alt andet lige,
>>være bedre end kun at lukke 50%
>
> Hvis det koster en million kroner at blive hacket, hvad er så den
> nærmere forskel på...
>
> - at blive hacket, fordi man kun havde lukket for 50% af hullerne
> - at blive hacket, fordi man kun havde lukket for 95% af hullerne
>
> ?
Der er heller ikke forskel fra ovenstående og til:
- at blive hacket, fordi man kun havde lukket for 99.99999% af hullerne.
Hvis man dertil stiller og forsøger at besvare spørgsmålene: Hvor mange
millioner kroner vil du betale for at være:
50% sikker?
95% sikker?
99% sikker?
99.5% sikker?
99.9% sikker?
Så kan det være at man kan nøjes med at "sikre" sig 99% ... og dermed
lever med en 1% risiko for at blive hacket (og man husker selvfølgelig
at tage backup og iøvrigt periodisk at verificere backups).
Det hele handler om at lave en balance mellem omkostninger til at sikre
sig og omkostningerne som kræves efter evt. hack - og iøvrigt samtidig
at tilbyde brugerne en fornuftig mængde funktionalitet.
Hvorfor blankt afvise at et stykke software kan reducere arbejdet og
dermed reducere omkostningerne til at sikre et netværk, lad os sige til
99%? Det kan man da ikke gøre uden at have valgt procentsats!
> Eller vendt på hovedet: man har et betydeligt større problem end
> et hul eller to, hvis den scanner finder noget. Det er hele ens
> opgraderings- og sikkerhedsprocedure, der er i stykker.
Dvs. du tror ikke på at der kan ske menneskelige fejl ... det mener jeg
IMHO er en stor (men menneskelig  fejl.
Mvh Michael
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 13:50 |
|
Michael Jenner <mj@kom.auc.dk> writes:
>Hvis man dertil stiller og forsøger at besvare spørgsmålene: Hvor mange
>millioner kroner vil du betale for at være:
>50% sikker?
>95% sikker?
>99% sikker?
>99.5% sikker?
>99.9% sikker?
Koster det da flere penge?
>Dvs. du tror ikke på at der kan ske menneskelige fejl ... det mener jeg
>IMHO er en stor (men menneskelig fejl.
Det er en fejl, hvis jeg har givet udtryk for det.
Mvh.
Klaus.
| |
Michael Jenner (23-06-2002)
| Kommentar
Fra : Michael Jenner |
Dato : 23-06-02 13:59 |
|
Klaus Ellegaard wrote:
> Michael Jenner <mj@kom.auc.dk> writes:
>
>
>>Hvis man dertil stiller og forsøger at besvare spørgsmålene: Hvor mange
>>millioner kroner vil du betale for at være:
>
>
>>50% sikker?
>>95% sikker?
>>99% sikker?
>>99.5% sikker?
>>99.9% sikker?
>
>
> Koster det da flere penge?
Spørger du om det koster mere at sikre sig 99% end det koster at sikre
sig 50%? Eller om det koster mere at sikre sig 99.9999% end det koster
at sikre sig 99.5%?
>>Dvs. du tror ikke på at der kan ske menneskelige fejl ... det mener jeg
>>IMHO er en stor (men menneskelig fejl.
>
>
> Det er en fejl, hvis jeg har givet udtryk for det.
Du gav udtryk for at en scanner ikke kan finde fejl forårsaget af
mis-konfigurationer (forårsaget af mennesker).
Mvh Michael
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 14:09 |
|
Michael Jenner <mj@kom.auc.dk> writes:
>> Koster det da flere penge?
>Spørger du om det koster mere at sikre sig 99% end det koster at sikre
>sig 50%? Eller om det koster mere at sikre sig 99.9999% end det koster
>at sikre sig 99.5%?
Begge dele for den sags skyld.
Så længe der ikke ligger en nøjagtig definition på forskellen mellem
99,5% og 99,9999%, kan man nok droppe at snakke om dem. Det, jeg dog
gerne vil vide, er, hvad prisforskellen på 50% og 99,5% sikkerhed er
(og hvad den består i)?
Snakker vi 1000 kroner om året eller hur?
Mvh.
Klaus.
| |
Michael Jenner (23-06-2002)
| Kommentar
Fra : Michael Jenner |
Dato : 23-06-02 14:51 |
|
Klaus Ellegaard wrote:
> Michael Jenner <mj@kom.auc.dk> writes:
>
>>>Koster det da flere penge?
>>
>
>>Spørger du om det koster mere at sikre sig 99% end det koster at sikre
>>sig 50%? Eller om det koster mere at sikre sig 99.9999% end det koster
>>at sikre sig 99.5%?
>
>
> Begge dele for den sags skyld.
Prisen afhænger af hvor mange services man kører - og dermed hvor mange
og hvilke services man tilbyder brugerne.
Prisforskellen mellem at gå fra 50% til 99% og at gå fra 99.5% og til
99.9999% er STOR. Sidstnævnte koster meget mere.
> Så længe der ikke ligger en nøjagtig definition på forskellen mellem
> 99,5% og 99,9999%, kan man nok droppe at snakke om dem. Det, jeg dog
> gerne vil vide, er, hvad prisforskellen på 50% og 99,5% sikkerhed er
> (og hvad den består i)?
>
> Snakker vi 1000 kroner om året eller hur?
Man kan ikke sætte kroner på når man ikke kender de nærmere
omstændigheder - bl.a. hvilke services man tilbyder. Men 1000 kroner om
året er IMHO langt under. En mindre virksomhed har måske en medarbejder
til at håndtere netværk mv. Jeg vil tro at for at forbedre sikkerheden
væsentligt (50% til i et sted i 90'erne) skulle 50% af vedkommendes tid
gå med holde sig ajour, opgradere software og kontrollere
konfigurationer - men det afhænger helt af systemerne som anvendes, så
alt fra 1 ekstra medarbejder til 10% af allerede ansats tid kan sikkert
også passe på nogle situationer.
Mvh Michael
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 15:04 |
|
Michael Jenner <mj@kom.auc.dk> writes:
>Prisforskellen mellem at gå fra 50% til 99% og at gå fra 99.5% og til
>99.9999% er STOR. Sidstnævnte koster meget mere.
Men hvordan definerer du de satser? Jeg synes slet ikke, det giver
mening.
Er det antallet af hackerincidents pr. installation i forhold til
samme antal incidents på et system, der tager sikkerhed alvorligt?
>Man kan ikke sætte kroner på når man ikke kender de nærmere
>omstændigheder - bl.a. hvilke services man tilbyder. Men 1000 kroner om
>året er IMHO langt under. En mindre virksomhed har måske en medarbejder
>til at håndtere netværk mv. Jeg vil tro at for at forbedre sikkerheden
>væsentligt (50% til i et sted i 90'erne) skulle 50% af vedkommendes tid
>gå med holde sig ajour, opgradere software og kontrollere
>konfigurationer - men det afhænger helt af systemerne som anvendes, så
>alt fra 1 ekstra medarbejder til 10% af allerede ansats tid kan sikkert
>også passe på nogle situationer.
Ergo - sikkerhedspolitikken og prioriteringen af denne.
Hvis man ikke har en sikkerhedspolitik eller ikke overholder den,
så er det klart, at man risikerer nogle grimme ting. Og hvis man
har en mand til arbejdet, som ikke får lov til at bruge den tid,
der er nødvendig, så har man tabt i et eller andet omfang.
I bund og grund er det ikke en diskussion om sikkerhed. Det er en
diskussion om, hvorvidt ledelsen mener, at sikkerhed er vigtigt.
Mvh.
Klaus.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 13:36 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:af4d68$9n0$1@katie.ellegaard.dk...
> Michael Jenner <mj@kom.auc.dk> writes:
>
> Eller vendt på hovedet: man har et betydeligt større problem end
> et hul eller to, hvis den scanner finder noget. Det er hele ens
> opgraderings- og sikkerhedsprocedure, der er i stykker.
Du kan ikke beskylde din sikkerhedpolitik for at være defekt fordi din
scanner finder et sikkerhedshul. En sikkerhedspolitik alene
gør det langt fra. I en dynamisk IT verden findes der 1000 grunde til at et
sådanne hul kan opstå.
Venligst
RasmusT
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 13:49 |
|
"RasmusT" <coolrasmus@hotmail.com> writes:
>Du kan ikke beskylde din sikkerhedpolitik for at være defekt fordi din
>scanner finder et sikkerhedshul. En sikkerhedspolitik alene
>gør det langt fra. I en dynamisk IT verden findes der 1000 grunde til at et
>sådanne hul kan opstå.
Det er sædvanligvis huller, der er temmeligt udspekulerede. Måske et
hul, der opstår ved en bestemt kombination af operativsystem, en ret
bestemt version af en webserver og en given udgave af et CGI-script.
Så længe man følger med og i øvrigt begrænser sine tjenester overfor
omverdenen til et minimum, er antallet af almindelige huller ret let
at styre. Kombinationer er der derimod mange af, der kan være slemme
eller nærmest umulige at finde.
Dette naturligvis med reference til trådens oprindelige emne. Det er
naturligvis værre, hvis vi skal snakke IT-sikkerhed generelt.
Mvh.
Klaus.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 14:08 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:af4g4d$agu$1@katie.ellegaard.dk...
> "RasmusT" <coolrasmus@hotmail.com> writes:
>
> >Du kan ikke beskylde din sikkerhedpolitik for at være defekt fordi din
> >scanner finder et sikkerhedshul. En sikkerhedspolitik alene
> >gør det langt fra. I en dynamisk IT verden findes der 1000 grunde til at
et
> >sådanne hul kan opstå.
>
> Det er sædvanligvis huller, der er temmeligt udspekulerede. Måske et
> hul, der opstår ved en bestemt kombination af operativsystem, en ret
> bestemt version af en webserver og en given udgave af et CGI-script.
> Så længe man følger med og i øvrigt begrænser sine tjenester overfor
> omverdenen til et minimum, er antallet af almindelige huller ret let
> at styre. Kombinationer er der derimod mange af, der kan være slemme
> eller nærmest umulige at finde.
Det er et kæmpe arbejde at holde rede på de forskellige nye bugs der findes
hver dag, og da de stakkels sysadmins har langt mere at se til end dette har
de naturligvis brug for lidt hjælp engang imellem. De mere advancerede
scannere (som f.eks. Internet Security Scanner) er temmelig gode til at
fange de fleste af de fejl jeg har set. Igen skal dette ikke ses som en
løsning, men som en hjælp.
Venligst
RasmusT
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 14:17 |
|
"RasmusT" <coolrasmus@hotmail.com> writes:
>Det er et kæmpe arbejde at holde rede på de forskellige nye bugs der findes
>hver dag, og da de stakkels sysadmins har langt mere at se til end dette har
>de naturligvis brug for lidt hjælp engang imellem.
Så er vi ude i sikkerhedspolitikken igen. Selve problemet her er,
at sikkerhed er nedprioriteret i forhold til andre opgaver. I ret
mange situationer skyldes det, at sikkerhedspolitikken ikke evner
at gøre tilpas stort indtryk på ledelsen. Eller at ledelsen (mere
eller mindre bevidst) har foretaget en prioritering af indsatsen.
Det må de jo gerne, men så er man ude på dybt vand, og hér kan et
værktøj som de beskrevne være en god ting. Hvis ledelsen i stedet
for at nedprioritere sikkerheden sørger for rigeligt med mandskab
til opgaven, kan jeg ikke se behovet for de værktøjer.
Mvh.
Klaus.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 10:58 |
|
"Soren Pedersen" <smp@privat.dk> wrote in message
news:3d14d1b5$0$78796$edfadb0f@dspool01.news.tele.dk...
> Jeg har fået en Astaro F/W i luften, og er nu igang med en wu-ftpd ftp
> server (under RedHat 7.3), og det ser da også ud til at det kører.....Men
> findes der et sted hvor man kan afprøve sikkerheden (konfigurationen) på
ftp
> serveren ? - Eller findes der nogle værktøjer som kan hjælpe begyndere som
> ikke (endnu) har den store indsigt ?
Hvis det er en vulnerability scanner du har brug for så er Nessus
( www.nessus.org), klart at foretrække. Den tester for en bunke svagheder,
deriblandt ftp.
Venligst
RasmusT
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 11:09 |
|
"RasmusT" <coolrasmus@hotmail.com> writes:
>Hvis det er en vulnerability scanner du har brug for så er Nessus
>( www.nessus.org), klart at foretrække. Den tester for en bunke svagheder,
>deriblandt ftp.
Igen: enten skal den garantere, at den til enhver tid checker for
alle eksisterende vulnerabilities... eller også er den nada værd.
Mvh.
Klaus.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 11:23 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:af46o7$82b$1@katie.ellegaard.dk...
> "RasmusT" <coolrasmus@hotmail.com> writes:
>
> >Hvis det er en vulnerability scanner du har brug for så er Nessus
> >( www.nessus.org), klart at foretrække. Den tester for en bunke svagheder,
> >deriblandt ftp.
>
> Igen: enten skal den garantere, at den til enhver tid checker for
> alle eksisterende vulnerabilities... eller også er den nada værd.
>
> Mvh.
> Klaus.
Dvs. at hvis f.eks. nessus får lukket 99% procent af de huller der findes i
en aplikation så er det intet værd???
- RasmusT
| |
Alex Holst (23-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 23-06-02 11:36 |
|
RasmusT <coolrasmus@hotmail.com> wrote:
> Dvs. at hvis f.eks. nessus får lukket 99% procent af de huller der findes i
> en aplikation så er det intet værd???
Praecis; Nessus lukker ikke noget. Det er lettere for en admin at notere
sig at hvilke services (wu-ftpd, qmail, whatever) hans maskiner har brug
for at koere, og derefter manuelt sikre sig at de koerer nyeste version.
Jeg kunne godt taenke mig at se en sikkerhedspolitik der blot angiver at
en maskine skal "bestaa" et check af den nyeste version af en bestemt
scanner.
Brug OSS'en fra dk.edb.sikkerhed til at banke lidt clue ind i hovedet
paa dig selv:
http://a.area51.dk/sikkerhed/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 11:47 |
|
"Alex Holst" <a@area51.dk> wrote in message
news:slrnahb94h.52k.a@Alpha.Area51.DK...
> RasmusT <coolrasmus@hotmail.com> wrote:
> > Dvs. at hvis f.eks. nessus får lukket 99% procent af de huller der
findes i
> > en aplikation så er det intet værd???
>
> Praecis; Nessus lukker ikke noget. Det er lettere for en admin at notere
> sig at hvilke services (wu-ftpd, qmail, whatever) hans maskiner har brug
> for at koere, og derefter manuelt sikre sig at de koerer nyeste version.
Ok, så lad os lege ordkløvere. Nej, nessus lukker ikke noget, den kan være
behjælpelig med at finde
sikkerhedshuller i aplikationer der er installeret på en maskine. Jeg har
arbejdet med Nessus og adskillige
andre vulnerability scannere i et par år eftehånden, og de har alle været
til stor hjælp. Det kan godt være
at du har overblik over hvad du har kørende på dit lille lokalnetværk, men
når vi snakker 1000+ maskiner,
er en svaghedscanner guld værd. At man køre nyeste version af en applikation
garantere intet, ofte
er exploiten ude lang tid før version opdateringen.
> Jeg kunne godt taenke mig at se en sikkerhedspolitik der blot angiver at
> en maskine skal "bestaa" et check af den nyeste version af en bestemt
> scanner.
Det kunne jeg ikke...
> Brug OSS'en fra dk.edb.sikkerhed til at banke lidt clue ind i hovedet
> paa dig selv:
Og så kører du allerede af sporet, det var du ikke lang tid om...
RasmusT
| |
Alex Holst (23-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 23-06-02 12:21 |
|
RasmusT <coolrasmus@hotmail.com> wrote:
> Det kan godt være at du har overblik over hvad du har kørende på dit
> lille lokalnetværk, men når vi snakker 1000+ maskiner, er en
> svaghedscanner guld værd.
Har du virkeligt brugt Nessus paa 1000+ maskiner? For nogle maaneder
siden brugte jeg Nessus paa min davaerende arbejdsgivers netvaerk og
alene paa et /24 tog den naesten 2 dage, gik ned adskellige gange begge
dage og havde adskellige false-positives.
Naar man er ansvarlig for flere maskiner end man kan haandtere manuelt
boer man have en policy engine (f.eks. cf-engine eller en hjemmeskrevet)
der kan haandhaeve den valgte sikkerhedspolitik paa maskinerne. Denne
engine skal blandt andet kunne oprette og fjerne brugere, samt
installere nye versioner af applikationer paa en gruppe af maskiner med
ganske faa kommandoer.
Se den traad der starter med msgid: <news:9s6upa$$550$1@sunsite.dk>
> At man køre nyeste version af en applikation garantere intet, ofte er
> exploiten ude lang tid før version opdateringen.
Naar man har en policy engine til at haandtere sit netvaerk kan man i
stedet bruge tiden til f.eks. research og kode review af den kode der
sidder paa en security boundry.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 12:44 |
|
"Alex Holst" <a@area51.dk> wrote in message
news:slrnahbbp1.597.a@Alpha.Area51.DK...
> RasmusT <coolrasmus@hotmail.com> wrote:
> > Det kan godt være at du har overblik over hvad du har kørende på dit
> > lille lokalnetværk, men når vi snakker 1000+ maskiner, er en
> > svaghedscanner guld værd.
>
> Har du virkeligt brugt Nessus paa 1000+ maskiner? For nogle maaneder
> siden brugte jeg Nessus paa min davaerende arbejdsgivers netvaerk og
> alene paa et /24 tog den naesten 2 dage, gik ned adskellige gange begge
> dage og havde adskellige false-positives.
Ja, at arbejde med nessus kræver at man kender produktet grundigt. Nessus
har utroligt mange indstillinger og tweaks der skal være i orden for at få
et optimalt udbytte. Hvis man bare scanner blindt, går det galt. Jeg vil
aldrig anbefale at bruge nessus alene til at lave en komplet scanning af et
helt (større)netværk, men som rigtigt konfigureret og med kombination er det
en kæmpe hjælp.
> Naar man er ansvarlig for flere maskiner end man kan haandtere manuelt
> boer man have en policy engine (f.eks. cf-engine eller en hjemmeskrevet)
> der kan haandhaeve den valgte sikkerhedspolitik paa maskinerne. Denne
> engine skal blandt andet kunne oprette og fjerne brugere, samt
> installere nye versioner af applikationer paa en gruppe af maskiner med
> ganske faa kommandoer.
Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i en
større org. vil der altid være brugere der installere mærkelige programmer,
administrative fejl og tusinde andre uforudsete problemer som man ikke kan
planlægge sig ud af. Igen er vulnerabilityscanneren her et godt værktøj.
> Se den traad der starter med msgid: <news:9s6upa$$550$1@sunsite.dk>
Kan desværre ikke finde den nævte tråd...
Venligst
RasmusT
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 13:01 |
|
"RasmusT" <coolrasmus@hotmail.com> writes:
>Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i en
>større org. vil der altid være brugere der installere mærkelige programmer,
Det er fyringsgrund. Og hvis det ikke er det, så bør det blive det i
en fart.
>administrative fejl og tusinde andre uforudsete problemer som man ikke kan
>planlægge sig ud af. Igen er vulnerabilityscanneren her et godt værktøj.
Det lyder som et sted, der har brug for en bedre sikkerhedspolitik.
Mvh.
Klaus.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 13:44 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:af4d9u$9n0$2@katie.ellegaard.dk...
> "RasmusT" <coolrasmus@hotmail.com> writes:
>
> >Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i en
> >større org. vil der altid være brugere der installere mærkelige
programmer,
>
> Det er fyringsgrund. Og hvis det ikke er det, så bør det blive det i
> en fart.
Ja, det er jo en mening...Siger security awareness training dig noget???
> >administrative fejl og tusinde andre uforudsete problemer som man ikke
kan
> >planlægge sig ud af. Igen er vulnerabilityscanneren her et godt værktøj.
>
> Det lyder som et sted, der har brug for en bedre sikkerhedspolitik.
En solid sikkerhedspolitik er uundværlig, men gør det langt fra alene. Hvis
du mener at kende en org. hvor der ikke kan ske fejl eller andre form for
uforudsete IT hændelser som gør den sårbar, så er jeg først sikker på at der
er noget galt!
Venligst
RasmusT
| |
Michael Knudsen (13-07-2002)
| Kommentar
Fra : Michael Knudsen |
Dato : 13-07-02 22:58 |
|
In article <af4fr8$2rbu$1@news.cybercity.dk>, RasmusT wrote:
>> >Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i en
>> >større org. vil der altid være brugere der installere mærkelige
> programmer,
>>
>> Det er fyringsgrund. Og hvis det ikke er det, så bør det blive det i
>> en fart.
>
> Ja, det er jo en mening...Siger security awareness training dig noget???
Uden at kende til alle disse nymodens buzzwords vil jeg gætte på, at
dette drejer som om at uddanne sine medarbejdere/ansatte i Sikker
Opførsel[tm]. Stop mig, hvis jeg tager fejl.
Hvis man ofrer penge på at uddanne personale, og de alligevel kører
sjove, vedhæftede filer i en engelsksproget email fra Onkel Arne --
der i øvrigt ikke kan engelsk -- eller lignende, er jeg for
snævertsynet til at se argumenter mod en fyring. Jeg ser naturligvis
frem til at få udvidet min horisont.
Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Michael Jenner (23-06-2002)
| Kommentar
Fra : Michael Jenner |
Dato : 23-06-02 13:45 |
|
Klaus Ellegaard wrote:
> "RasmusT" <coolrasmus@hotmail.com> writes:
>
>
>>Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i en
>>større org. vil der altid være brugere der installere mærkelige programmer,
>
>
> Det er fyringsgrund. Og hvis det ikke er det, så bør det blive det i
> en fart.
Det kan man altid diskutere. At sige det generelt holder ikke. Såfremt
licens-betingelser mv. overholdes kan det da godt være at en virksomhed
/ org. accepterer at brugere installerer diverse programmer.
>>administrative fejl og tusinde andre uforudsete problemer som man ikke kan
>>planlægge sig ud af. Igen er vulnerabilityscanneren her et godt værktøj.
>
>
> Det lyder som et sted, der har brug for en bedre sikkerhedspolitik.
Sikkerhed er svært / dyrt at opnå. Jo flere værktøjer (mailingslister,
programmer, osv) og ressourcer man har til at sikre et netværk jo bedre
er man da stillet.
En god sikkerhedspolitik er IMHO: At man vælger og formulerer en
sikkerhedspolitik. En god sikkerhedspolitik er IMHO _ikke_ nødvendigvis
den der giver den største sikkerhed (procentsats) ... For en virksomhed
kan 95% være den bedste sikkerhedspolitik, mens en anden virksomhed skal
have mindst 99.2% koste hvad det vil.
Mvh Michael
| |
Alex Holst (23-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 23-06-02 15:24 |
|
RasmusT <coolrasmus@hotmail.com> wrote:
> Ja, at arbejde med nessus kræver at man kender produktet grundigt. Nessus
> har utroligt mange indstillinger og tweaks der skal være i orden for at få
> et optimalt udbytte. Hvis man bare scanner blindt, går det galt.
Paa hvilket grundlag mener du, at det er ok for et stykke software at
segfaulte fordi brugeren ikke "kender det grundigt"? Ideen med disse
produkter er jo netop at de kan bruges af enhver. Hvad skal man vide
udover hvad der staar i manualen?
> Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i en
> større org. vil der altid være brugere der installere mærkelige programmer,
> administrative fejl og tusinde andre uforudsete problemer som man ikke kan
> planlægge sig ud af. Igen er vulnerabilityscanneren her et godt værktøj.
Jeg mener der er mange andre ting som boer goeres foer man begynder at
taenke paa denne slags scannere; faktisk saa mange ting at jeg slet ikke
vil naevne scannere som Nessus overfor nogen som spoerger hvordan de
skal sikre deres netvaerk.
Naar du i ovenstaaende siger "brugere der installerer maerkelige
programmer," taler vi saa om hvad de maatte installere paa deres Windows
desktop? En loesning her kunne vaere at give dem et OS med en
sikkerhedmodel og fratage dem administratorrettighederne. Windows 2000
og XP kunne evalueres til formaalet.
Mht. servere: Det er faktisk ikke svaert at implementere et system
saaledes at en admin ikke laengere har brug for at logge ind paa de
respektive maskiner. Man kan skaere ned eller helt undgaa fejl ved at
introducere approval ved f.eks. DNS aendringer og rollback, f.eks.
gennem CVS branches eller lign.
De svaere dele er platformsforskelle hvis man har en bred maskinpark,
etc.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 16:13 |
|
"Alex Holst" <a@area51.dk> wrote in message
news:slrnahbmf7.5r6.a@Alpha.Area51.DK...
> RasmusT <coolrasmus@hotmail.com> wrote:
> > Ja, at arbejde med nessus kræver at man kender produktet grundigt.
Nessus
> > har utroligt mange indstillinger og tweaks der skal være i orden for at
få
> > et optimalt udbytte. Hvis man bare scanner blindt, går det galt.
>
> Paa hvilket grundlag mener du, at det er ok for et stykke software at
> segfaulte fordi brugeren ikke "kender det grundigt"? Ideen med disse
> produkter er jo netop at de kan bruges af enhver. Hvad skal man vide
> udover hvad der staar i manualen?
Nessus er meget mangelfuld i sin dokumentation, ening. Scanningsværktøjer
mener jeg dog ikke bør bruges af enhver, da man let kan kom til at lave
ulykker hvis man ikke kender dem ordentligt. Jeg tænker her især på den
mængde
DoS angreb som er inkluderet.
> > Ja, det kunne være en løsning, på nogle netværk. Problemet er dog at i
en
> > større org. vil der altid være brugere der installere mærkelige
programmer,
> > administrative fejl og tusinde andre uforudsete problemer som man ikke
kan
> > planlægge sig ud af. Igen er vulnerabilityscanneren her et godt værktøj.
>
> Jeg mener der er mange andre ting som boer goeres foer man begynder at
> taenke paa denne slags scannere; faktisk saa mange ting at jeg slet ikke
> vil naevne scannere som Nessus overfor nogen som spoerger hvordan de
> skal sikre deres netvaerk.
Ikke nessus alene nej, og ikke uden erfaring i sikkerhedsscanning / audits.
>
> Naar du i ovenstaaende siger "brugere der installerer maerkelige
> programmer," taler vi saa om hvad de maatte installere paa deres Windows
> desktop? En loesning her kunne vaere at give dem et OS med en
> sikkerhedmodel og fratage dem administratorrettighederne. Windows 2000
> og XP kunne evalueres til formaalet.
> Mht. servere: Det er faktisk ikke svaert at implementere et system
> saaledes at en admin ikke laengere har brug for at logge ind paa de
> respektive maskiner. Man kan skaere ned eller helt undgaa fejl ved at
> introducere approval ved f.eks. DNS aendringer og rollback, f.eks.
> gennem CVS branches eller lign.
> De svaere dele er platformsforskelle hvis man har en bred maskinpark,
> etc.
Enig, og det er oftest tilfælde ved store virksomheder der har afdelinger
med
vidt forskellig behov for IT.
Venligst
RasmusT
| |
Alex Holst (23-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 23-06-02 16:22 |
|
RasmusT <coolrasmus@hotmail.com> wrote:
> Nessus er meget mangelfuld i sin dokumentation, ening. Scanningsværktøjer
> mener jeg dog ikke bør bruges af enhver, da man let kan kom til at lave
> ulykker hvis man ikke kender dem ordentligt.
Hvor i Nessus' dokumentation burde der staa "hvis du vaelger dette
punkt, crasher Nessus altsaa"?
> Jeg tænker her især på den mængde DoS angreb som er inkluderet.
Det eneste denial of service jeg har oplevet med nessus er imod den
maskine der blev scannet fra. Nessus bruger for meget RAM og for meget
CPU uden at levere noget virkeligt brugbart.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 16:51 |
|
Alex Holst wrote:
> Det eneste denial of service jeg har oplevet med nessus er imod den
> maskine der blev scannet fra. Nessus bruger for meget RAM og for meget
> CPU uden at levere noget virkeligt brugbart.
Måske fordi din sikkerhed var god nok. :)
De sikkerhedsscanninger jeg ser fra mine installation eller fra andre
konsulenters installationer er typisk ret kedelige, da de ikke finder
nogle huller, andet end man måske kan se hvilke system det er.
I næsten alle tilfælde oplever jeg dog, at rapporterne er fyldt med
fejl, og det er kedeligt.
Min generelle holdning til sikkerhedsscanninger, er at hvis de kan finde
huller, har man virkeligt et problem, da alle andre der har råd (husk
nessus er gratis) til at købe scanneren også kan finde hullet. :)
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 20:22 |
|
"Alex Holst" <a@area51.dk> wrote in message
news:slrnahbptf.61g.a@Alpha.Area51.DK...
> RasmusT <coolrasmus@hotmail.com> wrote:
> > Nessus er meget mangelfuld i sin dokumentation, ening.
Scanningsværktøjer
> > mener jeg dog ikke bør bruges af enhver, da man let kan kom til at lave
> > ulykker hvis man ikke kender dem ordentligt.
>
> Hvor i Nessus' dokumentation burde der staa "hvis du vaelger dette
> punkt, crasher Nessus altsaa"?
Jeg har brugt nessus i lang tid og igennem adskillige versioner og har
aldrig oplevet at det crashede. Hvis du har dette problem er det bare at
nævne
det på nessus mailing liste, hvor du som regel får svar i løbet af få timer.
> > Jeg tænker her især på den mængde DoS angreb som er inkluderet.
>
> Det eneste denial of service jeg har oplevet med nessus er imod den
> maskine der blev scannet fra. Nessus bruger for meget RAM og for meget
> CPU uden at levere noget virkeligt brugbart.
Det kommer vi vist ikke meget længere med...
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 13:49 |
|
RasmusT wrote:
> til stor hjælp. Det kan godt være
> at du har overblik over hvad du har kørende på dit lille lokalnetværk, men
> når vi snakker 1000+ maskiner,
> er en svaghedscanner guld værd. At man køre nyeste version af en applikation
En port scanner (eller en "netstat -na", på hver maskine) og overblik er
mere værd.
> garantere intet, ofte
> er exploiten ude lang tid før version opdateringen.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 13:51 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15C3B7.7050901@example.net...
> RasmusT wrote:
> > til stor hjælp. Det kan godt være
> > at du har overblik over hvad du har kørende på dit lille lokalnetværk,
men
> > når vi snakker 1000+ maskiner,
> > er en svaghedscanner guld værd. At man køre nyeste version af en
applikation
>
> En port scanner (eller en "netstat -na", på hver maskine) og overblik er
> mere værd.
Nå. Og det påstår du uden nærmere forklaring? Hvad skulle jeg få ud at se
at jeg her en web-server kørende på port 80?
Venligst
RasmusT
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 14:11 |
|
RasmusT wrote:
>>En port scanner (eller en "netstat -na", på hver maskine) og overblik er
>>mere værd.
> Nå. Og det påstår du uden nærmere forklaring? Hvad skulle jeg få ud at se
> at jeg her en web-server kørende på port 80?
Det er trivielt at finder version nummeret og sammenligne med en
sårbarhedsdatabase.
Jeg kan ikke se hvorfor det er nødvendigt at udfører sårbarheden. Tit er
det et spørgsmål om held hvis sårbarheden kan udnyttes, og tit kan man
ikke måle om den blev udnyttet eller ej.
Kikker vi på applikationerne på webserveren skal de testes manuelt, der
er så meget en sårbarheds scanner ikke finder.
Jeg hader disse sårbarhedsscanner der scanner i blinde, og at folk ser
det som en fordel, da de mener det ligner virkeligheden mere, nemlig at
"det jo er den måde en angriber også arbejder på".
En sårbarhedsscanner jeg ser mange steder påstår firewalls og cisco
routere kører som quark server, dette har denne sårbarhedsscanner (som
jeg ikke gider at nævne navnet på, andet end de er markedsførende i
Danmark, dog ikke inde for det offentlige) påstået 3 gange i træk, efter
vi har fortalt producenten om "fejlen". Den samme sårbarhedsscannere
tester ikke for kendte sikkerhedshuller i firewalls der har eksiteret i
over et år.
Jeg fortrækker i stedet jeg en consol audit, hvor man sidder i ro og
fred med en debug'er og logfilerne fra servicen/daemonen...
En sårbarhedsscanner har kun noget med held at gøre, og de er _ikke_
specielt heldige.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 14:19 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15C8DD.7020508@example.net...
> RasmusT wrote:
> >>En port scanner (eller en "netstat -na", på hver maskine) og overblik er
> >>mere værd.
> > Nå. Og det påstår du uden nærmere forklaring? Hvad skulle jeg få ud at
se
> > at jeg her en web-server kørende på port 80?
>
> Det er trivielt at finder version nummeret og sammenligne med en
> sårbarhedsdatabase.
>
> Jeg kan ikke se hvorfor det er nødvendigt at udfører sårbarheden. Tit er
> det et spørgsmål om held hvis sårbarheden kan udnyttes, og tit kan man
> ikke måle om den blev udnyttet eller ej.
>
> Kikker vi på applikationerne på webserveren skal de testes manuelt, der
> er så meget en sårbarheds scanner ikke finder.
>
> Jeg hader disse sårbarhedsscanner der scanner i blinde, og at folk ser
> det som en fordel, da de mener det ligner virkeligheden mere, nemlig at
> "det jo er den måde en angriber også arbejder på".
Ja, de er jo også en konkurrent. Der er næppe grund til at nævne endnu
engang hvorfor jeg mener at de er yderst værdifulde.
> En sårbarhedsscanner jeg ser mange steder påstår firewalls og cisco
> routere kører som quark server, dette har denne sårbarhedsscanner (som
> jeg ikke gider at nævne navnet på, andet end de er markedsførende i
> Danmark, dog ikke inde for det offentlige) påstået 3 gange i træk, efter
> vi har fortalt producenten om "fejlen". Den samme sårbarhedsscannere
> tester ikke for kendte sikkerhedshuller i firewalls der har eksiteret i
> over et år.
Hvilken sårbarhedscanner er det??
> Jeg fortrækker i stedet jeg en consol audit, hvor man sidder i ro og
> fred med en debug'er og logfilerne fra servicen/daemonen...
> En sårbarhedsscanner har kun noget med held at gøre, og de er _ikke_
> specielt heldige.
Absoult ikke min erfaring...
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 14:30 |
|
RasmusT wrote:
>>Jeg hader disse sårbarhedsscanner der scanner i blinde, og at folk ser
>>det som en fordel, da de mener det ligner virkeligheden mere, nemlig at
>>"det jo er den måde en angriber også arbejder på".
> Ja, de er jo også en konkurrent. Der er næppe grund til at nævne endnu
> engang hvorfor jeg mener at de er yderst værdifulde.
Jeg kan ikke følge dig, kan du ikke uddybe.
> Hvilken sårbarhedscanner er det??
Hmmm, jeg regnede ellers med at beskrivelse gjorde det klokke klart hvem
det var, men hvis jeg siger det tidligere N-M.
>>Jeg fortrækker i stedet jeg en consol audit, hvor man sidder i ro og
>>fred med en debug'er og logfilerne fra servicen/daemonen...
>>En sårbarhedsscanner har kun noget med held at gøre, og de er _ikke_
>>specielt heldige.
> Absoult ikke min erfaring...
Som jeg skrev tidligere ... "Tit er det et spørgsmål om held hvis
sårbarheden kan udnyttes, og tit kan man ikke måle om den blev udnyttet
eller ej." ...
Jeg har fundet mange huller en sårbarheds scanner aldrig har kunne
finde, blot ved at kikke på en netværkstegning eller i en firewall
dokumentation.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 14:33 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15CD72.4030100@example.net...
> RasmusT wrote:
> >>Jeg hader disse sårbarhedsscanner der scanner i blinde, og at folk ser
> >>det som en fordel, da de mener det ligner virkeligheden mere, nemlig at
> >>"det jo er den måde en angriber også arbejder på".
> > Ja, de er jo også en konkurrent. Der er næppe grund til at nævne endnu
> > engang hvorfor jeg mener at de er yderst værdifulde.
>
> Jeg kan ikke følge dig, kan du ikke uddybe.
Læs blot tråden...
> > Hvilken sårbarhedscanner er det??
>
> Hmmm, jeg regnede ellers med at beskrivelse gjorde det klokke klart hvem
> det var, men hvis jeg siger det tidligere N-M.
>
> >>Jeg fortrækker i stedet jeg en consol audit, hvor man sidder i ro og
> >>fred med en debug'er og logfilerne fra servicen/daemonen...
>
> >>En sårbarhedsscanner har kun noget med held at gøre, og de er _ikke_
> >>specielt heldige.
> > Absoult ikke min erfaring...
>
> Som jeg skrev tidligere ... "Tit er det et spørgsmål om held hvis
> sårbarheden kan udnyttes, og tit kan man ikke måle om den blev udnyttet
> eller ej." ...
> Jeg har fundet mange huller en sårbarheds scanner aldrig har kunne
> finde, blot ved at kikke på en netværkstegning eller i en firewall
> dokumentation.
Vi snakker to helt vidt forskellige domæner. Denne tråd har drejet sig om
sikkerhedsscanning, ikke om generel sikkerhed.
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 15:59 |
|
RasmusT wrote:
>>>>Jeg hader disse sårbarhedsscanner der scanner i blinde, og at folk ser
>>>>det som en fordel, da de mener det ligner virkeligheden mere, nemlig at
>>>>"det jo er den måde en angriber også arbejder på".
>>>Ja, de er jo også en konkurrent. Der er næppe grund til at nævne endnu
>>>engang hvorfor jeg mener at de er yderst værdifulde.
>>Jeg kan ikke følge dig, kan du ikke uddybe.
> Læs blot tråden...
Er det angriberen du betragter som konkurrent til sårbarhedsscannerne,
jeg kan ikke følge dig. Måske mener du noget andet med konkurrent.
> Vi snakker to helt vidt forskellige domæner. Denne tråd har drejet sig om
> sikkerhedsscanning, ikke om generel sikkerhed.
Jeg snakker blot om hvor dårlige automatisk sikkerhedsscannere som fx
ISS og Nessus er.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 16:16 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15E24E.7030400@example.net...
> RasmusT wrote:
> >>>>Jeg hader disse sårbarhedsscanner der scanner i blinde, og at folk ser
> >>>>det som en fordel, da de mener det ligner virkeligheden mere, nemlig
at
> >>>>"det jo er den måde en angriber også arbejder på".
> >>>Ja, de er jo også en konkurrent. Der er næppe grund til at nævne endnu
> >>>engang hvorfor jeg mener at de er yderst værdifulde.
> >>Jeg kan ikke følge dig, kan du ikke uddybe.
> > Læs blot tråden...
>
> Er det angriberen du betragter som konkurrent til sårbarhedsscannerne,
> jeg kan ikke følge dig. Måske mener du noget andet med konkurrent.
Jeg menete at kunne læse en tæt tilknytning til MYTH, tager jeg fejl
beklager jeg.
>
> > Vi snakker to helt vidt forskellige domæner. Denne tråd har drejet sig
om
> > sikkerhedsscanning, ikke om generel sikkerhed.
>
> Jeg snakker blot om hvor dårlige automatisk sikkerhedsscannere som fx
> ISS og Nessus er.
Og hvor meget har du arbejdet med disse scannere?? Kunne det være en fejl
40??
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 16:40 |
|
RasmusT wrote:
>>>>>Ja, de er jo også en konkurrent. Der er næppe grund til at nævne endnu
>>>>>engang hvorfor jeg mener at de er yderst værdifulde.
>>>>Jeg kan ikke følge dig, kan du ikke uddybe.
>>>Læs blot tråden...
>>Er det angriberen du betragter som konkurrent til sårbarhedsscannerne,
>>jeg kan ikke følge dig. Måske mener du noget andet med konkurrent.
> Jeg menete at kunne læse en tæt tilknytning til MYTH, tager jeg fejl
> beklager jeg.
Nåår, du snakker om Myth.
Jeg snakker om sårbarhedsscannerer generelt. Hvis man endeligt har brugt
for det mener jeg et produkt som Myth kan gøre det bedre.
Dog er jeg ikke tilhænger af man har brug for en sårbarhedsscanner, da
jeg finder det trivielt at afgører hvilke sårbarheder en server har, ved
en manuel konsol auditering.
>>Jeg snakker blot om hvor dårlige automatisk sikkerhedsscannere som fx
>>ISS og Nessus er.
> Og hvor meget har du arbejdet med disse scannere?? Kunne det være en fejl
> 40??
Vi havde distributionen af ISS som de først i Danmark for 5 år siden, så
jeg regner ikke med det er en fejl 40.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 20:25 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15EBE0.6090303@example.net...
> RasmusT wrote:
> >>>>>Ja, de er jo også en konkurrent. Der er næppe grund til at nævne
endnu
> >>>>>engang hvorfor jeg mener at de er yderst værdifulde.
> >>>>Jeg kan ikke følge dig, kan du ikke uddybe.
> >>>Læs blot tråden...
> >>Er det angriberen du betragter som konkurrent til sårbarhedsscannerne,
> >>jeg kan ikke følge dig. Måske mener du noget andet med konkurrent.
> > Jeg menete at kunne læse en tæt tilknytning til MYTH, tager jeg fejl
> > beklager jeg.
>
> Nåår, du snakker om Myth.
>
> Jeg snakker om sårbarhedsscannerer generelt. Hvis man endeligt har brugt
> for det mener jeg et produkt som Myth kan gøre det bedre.
>
Naturligvis gør du det...
> Dog er jeg ikke tilhænger af man har brug for en sårbarhedsscanner, da
> jeg finder det trivielt at afgører hvilke sårbarheder en server har, ved
> en manuel konsol auditering.
>
> >>Jeg snakker blot om hvor dårlige automatisk sikkerhedsscannere som fx
> >>ISS og Nessus er.
> > Og hvor meget har du arbejdet med disse scannere?? Kunne det være en
fejl
> > 40??
>
> Vi havde distributionen af ISS som de først i Danmark for 5 år siden, så
> jeg regner ikke med det er en fejl 40.
Du kritisere et produkt som du distribuerede for 5 år siden? Der sker en del
på 5 år i denne brance...Og ISS har udviklet sig kraftigt siden da.
| |
Christian E. Lysel (24-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 24-06-02 00:00 |
|
RasmusT wrote:
>>Nåår, du snakker om Myth.
>>
>>Jeg snakker om sårbarhedsscannerer generelt. Hvis man endeligt har brugt
>>for det mener jeg et produkt som Myth kan gøre det bedre.
> Naturligvis gør du det...
Jeg er ikke fortaler for Myth, jeg kender blot de mennesker der har
udviklet det, og har diskuteret konceptet igennem med dem.
Du har stadigvæk ikke svaret mig på hvor mange procent af sårbarhederne
en sårbarhedsscanner finder.
>>Vi havde distributionen af ISS som de først i Danmark for 5 år siden, så
>>jeg regner ikke med det er en fejl 40.
> Du kritisere et produkt som du distribuerede for 5 år siden? Der sker en del
> på 5 år i denne brance...Og ISS har udviklet sig kraftigt siden da.
Hvad får dig til at tro jeg _ikke_ løbende har arbejdet med produketet
og ligende produkter, og hvar får dig til at tror jeg er en fejl 40?
| |
Klaus Ellegaard (23-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-06-02 12:15 |
|
"RasmusT" <coolrasmus@hotmail.com> writes:
>Dvs. at hvis f.eks. nessus får lukket 99% procent af de huller der findes i
>en aplikation så er det intet værd???
Ikke hvis hackeren bruger den sidste procent til at komme ind.
Mvh.
Klaus.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 12:26 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:af4aji$96g$1@katie.ellegaard.dk...
> "RasmusT" <coolrasmus@hotmail.com> writes:
>
> >Dvs. at hvis f.eks. nessus får lukket 99% procent af de huller der findes
i
> >en aplikation så er det intet værd???
>
> Ikke hvis hackeren bruger den sidste procent til at komme ind.
Fordelen ved svaghedscanneren er at den finder de kendte huller i
applikationen, da langt de fleste hacks bliver udført mod disse. En hacker
kan naturligvis ikke angribe en svaghed han ikke kender, og der går sjældent
længe fra en svaghed er opdaget til der ligger opdeteringer til
svaghedscanneren.
Venligst
RasmusT
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 13:52 |
|
RasmusT wrote:
> Fordelen ved svaghedscanneren er at den finder de kendte huller i
> applikationen, da langt de fleste hacks bliver udført mod disse. En hacker
Hvor mange procent af de kendte huller finder Nessus, eller IIS?
> kan naturligvis ikke angribe en svaghed han ikke kender, og der går sjældent
> længe fra en svaghed er opdaget til der ligger opdeteringer til
> svaghedscanneren.
Andre vælger at sammenkører to databaser, en over services i netværket
og en anden over sikkerhedshuller, se fx http://www.ipsolutions.dk/myth.html
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 13:58 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15C469.2010606@example.net...
> RasmusT wrote:
> > Fordelen ved svaghedscanneren er at den finder de kendte huller i
> > applikationen, da langt de fleste hacks bliver udført mod disse. En
hacker
>
> Hvor mange procent af de kendte huller finder Nessus, eller IIS?
Jeg går ud fra at du snakker Internet Security Scanner. Og begge scannere
har dere styrker / svagheder og er
gode at bruge i kombination.
> > kan naturligvis ikke angribe en svaghed han ikke kender, og der går
sjældent
> > længe fra en svaghed er opdaget til der ligger opdeteringer til
> > svaghedscanneren.
>
> Andre vælger at sammenkører to databaser, en over services i netværket
> og en anden over sikkerhedshuller, se fx
http://www.ipsolutions.dk/myth.html
Ja, jeg kender godt myth. Efter min mening indebære den pt. så mange
manuelle arbejdsgange at den giver alt andet end overblik på større netværk.
Venligst
RasmusT
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 14:06 |
|
RasmusT wrote:
> Jeg går ud fra at du snakker Internet Security Scanner. Og begge scannere
Ja, grunden til jeg nævner denne er fordi den har været længst på markedet.
> har dere styrker / svagheder og er
> gode at bruge i kombination.
Men hvor mange procent af de kendte huller finder/kender de?
> Ja, jeg kender godt myth. Efter min mening indebære den pt. så mange
> manuelle arbejdsgange at den giver alt andet end overblik på større netværk.
Hvilke arbejdsgange snakker du om?
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 14:12 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15C79A.9070604@example.net...
> RasmusT wrote:
> > Jeg går ud fra at du snakker Internet Security Scanner. Og begge
scannere
>
> Ja, grunden til jeg nævner denne er fordi den har været længst på
markedet.
>
> > har dere styrker / svagheder og er
> > gode at bruge i kombination.
>
> Men hvor mange procent af de kendte huller finder/kender de?
Jeg kan ikke se hvordan du kan sætte % på dette. Unix,Win98,apache,IIS
svagheder? Hvad vil du måle op mod?
> > Ja, jeg kender godt myth. Efter min mening indebære den pt. så mange
> > manuelle arbejdsgange at den giver alt andet end overblik på større
netværk.
>
> Hvilke arbejdsgange snakker du om?
Registrering af maskiner, services, svagheder, versioner m.m.
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 14:19 |
|
RasmusT wrote:
>>Men hvor mange procent af de kendte huller finder/kender de?
> Jeg kan ikke se hvordan du kan sætte % på dette. Unix,Win98,apache,IIS
> svagheder? Hvad vil du måle op mod?
Gå ind i security focus, tæl antallet af huller i alt, start nessus
eller IIS ,og tæl antallet af huller.
Hvordan er procent fordelingen?
>>Hvilke arbejdsgange snakker du om?
> Registrering af maskiner, services, svagheder, versioner m.m.
Dette mener jeg sker automatisk, eller det er idéen at det skal ske
automtisk, og også meget oplagt.
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 14:42 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15CADC.3080609@example.net...
> RasmusT wrote:
> >>Men hvor mange procent af de kendte huller finder/kender de?
> > Jeg kan ikke se hvordan du kan sætte % på dette. Unix,Win98,apache,IIS
> > svagheder? Hvad vil du måle op mod?
>
> Gå ind i security focus, tæl antallet af huller i alt, start nessus
> eller IIS ,og tæl antallet af huller.
>
> Hvordan er procent fordelingen?
Igen, giver det absoult ingen mening at sammenligne de to databaser, og
endnu mindre mening at begynde at tælle CVE's op mod antallet af plugins.
>
> >>Hvilke arbejdsgange snakker du om?
> > Registrering af maskiner, services, svagheder, versioner m.m.
>
> Dette mener jeg sker automatisk, eller det er idéen at det skal ske
> automtisk, og også meget oplagt.
Dette var dog ikke tilfældet da jeg fik præsenteret produktet...
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 15:56 |
|
RasmusT wrote:
>>Gå ind i security focus, tæl antallet af huller i alt, start nessus
>>eller IIS ,og tæl antallet af huller.
>>Hvordan er procent fordelingen?
> Igen, giver det absoult ingen mening at sammenligne de to databaser, og
> endnu mindre mening at begynde at tælle CVE's op mod antallet af plugins.
Dvs. det er irrelevant at kikke på hvor mange faktiske huller en
sårbarhedsscanner kan finde?
Var det ikke dig der skrev: ..."Dvs. at hvis f.eks. nessus får lukket
99% procent af de huller der findes i en aplikation så er det intet værd???"
Nu spørger jeg dig blot om fx nessus nu virkelig finder 99% af hullerne?
>>Dette mener jeg sker automatisk, eller det er idéen at det skal ske
>>automtisk, og også meget oplagt.
> Dette var dog ikke tilfældet da jeg fik præsenteret produktet...
Af Jacob eller Kurt?
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 16:19 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15E176.3090203@example.net...
> RasmusT wrote:
> >>Gå ind i security focus, tæl antallet af huller i alt, start nessus
> >>eller IIS ,og tæl antallet af huller.
> >>Hvordan er procent fordelingen?
> > Igen, giver det absoult ingen mening at sammenligne de to databaser, og
> > endnu mindre mening at begynde at tælle CVE's op mod antallet af
plugins.
>
> Dvs. det er irrelevant at kikke på hvor mange faktiske huller en
> sårbarhedsscanner kan finde?
>
> Var det ikke dig der skrev: ..."Dvs. at hvis f.eks. nessus får lukket
> 99% procent af de huller der findes i en aplikation så er det intet
værd???"
>
> Nu spørger jeg dig blot om fx nessus nu virkelig finder 99% af hullerne?
Grunden til at jeg mener at der ikke er relevant er fordi CVE databasen,
eller BID hos securityfocus, indeholder svagheder generelt, ikke blot
exploits.
>
> >>Dette mener jeg sker automatisk, eller det er idéen at det skal ske
> >>automtisk, og også meget oplagt.
> > Dette var dog ikke tilfældet da jeg fik præsenteret produktet...
>
> Af Jacob eller Kurt?
Lidt forblændet af produktet??
| |
Christian E. Lysel (23-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 23-06-02 16:44 |
|
RasmusT wrote:
> Grunden til at jeg mener at der ikke er relevant er fordi CVE databasen,
> eller BID hos securityfocus, indeholder svagheder generelt, ikke blot
> exploits.
Jeg har set masser af sårbarhedsscanner som ikke indeholder sårbarheder
jeg mener er kritiske og basale sårbarheder.
Endvidere er jeg sjælent enig i de prioriter der gives til de enkelte
huller.
>>>>Dette mener jeg sker automatisk, eller det er idéen at det skal ske
>>>>automtisk, og også meget oplagt.
>>>Dette var dog ikke tilfældet da jeg fik præsenteret produktet...
>>Af Jacob eller Kurt?
> Lidt forblændet af produktet??
Nej, faktisk ikke, udover jeg kender begge personer og har arbejdet med
den først og for den anden.
Men hvem havde præsenteret dig for produktet?
(det lyder som en beta).
| |
RasmusT (23-06-2002)
| Kommentar
Fra : RasmusT |
Dato : 23-06-02 20:32 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3D15ECC9.9070305@example.net...
> RasmusT wrote:
> > Grunden til at jeg mener at der ikke er relevant er fordi CVE databasen,
> > eller BID hos securityfocus, indeholder svagheder generelt, ikke blot
> > exploits.
>
> Jeg har set masser af sårbarhedsscanner som ikke indeholder sårbarheder
> jeg mener er kritiske og basale sårbarheder.
>
> Endvidere er jeg sjælent enig i de prioriter der gives til de enkelte
> huller.
>
> >>>>Dette mener jeg sker automatisk, eller det er idéen at det skal ske
> >>>>automtisk, og også meget oplagt.
> >>>Dette var dog ikke tilfældet da jeg fik præsenteret produktet...
> >>Af Jacob eller Kurt?
> > Lidt forblændet af produktet??
>
> Nej, faktisk ikke, udover jeg kender begge personer og har arbejdet med
> den først og for den anden.
>
> Men hvem havde præsenteret dig for produktet?
> (det lyder som en beta).
Beklager, kan ikke huske navnet, det var i efteråret engang. Men lad os
derudodover blot blive enige om at være ueninge. Svaghedscannere har en
kæmpe værdi for os og er naturlig del af vores sikkerhedsaudits. Og så længe
der bliver fundet svagheder, der skal lappes vil de forsat have en stor
værdi. De fleste af de problemer og påstande der er kommet fra den kritiske
side i denne tråd, kan jeg dog ikke gendkende fra min hverdag.
Hav en god Sankt Hans
RasmusT
| |
Christian Laursen (23-06-2002)
| Kommentar
Fra : Christian Laursen |
Dato : 23-06-02 20:56 |
|
"RasmusT" <coolrasmus@hotmail.com> writes:
> Beklager, kan ikke huske navnet, det var i efteråret engang. Men lad os
> derudodover blot blive enige om at være ueninge. Svaghedscannere har en
> kæmpe værdi for os og er naturlig del af vores sikkerhedsaudits. Og så længe
> der bliver fundet svagheder, der skal lappes vil de forsat have en stor
> værdi. De fleste af de problemer og påstande der er kommet fra den kritiske
> side i denne tråd, kan jeg dog ikke gendkende fra min hverdag.
Hvem er "os"?
--
Med venlig hilsen
Christian Laursen
| |
Christian E. Lysel (24-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 24-06-02 00:06 |
|
RasmusT wrote:
> Beklager, kan ikke huske navnet, det var i efteråret engang. Men lad os
> derudodover blot blive enige om at være ueninge. Svaghedscannere har en
> kæmpe værdi for os og er naturlig del af vores sikkerhedsaudits. Og så længe
Hvilken virksomhed arbejder du i?
Bruger i ikke manuelle konsol auditeringer?
> der bliver fundet svagheder, der skal lappes vil de forsat have en stor
> værdi. De fleste af de problemer og påstande der er kommet fra den kritiske
> side i denne tråd, kan jeg dog ikke gendkende fra min hverdag.
Alex's erfaringer med Nessus stablilitet kan jeg genkende, endvidere har
jeg også set en stabilitets problemer med ISS'en.
Jeg møder sårbarhedsscanningerne meget tit, og har selv lavet en del i
tidens løb.
Dog er det tit de indeholder fejl, faktisk så mange at jeg at er godt
træt af sårbarhedsscanninger. Jeg hader at skulle stå hos en kunde, med
et sikkert setup, og forklarer det tredje konsulent hus der har udført
scanningen at deres produkt siger forkerte ting, nogle gange skal det
siges op til 3 gange i træk.
At de fleste brugere, misbrugere dem til at sige de har en god
sikkerhed, er et stort problem. Grunden hertil skal nok findes i den
måde de bliver solgt på.
| |
|
|