/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikring mod misbrug, direkte + indirekte, ~
Fra : Stig Johansen


Dato : 24-09-02 21:27

Postet til
d.e.sikkerhed, da det indeholder risikoanalyse spørgsmål
samt
d.e.sikkerhed.virus, da det indeholder 'virus' - ting.

Hej alle.

Jeg er med i et større projekt, der på sigt (engang i 2003) skal være
tilgængeligt for offentligheden. I den forbindelse, har jeg behov for så
meget input som muligt i relation til potentiel misbrug/'hacker angreb'.

Baggrunden for denne post, er, at der som en del af projektet vil være
mulighed for at uploade mere eller mindre arbitrære dokumenter, altså ikke
udelukkende html.

Forudsætningen for at uploade dokumenter/filer er, at man er registreret
bruger. Der er altså IKKE tale om en sikring mod personer, der handler i ond
tro.

Det der mere er risikoen er, at brugere UFORVARENDE viderebringer vira, der
er indkapslede i diverse dokumenter.

Mine umiddelbare indspark er eksempelvis:
- Macro vira i
-- word
-- excel
-- ... ?
- Malicious scripts i html-filer
- Malicious scripts i links inde i en iframe/object.. i html filer
- Links i html filer, der igen refererer til de to ovennævnte
.... ?

Altså, at man uden at vide det uploader et virusbefængt dokument, der er
tilgængeligt for offentligheden, og dermed viderebringer vira.

Det jeg godt kunne tænke mig input og holdninger til er:
Hvornår synes I, at et system er 'properly protected', og hvor langt er det
forsvarligt at gå under hensyntagen til brugbarheden af systemet, samt
omkostninger i relation til sikring mod disse trusler?

Umiddelbare punkter:
- Av = sikring af kendte vira
- Hurtig opdatering af AV = risikominimering af nye vira
- Kontrol og afvisning af makroer, hvad med nye versioner (eks. .NET
versioner af office, hvis den kommer)
- Kontrol af deep linking i relation til (X)HTML-doc's, og hvor langt.

Sluttelig, kunne det være ekstremt rart hvis der er nogen, der har links til
inficerede dokumenter jfr. ovenstående, eller evt ligger inde med et
inficeret dokument. Baggrunden for denne forespørgsel er, at vi kan få behov
for nogle testscenarier/data i forbindelse med en indledende funktionsprøve.


--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)






 
 
Max Andersen (24-09-2002)
Kommentar
Fra : Max Andersen


Dato : 24-09-02 21:48


"Stig Johansen" <stig.johansen@udvikling.it> wrote in message
news:amqhel$c2t$1@sunsite.dk...
> Forudsætningen for at uploade dokumenter/filer er, at man er registreret
> bruger. Der er altså IKKE tale om en sikring mod personer, der handler i
ond
> tro.
>

Det hjælper lidt på malicious scripts, gør det ikke?

> Det der mere er risikoen er, at brugere UFORVARENDE viderebringer vira,
der
> er indkapslede i diverse dokumenter.
>
> Mine umiddelbare indspark er eksempelvis:
> - Macro vira i
> -- word
> -- excel
> -- ... ?
> - Malicious scripts i html-filer
> - Malicious scripts i links inde i en iframe/object.. i html filer
> - Links i html filer, der igen refererer til de to ovennævnte

Du nævner reg. brugere og derfor tror jeg at du skal koncentrere dig omkirng
vira, og i den forbindelse kan du have en virusscanner på serveren der
scanner alt inbound trafik.
Registrerede brugere kan jo straffes for malicious scripts og vil derfor nok
ikke helt lave dem.
Ellers skal der personligt checkes hvert script...... sådan er det med alle
dynamiske sprog, medmindre din server er konfigurerert korrekt.

> ... ?
>
> Altså, at man uden at vide det uploader et virusbefængt dokument, der er
> tilgængeligt for offentligheden, og dermed viderebringer vira.
>

se ovenstående svar.

> Det jeg godt kunne tænke mig input og holdninger til er:
> Hvornår synes I, at et system er 'properly protected', og hvor langt er
det
> forsvarligt at gå under hensyntagen til brugbarheden af systemet, samt
> omkostninger i relation til sikring mod disse trusler?
>

Du skal finde et konsulentfirma der specialiserer sig i at sikre web-servere
og derfra gå videre.

> Umiddelbare punkter:
> - Av = sikring af kendte vira
> - Hurtig opdatering af AV = risikominimering af nye vira
> - Kontrol og afvisning af makroer, hvad med nye versioner (eks. .NET
> versioner af office, hvis den kommer)
> - Kontrol af deep linking i relation til (X)HTML-doc's, og hvor langt.

Du kan aldrig vide dig sikker med Office, da der hele tiden kommer nye
huller...... Det klarer antivirusprogrammer så godt som de nu kan.

>
> Sluttelig, kunne det være ekstremt rart hvis der er nogen, der har links
til
> inficerede dokumenter jfr. ovenstående, eller evt ligger inde med et
> inficeret dokument. Baggrunden for denne forespørgsel er, at vi kan få
behov
> for nogle testscenarier/data i forbindelse med en indledende
funktionsprøve.
>

hmmmm. prøv den eicar, test virus der følger med ethvert antivirusprogram.

Max



Alex Holst (25-09-2002)
Kommentar
Fra : Alex Holst


Dato : 25-09-02 00:31

Stig Johansen <stig.johansen@udvikling.it> wrote:
> Jeg er med i et større projekt, der på sigt (engang i 2003) skal være
> tilgængeligt for offentligheden. I den forbindelse, har jeg behov for så
> meget input som muligt i relation til potentiel misbrug/'hacker angreb'.
>
> Baggrunden for denne post, er, at der som en del af projektet vil være
> mulighed for at uploade mere eller mindre arbitrære dokumenter, altså ikke
> udelukkende html.
>
> Forudsætningen for at uploade dokumenter/filer er, at man er registreret
> bruger. Der er altså IKKE tale om en sikring mod personer, der handler i ond
> tro.

Som du skriver er der ret meget risikovurdering i dit indlaeg, men jeg
synes ikke der er meget at vurdere ud fra. F.eks. kan vi ikke bedoemme
om din antagelse om ondskabsfulde brugere er korrekt. Hvordan finder
registeringen sted?

Vi ved heller ikke om det er muligt at begraense hvilke typer dokumenter
der kan uploades og der beskrives ikke hvad der sker med dem efter de er
blevet uploadet.

KISS princippet virker godt i saadan en situation. I stedet for at have
en masse filtre til Word og Excel makroer, java og iframe filter til
HTML dokumenter m.m. kunne det maaske betale sig at kun modtage ren
tekst, eller hvertfald omdanne dokumenterne til ren tekst efter upload?

Uden en masse information om blandt andet hvad systemet indeholder, hvad
det har adgang til, hvem der skal bruge det og hvad det koster hvis det
er utilgaengeligt (baade i penge og omdoemme) kan vi heller ikke svare
paa hvornaar du har gjort nok for at beskytte det.

Kan du fortaelle mere?

Alex

Bemaerk FUT til .sikkerhed
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Stig Johansen (25-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 25-09-02 05:59

Hej.

Tak for input.
Du har ret I, at der mangler lidt information.
Det drejer sig om kvalitetssikring af leverancer i henhold til:
http://www.oio.dk/XML?o=fea5f9b140cb0bdfd568c19023570132
samt
http://www.oio.dk/XML/Infostrukturbasen


"Alex Holst" <a@mongers.org> wrote in message
news:qisqma.vqh.ln@miracle.mongers.org...
> Stig Johansen <stig.johansen@udvikling.it> wrote:
> > Jeg er med i et større projekt, der på sigt (engang i 2003) skal være
> > tilgængeligt for offentligheden. I den forbindelse, har jeg behov for så
> > meget input som muligt i relation til potentiel misbrug/'hacker angreb'.
> >
> > Baggrunden for denne post, er, at der som en del af projektet vil være
> > mulighed for at uploade mere eller mindre arbitrære dokumenter, altså
ikke
> > udelukkende html.
> >
> > Forudsætningen for at uploade dokumenter/filer er, at man er registreret
> > bruger. Der er altså IKKE tale om en sikring mod personer, der handler i
ond
> > tro.
>
> Som du skriver er der ret meget risikovurdering i dit indlaeg, men jeg
> synes ikke der er meget at vurdere ud fra. F.eks. kan vi ikke bedoemme
> om din antagelse om ondskabsfulde brugere er korrekt. Hvordan finder
> registeringen sted?

Vi diskuterer lidt om forskellige koncepter, så antagelsen må i første
omgang gå ud fra, at vi får udelukket ondskabsfulde brugere. Vi vurderer
administrationsbyrde i forhold til risiko. Hvis du har input, er du
velkommen.

Som sagt indledningsves, antager vi, at vi udelukker ondskabsfulde brugere.
Det efterlader os med de brugere, der kommer til at uploade eks. et
virusbefængt dokument. Personligt fatter jeg ikke, at brugere kan være så
....., men vi har jo set disse typer florere.

>
> Vi ved heller ikke om det er muligt at begraense hvilke typer dokumenter
> der kan uploades og der beskrives ikke hvad der sker med dem efter de er
> blevet uploadet.

Som det fremgår af links, så vil de være offentligt tilgængelige.

>
> KISS princippet virker godt i saadan en situation. I stedet for at have
> en masse filtre til Word og Excel makroer, java og iframe filter til
> HTML dokumenter m.m. kunne det maaske betale sig at kun modtage ren
> tekst, eller hvertfald omdanne dokumenterne til ren tekst efter upload?

Igen her, må vi vurdere risikoen i relation til brugbarheden. Vi ønsker ikke
indledningsvis at sætte begrænsninger på fil-typer. Jeg prøvede at komme med
den probe, at man kun tillader PNG + (X)HTML og stripper script,object osv.
tags. Men det vurderer vi som en barierre.

>
> Uden en masse information om blandt andet hvad systemet indeholder, hvad
> det har adgang til, hvem der skal bruge det og hvad det koster hvis det
> er utilgaengeligt (baade i penge og omdoemme)

DoS attacks o. lign. foregår i andet regi.

> kan vi heller ikke svare
> paa hvornaar du har gjort nok for at beskytte det.

Det er nemlig det, der er svært. Det skal være tilstrækkeligt sikker, men må
IKKE skabe hindringer for udbredelsen.
- Unødige/besværlige registreringer, jeg gider f.eks. ikke selv registrere
mig alle mulige steder for at læse.
- Begrænsninger, så man ikke kan lægge eks en visio-fil eller lign.
- Unødig brug af SSL.

> Kan du fortaelle mere?

Jeg er ikke sikker på, jeg har lov til at fortælle mere end der er
tilgængeligt på OIO.DK, håber det er nok.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Alex Holst (25-09-2002)
Kommentar
Fra : Alex Holst


Dato : 25-09-02 08:31

Stig Johansen <stig.johansen@udvikling.it> wrote:
> Det drejer sig om kvalitetssikring af leverancer i henhold til:
> http://www.oio.dk/XML?o=fea5f9b140cb0bdfd568c19023570132
> samt
> http://www.oio.dk/XML/Infostrukturbasen

Man skulle tro, at der med et budget paa 20 millioner var raad til at
hive et par sikkerhedsfolk ind paa projektet some kunne tage del i
loesningen helt fra bunden, lave risiko analyse, udarbejde kode- og
design retningslinier, m.m.

> Vi diskuterer lidt om forskellige koncepter, så antagelsen må i første
> omgang gå ud fra, at vi får udelukket ondskabsfulde brugere. Vi vurderer
> administrationsbyrde i forhold til risiko. Hvis du har input, er du
> velkommen.

Som jeg forstaar de to links handler det om dokumentsudveksling hvor jeg
bl.a. kan indsende mine skatteinformationer og lign. til de rette
myndigheder. Altsaa, at jeg uploader min selvangivelse og en ansat i
told & skat saa kan tilgaa disse oplysninger. Er det korrekt forstaaet?

I saa fald kan jeg se rigeligt motivation for at ville paavirke offentlige
systemer med det formaal at bedrage. Der vil hvert fald vaere et behov
for at kunne identificere hver borger individuelt, hvis min forstaaelse
er korrekt.

Det lyder lidt som at der skal vaere halv-automatisk registering, f.eks.
at man indtaster CPR nr., navn, adresse og email adresse og derefter vil
modtage kodeord med snail mail et par dage senere. Maaske man skal
undgaa statiske kodeord og i stedet sende et passende antal one-time
passwords ud ved registeringen og efterfoelgende naar der kun er 10
passwords igen.

>> Vi ved heller ikke om det er muligt at begraense hvilke typer dokumenter
>> der kan uploades og der beskrives ikke hvad der sker med dem efter de er
>> blevet uploadet.
>
> Som det fremgår af links, så vil de være offentligt tilgængelige.

Mine superhemmelige skattedokumenter og ansoegninger om stoette til
mavemedicin pga. stress (skabt af den elendige sikkerhed i det danske
samfund) bliver vel ikke offentlig viden?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

FreeMan (25-09-2002)
Kommentar
Fra : FreeMan


Dato : 25-09-02 09:36

Alex Holst wrote:

:: Man skulle tro, at der med et budget paa 20 millioner var raad til at
:: hive et par sikkerhedsfolk ind paa projektet

Det skulle man mene.

:: Som jeg forstaar de to links handler det om dokumentsudveksling hvor
:: jeg bl.a. kan indsende mine skatteinformationer og lign. til de rette
:: myndigheder. Altsaa, at jeg uploader min selvangivelse og en ansat i
:: told & skat saa kan tilgaa disse oplysninger. Er det korrekt
:: forstaaet?

Jeg har helt klart forstået projektet således, at der er tale om en
infostruktur-database. Altså, de forskellige offentlige instanser kan
uploade XML schemaer og beskrivelser af deres grænseflader. Alle har så
adgang til disse scemaer mv. Det skulle med tiden bidrage til, at det
(ihvertfald ud fra et datasynspunkt) bliver nemmere at udveksel data
elektronisk mellem offentlige myndigheder, virksomheder etc.

:: Mine superhemmelige skattedokumenter og ansoegninger om stoette til
:: mavemedicin pga. stress (skabt af den elendige sikkerhed i det danske
:: samfund) bliver vel ikke offentlig viden?

Forhåbentlig ikke. Til gengæld kan det være at du får brug for både
skattedokumenter og mavemedicin, når man tænker på alle de
integrationsprojekter med følsomme oplysninger, der kan blive resultatet af
denne infostrukturdb

/Freeman



Stig Johansen (25-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 25-09-02 13:32

Hej.

"FreeMan" <bkb18633a@post.cybercity.dk> wrote in message
news:amrsgh$q18$1@sunsite.dk...
> Alex Holst wrote:
>
> :: Man skulle tro, at der med et budget paa 20 millioner var raad til at
> :: hive et par sikkerhedsfolk ind paa projektet
>
> Det skulle man mene.

Som nævnt(sv:Alex), så er der også inkluderet både interne , eksterne og 3.
parts sikkerhedsfolk.
Det forhindrer dog ikke, at der ikke kan være yderligere guldkorn her i
gruppen.

Som nævnt af Alex, så er der naturligvis meget fokus på sikkerhed, netop
fordi:
- Det er et offentligt projekt, og det er attraktivt at hænge det offentlige
ud.

> :: Som jeg forstaar de to links handler det om dokumentsudveksling hvor
> :: jeg bl.a. kan indsende mine skatteinformationer og lign. til de rette
> :: myndigheder. Altsaa, at jeg uploader min selvangivelse og en ansat i
> :: told & skat saa kan tilgaa disse oplysninger. Er det korrekt
> :: forstaaet?
>
> Jeg har helt klart forstået projektet således, at der er tale om en
> infostruktur-database. Altså, de forskellige offentlige instanser kan
> uploade XML schemaer og beskrivelser af deres grænseflader. Alle har så
> adgang til disse scemaer mv. Det skulle med tiden bidrage til, at det
> (ihvertfald ud fra et datasynspunkt) bliver nemmere at udveksel data
> elektronisk mellem offentlige myndigheder, virksomheder etc.

Du har fat i det helt rigtige. Den ultimative målsætning er, at spare dine
og mine skattepenge, og skabe et grundlag for samfundets fortsatte
effektivitet, uagtet at vi må imødese fremtidig mangel på arbejdskraft.

>
> :: Mine superhemmelige skattedokumenter og ansoegninger om stoette til
> :: mavemedicin pga. stress (skabt af den elendige sikkerhed i det danske
> :: samfund) bliver vel ikke offentlig viden?
>
> Forhåbentlig ikke. Til gengæld kan det være at du får brug for både
> skattedokumenter og mavemedicin, når man tænker på alle de
> integrationsprojekter med følsomme oplysninger, der kan blive resultatet
af
> denne infostrukturdb

Dataudveksling foregår, uanset om vi ønsker det eller ej.
Målsætningen er at effektivisere denne. Endvidere at forhøje serviceniveauet
overfor privaten. Eksempelvis integration fra leverandørsystem til CVR, der
muliggør validering af leverandøroplysninger, Ejendomsmæglere, der har
mulighed for at trække BBR-oplysninger 'on the fly' osv.

Okay, jeg havde en forventning, at gruppen her kunne bidrage med noget
konstruktivt.


--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Stig Johansen (25-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 25-09-02 13:08

Hej.

"Alex Holst" <a@mongers.org> wrote in message
news:nnorma.ljb.ln@miracle.mongers.org...
> Stig Johansen <stig.johansen@udvikling.it> wrote:
> > Det drejer sig om kvalitetssikring af leverancer i henhold til:
> > http://www.oio.dk/XML?o=fea5f9b140cb0bdfd568c19023570132
> > samt
> > http://www.oio.dk/XML/Infostrukturbasen
>
> Man skulle tro, at der med et budget paa 20 millioner var raad til at
> hive et par sikkerhedsfolk ind paa projektet some kunne tage del i
> loesningen helt fra bunden, lave risiko analyse, udarbejde kode- og
> design retningslinier, m.m.

Det er der også, og det har vi også.

>
> > Vi diskuterer lidt om forskellige koncepter, så antagelsen må i første
> > omgang gå ud fra, at vi får udelukket ondskabsfulde brugere. Vi vurderer
> > administrationsbyrde i forhold til risiko. Hvis du har input, er du
> > velkommen.
>
> Som jeg forstaar de to links handler det om dokumentsudveksling hvor jeg
> bl.a. kan indsende mine skatteinformationer og lign. til de rette
> myndigheder. Altsaa, at jeg uploader min selvangivelse og en ansat i
> told & skat saa kan tilgaa disse oplysninger. Er det korrekt forstaaet?

Ikke helt.
Der er tale om beskrivelse af datastukturer, og ikke data i sig selv.

> I saa fald kan jeg se rigeligt motivation for at ville paavirke offentlige
> systemer med det formaal at bedrage. Der vil hvert fald vaere et behov
> for at kunne identificere hver borger individuelt, hvis min forstaaelse
> er korrekt.

Opfat dette projekt som et 'webificeret' dta dictionary.


> Det lyder lidt som at der skal vaere halv-automatisk registering, f.eks.
> at man indtaster CPR nr., navn, adresse og email adresse og derefter vil
> modtage kodeord med snail mail et par dage senere. Maaske man skal
> undgaa statiske kodeord og i stedet sende et passende antal one-time
> passwords ud ved registeringen og efterfoelgende naar der kun er 10
> passwords igen.

Nej, vi snakker ikke en gateway, alene information om hvor vi data findes.


> >> Vi ved heller ikke om det er muligt at begraense hvilke typer
dokumenter
> >> der kan uploades og der beskrives ikke hvad der sker med dem efter de
er
> >> blevet uploadet.
> >
> > Som det fremgår af links, så vil de være offentligt tilgængelige.
>
> Mine superhemmelige skattedokumenter og ansoegninger om stoette til
> mavemedicin pga. stress (skabt af den elendige sikkerhed i det danske
> samfund) bliver vel ikke offentlig viden?

Nej, bare rolig, der er ikke tale om nogen som helst form for overvågning.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)






Alex Holst (25-09-2002)
Kommentar
Fra : Alex Holst


Dato : 25-09-02 15:47

Stig Johansen <stig.johansen@udvikling.it> wrote:
> "Alex Holst" <a@mongers.org> wrote in message
>>
>> Man skulle tro, at der med et budget paa 20 millioner var raad til at
>> hive et par sikkerhedsfolk ind paa projektet some kunne tage del i
>> loesningen helt fra bunden, lave risiko analyse, udarbejde kode- og
>> design retningslinier, m.m.
>
> Det er der også, og det har vi også.

Du skriver i et andet indlaeg, at der er en masse sikkerhedsfolk
indblandet. Hvorfor er der saa denne forvirret mht. hvad der er
tilstraekkelig sikring?

Du skriver ligeledes at du forventede vi kunne bidrage med noget
konstruktivt, men da vi ikke har intimt kendskab til loesningen, kan vi
ikke bidrage med noget specifikt. Vi har saaledes kun muligheden for at
komme med generelle kommentarer, som jeres egne folk (forhaabenligt)
allerede har taget hoejde for eller som rammer helt ved siden af.

Hvad havde du helt praecist forventet?

>> Som jeg forstaar de to links handler det om dokumentsudveksling [..]
>
> Ikke helt.
> Der er tale om beskrivelse af datastukturer, og ikke data i sig selv.

Ok, jeg misforstod.

>> Mine superhemmelige skattedokumenter og ansoegninger om stoette til
>> mavemedicin pga. stress (skabt af den elendige sikkerhed i det danske
>> samfund) bliver vel ikke offentlig viden?
>
> Nej, bare rolig, der er ikke tale om nogen som helst form for overvågning.

Det var jeg heller ikke umiddelbart bange for. Jeg forsoegte at afslutte
mit indlaeg med et smil paa laeben.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Stig Johansen (26-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 26-09-02 05:45

Hej.

"Alex Holst" <a@mongers.org> wrote in message
news:j8isma.ld.ln@miracle.mongers.org...
[snip]

> Hvad havde du helt praecist forventet?

Jeg var egentlig bare på jagt efter nogle inficerede dokumenter, da vi selv
står for at stille testdata til rådighed i forbindelse med en række
funktionsprøver.

Jeg fik så den tanke, at man kunne bruge denne gruppe som 'høringspanel'.

Det spørgsmål, jeg (personligt) godt kunne tænke mig belyst er,
Hvornår er et system tilstrækkeligt sikkert?

Jeg har naturligvis mine egne holdninger, men jeg fornemmer det er ekstremt
subjektivt fra person til person(eller firma).

Et ekstrem er, at jeg har mødt personer, der kræver VPN i et lukket netværk,
uagtet at der ikke er tale om følsomme data.
Ja, gu er det sikkert, men det koster da r... ud af bukserne at implementere
på 150 destinationer.

Jeg prøver lidt at missionere mod 'sikkerhedsspassere', som jeg synes er
lidt spild af vores gode skattekroner.

(Jeg er ikke selv ansat i det offentlige)

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Alex Holst (26-09-2002)
Kommentar
Fra : Alex Holst


Dato : 26-09-02 07:21

Stig Johansen <stig.johansen@udvikling.it> wrote:
> Det spørgsmål, jeg (personligt) godt kunne tænke mig belyst er,
> Hvornår er et system tilstrækkeligt sikkert?

Det har jeg svaret paa et par gange tidligere i denne traad, og det
forbavser mig at du bliver ved med at spoerge. Svaret er: "det kommer
helt an paa."

Har jeres sikkerhedsfolk ikke skrevet en risikoanalyse? Den skulle gerne
indeholde nogle tal som viser hvad der staar paa spil, og derfor ogsaa
hvor mange resourcer der skal bruges.

> Jeg har naturligvis mine egne holdninger, men jeg fornemmer det er ekstremt
> subjektivt fra person til person(eller firma).

Fra sikkerhedsanalytikerens side skulle der helst vaere saa faa
holdninger involveret overhovedet og saa mange fakta som muligt. En
risiko analyse vil dog altid vaere *lidt* praeget af personen der
udfoerer analysen pga. dennes baggrund og vinkel til opgaven. Hvis der
f.eks. viser sig moenstre som "Skift til/benyt system Foo" uden nogen
hensynstagen til trusler, brugbarhed eller omkostninger boer vedkommende
fjernes som analytiker og i stedet bruges til at hente morgenbroed og
lave kaffe.

Pga. foernaevnte maveproblemer drikker jeg ikke kaffe, saa jeg vil gerne
noejes med morgenbroedet og et stort glas maelk. Sig det venligst videre
til rette vedkommende.

> Et ekstrem er, at jeg har mødt personer, der kræver VPN i et lukket netværk,
> uagtet at der ikke er tale om følsomme data.
> Ja, gu er det sikkert, men det koster da r... ud af bukserne at implementere
> på 150 destinationer.
>
> Jeg prøver lidt at missionere mod 'sikkerhedsspassere', som jeg synes er
> lidt spild af vores gode skattekroner.

Jeg kender godt typen. Det eneste forsvar er en risikoanalyse man kan
pege paa og sige: "Det glaeder mig ustyrligt at du tager interesse i
projektets sikkerhed. Som projektleder (eller whatever) er det ikke dit
job at komme med fjollede sikkerhedsforslag der hverken har nogen
oekonomisk eller teknisk begrundelse. Vi opnaar ikke bedre kvalitet
eller sikkerhed ved at bruge penge paa de forkerte aktiviteter. Jeg ser
frem til din stoette paa de foelgende punkter som *vil* goere en
forskel: (indsaet punkterne med begrundelse her)."

Det er tilladt at aendre lidt i ovenstaaende formulering, hvis man ikke
lige har personligheden til at slippe afsted med den slags kommentarer.

HTH,
Alex

PS: Nogen ide om hvordan man faar del i de 20 millioner?
PPS: Undskyld.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Christian E. Lysel (27-09-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 27-09-02 08:46

Alex Holst wrote:
> udfoerer analysen pga. dennes baggrund og vinkel til opgaven. Hvis der
> f.eks. viser sig moenstre som "Skift til/benyt system Foo" uden nogen
> hensynstagen til trusler, brugbarhed eller omkostninger boer vedkommende

Er det ikke lidt svært når en ene ene af leverandøerne er en størrer
software virksomhed?

--
Christian E. Lysel, http://www.spindelnet.dk/


Alex Holst (27-09-2002)
Kommentar
Fra : Alex Holst


Dato : 27-09-02 09:08

Christian E. Lysel <sunsite.dk.nntp@spindelnet.dk> wrote:
> Alex Holst wrote:
>> udfoerer analysen pga. dennes baggrund og vinkel til opgaven. Hvis der
>> f.eks. viser sig moenstre som "Skift til/benyt system Foo" uden nogen
>> hensynstagen til trusler, brugbarhed eller omkostninger boer vedkommende
>
> Er det ikke lidt svært når en ene ene af leverandøerne er en størrer
> software virksomhed?

What? Hvad er svaert?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Christian E. Lysel (29-09-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 29-09-02 14:27

Alex Holst wrote:
>>Er det ikke lidt svært når en ene ene af leverandøerne er en størrer
>>software virksomhed?
> What? Hvad er svaert?

Benyt system foo, når den ene leverandør er Microsoft.


--
Christian E. Lysel, http://www.spindelnet.dk/


Stig Johansen (28-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 28-09-02 05:44

Hej.



"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote in message
news:3D940CCD.3040508@spindelnet.dk...
> Alex Holst wrote:
> > udfoerer analysen pga. dennes baggrund og vinkel til opgaven. Hvis der
> > f.eks. viser sig moenstre som "Skift til/benyt system Foo" uden nogen
> > hensynstagen til trusler, brugbarhed eller omkostninger boer vedkommende
>
> Er det ikke lidt svært når en ene ene af leverandøerne er en størrer
> software virksomhed?

Jo, og et andet eksempel er, at man krævede, at billeder af varer ifb.
indkøbsportal skulle ligge på en secure server (SSL).
Latterligt, det skulle jo nærmest være omvendt, så leverandører kunne blære
sig med salg af varer.
Men hvad gør man når man står som enkeltmand, der i øvrigt har
kvalitetssikring af total leverancen som scope, og man har betalt price
waterhouse coopers en halv bondegård for en risikoanalyse?
Projektejere/beslutningstagere er typisk ikke IT-kompetente.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Christian E. Lysel (27-09-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 27-09-02 08:43

Stig Johansen wrote:
> Et ekstrem er, at jeg har mødt personer, der kræver VPN i et lukket netværk,
> uagtet at der ikke er tale om følsomme data.
> Ja, gu er det sikkert, men det koster da r... ud af bukserne at implementere
> på 150 destinationer.

Er det et net mellem 150 destinationer, hvis ja hvordan kan det så være
lukket.

En WAN linie er nem at aflytte.


--
Christian E. Lysel, http://www.spindelnet.dk/


Stig Johansen (28-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 28-09-02 05:49

Hej.



"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote in message
news:3D940C15.8010001@spindelnet.dk...
> Stig Johansen wrote:
> > Et ekstrem er, at jeg har mødt personer, der kræver VPN i et lukket
netværk,
> > uagtet at der ikke er tale om følsomme data.
> > Ja, gu er det sikkert, men det koster da r... ud af bukserne at
implementere
> > på 150 destinationer.
>
> Er det et net mellem 150 destinationer, hvis ja hvordan kan det så være
> lukket.

Faste linier, fiber.
Hæng mig ikke op på ordkløveri/forkert beskrivelse, men jeg plejer at kalde
det for lukkede net.

> En WAN linie er nem at aflytte.
How?
Sandsynligheds %?

I øvrigt var pointen, at det drejede sig om offentlig tilgængelige data.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




F.Larsen (27-09-2002)
Kommentar
Fra : F.Larsen


Dato : 27-09-02 22:00

"Stig Johansen" <stig.johansen@udvikling.it> wrote in message
news:amu30d$5cl$1@sunsite.dk...

> Et ekstrem er, at jeg har mødt personer, der kræver VPN i et lukket
netværk,
> uagtet at der ikke er tale om følsomme data.
> Ja, gu er det sikkert, men det koster da r... ud af bukserne at
implementere
> på 150 destinationer.

Udfra de oplsyninger som du er kommet med mener jeg ikke det er muligt at
udtale sig om VPN er nødvendigt eller ej. Den risikovurdering må i tage i
projektgruppen.

Måske skulle i interresere jer lidt for IPv6 og mulighederne omkring
sikkerheden. Eu kommisionen bruger en del penge i udbygningen af IPv6 og
sikkerhed vil i fremtiden være et mere fremtrædende krav, ikke mindst hvor
offentlige administrationer er indblandet. Det er for nyligt udkommet med en
anbefaling omkring emnet som kunne være læseværdig for jeres projekt.

Alene det forhold at IPv4 sendes i klartekst kan give anledning til
bekymring når vi taler offentlige informationssystemer på internet. Selv om
du skriver at grundinformationen ikke er specielt fortrolig - så kunne man
sandsynligvis opstille scenaries hvor manipulation af information på dette
niveau kunne medføre misbrug i et senere led i udvekslingen.

Mange firmaer anvender VPN eller lign sikker kommunikation idag i
forbindlelse med intern kommunikation, enten som rene hardware løsninger
eller som software løsninger f.eks. til hjemmearbejdspladser. For større
frmaer taler vi langt over 150 installationer. For et projekt til over 20
millioner burde 150 installationer være en mulighed.

--
Flemming





Stig Johansen (28-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 28-09-02 05:33

Hej.

"F.Larsen" <n0spam@spamfilter.dk> wrote in message
news:SF3l9.36442$Qk5.1619524@news010.worldonline.dk...
> "Stig Johansen" <stig.johansen@udvikling.it> wrote in message
> news:amu30d$5cl$1@sunsite.dk...
>
> Udfra de oplsyninger som du er kommet med mener jeg ikke det er muligt at
> udtale sig om VPN er nødvendigt eller ej. Den risikovurdering må i tage i
> projektgruppen.

Undskyld, jeg blander lidt ting sammen. VPN og de 150 var i relation til
udveksling af nogle oplysninger over Statens Datanet. Det er ikke relevant i
det her projekt.
Det var bare for at påpege et ekstrem, hvor man risikerede at bruge en
helv... masse af vores skattepenge uagtet at:
Der er tale om offentligt tilgængelige data (skade = 0), sandsynlighed nok
noget nær 0 (punkt til punkt, fiberoptik). Nu er det godt nok længe siden
jeg studerede fysik, men hvordan var det nu lige man laver evesdropping på
fiber?)
Iøvrigt er den person, der 'krævede' det ikke i den pågældende virksomhed
mere.

> du skriver at grundinformationen ikke er specielt fortrolig - så kunne man
> sandsynligvis opstille scenaries hvor manipulation af information på dette
> niveau kunne medføre misbrug i et senere led i udvekslingen.

Excatly, måske ikke misbrug, men snarere 'hærværk', da indholdet kun skal
bruges ved udviklingen af integrationsløsninger.

Umiddelbart burge det være hamrende uinteressant, men netop de 2
kombinationer:
1) Vi har valgt M$ som leverandør
2) Hypet om 'dårlig sikkerhed' i det offentlige
kunne medføre en forøget 'reklameværdi'.

Vi mener vi har fat i alle aspekter, dog mangler jeg (leverandørens ansvar)
en risikovurdering af følgende tænkte scenarie:

En bruger kommer til at uploade et 'makrovirusbefængt' dokument af en eller
anden art.
En anden bruger læser dette dokument, og spreder dermed virusen.

Overordnet gælder det, at en bruger skal være registreret for at kunne
uploade, så vi koncentrerer os om 'uforvarende' upload.

Er der nogen der har et bud på:
- Hvad er sandsynligheden for at man sidder med et virusbefængt dokument,
som naturligvis har relevans for
Infostrukturbasen(forretningangsbeskrivelser o lign.)?
- Hvad er sandsynligheden for at man kommer til at uploade et dokument inden
virusen er opdaget?

Vedr. IPV6 o. lign.
Jeg har 'min daglige gang' hos hhv. VTU og ITST. Der er (også) fokus på
fremtidig anvendelse af IPV6,MPLS osv..

Og ja, sikkerhed et af de horisontalt højst prioriterede emner i diverse
projekter/arbejdsgrupper.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




F.Larsen (28-09-2002)
Kommentar
Fra : F.Larsen


Dato : 28-09-02 11:01

"Stig Johansen" <stig.johansen@udvikling.it> wrote in message
news:an3b3v$ce5$1@sunsite.dk...
>
> Er der nogen der har et bud på:
> - Hvad er sandsynligheden for at man sidder med et virusbefængt dokument,
> som naturligvis har relevans for
> Infostrukturbasen(forretningangsbeskrivelser o lign.)?
> - Hvad er sandsynligheden for at man kommer til at uploade et dokument
inden
> virusen er opdaget?

imho er sandsynligheden ret stor. Derfor bør der indføres en
sikkerhedspolitik og rimelige foranstaltninger, dvs virus scannere på alle
servere og krav til klienterne om at de har installeret antivirus programmer
(og at de er opdateret)

Selv med disse foranstaltninger kan jeg næsten garantere at på et eller
andet tidspunkt vil der kunne slippe noget igennem. Det interresante er så
her hvordan man håndtere situationen. Det bør også beskrives i en politik...

--
Flemming




Stig Johansen (28-09-2002)
Kommentar
Fra : Stig Johansen


Dato : 28-09-02 21:23

Hej.

"F.Larsen" <n0spam@spamfilter.dk> wrote in message
news:_5fl9.41928$Qk5.1743138@news010.worldonline.dk...
> "Stig Johansen" <stig.johansen@udvikling.it> wrote in message
> news:an3b3v$ce5$1@sunsite.dk...
> >
> > Er der nogen der har et bud på:
> > - Hvad er sandsynligheden for at man sidder med et virusbefængt
dokument,
> > som naturligvis har relevans for
> > Infostrukturbasen(forretningangsbeskrivelser o lign.)?
> > - Hvad er sandsynligheden for at man kommer til at uploade et dokument
> inden
> > virusen er opdaget?
>
> imho er sandsynligheden ret stor. Derfor bør der indføres en
> sikkerhedspolitik og rimelige foranstaltninger, dvs virus scannere på alle
> servere

Enig, over (meget?) tid er det nok overordentligt sandsynligt. (Med alle de
'features' vores kære Bill finder på).

Mit problem er, at vi er ansvarlige for at fremskaffe 'prøvedata', så hvis
vi ikke finder nogle inficerede dokumenter, så kan vi ikke afprøve om det
rent faktisk virker.

> og krav til klienterne om at de har installeret antivirus programmer
> (og at de er opdateret)

Det her er et projekt til hele Danmark, så vi har ingen myndighedsrolle.
Men tak for inputtet, vi bør nok lave en opfordring til brugerne på de
sider, der er relevante for upload.

>
> Selv med disse foranstaltninger kan jeg næsten garantere at på et eller
> andet tidspunkt vil der kunne slippe noget igennem.

Ja, den William og de script-kiddies osv...

> Det interresante er så
> her hvordan man håndtere situationen. Det bør også beskrives i en
politik...

Igen enig. Men det overlader jeg til vores Hosting leverandør og vores
Sikkerhedsaudit-firma.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Allan Olesen (29-09-2002)
Kommentar
Fra : Allan Olesen


Dato : 29-09-02 08:22

"Stig Johansen" <stig.johansen@udvikling.it> wrote:

>En bruger kommer til at uploade et 'makrovirusbefængt' dokument af en eller
>anden art.
>En anden bruger læser dette dokument, og spreder dermed virusen.

Jeg har ikke helt forstaaet disse dokumenters rolle i projektet.
Har man planer om at offentliggoere information til borgerne i
form af Word-dokumenter?

I givet fald:
Betyder det, at .doc er blevet til en aaben standard?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (29-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 29-09-02 09:54

Allan Olesen wrote:
>
> Har man planer om at offentliggoere information til borgerne i
> form af Word-dokumenter?

Forhåbentlig ikke.

>
> I givet fald:
> Betyder det, at .doc er blevet til en aaben standard?

Nej.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Allan Olesen (03-10-2002)
Kommentar
Fra : Allan Olesen


Dato : 03-10-02 20:58

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>> Har man planer om at offentliggoere information til borgerne i
>> form af Word-dokumenter?
>
>Forhåbentlig ikke.

Maaske den her kan faa folk til at taenke over
hensigtsmaessigheden ved at offentliggoere ting i
tekstbehandlings-format:

http://www.jp.dk/indland/artikel:aid=1443950:fid=7394


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (03-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 03-10-02 21:43

Allan Olesen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >> Har man planer om at offentliggoere information til borgerne i
> >> form af Word-dokumenter?
> >
> >Forhåbentlig ikke.
>
> Maaske den her kan faa folk til at taenke over
> hensigtsmaessigheden ved at offentliggoere ting i
> tekstbehandlings-format:
>
> http://www.jp.dk/indland/artikel:aid=1443950:fid=7394

Den feature i Microsoft Word har jeg hørt om før.
Hvis jeg ikke husker meget galt, har Birger Nielsen
nævnt den i et UNF foredrag.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Stig Johansen (03-10-2002)
Kommentar
Fra : Stig Johansen


Dato : 03-10-02 22:42

Hej.

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D9CABE9.9D66154D@daimi.au.dk...
> Allan Olesen wrote:
> >
> > Kasper Dupont <kasperd@daimi.au.dk> wrote:
> >
> > >> Har man planer om at offentliggoere information til borgerne i
> > >> form af Word-dokumenter?
> > >
> > >Forhåbentlig ikke.
> >
> > Maaske den her kan faa folk til at taenke over
> > hensigtsmaessigheden ved at offentliggoere ting i
> > tekstbehandlings-format:
> >
> > http://www.jp.dk/indland/artikel:aid=1443950:fid=7394
>
> Den feature i Microsoft Word har jeg hørt om før.
> Hvis jeg ikke husker meget galt, har Birger Nielsen
> nævnt den i et UNF foredrag.
osv..

Ja, det ser ud som om, denne tråd er ved at løbe lidt ud af et sidespor.
Jeg vil godt lige pointere:

Løsningen er baseret på åbne standarder, og derunder
interoperabilitet/accessibility osv.

Når jeg omtaler word-docs og andre proprietære formater, så er det INDHOLD
og IKKE oplysninger eksponeret af det offentlige.

Baggrunden er, at hvis eksempelvis medicinalindustrien eller finansverdenen
definerer et fælles grænsesnit til dataudveksling, så kan man jo ikke
diktere eksempelvis Novo eller Nordea til at benytte åbne standarder til
deres forretningangsbeskrivelser.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)






Allan Olesen (03-10-2002)
Kommentar
Fra : Allan Olesen


Dato : 03-10-02 23:23

"Stig Johansen" <stig.johansen@udvikling.it> wrote:

>Når jeg omtaler word-docs og andre proprietære formater, så er det INDHOLD
>og IKKE oplysninger eksponeret af det offentlige.

Beklager. Jeg fatter ikke forskellen paa indhold og oplysninger.
Kan du uddybe?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Allan Olesen (03-10-2002)
Kommentar
Fra : Allan Olesen


Dato : 03-10-02 23:27

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Den feature i Microsoft Word har jeg hørt om før.

Jeg har _moedt_ den. Jeg sad med en specifikation fra en ret stor
halvoffentlig kunde og ville kopiere noget af indholdet over i en
email med copy/paste. Pludselig sad jeg med alle rettelser frit
synlige.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

J Hansen (30-09-2002)
Kommentar
Fra : J Hansen


Dato : 30-09-02 17:16

On Tue, 24 Sep 2002 22:27:07 +0200, "Stig Johansen"
<stig.johansen@udvikling.it> wrote:

>Sluttelig, kunne det være ekstremt rart hvis der er nogen, der har links til
>inficerede dokumenter jfr. ovenstående, eller evt ligger inde med et
>inficeret dokument. Baggrunden for denne forespørgsel er, at vi kan få behov
>for nogle testscenarier/data i forbindelse med en indledende funktionsprøve.

Personligt er jeg imod at man lægger links til vira.
Hvorfor gøre det lettere for ondsindede personer, at finde opskriften
på at sende vira?
Man kunne istedet. bruge en den officielle Eicar-testvirus vedtaget af
European Institute for Computer Anti-Virus Research , og omdøbe den
til den filtype man vil teste, og derefter teste i jeres system med
denne.

http://www.rexswain.com/eicar.html



Med venlig hilsen
Jimmy hansen

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste