---

Kære medbrugere/lurkere i d.e.s.

Det er /nu/ i meget gerne må rulle den store fantasi ud, og
hjælpe en fælle i nød:

Jeg er blevet bedt om at kommentere evt. sikkerhedsrisici i
forbindelse med min arbejdsgivers planlagte system, og med den
mængde der potentielt set er, klarer jeg det nok ikke uden lidt
hjælp.

Systemet skal bruges til salg af en ydelse over nettet, og skal
tilgå det system der allerede bruges til salg fra salgssteder
over hele landet. Der er i det eksisterende system
personfølsomme data på kunderne, og udviklerne er kommet med
interessante udsagn som "selv om der er lokalnetforbindelse
mellem web-serveren og hovedserveren, vil de der hacker
web-serven ikke kunne tilgå data på hovedserveren"...

Det fysiske setup ser sådan ud:

Hovedserver -> web-server -> internet (xDSL).

Hovedserveren er ikke forbundet med nettet som det er i dag, og
planen er at sætte web-serveren direkte på det LAN hovedserveren
sidder på.

Den nye webløsning bliver lavet i asp.net, og skal derfor køre på
en MS-Server af en art (hvilken har jeg ikke fået oplyst, men
jeg gætter på W2K). Den gamle løsning, der kun lider af den fejl
at den ikke kan kommunikere med hovedserveren, har kørt uden
indbrud de sidste to år, og kører på en linux-box.

Her er mine bud på de værste af de potentielle
sikkerhedsproblemer:

Hacking

Vira

Dertil kommer ringe uptime, som jo ikke er et sikkerhedsproblem.

Hvordan kan jeg bedst uddybe de to ovenstående punkter på en måde
der understreger at man ikke "bare lige" kan smække en
W2K-server op på nettet uden risiko for angreb, og hvorfor en
unix-baseret løsning sandsynligvis indeholder færre remote
exploits (Der bør her nævnes at Solaris i forvejen indgår i
sysadmins daglige arbejde, hvorfor han er i stand til at holde
en unix-boks up to date på softwaresiden...).

Kort sagt, hvordan kan jeg få dem til ikke at lave noget der
potentielt set bringer kundernes personlige data i så åben en
position som de er ved at komme i?

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen <thomasaf@mail.tele.dk> wrote:
> Jeg er blevet bedt om at kommentere evt. sikkerhedsrisici i
> forbindelse med min arbejdsgivers planlagte system, og med den
> mængde der potentielt set er, klarer jeg det nok ikke uden lidt
> hjælp.

Man forsoeger gerne at konkretisere truslerne, da man ellers ikke kan
saette et tab paa dem. Du skal altsaa tage hoejde for den vare I
saelger, og den information der ellers ligger paa serveren. Du skal
opstille noget i stil med:

- En konkurrent faar fat i jeres kundeliste.

- En tilfaeldig indtraengende faar fat i kreditkort numrene som I har
opbevaret og afpresser jer $100.000 (det skete for CD Universe).

- En indtraengende replayer tilfaeldige transaktioner med aendrede konto
numre.

Ovenstaaende er blot eksempler, da det kraever rimeligt dybt kendskab
til system for at skrive en komplet liste. Det er muligt at de givne
eksempler slet ikke er relevante for jeres system.

> Systemet skal bruges til salg af en ydelse over nettet, og skal
> tilgå det system der allerede bruges til salg fra salgssteder
> over hele landet. Der er i det eksisterende system
> personfølsomme data på kunderne, og udviklerne er kommet med
> interessante udsagn som "selv om der er lokalnetforbindelse
> mellem web-serveren og hovedserveren, vil de der hacker
> web-serven ikke kunne tilgå data på hovedserveren"...

Det er jo saa op til disse udviklere at bevise. Jeg kan ikke se hvad der
skulle forhindre at indtraengene bruger jeres webserver til hvad de nu
har lyst til. Det skulle da lige vaere hvis I benytter et rent
capability-based OS. Hvis udviklerne er saa sikre, vil de muligvis gerne
stille forsikring der daekker jeres tab, i fald det skulle ske.

Hvis truslerne og det mulige tab retfaerdigoer det, boer I helt klart
faa fat i nogen som kan hjaelpe jer med at sikre at I opnaar den
oenskede kvalitet i den leverede software og generelt implementere de
noedvendige processer omkring systemet.

Det er ikke saa simpelt som at beslutte om der skal en firewall foran
eller bagved. Snak med en sikkerhedsraadgiver der har kendskab til
systemet og jeres sikkerhedspolitik og funktionelle krav.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

<kreativt snip>
> Hvis udviklerne er
> saa sikre, vil de muligvis gerne stille forsikring der daekker
> jeres tab, i fald det skulle ske.

Denne sætning er guld værd i min lille rapport om hvorfor man
ikke blindt skal stole på det udviklerne siger, specielt ikke
når de har en økonomisk interesse i at blive færdige så hurtigt
som muligt...

> Hvis truslerne og det mulige tab retfaerdigoer det, boer I helt
> klart faa fat i nogen som kan hjaelpe jer med at sikre at I
> opnaar den oenskede kvalitet i den leverede software og
> generelt implementere de noedvendige processer omkring
> systemet.

Den anbefaling ryger også direkte videre.

> Det er ikke saa simpelt som at beslutte om der skal en firewall
> foran eller bagved. Snak med en sikkerhedsraadgiver der har
> kendskab til systemet og jeres sikkerhedspolitik og
> funktionelle krav.

Denne ligeså.

Det er lige præcis den slags der gør at jeg elsker usenet

Tak til de der har svaret, resten af jer må endelig skyde med
hvis i vil, intet er for banalt.

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen <thomasaf@mail.tele.dk> wrote:

>Alex Holst wrote:
>
><kreativt snip>
>> Hvis udviklerne er
>> saa sikre, vil de muligvis gerne stille forsikring der daekker
>> jeres tab, i fald det skulle ske.
>
>Denne sætning er guld værd i min lille rapport om hvorfor man
>ikke blindt skal stole på det udviklerne siger, specielt ikke
>når de har en økonomisk interesse i at blive færdige så hurtigt
>som muligt...

Øh ... hvorfor har udviklerne en økonomisk interesse i at blive
færdige så hurtigt som muligt?

På de arbejdspladser jeg kender til, har udviklere en interesse i
at deres arbejdsplads på længere sigt eksisterer og er i stand
til at levere interessant arbejde og betale løn for det. Desuden
har gode udviklere normalt en generel interesse i at lave
kvalitetsarbejde. De interesser tjenes ikke specielt godt ved at
lave noget usikkert bras.

Med andre ord: der er da vist noget galt i organisationen hvis
udviklere og netværksadministratorer synes at de har
modsatrettede interesser.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:

> Thomas Alexander Frederiksen <thomasaf@mail.tele.dk> wrote:
>
>>Alex Holst wrote:
>>
>><kreativt snip>
>>> Hvis udviklerne er
>>> saa sikre, vil de muligvis gerne stille forsikring der
>>> daekker jeres tab, i fald det skulle ske.
>>
>>Denne sætning er guld værd i min lille rapport om hvorfor man
>>ikke blindt skal stole på det udviklerne siger, specielt ikke
>>når de har en økonomisk interesse i at blive færdige så hurtigt
>>som muligt...
>
> Øh ... hvorfor har udviklerne en økonomisk interesse i at blive
> færdige så hurtigt som muligt?
<snip>

Udviklerne er ansat af det firma, lad os kalde det A der har
solgt det firma jeg arbejder for, i dagens anledning B, til et
tredje firma, C.

En del af handlen mellem A og C er en ny webløsning til B, og
denne indgår i prisen. Den del af prisen der er fastsat som
svarende til løsningens værdi, udbetales først når løsningen er
færdig. Udviklerne skal samtidig med udviklingen af det nye
system også udføre deres normale opgaver hos A, og har endvidere
det pres på sig at ejeren af A meget gerne vil have de sidste
penge hurtigst muligt. C har ikke beskæftiget sig med
web-baseret handel før, og jeg er den enste hos B der har bare
en lille smule forståelse for IT.

Kort sagt får udviklernes arbejdsgiver ingen penge før det er
færdigt, og dem mangler han vist temmeligt meget allerede...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen wrote:

> Kort sagt får udviklernes arbejdsgiver ingen penge før det er
> færdigt, og dem mangler han vist temmeligt meget allerede...

Det lyder som en katastrofe der venter på at ske ...

--
..signature

---

Christian Andersen wrote:

> Thomas Alexander Frederiksen wrote:
>
>> Kort sagt får udviklernes arbejdsgiver ingen penge før det er
>> færdigt, og dem mangler han vist temmeligt meget allerede...
>
> Det lyder som en katastrofe der venter på at ske ...

Den har desværre ikke tænkt sig at vente særligt længe, mit (og
dermed kundernes og datasikkerhedens) håb er at kunne råbe de
ansvarlige op /inden/ systemet godkendes og sættes i drift. På
mandag får jeg en indikation af hvorvidt jeg har heldet med mig,
men jeg håber at den mail jeg sendte klokken 00:36 giver min
nærmeste chef en ide om at jeg mener det alvorligt, og arbejder
længe på sagen (første mail til ham om det emne røg afsted
klokken 10:52...).

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen <thomasaf@mail.tele.dk> wrote:
> Den har desværre ikke tænkt sig at vente særligt længe, mit (og
> dermed kundernes og datasikkerhedens) håb er at kunne råbe de
> ansvarlige op /inden/ systemet godkendes og sættes i drift. På
> mandag får jeg en indikation af hvorvidt jeg har heldet med mig,
> men jeg håber at den mail jeg sendte klokken 00:36 giver min
> nærmeste chef en ide om at jeg mener det alvorligt, og arbejder
> længe på sagen (første mail til ham om det emne røg afsted
> klokken 10:52...).

Du mener det naturligvis godt, men hvis du ikke har ledelsens stoette
goer det ingen forskel for resultatet at du arbejder paa sindssyge
tidspunkter af doegnet.

Du har ikke ansvaret overfor hverken kunderne eller myndighederne hvis
noget gaar galt, det har ledelsen. Det kan du naturligvis faa dem til at
forstaa, men hvis det fejler er du bedre tjent med at indse det saa
hurtigt saa muligt.

Der staar (meget) lidt i OSS'en om denne slags situationer:

http://a.area51.dk/sikkerhed/infrastruktur

Der er ogsaa videre relevant laesning i afsnittet 'Videre laesning':

http://a.area51.dk/sikkerhed/videre

Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Hej.

"Alex Holst" <a@mongers.org> wrote in message
news:h97ja-csc.ln1@miracle.mongers.org...
> Du mener det naturligvis godt, men hvis du ikke har ledelsens stoette
> goer det ingen forskel for resultatet at du arbejder paa sindssyge
> tidspunkter af doegnet.

Enig, hvis man ikke får støtte fra ledelsen, så er det spild af gode
kræfter.

> Du har ikke ansvaret overfor hverken kunderne eller myndighederne hvis
> noget gaar galt, det har ledelsen. Det kan du naturligvis faa dem til at
> forstaa, men hvis det fejler er du bedre tjent med at indse det saa
> hurtigt saa muligt.

Det virker som om Thomas (i firma B) muligvis kommer til at stå med ansvaret
for løsningens drift. Hvis det er tilfældet, bør han absolut padle som en i
h... for at få opbakning.

Så vidt jeg kan læse ud af Thomas'es indlæg, så kan systemet opfattes som en
leverance til firma B leveret af firma C, med firma A som underleverandør.
Hvis det er tilfældet, bør Thomas nok påvirke firma C, da det er dem, der
kommer til at stå som ansvarlig for leverancen. Altså, det er firma C's
prestige, der står på spil, og firma C bør stå inde for løsningens kvalitet.

Disclaimer:
Ovenstående er naturligvis kun gætteri, da vi ikke kender de kontraktuelle
forhold.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

<snip>
> "Alex Holst" <a@mongers.org> wrote in message
> news:h97ja-csc.ln1@miracle.mongers.org...
>> Du mener det naturligvis godt, men hvis du ikke har ledelsens
>> stoette goer det ingen forskel for resultatet at du arbejder
>> paa sindssyge tidspunkter af doegnet.

Det har det med at dupere min nærmeste chef, så helt spildt er
det ikke...

<snip>
> Det virker som om Thomas (i firma B) muligvis kommer til at stå
> med ansvaret for løsningens drift. Hvis det er tilfældet, bør
> han absolut padle som en i h... for at få opbakning.

Ansvaret får jeg ikke, men jeg er 99% sikker på at få
opringninger fra frustrerede kolleger hvis det enten ikke
virker, eller kommer med besynderlige fejl.

> Så vidt jeg kan læse ud af Thomas'es indlæg, så kan systemet
> opfattes som en leverance til firma B leveret af firma C, med
> firma A som underleverandør. Hvis det er tilfældet, bør Thomas
> nok påvirke firma C, da det er dem, der kommer til at stå som
> ansvarlig for leverancen. Altså, det er firma C's prestige, der
> står på spil, og firma C bør stå inde for løsningens kvalitet.

Det er så afgjort firma C der sidder med aben hvis noget går
galt, og det er også deres internationale kundedatabase der
kommer til at stå piv-åben hvis noget går galt.


> Disclaimer:
> Ovenstående er naturligvis kun gætteri, da vi ikke kender de
> kontraktuelle forhold.
<snip>

Jeg kender heller ikke detaljerne, men vi deler opfattelsen af
hvordan det hænger sammen.

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd7791a$0$149$edfadb0f@dtext01.news.tele.dk...
> Ansvaret får jeg ikke, men jeg er 99% sikker på at få
> opringninger fra frustrerede kolleger hvis det enten ikke
> virker, eller kommer med besynderlige fejl.

Ok, men gør dig selv den tjeneste, at gøre opmærksom på, at du IKKE kan
påtage dig ansvaret for eventuelle fejl/mangler/sikkerhedshuller.
Det er vigtigt at huske, at på nuværende tidspunkt er hensigter/det talte
ord ok. Men der kommer en dag, hvor brugerne opfatter dig som værende 'den
ansvarlige'. Altså vær opmærksom på, at selvom du ikke kontraktuelt har et
ansvar, så vil du komme til at stå som 'bussemanden'.

> Det er så afgjort firma C der sidder med aben hvis noget går
> galt, og det er også deres internationale kundedatabase der
> kommer til at stå piv-åben hvis noget går galt.

Ja, enig, men pas igen på. Hvis du står som kontaktperson, så opfatter
brugerne dig som 'ejer', og du vil selv blive ramt af 'aben'.


--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

<snip>
>> Det er så afgjort firma C der sidder med aben hvis noget går
>> galt, og det er også deres internationale kundedatabase der
>> kommer til at stå piv-åben hvis noget går galt.
>
> Ja, enig, men pas igen på. Hvis du står som kontaktperson, så
> opfatter brugerne dig som 'ejer', og du vil selv blive ramt af
> 'aben'.
<snip>

Den eneste grund til at det er mig der får første opkald er, at
jeg er den eneste i firmaet der kan fortælle dem om det er en
fejl 40 eller der er noget reelt problem, men jeg skal huske at
gøre hvad jeg kan for at blive "skrevet ud".

Tak for den store hjælp!

Jeg har fået et par gode tips andetsteds fra:

Køb en sikkerhedsanalyse af systemet før det sættes i drift.

Smid hele LAN-ideen ud, og få web-delen hostet ude i byen.

Nu må vi se hvad han siger i morgen...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd7b330$2$132$edfadb0f@dtext02.news.tele.dk...
> Nu må vi se hvad han siger i morgen...

Det kunne da være meget spændende at høre enden, eller fortsættelsen, af
sagen.
Held og lykke.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

> Hej.
>
> "Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in
> message news:3dd7b330$2$132$edfadb0f@dtext02.news.tele.dk...
>> Nu må vi se hvad han siger i morgen...
>
> Det kunne da være meget spændende at høre enden, eller
> fortsættelsen, af sagen.
> Held og lykke.
<snip>

Konklusionen lyder:

De, der vedligeholder hovedserveren vil kun være med, hvis
web-serveren kommer i en DMZ, eller helst helt ud af huset.

Der er ingen der har tænkt på at lave et sikkerhedsaudit, før nu.

Der kigges på hosting ude i byen, for der er heller ikke (viser
det sig) sat penge af til en admin til web-maskinen.

Hjælp, jeg er omringet af IT-mongoler.

Fortsættelse følger...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd8cee8$0$132$edfadb0f@dtext02.news.tele.dk...
> De, der vedligeholder hovedserveren vil kun være med, hvis
> web-serveren kommer i en DMZ

Lyder som en god ide.

>, eller helst helt ud af huset.

Se længere nede.

>
> Der er ingen der har tænkt på at lave et sikkerhedsaudit, før nu.

Heller ikke intern sikkerhedstest hos udviklerne?

>
> Der kigges på hosting ude i byen, for der er heller ikke (viser
> det sig) sat penge af til en admin til web-maskinen.

Vær opmærksom på, at hvis web-serveren skal have databaseadgang til
'hovedserveren', så løser det ikke jeres problem med sikkerhed. Kun hvis i
får en direkte linie, VPN eller lign. fra web-server til hovedserver.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

<snip>
>> Der er ingen der har tænkt på at lave et sikkerhedsaudit, før
>> nu.
>
> Heller ikke intern sikkerhedstest hos udviklerne?

I et to-mands udviklerteam der lever i skuffen hos en mand med
10+ skuffeselskaber på samme adresse som hans egl. hovedfirma, I
think not...

>>
>> Der kigges på hosting ude i byen, for der er heller ikke
>> (viser det sig) sat penge af til en admin til web-maskinen.
>
> Vær opmærksom på, at hvis web-serveren skal have databaseadgang
> til 'hovedserveren', så løser det ikke jeres problem med
> sikkerhed. Kun hvis i får en direkte linie, VPN eller lign. fra
> web-server til hovedserver.
<snip>

Det ser ud til at det bliver med intern hosting, og en DMZ til
web-serveren.

Udviklerne har i øvrigt nægtet at svare på
sikkerhedsspørgsmålene, med henvisning til at en af vores
medarbejdere (mig) har et "religionsproblem"!

For min skyld kan de skrive det i Comal 80 på en C64, hvis bare
det er sikkert...

Når det en gang bliver færdigt ruller den store sikkerhedstest
ud, og så må vi se om de dumper den (der kommer en ekstern
sikkerhedsekspert på :) - hvis de dumper den får de systemet
tilbage med besked på at rette alle de fundne fejl, og sådan kan
vi så blive ved...

Kort sagt, jeg /fik/ skabt opmærksomhed på sikkerheden.

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen <thomasaf@mail.tele.dk> wrote:
> Udviklerne har i øvrigt nægtet at svare på
> sikkerhedsspørgsmålene, med henvisning til at en af vores
> medarbejdere (mig) har et "religionsproblem"!

Lyder som I skulle finde et andet firma til at lave opgaven for jer foer
den kommer saa godt i gang, at det ikke saadan er lige at skifte
leverandoer.

> Når det en gang bliver færdigt ruller den store sikkerhedstest
> ud,

De skal have udleveret sikkerhedsretningslinier foer udviklingen gaar i
gang, og naar opgaven saa er faerdig skal jeres sikkerhedskonsulent
holde loesningen op imod de givne sikkerhedskrav.

Jeres fremgangsmaade vil resultere i en masse boevl.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

> Thomas Alexander Frederiksen <thomasaf@mail.tele.dk> wrote:
>> Udviklerne har i øvrigt nægtet at svare på
>> sikkerhedsspørgsmålene, med henvisning til at en af vores
>> medarbejdere (mig) har et "religionsproblem"!
>
> Lyder som I skulle finde et andet firma til at lave opgaven for
> jer foer den kommer saa godt i gang, at det ikke saadan er lige
> at skifte leverandoer.

Det kan vi ikke, da løsningen er en del af en større
virksomhedshandel (vi er blevet købt, og det er den gamle ejer
der /skal/ levere en ny løsning som en del af handlen). Jeg tror
den nye løsning ender med at blive /meget/ midlertidig, men man
ved jo aldrig

>> Når det en gang bliver færdigt ruller den store sikkerhedstest
>> ud,
>
> De skal have udleveret sikkerhedsretningslinier foer
> udviklingen gaar i gang, og naar opgaven saa er faerdig skal
> jeres sikkerhedskonsulent holde loesningen op imod de givne
> sikkerhedskrav.

Der er ikke på forhånd lavet specifikke sikkerhedskrav, og før
jeg gjorde det, heller ikke stillet spørgsmål i forbindelse med
sikkerheden...

> Jeres fremgangsmaade vil resultere i en masse boevl.

Ja, men jeg har ikke haft de store muligheder for at påvirke det
før længe efter handlen allerede /var/ indgået, og har heller
ikke på noget tidspunkt haft adgang til alle papirer. Jeg
forsøger blot at redde stumperne...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen wrote:
> medarbejdere (mig) har et "religionsproblem"!

Blot nysgerrig, hvilket religionsproblem?


--
Christian E. Lysel, http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> Thomas Alexander Frederiksen wrote:
>> medarbejdere (mig) har et "religionsproblem"!
>
> Blot nysgerrig, hvilket religionsproblem?

Jeg er Unix-bruger, og udvikleren er Windows-bruger, derfor mener
han åbenbart at alt hvad jeg kan stille af sikkerhedsspørgsmål
udelukkende er udtryk for at jeg ville foretrække en løsning
baseret på Unix (eller som han siger det, Linux)...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3ddd6638$0$82079$edfadb0f@dtext01.news.tele.dk...
> Christian E. Lysel wrote:
>
> > Thomas Alexander Frederiksen wrote:
> >> medarbejdere (mig) har et "religionsproblem"!
> >
> > Blot nysgerrig, hvilket religionsproblem?
>
> Jeg er Unix-bruger, og udvikleren er Windows-bruger, derfor mener
> han åbenbart at alt hvad jeg kan stille af sikkerhedsspørgsmål
> udelukkende er udtryk for at jeg ville foretrække en løsning
> baseret på Unix (eller som han siger det, Linux)...

Så kan du fortælle ham, at det principielt er ligegyldigt, om man udvikler
web systemer på en Windåse, *nix, Mainframe eller andet. Problemstillingerne
omkring sikkerhed er de samme. Forskellen er nok mere, at inden for
professionel edb er sikkerhed en naturlig del af et projekt, og ikke noget
man 'pludselig opdager'.


--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

<snip>
> Så kan du fortælle ham, at det principielt er ligegyldigt, om
> man udvikler web systemer på en Windåse, *nix, Mainframe eller
> andet. Problemstillingerne omkring sikkerhed er de samme.
> Forskellen er nok mere, at inden for professionel edb er
> sikkerhed en naturlig del af et projekt, og ikke noget man
> 'pludselig opdager'.
<snip>

Endnu et guldkorn jeg straks har skrevet ud

Desværre er det jo hen ad vejen blevet bekræftet at det nok er
IT, men ikke professionelt (desværre heller ikke det der foregik
på vores side af bordet...).

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Thomas Alexander Frederiksen wrote:
>>Blot nysgerrig, hvilket religionsproblem?
> Jeg er Unix-bruger, og udvikleren er Windows-bruger, derfor mener
> han åbenbart at alt hvad jeg kan stille af sikkerhedsspørgsmål
> udelukkende er udtryk for at jeg ville foretrække en løsning
> baseret på Unix (eller som han siger det, Linux)...

Det må være dejligt for en udvikler at kunne afvise sikkerhedsspørgsmål
med at du jo er Linux-bruger.

Fik han/hun lov til dette?


--
Christian E. Lysel, http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> Thomas Alexander Frederiksen wrote:
>>>Blot nysgerrig, hvilket religionsproblem?
>> Jeg er Unix-bruger, og udvikleren er Windows-bruger, derfor
>> mener han åbenbart at alt hvad jeg kan stille af
>> sikkerhedsspørgsmål udelukkende er udtryk for at jeg ville
>> foretrække en løsning baseret på Unix (eller som han siger
>> det, Linux)...
>
> Det må være dejligt for en udvikler at kunne afvise
> sikkerhedsspørgsmål med at du jo er Linux-bruger.
>
> Fik han/hun lov til dette?

Tjaeh, bum-bum. Åbenbart, men det hævner sig jo nok når systemet
skal sikkerhedsgodkendes (jeg ved godt at alting er bagvendt i
hele denne proces, men jeg har ikke været i stand til at vende
den om).

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd68884$0$124$edfadb0f@dtext01.news.tele.dk...
> over hele landet. Der er i det eksisterende system
> personfølsomme data på kunderne, og udviklerne er kommet med

Vær opmærksom på, at hvis der er tale om personfølsomme, eller nu kaldet
person henførbare, data i systemet, så er der nogle helt specifikke lovkrav,
der gælder.
Her er det principielt ikke dig, der skal påpege en risiko, det er
dataleverandøren, der skal overholde lovgivningen.
Altså første spørgsmål: Har man taget højde for persondata loven?
Næste spørgsmål: Har man sikret sig, at brugere kun kan se egne data
(kontrol af login mod egne data )?

NB: Jeg er ikke jurist, og ovenstående kan virke som dobbeltkonfekt. Så vidt
jeg lige husker, så omhandler persondata loven kun videregivelse af data til
3. part, samt krav til logning af adgang, forespørgsler osv.
Her vil jeg naturligvis blive glad, hvis der er nogle, der vil uddybe.

> interessante udsagn som "selv om der er lokalnetforbindelse
> mellem web-serveren og hovedserveren, vil de der hacker
> web-serven ikke kunne tilgå data på hovedserveren"...

Det kan godt være sandt, men har web-serveren adgang til 'hovedserveren'?
og, hvad mener du med hovedserveren, er det applikationsserveren,
databaseserver eller begge dele i samme æske?

>
> Det fysiske setup ser sådan ud:
>
> Hovedserver -> web-server -> internet (xDSL).
Router/firewalls?

> Den nye webløsning bliver lavet i asp.net, og skal derfor køre på
> en MS-Server af en art (hvilken har jeg ikke fået oplyst, men
> jeg gætter på W2K).

Der er nok nogle, der bliver sure, men når man taler om asp, så er der
desværre en rimelig sandsynlighed for, at de bagvedliggende faglige
kompetancer ikke er så store som forventet.
Altså kontrollér specielt for følsomhed over for sql-injection, malicious
scripting etc.

> Den gamle løsning, der kun lider af den fejl
> at den ikke kan kommunikere med hovedserveren, har kørt uden
> indbrud de sidste to år, og kører på en linux-box.

Skal det forstås, så den 'nye' løsning får adgang til 'hovedserveren'?

> Dertil kommer ringe uptime, som jo ikke er et sikkerhedsproblem.

Jo, hvis nedetid medfører, at kunder forsvinder, så er det i allerhøjeste
grad en risiko.

> Hvordan kan jeg bedst uddybe de to ovenstående punkter på en måde
> der understreger at man ikke "bare lige" kan smække en
> W2K-server op på nettet uden risiko for angreb, og hvorfor en
> unix-baseret løsning sandsynligvis indeholder færre remote
> exploits (Der bør her nævnes at Solaris i forvejen indgår i
> sysadmins daglige arbejde, hvorfor han er i stand til at holde
> en unix-boks up to date på softwaresiden...).

Ud fra din korte beskrivelse, kan du kun få de ovenstående hints. Disse
hints er principielt gældende uanset om du køre på M$,*nix eller Mainframe.

> Kort sagt, hvordan kan jeg få dem til ikke at lave noget der
> potentielt set bringer kundernes personlige data i så åben en
> position som de er ved at komme i?

Lav en risiko analyse, og forelæg resultatet for ledelsen.
Her er der en ganske god vejledning i DS 484 - II appendix B.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

> Hej.
>
> "Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in
> message news:3dd68884$0$124$edfadb0f@dtext01.news.tele.dk...
>> over hele landet. Der er i det eksisterende system
>> personfølsomme data på kunderne, og udviklerne er kommet med
>
> Vær opmærksom på, at hvis der er tale om personfølsomme, eller
> nu kaldet person henførbare, data i systemet, så er der nogle
> helt specifikke lovkrav, der gælder.
> Her er det principielt ikke dig, der skal påpege en risiko, det
> er dataleverandøren, der skal overholde lovgivningen.
> Altså første spørgsmål: Har man taget højde for persondata
> loven? Næste spørgsmål: Har man sikret sig, at brugere kun kan
> se egne data (kontrol af login mod egne data )?

Meget gode spørgsmål, jeg vil umiddelbart gætte på et nej...

<snip>
>> interessante udsagn som "selv om der er lokalnetforbindelse
>> mellem web-serveren og hovedserveren, vil de der hacker
>> web-serven ikke kunne tilgå data på hovedserveren"...
>
> Det kan godt være sandt, men har web-serveren adgang til
> 'hovedserveren'? og, hvad mener du med hovedserveren, er det
> applikationsserveren, databaseserver eller begge dele i samme
> æske?

Hovedserveren kører en eller anden proprietær database, og
modtager login fra en blanding af tynde klienter og pc'er med et
teminalprogram.

>>
>> Det fysiske setup ser sådan ud:
>>
>> Hovedserver -> web-server -> internet (xDSL).
> Router/firewalls?

Det er der vist heller ikke nogen der har taget stilling til.

>> Den nye webløsning bliver lavet i asp.net, og skal derfor køre
>> på en MS-Server af en art (hvilken har jeg ikke fået oplyst,
>> men jeg gætter på W2K).
>
> Der er nok nogle, der bliver sure, men når man taler om asp, så
> er der desværre en rimelig sandsynlighed for, at de
> bagvedliggende faglige kompetancer ikke er så store som
> forventet. Altså kontrollér specielt for følsomhed over for
> sql-injection, malicious scripting etc.

Noteret

>> Den gamle løsning, der kun lider af den fejl
>> at den ikke kan kommunikere med hovedserveren, har kørt uden
>> indbrud de sidste to år, og kører på en linux-box.
>
> Skal det forstås, så den 'nye' løsning får adgang til
> 'hovedserveren'?

Direkte CAT5 mellem maskinerne...

>> Dertil kommer ringe uptime, som jo ikke er et
>> sikkerhedsproblem.
>
> Jo, hvis nedetid medfører, at kunder forsvinder, så er det i
> allerhøjeste grad en risiko.

Jeps, det er rigtigt nok.

<snip>
>> Kort sagt, hvordan kan jeg få dem til ikke at lave noget der
>> potentielt set bringer kundernes personlige data i så åben en
>> position som de er ved at komme i?
>
> Lav en risiko analyse, og forelæg resultatet for ledelsen.
> Her er der en ganske god vejledning i DS 484 - II appendix B.
<snip>

Den må jeg lige se om jeg kan få dem til at financiere...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd6b514$2$132$edfadb0f@dtext01.news.tele.dk...
> Hovedserveren kører en eller anden proprietær database, og
> modtager login fra en blanding af tynde klienter og pc'er med et
> teminalprogram.

Det lyder som en terminalbaseret unixløsning.

> >> Hovedserver -> web-server -> internet (xDSL).
> > Router/firewalls?
>
> Det er der vist heller ikke nogen der har taget stilling til.

Huuh, det lyder extremt farligt. Mener du dermed, at man forventer bare at
åbne corporate LAN for omverdenen?

Normalt plejer man(i de kredse jeg kommer i) at placere webserveren i DMZ,
og Database serveren på Corporate LAN. Applikationsserverens placering
skifter lidt mellem DMZ og Corporate LAN.

> > Skal det forstås, så den 'nye' løsning får adgang til
> > 'hovedserveren'?
>
> Direkte CAT5 mellem maskinerne...

Jeg mente ikke fysisk, men om webserveren har adgang til hoved databasen.

>
> Den må jeg lige se om jeg kan få dem til at financiere...

Ja, det er noget fis, det koster penge. Det forhindrer mig desværre i at
poste den her.
Men de par småpenge burde vel ikke betyde det store i forhold til at starte
et usikkert system.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

> Hej.
>
> "Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in
> message news:3dd6b514$2$132$edfadb0f@dtext01.news.tele.dk...
>> Hovedserveren kører en eller anden proprietær database, og
>> modtager login fra en blanding af tynde klienter og pc'er med
>> et teminalprogram.
>
> Det lyder som en terminalbaseret unixløsning.

Sikkert, deres web-løsning kører slowlaris...

Mit gæt er at hovedserveren kører solaris + noget sql med en
proprietær overbygning - systemet er alt andet end helt nyt...

>> >> Hovedserver -> web-server -> internet (xDSL).
>> > Router/firewalls?
>>
>> Det er der vist heller ikke nogen der har taget stilling til.
>
> Huuh, det lyder extremt farligt. Mener du dermed, at man
> forventer bare at åbne corporate LAN for omverdenen?

Jeps.

> Normalt plejer man(i de kredse jeg kommer i) at placere
> webserveren i DMZ, og Database serveren på Corporate LAN.
> Applikationsserverens placering skifter lidt mellem DMZ og
> Corporate LAN.

Her kommer webserveren tilsyneladende til at stå direkte på
corporate LAN...

>> > Skal det forstås, så den 'nye' løsning får adgang til
>> > 'hovedserveren'?
>>
>> Direkte CAT5 mellem maskinerne...
>
> Jeg mente ikke fysisk, men om webserveren har adgang til hoved
> databasen.

Den skal blot være en front-end for hoveddatabasen, så det må
være et ja (alle data skal hives direkte fra hoveddatabasen når
en kunde logger ind, og skal så skrives direkte tilbage ved
bestilling).

>>
>> Den må jeg lige se om jeg kan få dem til at financiere...
>
> Ja, det er noget fis, det koster penge. Det forhindrer mig
> desværre i at poste den her.
> Men de par småpenge burde vel ikke betyde det store i forhold
> til at starte et usikkert system.
<snip>

Jeg /har/ sendt en mail med request for bogindkøb

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd6bc67$0$148$edfadb0f@dtext01.news.tele.dk...
> Den skal blot være en front-end for hoveddatabasen, så det må
> være et ja (alle data skal hives direkte fra hoveddatabasen når
> en kunde logger ind, og skal så skrives direkte tilbage ved
> bestilling).

Nu kender jeg ikke systemet og udviklerne, men hvis jeg prøver at tyde dit
ordvalg:
'..at man ikke "bare lige" kan smække en
W2K-server..'
....Det er der vist heller ikke nogen der har taget stilling til...'
'..> forventer bare at åbne corporate LAN for omverdenen?
Jeps...'

Får mig til at frygte, at der kan være tale om amatører. Hvis det er
tilfældet, så risikerer i en ny 'Harald Nyborg'.

Hvis det er tilfældet, bør man nok få foretaget en sikkerhedsaudit, med
speciel fokus på 'kode granskning'.

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen wrote:

<snip>
> Nu kender jeg ikke systemet og udviklerne, men hvis jeg prøver
> at tyde dit ordvalg:
> '..at man ikke "bare lige" kan smække en
> W2K-server..'
> ...Det er der vist heller ikke nogen der har taget stilling
> til...' '..> forventer bare at åbne corporate LAN for
> omverdenen? Jeps...'
>
> Får mig til at frygte, at der kan være tale om amatører. Hvis
> det er tilfældet, så risikerer i en ny 'Harald Nyborg'.

Det er folk der har lavet lidt forskelligt hen ad vejen, men jeg
tror nok amatører er en dækkende betegnelse alligevel

> Hvis det er tilfældet, bør man nok få foretaget en
> sikkerhedsaudit, med speciel fokus på 'kode granskning'.
<snip>

Den er noteret!

Jeg ved ikke rigtigt om jeg skal græde eller grine, jeg har netop
fået fat på specifikationspapirerne (skrevet af udviklerne...),
og sikkerhed er ikke nævnt med et ord. Til gengæld er det altså
blevet besluttet at placere web-serveren på LAN for at "afskære
et forsikende led" i kundens bestilling...

I have no DS 484 and I must analyse security...

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
..dk-hierakiet har ikke nok spændende X-headers.

---

Hej.

"Thomas Alexander Frederiksen" <thomasaf@mail.tele.dk> wrote in message
news:3dd6c145$0$139$edfadb0f@dtext02.news.tele.dk...

> I have no DS 484 and I must analyse security...

For lige at sætte forventningerne, så er DS 484-I+II IKKE en lærebog i
sikkerhed. Du skal mere forvente en rimelig fyldig checkliste.
DS484 - II omhandler skærpede krav, og er derfor (næsten) ubrugelig uden -
I.
I mange afsnit i II'eren står der eksempelvis 'Ingen skærpede krav', hvilket
betyder at I'eren er gældende.

Jeg håber ikke, at jeg krænker nogen copyright ved at citere fra
'Gyldighedsområde' (= Målgruppen):
<citat - I>
1.2 Gyldighedsområde

Normen finder anvendelse inden for planlægning, projektering, opbygning og
opretholdelse af tekniske

og administrative sikringsforanstaltninger til forøgelse af sikkerheden for
edb-systemer og -anlæg.

Normen er udarbejdet til støtte for virksomheder og enkeltpersoner, som har
anskaffet eller vil anskaffe

edb-anlæg. Den kan anvendes af personer med ansvar for drift og
IT-sikkerhed, arkitekter, planlæggere,

ingeniører, revisorer og konsulenter, der skal rådgive om edb-teknisk
sikkerhed.

Normen skal anvendes som referenceramme for ledere og medarbejdere med
ansvar for indførelse eller

vedligeholdelse af edb-sikkerhed.

Normen tager primært sigte på administrativ databehandling. Specielle krav
til edb-udstyr til styringsog

reguleringsformål i fx procesindustrien eller inden for apparatområdet er
ikke beskrevet.

</citat - I>

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

In article <3dd6b514$2$132$edfadb0f@dtext01.news.tele.dk>, Thomas Alexander Frederiksen wrote:
>>> Det fysiske setup ser sådan ud:
>>>
>>> Hovedserver -> web-server -> internet (xDSL).
>> Router/firewalls?
>
> Det er der vist heller ikke nogen der har taget stilling til.
....
>> Skal det forstås, så den 'nye' løsning får adgang til
>> 'hovedserveren'?
>
> Direkte CAT5 mellem maskinerne...

Dett er TOTALT uacceptabelt. Ingen seriøse virksoomhaderlaver noget
sådan. I skal have en firewall, og så skal maskinen smides ud i en
DMZ, og der skal kun åbnes for port 80, og måske 443 fra
Internet til maskinen, og en enkelt port til databasen fra
DMZ og ind.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

Stig Johansen skrev:

> Lav en risiko analyse, og forelæg resultatet for ledelsen.
> Her er der en ganske god vejledning i DS 484 - II appendix B.

RFC 2196 (Site Security Handbook) kan også stadigvæk bruges:

<URL: http://rfc.sunsite.dk/rfc/rfc2196.html >
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Thomas Alexander Frederiksen skrev:

I tilfælde af at du ikke kan slippe af med Windows-serveren, kan du nok
bruge nogle af linksene til dokumentation og diverse tips og tricks.

> Den nye webløsning bliver lavet i asp.net,

Så er det nok en god ide at kaste denne url efter udviklerne, eventuelt
selv at læse den så du kan stille plagsomme spørgsmål til dem:

Building Secure ASP.NET Applications

<URL: http://www.microsoft.com/downloads/release.asp?ReleaseID=44047 >

> og skal derfor køre på en MS-Server af en art (hvilken har jeg ikke
> fået oplyst, men jeg gætter på W2K).

Hent Security Operations Guide for Windows 2000 Server (bog og tilhørende
scripts):

<URL: http://www.microsoft.com/downloads/release.asp?releaseid=37123 >
<URL: http://www.microsoft.com/downloads/release.asp?releaseid=36834 >

Find meget mere relevant information og værktøjer på:

<URL: http://microsoft.com/technet/security/ >

Deltag i dette MS-seminar i Bella centeret, om sikring af IIS webserveren
den 19/11-2002. Martin Kiær fra Interprise Consulting underviser:

<URL: http://web02.microsoft.se/events/eventreg/dk/eventInformation.asp?eventID=4934 >

Som julegave fra MS får du, udover seminaret, en USB MS Notebook Optical
Mouse. Det er gratis at deltage, sidste tilmelding er 18/11-2002.

Her er linksene til de Knowledge Base artikler Martin Kiær henviser til
under seminaret (powerpoint præsentationen kan ikke findes på
microsoft.dk/technet endnu. Linksene er skrevet i den rækkefølge de næv-
nes under seminaret):

<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q164882 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q254728 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q280383 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q187506 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q310361 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q313437 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q264921 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q177429 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q301464 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q288309 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q218180 >
<URL: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q300549 >

NSA har et par anbefalinger omkring opsætning af W2K:

<URL: http://nsa2.www.conxion.com/win2k/download.htm >

Sans.org har en række gode dokumenter om W2K:

<URL: http://rr.sans.org/win2000/win2000_list.php >

Kig dig rundt i SANS Reading Room for at finde yderligere information om
f.eks. databaser:

<URL: http://rr.sans.org/index.php >

Philip Cox har begået et forholdvist kort dokument om hvordan man hardner
W2K: <URL: http://systemexperts.com/tutors/hardenWin2K.pdf > (du vil sik-
kert more dig over side 2).

Hent diverse eksempler og IPSec-filtre her:
<URL: http://systemexperts.com/win2k/HardenWin2K.html >
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >