Fick ett gäng PM för en post jag la på igår, dessutom har jag fått e-post från folk som läst på här på itbloggen som inte haft en aning om att itproffs finns. Så i gemensamt slag för båda platserna lämnar jag min post och en länk till diskussionen på itproffs så att alla som ramlar in här även hittar till sveriges bästa IT forum – välkomna in i diskussionen!

-Saxat från ITproffs.se

Varje gång säkerhet diskuteras är det lika intressant att läsa om. Jag har som vanligt svårt att vara tyst så ja måste blanda mig i :p

Spårbarhet idag är oftast riktigt usel, jag vågar säga i 99 % av fallen. Dom som har bättre koll på spårbarhet har oftast bättre koll på säkerhet, vilket gör att dom otroligt sällan drabbas.
 
Vi ska göra det så svårt för obehöriga att få tillträde som möjligt, men det gör vi inte. På nåt sätt har vi blivit dumma i huvet när det gäller säkerhet.
F: Hur skyddar du allting du har i ditt hem idag?
S: Jag har ett lås på ytterdörren.
Sen att man kan klirra en ruta å gå in funderar ingen på, eller att källardörren har ett lås från 1964…
På medeltiden hade du inte varit nöjd med att ha ett lås på ytterdörren. Ytterdörren hade varit minst lika bra som väggarna, fönstren hade varit gallerförsedda. För att ens ta dig till dörren måste du ta dig över vallgraven som var fylld med krokodiler. Å när du väl var vid dörren hade den varit låst med tre lås, och två reglar – ingen fan öppnar om dom inte känner igen dig och du kan lösenordet, missar du på det ena eller det andra får du antagligen kokande olja hälld över dig…
 
Ett problem till är det som Jesper påpekar. Webbhotell och hostingföretag som prisar in sig, för att sänka priset på nånting måste du nästan alltid ta bort nånting… resultatet bli inte sällan yes, next ok installationer och öppna port 80, och ingen funderar kring säkerheten eller spårbarheten.
 
Latheten bland administratörer är även den imponerade, vid handuppräckning hur många öppnar alla portar inifrån och ut i sina nät? Hur många av de attacker som varit mot webbapplikationer hade kunnat undvikas av patchning eller uppgradering till senare version? Eller ännu värre, kanske inte ha ”admin” som SA lösenord på databas servern… hur många av de som sätter upp servrar på hostingbolag å webbföretag tror ni har läst ”Windows Server 2003 Security Guide”, av de som läst den, hur många har implementerat den? Ändå sätter dom upp 2000 Windows burkar å e lacka på MS för att burken blev hackad.
 
ISA Server är lysande då den kan kolla på trafiken och endast godkänna vissa kommandon i exempelvis SMTP kommunikation, men hur många är det som har en? All är liksom bläää, MS kan inget om säkerhet… Eller ens tittat ifall deras nuvarande brandvägg kan göra nåt liknande? Nä de verkar jobbigt, å sen blir dom skitlacka igen när nån hackar deras grejer…
 
Dessutom, många av de som arbetar med säkerhet idag bryr sig för lite om burkarna i näten, dom stirrar sig blinda på nätet och dess komponenter, men bryr sig föga om mjukvaran som utnyttjar nätet.
 
Mina enklaste tips till alla som bygger lösningar idag, bygg med säkerhet i åtanke. Ja det tar längre tid, jag det är jobbigare att implementera, ja det kräver större kunskap, implementera säkerhet i lösningen från start – annars lär ni aldrig göra det.

NP: Dropkick Murphys - The State Of Massachusetts