Taskig säkerhet
Marcus Strömberg
Kan någon med sakkunskap på området upplysa mig om FRA-medarbetarna
Petra Kleins och Vesa Virtas påståenden är värda någonting? Bristen
på konkretion är minst sagt besvärande. Visst talas det lite svepande
om "säkerhetsbrister i Windows och en dålig policy för lösenord", men
mer än så är det inte.
http://www.e24.se/dynamiskt/it_telekom/did_14043682.asp
--
Marcus
Anders Eklöf
> Kan någon med sakkunskap på området upplysa mig om FRA-medarbetarna
> Petra Kleins och Vesa Virtas påståenden är värda någonting? Bristen
> på konkretion är minst sagt besvärande. Visst talas det lite svepande
> om "säkerhetsbrister i Windows och en dålig policy för lösenord", men
> mer än så är det inte.
Det räcker väl? Kombinationen är minst sagt förödande.
Så ser det nog ut på väldigt många arbetsplatser.
Eller hade du väntat dig att de skulle avslöja detaljer som du själv
kunde utnyttja? :-)
> http://www.e24.se/dynamiskt/it_telekom/did_14043682.asp
--
I recommend Macs to my friends, and Windows machines
to those whom I don't mind billing by the hour
Anders Arnholm
Marcus Strömberg <m9...@abc.se> skriver:
>
> Kan någon med sakkunskap på området upplysa mig om FRA-medarbetarna
> Petra Kleins och Vesa Virtas påståenden är värda någonting? Bristen
> på konkretion är minst sagt besvärande. Visst talas det lite svepande
> om "säkerhetsbrister i Windows och en dålig policy för lösenord", men
> mer än så är det inte.
Jag antar att demom hade lite mer detaljer för det som fattade attt
ställa och förstå prolemet. Tänk på att detta är ett referat av ett
demo i en tidning inte riktad till tekniker utan till ekonomer. De
tekniske detaljerna blir därför inte så detaljerade.
Att kapa och ta sig in på ett företag där medarbetarna inte är kunniga
är trivialt enkelt. Som jag alltid har sagt får man virus har man tur.
Fundera på vad det kunde varit om det var något som var ute efter ditt
system? Virus skydd känner bara igen det som är allmänt, specialt
saker riktademot din viktiga information missar de helt. Har man fått
in skiten på din maskin finns det ingen brandvägg som kan skydda dig
längre det är för sent.
/ Balp
--
http://anders.arnholm.nu/ Keep on Balping
John-Henri Eklund
Marcus Strömberg <m9...@abc.se> typed:
Jag vill nog påstå att det artikeln beskriver är rena fantasier.
"Företaget" hon bryter sig in hos finns ju inte ens. Det är en demo med
av FRA uppsatta parametrar.
--
John-Henri Eklund
ma...@john-henri.nu
"Som en hund ska du leva ditt liv
din jävel, leva ditt liv och dö."
Anders Arnholm
> In news:pan.2006.11.12....@abc.se,
> Marcus Strömberg <m9...@abc.se> typed:
>> Kan någon med sakkunskap på området upplysa mig om FRA-medarbetarna
>> Petra Kleins och Vesa Virtas påståenden är värda någonting? Bristen
> "Företaget" hon bryter sig in hos finns ju inte ens. Det är en demo med
> av FRA uppsatta parametrar.
Alla företag där något fått ett virus/trojan eller virus skyddet
varnat för ett virus eller trojan. (Kanske även ad-ware) kunde
lika gärna råkat ut för denna typ av riktade intrång. Att ta sig in är
mycket enkelt. Att skydda sig, svårare.
/ Anders
John-Henri Eklund
Anders Arnholm <Ander...@Arnholm.nu> typed:
Du säger det, FRA påstår det. Jag vill fortfarande hävda att en demo där
man själv sätter upp miljön är inget annat än en demo.
En riktig test hade givetvis utförts mot en miljö där man inte känner
till parametrarna. Det finns professionella penetrationstestare som gör
det dagligen.
Glenn
+Marcus Strömberg <m9...@abc.se> wrote
>http://www.e24.se/dynamiskt/it_telekom/did_14043682.asp
Jag har själv lyssnat på ett föredrag av just Vesa, jag vet ju inte
om det var samma som det som beskrivs där, men allt han gjorde då skulle
ju utan vidare kunna göras mot ett verkligt företag också.
Han använde då bara hål det fanns patchar mot, men poängterade att det
kunde göras mot opatchade hål också.
Jag tycker inte du ska dra slutsatser för snabbt, tänk på att det du läser
är filtrerat genom en troligen totalt okunnig journalists öron och
fingrar.. Om du får möjligheten, lyssna på föredraget själv, det är
helt klart värt tiden det tar.
Det roligaste var dock nästan när han förkunnade att "Brandväggar ger
falsk säkerhet", och nog var van vid att folk skulle protestera, när
man som jag och alla som lyssnade jobbar på en arbetsplats som i
princip inte använder brandväggar så fick han inte mycket till mothugg :)
Anders Arnholm
> Du säger det, FRA påstår det. Jag vill fortfarande hävda att en demo där
> man själv sätter upp miljön är inget annat än en demo.
> En riktig test hade givetvis utförts mot en miljö där man inte känner
> till parametrarna. Det finns professionella penetrationstestare som gör
> det dagligen.
Klart att det görs på det viset sedan, och verkliga
penetrationstestare hittar denna typ av problem hos månge i
verklighetet. Sedan att göra en skarp test mot ett riktigt företag som
demo/pr stunt är nog mycket dumt. Vad jag vet jobbar FRA med att göre
dessa skarpa tester mot svenska myndigheter. (Och får viss kritik för
att de konkurerar med privata aktörer på med dessa tjänster.)
Det går så klart inte heller att uttala sig om alla företagtag som en
grupp men jag skulle vilja hävda att många saknar det skydd som
behövs. För många tror att brandväggen fixar allt. Med såndan tro är
man öppen att åka dit.
/ Balp
Marcus Strömberg
Sun, 12 Nov 2006 20:31:28 +0000 skrev Anders Eklöf:
> Eller hade du väntat dig att de skulle avslöja detaljer som du själv
> kunde utnyttja? :-)
Absolut inte. Kunskap för att kunna utnyttja sådant besitter jag
knappast, och jag anser att folks datorer ska lämnas i fred. Det som
gjorde mig nyfiken var istället hur FRA:s offentligt deklarerade omsorg
om företags, organisationers och privatpersoners datorsäkerhet ska
förstås. Kanske har någon hört att det finns ett förslag på att
låta FRA få avlyssna all trådbunden kommunikationstrafik i framtiden,
till skillnad från i dag, då myndigheten endast får spionera på sådant
som går i etern. Är medieoffensiven ett smart sätt att öka
förtroendet hos allmänheten för FRA:s snokarrobotar?
--
Marcus