|
||
|
Tiistai, 5.3.2002 Suurin tietoturvariski: uteliaat työntekijätComputer Security Instituten Isossa-Britanniassa suorittaman tutkimuksen mukaan suurin tietoturvariski IT-yrityksissä löytyy talon omien työntekijöiden joukosta. 51 prosenttia tutkimukseen vastanneista IT-johtajista totesi, että sisäiset tietoturvariskit ovat yrityksissä suuremmat kuin talon ulkopuoliset. Tutkimusta rahoittaneen Oraclen mukaan yritysten tuleekin keskittää tietoturva jatkossa sisäisten riskien hallintaan tiedon salaamisen ja salasanasuojausten avulla. Oraclen mukaan tämä ei kuitenkaan ole aivan yksinkertaista, sillä 90 prosenttia yrityksistä välttää talon sisäisen tietoturvan kehittämistä erilaisten heikkojen tekosyiden vuoksi. |
|
|
Copyright © 1998-2007 - Coredump Oy. ISSN 1458-476X. |
||
loki, 5.3.2002 11:34:02
Tai no, mitä turhia niitä kyselee, ne ovat muutenkin kaikkien salasanojen sääntöjen vastaisia. Legendan mukainen keltainen-tipupuku-temppukin voisi varmaan hyvänä päivänä onnistua.
Eräällä suurella firmalla on kuulemma sellainen avainkorttiviritys suunnittelu- ja muihin kriittisiin kameravalvottuihin tiloihin, että kun huoneeseen menee kortilla, niin oven saa auki seuraavan kerran vasta vartin päästä. Onhan tuo vähän liikaa pienen yrityksen näkökulmasta, mutta eivätpähän ainakaan tipu-pukuiset ryökäleet loiki vihellellen kone kainalossa lähimpään pakettiautoon.
djankka, 5.3.2002 11:20:34
Jos yrityksessä pakotetaan käyttäjät vaihtamaan salasanansa vaikkapa kahden viikon välein, saa siitä palkinnoski pirun kuikkuisia ihmisiä, ja vaaditaaan tietty minisalasanan pituudeksi 14 merkkiä, jonka pitää sisältää numeroita, sekä pienia ja isoja kirjaimia, niin voin kuvitella että helpdesk vaihtaa nimensä "helldesk:ksi" hyvinkin äkkiä.
Kannettavien salaaminen ym toimenpiteet on ihan jees, mutta vain jos salaus toteutetaan "jollain" rautakalikalla, jota on 2 kpl ja toinen niistyä firman kassakaapissa, ja toinen "omistajan" kaulassa., softasalauksella ei luotettavasti voi vieläkään salata järjestelmätiedostoja, ja siitähän aiheutuu ongelma, ottaa vaan kovalevyn mukaan ja hakkeroi sitä sitten kotona.
Jos mietitään yritysverkon tietoturvan parantamista, puhutaan varmaankin vpn:stä tai ipsec:stä, jotka tuovat varmaan paljon mielenkiintoisia ongelmia, kun puhutaan tiedostopalvelimista, verkkojen välisistä yhteyksistä jne. Olen nähnyt muutaman tapauksen jossa verkko-ongelmat ovat olleet niin ylitsepääsemättömiä, että suojaukset on pakko llut ottaa "liiketoiminnallisista" syistä pois, ehkä johtuu tosiammattilaisten puutteesta, tai tuotteiden laadusta, siihen en ota kantaa, toisaalta toiset verkot ovat kompleksiivisempiä kuin toiset.
Olen osittain samaa mieltä että perusteet tietoturvatason nostamiseksi on monesti heikkoja.
heko, 5.3.2002 22:13:22
Itse esim. käytän jotakuinkin tällaista salasanangenerointimenetelmää:
1. Valitse sana, jonka varmasti muistat mutta jota ei ole helppo arvata, ja johon liittyy jokin numerosarja.
2. Muuta numerot erikoismerkeiksi käyttämällä ns. shift-näppäintä.
3. Jaa sana n. kahtia, sijoita erikoismerkit sanan keskelle, ja siirrä kirjaimia näppäimistöllä 1-2 merkkiä oikealle tai vasemmalle.
(Ja erinäisiä variaatioita tästä.)
Salasanaa ei tietenkään välttämättä muista hetimiten ulkoa, mutta sitä ei yleensä tarvitse kirjoittaa lapullekaan, ja sen oppii viimeistään joidenkin kirjoituskertojen jälkeen. (Jolloin on tietysti hyvä kirjoittaa ne yksin omassa rauhassaan koska tuossa vaiheessa on muuten helppo luntata. ;-)
Joka tapauksessa - alkuperäistä tekstiä tämän kerran lukematta - oma arvaukseni on, että salasanasuojauksella tarkoitetaan lähinnä sitä, että kuka tahansa ei pääse ilman salasanaa tai omalla salasanallaan mihin tahansa tietoihin käsiksi, vaan kaikki tiedot ovat oletusarvoisesti jonkun omistuksessa, ja niihin pääsee käsiksi vain niiden omistajan, antamalla oman salasanansa tai vastaavan tunnisteen.
Maailman kompleksein kryptausalgoritmi, tanakammin koodattu ja kymmeneen kertaan alusta loppuun auditoitu ipsec-implementaatio, uudesta mullistavasta fyysisestä keksinnöstä johdettu satunnaislukugenerointi ja siitä toteutettu OTP, ja tietokantapalvelimessa käytetyt non-executable stack, eip:n canary valuet, ja muut makeat kikkavitoset eivät auta pätkän vertaa, jos inhimilliset tekijät eivät ole kunnossa: esim. työntekijät ja ylläpitäjät ovat epälojaaleja ja vuotavat siksi tietoa ulos, tai jättävät kasan kriittisiä dokumentteja lojumaan kahvilan pöydälle. (No, pahin henkilökohtaisesti kuulemani oli sentään oikeasti auton katto, mutta oli kyseessä aika iso juttukin.)
Salasanaongelmaan on muitakin ratkaisuja kuin hankalasti muistettavat ja usein vaihdettavat pitkät salasanat - esim. rautaratkaisut.
Käytännössähän _olennainen_ tehtävä on aina varmistaa _oikeutettujen_ käyttäjien pääsy käsiksi johonkin tietoon. _Toissijainen_ tehtävä on siis varmistaa, että ei-oikeutetut käyttäjät eivät pääse käsiksi tietoon. Tässä voidaan mennä miten pitkälle tahansa, ja siltikin on vaikeaa ruveta puhumaan täysin "unbreakable"-systeemistä. Joka tapauksessa, jos tuo toissijainen tehtävä haittaa tilanteen huomioonottaen aivan liiaksi ensimmäistä, on jotain pielessä - varsinkin, jos tuo toissijainen tehtävä on hoidettu liian kapeakatseisesti ja jätetty jotain aivan yksinkertaisia asioita ottamatta huomioon.
Minusta optimitilanteessa tietoturvan ei pitäisi tippua jostain teknisestä taivaasta, vaan valinnan pitäisi olla kaikkien järjestelmää käyttävien yhteinen ja järkevästi perusteltu ja järkevässä suhteessa vaadittuun tietoturvan tasoon. Kun on itse sisäistänyt sen, että on yhdessä tehty valinnan tietoturvatasojen 1, 2, ja 3 välillä, tuntuu sen salasanan pänttääminenkin huomattavasti mielekkäämmältä, ja ennen kaikkea tajuaa ottaa itse paljon enemmän vastuuta siitä turvallisuudesta.
En tunne tiedostojärjestelmien salausta juurikaan. Olen ollut vain siinä käsityksessä, että nykytekniikalla kyllä onnistuu salata - ainakin joissain käyttöjärjestelmissä - ainakin kaikki tieto, jota voidaan inhimillisesti ottaen pitää salaisena. Mihin tämä väitteesi tämän mahdottomuudesta perustuu?
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
djankka, 6.3.2002 09:07:59
lainaus MS:n sivulta:
WARNING : EFS will fail encryption attempts on files with the System attribute. Administrators should not attempt to defeat this safeguard to encrypt files in the system directory. The private keys needed for decryption are not available during the boot process. Therefore, a system will be rendered unusable if its system files are encrypted. Future releases of Windows may provide secure boot capabilities that support encryption of system files. EFS is enabled for documents in Windows 2000 through an optional advanced file attribute. To implement this feature, follow these steps:
tänäpäivänä ei käynnistystiedostoja voi salata muulla kuin rautatasolla olevalla avaimella, koska se _pitää_lukea_buutin_yhteydessä_jottta tiedostot voidaan avata, ja raudan tulee tukea tätä. ehkä näämme softasalauksen 2 parin vuoden sisällä, tai sitten emme. Miksi salata systemmitiedostot ? osaava hakkeri ottaa "rekisterin" käteen kovalevyltä ja käyttää vain sitä että saa "häkättyä" koneen, jolloin aikaa kuluu vain 1/10000 osa sitiä mitä muuten menisi, esim kohtuu kokoisen firman käyttäjätunnukset / salasanat häkkää p2 tasoisella koneella alle viikossa, nopeamalla koneella luonnollisesti nopeammin, (tällöin ei ole siis käytössä kompleksit salasanat)jos et usko, niin kokeile.
Edelleenkin palaan noihin salasanoihin. Jotta järjestelmä on "turvallinen" tulee jokaisella palvelimella, palvelulla (nt service), ym olla oma tunnus / salasana. yritys jossa tällä hetkellä työskentelen, on omalla osastolla ylläpidettävänä n 120 nt / unix / solaris / vaikkamitämuutapurkkia, joten yhteenlaskettu (tietoturvallinen) käyttäjätunnuten / salasanojen määrä ylittäisi helposti tunahhen rajan, joten ei siitä tule mitään. sen takia on "kaiken avaava" tunnus lähes joka firmassa jossain käytössä, ja atk resurssit ovat myös aika rajallisia, jotta tietoa voitaisiin hajauttaa riittävästi (salasanojen puolitus) ym.
Tiedän että kärjistän asiaa turhankin paljon, mutta en voi itselleni mitään :)
Heikoin lenkki on todellakin ihminen, eli niin kauan kun joku antaa puhelimessa salasanansa / käyttäjätunnuksensa, jättää työasemansa lukitsematta, konehuoneessa olevat koneet ovat konsoli auki, sisään logattuna ! niin ei ole paljoa tehtävissä, edellisessä työppaikassa usein vitsailtiin, että jokaisesta saadusta salasanasta / tunnuksesta kun joku menettäisi duuninsa, niin ei olisi montaa enää töissä.
Allaolevia juttuja saa vapaasti käyttää "tietotason nostamiseen / maineen hankkimiseen" omassa yrityksessään, kirjoittaja ei vastaa seuraksista
lukitsematon työasema on sama kuin toisen "identiteetti", eli mitäpä jos ko henkilön työasemalla (sähköpostiosoitteella) lähetetään postia toimitusjohtajalle / henkilöstöosastolle, eli kirjallinen eroanomus. väitän että ko henkilö ei enää ikinä unohda lukita työasemaansa.
Jos "firman polittikassa" on surffaaminen rajattua esim tietyille sivuille, tai downloudaaminen ym on kiellettyä, niin lukitsematon työasema antaa taas mahdollisuuden saattaa henkilö keskustelemaan "luvattomasta internetin käytöstä"
itse voi keksiä lisää vaikka kuinka paljon.
Anonyymi kommentoija, 7.3.2002 00:02:17
djankka, 7.3.2002 12:18:32