Per Hellqvist om IT-säkerhet och sånt

Ibland läser jag något som får nackhåren att resa sig. I en artikel på IDG idag som egentligen handlar om Microsofts replik till Googles mycket märkliga utspel om att de byter till Mac för att “höja den interna säkerheten” kan vi avnjuta dagens (hittills) mest korkade uttalande. Vi måste komma ihåg att det rör sig om ett citat, så det kan vara feluppfattat/felöversatt/förvrängt, men enligt arktikeln säger Andrew Storms på NCircle Security följande idioti: “– Om du flyttar ut hela ditt företag till molnet så spelar de anställdas operativsystem inte så stor roll. Varför ska ett företag då (…)  hantera säkerhetsuppdateringar, säger Andrew Storms.”

Suck… Den som arbetar med säkerhet och tror att en flytt till molnet kommer göra det interna säkerhetsarbetet överflödigt borde syssla med nåt annat. Bara för att man samlar applikationerna i browsern gör inte operativsystemet säkrare. Visst, ju färre applikationer du har installerade på din dator desto färre möjliga säkerhetshål blir det ju totalt sett. Men risken går inte mot noll. Den flyttas istället.

I och med molntjänster så ökar istället fokus på säkerheten i webbläsarna. Då allt mer ska köras i dem så blir det alltmer intressant för elakingarna att komma in den vägen. Deras fokus har redan i flera år legat på just webbläsarna. Man riktar in sig på sårbarheter i insticksprogram, hjälpprogram och själva webbläsarens kod. Så, tvärtemot vad Andrew verkar ha sagt så ÖKAR istället behovet av att snabbt och effektivt kunna hantera säkerhetsuppdateringar när man går över till molnet-tjänster.

Och arbetar man med säkerhet och tycker att Mac är “säkert” så har man inte fattat någonting. Jag sökte i Symantecs Deepsight-tjänst på nya sårbarheter i Safari mellan den 3 juni 2009 och den 3 juni 2010. Svaret? Hela 89(!) sårbarheter publicerades under den perioden. Internet Explorer hade under samma period 69 nya sårbarheter. Och då har jag räknat in ALLA versioner av Internet Explorer och Safari. Söker man på nya sårbarheter i Mac OS X ett år tillbaka så får man över 100 svar (sökmotorn ger max 100 svar på en generell sökning). Motsvarande för Windows 7 är 30 sårbarheter, Vista 75 sårbarheter och gamla XP 79 sårbarheter.

Så, baserar man sitt säkerhetstänkande på antalet sårbarheter i en applikation eller i ett operativsystem så verkar det onekligen säkrast att köra Internet Explorer på Windows 7. Till och med XP framstår som ett säkrare alternativ än Mac i det perspektivet.

Och hur kan man tro att molntjänster gör att säkerheten i hela operativsystem helt plötsligt är ointressant när man kör mer molntjänster? Så länge du använder Internet eller har andra typer av uppkopplingar så är du nåbar/hackbar. Så länge du kan ta emot e-post så är du hackbar/infekterbar. Så länge du kan surfa så är du hackbar/infekterbar. Så länge du kan installera program så är du hackbar/infekterbar. Molntjänster förändrar INGET av detta.

Kör du som vanlig användare på en Windows-maskin som har de senaste säkerhetsuppdateringarna för operativsystem och applikationer så är du mycket svår att attackera. Tyvärr så slarvas det rejält med dessa enkla kostnadsfria säkerhetshöjande åtgärder och vi sitter i denna soppa.

Sen måste man också räkna in det som generellt kallas för “risk”. Risken att råka ut för en attack är långt mycket större för en Windows-användare än en Mac-användare. Men det har inte med säkerheten i systemet att göra. Det har med attackerarna att göra. Det är långt mycket bättre och långt mycket mer fördelaktigt att skriva attacker till Windows än Mac. Det finns helt enkelt långt långt många fler potentiella offer.

Men att byta till Mac bara på grund av den parametern är som att parkera bilen i ett mörkt hörn av parkeringsplatsen för att man inte tror att tjuven ska se den där.

Nej, ett beslut att använda en viss produkt eller ett visst operativsystem måste tas på många olika grunder. Totalekonomi, enkelhet, applikationsstöd, säkerhet är några av de faktorer som måste beaktas.

Taggar: Apple, Firefox, Intrång, Intressant, Korkat, Läsvärt, Säkerhetshål, Trams, Webbläsare

Kommentarer

7 kommentarer to “Dagens mest korkade uttalande”

  1. Sergio Molero on June 3rd, 2010 10:32

    Amen!

  2. Vladimir on June 4th, 2010 16:27

    Per jag har stor respekt på din blogg, men kan du förklara varför du ogillar så starkt både moln och Mac, jag följer din blogg jag har sett dig flera gånger uttala dig negativt om detta.

    Dina jämförelser känns vinklade dessutom för att nå ut med din poäng att oavsett hur man gör sitter man i osäkerhets-gröten.

    Och jag undrar vilken smartskalle har kommit på att mäta produktens säkerhets-kvalité genom antal upptäckta säkerhetsbuggar? Även om du jämför antal buggar varför har du inte tagit hänsyn till hur pass allvarliga och sannolikt jämförbara är dessa buggar? och vad hände med användare som inte kör Internet Explorer i Windows utan Chrome, Opera, Firefox alt. whatever.

    Låt mig bygga en egen webbläsare som bara jag använder: 0 buggar upptäckta = supersäkert, hurra!

    Jag tycker många parametrar bör vägas in för att avgöra att produkten håller godkänd kvalité när det gäller säkerhet som även omfattar hur bra användare uppfattar produkten.

    Jag tycker det är tråkigt att många säkerhetspecialister ser både sitt yrke och säkerheskravställning som en separat fenomen som måste finnas i alla produkter. Varför inte pratar termer i kvalité, där säkerhet är synonym.

    Så varför inte försöka bryta ner vad Andrew menade:
    – kan det var så genom att centralisera skrivbordsapplikationer blir det lättare att uppdatera samtliga applikationer, exempelscenario att man bytt ut skrivbord-Office-program mot Google Docs.
    – Själva applikationsklienten blir tunn och enligt min resonemang var detta bl.a. vinsterna.

    Och så har jag personligen uppfattar dig mer objektiv om du inte använde din arbetsgivarens verktyg som exempel när du generaliserar ditt säkerhetstänk. Det känns vinklat och reklam. Varför kan du inte använda öppna tjänster som majoriteten av dina blogg-läsare har tillgång till?

  3. Daniel Andersson on June 12th, 2010 00:44

    Jag läste ett rätt korkat uttalande av en viss expert på datasäkerhet hos företaget Symantec: “Per Hellqvist ger rådet att vara noga när det är dags att välja lösenord och inte falla för att välja ett alternativ som är lätt att komma ihåg. I stället kan det vara bättre att ha lösenorden uppskrivna på en lapp vid datorn.” http://www.dn.se/nyheter/sverige/vanligt-med-intrang-pa-facebook-1.1120695

  4. admin on June 14th, 2010 11:17

    Vladimir: Dina frågor var kanon! Det blir för långt att svara här, så jag gör ett blogginlägg med mina svar inklippta.

    Daniel: Japp. Nu blev inte texten exakt som jag sa (jag sa att de ska vara lätta att komma ihåg, men svåra att gissa). Men jag står för att det faktiskt är bättre att ha svåra lösenord uppskrivna än att använda lösenord som är lätta för andra att gissa/knäcka. Risken att du får inbrott hemma eller blir av med plånboken (och nån gissar sajten som lösenordet går till) är långt mycket mindre än alternativet.

    Dessutom: Något annat att tänka på är vad man väljer som lösenordsledtråd. Det är ofta enkelt att gissa/veta vad din mamma hette som ogift, eller vad ditt husdjur heter.

  5. Svar på läsarfråga | Säkerhet & Sånt on June 14th, 2010 11:56

    […] Dagens mest korkade uttalande […]

  6. Security guy on August 14th, 2010 22:23

    Jag håller med Per; distansattacker är dessutom vanligare än lokala ditton. Jag får ångest när jag ser folk som använder “letmein” (typ) som inloggningslösen.

    Å andra sidan är det säkrare att inte ha något lösenord alls för XP om man först inaktiverar tjänsten secondary logon…eller var det runas.. minnet börjar svika. :)

  7. Security guy on August 14th, 2010 22:27

    Per skrev:

    “Kör du som vanlig användare på en Windows-maskin som har de senaste säkerhetsuppdateringarna för operativsystem och applikationer så är du mycket svår att attackera. Tyvärr så slarvas det rejält med dessa enkla kostnadsfria säkerhetshöjande åtgärder och vi sitter i denna soppa.”

    Gillar tipset rejält. Vanligtvis brukar experterna som skriver för datortidningar skriva artiklar om hur man gör sin burk säker, de nämner alltid brandvägg, antivirus men nämner i 9 av 10 fall inte det enkla och fina tipset om att köra som vanlig användare. 10 av 10 nämner heller inte alls Software Restriction Policy (som finns i XP Pro, Windows 7 Professional och uppåt)… Antivirus kan vara bra att ha om man vill skanna sin dator då och då men något real-tidsskydd anser jag att man inte behöver om man tillämpar restriktivt konto + SRP.

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.