Per Hellqvist om IT-säkerhet och sånt

Svar på läsarfråga

14 Jun 2010

Signaturen “Vladimir” skickade in en mycket bra kommentar till min bloggpost om “Dagens mest korkade uttalande“. Han hade många relevanta och intressanta frågor och jag kände att det skulle bli för långt att svara i kommentarsrutan, så jag valde att lägga upp dem som en bloggpost istället.

Här följer hans frågor och mina svar. Tack Vladimir!

Per jag har stor respekt på din blogg, men kan du förklara varför du ogillar så starkt både moln och Mac, jag följer din blogg jag har sett dig flera gånger uttala dig negativt om detta.

– Ahh, jag förstår att det kan kännas så. Men det är faktiskt tvärtom! Jag har stor respekt för både mac och moln. Vad jag vänder mig emot är skitsnacket om att mac (eller något annat operativsystem för den delen) är “bullet proof” och att allt annat är osäkert. Vad gäller molnet så finns det oerhört många fördelar (inte minst ekonomiska), men samtidigt finns det en uppsjö med saker man måste se upp med. Jag har en hel föreläsning om det.

Det mesta kan hanteras i upphandlingsfasen när man väljer leverantör och skriver kravbeskrivningen. Men helt klart är att webbläsarsäkerhet kommer stå alltmer i fokus även framledes.

Dina jämförelser känns vinklade dessutom för att nå ut med din poäng att oavsett hur man gör sitter man i osäkerhets-gröten.

– Tro mig, i min värld så känns det så. Det finns helt enkelt inte 100% säkerhet. Den som säger det ljuger. Det finns mindre risk/osäkerhet. Det man kan göra är konstant att gå igenom risker och hotbilder och bilda sig en uppfattning om vad man kan göra för att förbättra oddsen.

Titta gärna på t ex Mayfields paradox. Den säger att kostnaden för att släppa in alla i ett
tänkt system går mot oändligheten. Detsamma gäller kostnaden för att hålla alla ute ur ett system. Ok, då vet vi det. Vi har helt enkelt inte de ekonomiska medel som krävs för att uppnå 100% säkerhet (om inte annat). Vi måste acceptera intrång. Fine, då vet vi det och kan utgå från det. Vi måste istället se till att minimera skadan när det sker, att upptäcka när det sker och att kunna snabbt återställa eventuell skada.

Och jag undrar vilken smartskalle har kommit på att mäta produktens säkerhets-kvalité genom antal upptäckta säkerhetsbuggar? Även om du jämför antal buggar varför har du inte tagit hänsyn till hur pass allvarliga och sannolikt jämförbara är dessa buggar? och vad hände med användare som inte kör Internet Explorer i Windows utan Chrome, Opera, Firefox alt. whatever.

Jag tycker många parametrar bör vägas in för att avgöra att produkten håller godkänd kvalité när det gäller säkerhet som även omfattar hur bra användare uppfattar produkten.

– Precis min poäng. Man kan helt enkelt inte basera ett beslut enbart på antalet buggar. Men många (framförallt kommentatorer till nyheter) verkar tycka att det är det som avgör säkerheten. Jag försökte vara ironisk i mitt inlägg, men tydligen missade jag det :-) Sorry.

Jag tycker det är tråkigt att många säkerhetspecialister ser både sitt yrke och säkerhetskravställning som en separat fenomen som måste finnas i alla produkter. Varför inte pratar termer i kvalité, där säkerhet är synonym.

– Förstår inte riktigt vad du menar här, men jag håller med om att kodkvalitet är till stor del avgörande för säkerheten i produkten. Andra saker är till exempel APIer och andra typer av kopplingar till andra produkter. Det är lätt att det uppstår glipor där. Det finns en massa andra saker att titta på.

Så varför inte försöka bryta ner vad Andrew menade:
– kan det var så genom att centralisera skrivbordsapplikationer blir det lättare att uppdatera samtliga applikationer, exempelscenario att man bytt ut skrivbord-Office-program mot Google Docs.
– Själva applikationsklienten blir tunn och enligt min resonemang var detta bl.a. vinsterna.

– Det är just en av farorna. Alla uppdateringar i ett system eller en produkt kan föra med sig nya säkerhetsproblem. Om leverantören av molntjänsten trycker ut ny funktionalitet så har du svårt att testa den. I molntjänsterna har du mindre möjligheter till testning innan release än om du skulle ha produkten “in house”. Och skulle det smyga sig in ett säkerhetsproblem så drabbas samtliga kunder samtidigt.

Och så har jag personligen uppfattar dig mer objektiv om du inte använde din arbetsgivarens verktyg som exempel när du generaliserar ditt säkerhetstänk. Det känns vinklat och reklam. Varför kan du inte använda öppna tjänster som majoriteten av dina blogg-läsare har tillgång till?

– Tänker du på att jag hänvisar till Deepsight? Förklaringen är enkel. Det är världens största databas för den typen av information. För det mesta finns det ingen större anledning för mig att använda andra källor. I något fall finns det tillfälligtvis information på andra ställen som inte finns i Deepsight, och då hänvisar jag dit.

Slutligen:  Stort tack för dina frågor! De uppskattas verkligen! Jag hoppas att jag besvarat dem på ett sätt som du känner är ok?

Taggar: Allmänt, Apple, Intressant, Korkat, Läsvärt, Microsoft, Och sånt, Säkerhetshål

Kommentarer

4 kommentarer to “Svar på läsarfråga”

  1. Vladimir Bogodist on June 14th, 2010 17:02

    Tack för att du svarade på mina kommentarer.

    Som du själv säger skulle vi kunna fortsätta i långa diskussioner, så jag är mer än nöjd för dina svar.

    Deepsight mår vara jordens bästa plattform, men den har jag (och antagligen många andra) inte tillgång till, så det blir svårt för mig att verifiera ditt påstående, därav önskemålet om förbättrad objektivitet eller andra sätt att referera till fakta.

    Fenomet säkerhetsfolk: Det jag har svårt för är att säkerhetsmänniskor blir i vissa fall så pass paranoida så att jag vill kalla det för en sjukdom. Allting är inte svart och alla är inte skurkar. Säkerhetsområde måste bli mer användarvänligt samt lättare tillgänglig för gemene man.

    Precis som du säger innebär molnet en ny hög med utmaningar där de verkliga skräckscenarios är svåra att reproducera i en test-miljö. Så min idé var: Varför inte kvalitetssäkra respektive delkomponent i ett moln? Tänka mer i termer kvalité.

    Se till helt enkelt till att komponenterna är genomtänkta och inte bygger på dåliga principer och estimeringar. Internet är ju i ständig förändring, så rimligvis borde även säkerhetstänket behöva bli mer dynamisk.
    Kombinera lite nytänk och satsa på processer och användbara katastroff-rutiner, även om olyckan skulle vara framme i mitt moln finns det färdiga verktyg för att lindra skadans omfattning.

    och fortsätt gärna med ironin, inget fel på den, :-)

  2. Johan on June 15th, 2010 17:50

    Hmmm.. så man behöver logga in för att kunna söka I Deepsight databasen, I see. https://tms.symantec.com/Default.aspx.

    PS.
    Per, du skulle inte kunna göra en mer detaljerad blog post om hur Deepsight är uppbyggt och fungerar etc…?

  3. Johan on September 9th, 2010 16:59

    Är inte din semester slut snart Per ;), så att du kan börja blogga igen?

  4. admin on September 10th, 2010 07:09

    Sorry :-( Har kommit av mig lite… ska försöka “komma på” mig igen :-) Tack för påstötningen

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.