Här följer hans frågor och mina svar. Tack Vladimir!

Per jag har stor respekt på din blogg, men kan du förklara varför du ogillar så starkt både moln och Mac, jag följer din blogg jag har sett dig flera gånger uttala dig negativt om detta.

- Ahh, jag förstår att det kan kännas så. Men det är faktiskt tvärtom! Jag har stor respekt för både mac och moln. Vad jag vänder mig emot är skitsnacket om att mac (eller något annat operativsystem för den delen) är “bullet proof” och att allt annat är osäkert. Vad gäller molnet så finns det oerhört många fördelar (inte minst ekonomiska), men samtidigt finns det en uppsjö med saker man måste se upp med. Jag har en hel föreläsning om det.

Det mesta kan hanteras i upphandlingsfasen när man väljer leverantör och skriver kravbeskrivningen. Men helt klart är att webbläsarsäkerhet kommer stå alltmer i fokus även framledes.

Dina jämförelser känns vinklade dessutom för att nå ut med din poäng att oavsett hur man gör sitter man i osäkerhets-gröten.

- Tro mig, i min värld så känns det så. Det finns helt enkelt inte 100% säkerhet. Den som säger det ljuger. Det finns mindre risk/osäkerhet. Det man kan göra är konstant att gå igenom risker och hotbilder och bilda sig en uppfattning om vad man kan göra för att förbättra oddsen.

Titta gärna på t ex Mayfields paradox. Den säger att kostnaden för att släppa in alla i ett
tänkt system går mot oändligheten. Detsamma gäller kostnaden för att hålla alla ute ur ett system. Ok, då vet vi det. Vi har helt enkelt inte de ekonomiska medel som krävs för att uppnå 100% säkerhet (om inte annat). Vi måste acceptera intrång. Fine, då vet vi det och kan utgå från det. Vi måste istället se till att minimera skadan när det sker, att upptäcka när det sker och att kunna snabbt återställa eventuell skada.

Och jag undrar vilken smartskalle har kommit på att mäta produktens säkerhets-kvalité genom antal upptäckta säkerhetsbuggar? Även om du jämför antal buggar varför har du inte tagit hänsyn till hur pass allvarliga och sannolikt jämförbara är dessa buggar? och vad hände med användare som inte kör Internet Explorer i Windows utan Chrome, Opera, Firefox alt. whatever.

Jag tycker många parametrar bör vägas in för att avgöra att produkten håller godkänd kvalité när det gäller säkerhet som även omfattar hur bra användare uppfattar produkten.

- Precis min poäng. Man kan helt enkelt inte basera ett beslut enbart på antalet buggar. Men många (framförallt kommentatorer till nyheter) verkar tycka att det är det som avgör säkerheten. Jag försökte vara ironisk i mitt inlägg, men tydligen missade jag det Sorry.

Jag tycker det är tråkigt att många säkerhetspecialister ser både sitt yrke och säkerhetskravställning som en separat fenomen som måste finnas i alla produkter. Varför inte pratar termer i kvalité, där säkerhet är synonym.

- Förstår inte riktigt vad du menar här, men jag håller med om att kodkvalitet är till stor del avgörande för säkerheten i produkten. Andra saker är till exempel APIer och andra typer av kopplingar till andra produkter. Det är lätt att det uppstår glipor där. Det finns en massa andra saker att titta på.

Så varför inte försöka bryta ner vad Andrew menade:
- kan det var så genom att centralisera skrivbordsapplikationer blir det lättare att uppdatera samtliga applikationer, exempelscenario att man bytt ut skrivbord-Office-program mot Google Docs.
- Själva applikationsklienten blir tunn och enligt min resonemang var detta bl.a. vinsterna.

- Det är just en av farorna. Alla uppdateringar i ett system eller en produkt kan föra med sig nya säkerhetsproblem. Om leverantören av molntjänsten trycker ut ny funktionalitet så har du svårt att testa den. I molntjänsterna har du mindre möjligheter till testning innan release än om du skulle ha produkten “in house”. Och skulle det smyga sig in ett säkerhetsproblem så drabbas samtliga kunder samtidigt.

Och så har jag personligen uppfattar dig mer objektiv om du inte använde din arbetsgivarens verktyg som exempel när du generaliserar ditt säkerhetstänk. Det känns vinklat och reklam. Varför kan du inte använda öppna tjänster som majoriteten av dina blogg-läsare har tillgång till?

- Tänker du på att jag hänvisar till Deepsight? Förklaringen är enkel. Det är världens största databas för den typen av information. För det mesta finns det ingen större anledning för mig att använda andra källor. I något fall finns det tillfälligtvis information på andra ställen som inte finns i Deepsight, och då hänvisar jag dit.

Slutligen:  Stort tack för dina frågor! De uppskattas verkligen! Jag hoppas att jag besvarat dem på ett sätt som du känner är ok?

Suck… Den som arbetar med säkerhet och tror att en flytt till molnet kommer göra det interna säkerhetsarbetet överflödigt borde syssla med nåt annat. Bara för att man samlar applikationerna i browsern gör inte operativsystemet säkrare. Visst, ju färre applikationer du har installerade på din dator desto färre möjliga säkerhetshål blir det ju totalt sett. Men risken går inte mot noll. Den flyttas istället.

I och med molntjänster så ökar istället fokus på säkerheten i webbläsarna. Då allt mer ska köras i dem så blir det alltmer intressant för elakingarna att komma in den vägen. Deras fokus har redan i flera år legat på just webbläsarna. Man riktar in sig på sårbarheter i insticksprogram, hjälpprogram och själva webbläsarens kod. Så, tvärtemot vad Andrew verkar ha sagt så ÖKAR istället behovet av att snabbt och effektivt kunna hantera säkerhetsuppdateringar när man går över till molnet-tjänster.

Och arbetar man med säkerhet och tycker att Mac är “säkert” så har man inte fattat någonting. Jag sökte i Symantecs Deepsight-tjänst på nya sårbarheter i Safari mellan den 3 juni 2009 och den 3 juni 2010. Svaret? Hela 89(!) sårbarheter publicerades under den perioden. Internet Explorer hade under samma period 69 nya sårbarheter. Och då har jag räknat in ALLA versioner av Internet Explorer och Safari. Söker man på nya sårbarheter i Mac OS X ett år tillbaka så får man över 100 svar (sökmotorn ger max 100 svar på en generell sökning). Motsvarande för Windows 7 är 30 sårbarheter, Vista 75 sårbarheter och gamla XP 79 sårbarheter.

Så, baserar man sitt säkerhetstänkande på antalet sårbarheter i en applikation eller i ett operativsystem så verkar det onekligen säkrast att köra Internet Explorer på Windows 7. Till och med XP framstår som ett säkrare alternativ än Mac i det perspektivet.

Och hur kan man tro att molntjänster gör att säkerheten i hela operativsystem helt plötsligt är ointressant när man kör mer molntjänster? Så länge du använder Internet eller har andra typer av uppkopplingar så är du nåbar/hackbar. Så länge du kan ta emot e-post så är du hackbar/infekterbar. Så länge du kan surfa så är du hackbar/infekterbar. Så länge du kan installera program så är du hackbar/infekterbar. Molntjänster förändrar INGET av detta.

Kör du som vanlig användare på en Windows-maskin som har de senaste säkerhetsuppdateringarna för operativsystem och applikationer så är du mycket svår att attackera. Tyvärr så slarvas det rejält med dessa enkla kostnadsfria säkerhetshöjande åtgärder och vi sitter i denna soppa.

Sen måste man också räkna in det som generellt kallas för “risk”. Risken att råka ut för en attack är långt mycket större för en Windows-användare än en Mac-användare. Men det har inte med säkerheten i systemet att göra. Det har med attackerarna att göra. Det är långt mycket bättre och långt mycket mer fördelaktigt att skriva attacker till Windows än Mac. Det finns helt enkelt långt långt många fler potentiella offer.

Men att byta till Mac bara på grund av den parametern är som att parkera bilen i ett mörkt hörn av parkeringsplatsen för att man inte tror att tjuven ska se den där.

Nej, ett beslut att använda en viss produkt eller ett visst operativsystem måste tas på många olika grunder. Totalekonomi, enkelhet, applikationsstöd, säkerhet är några av de faktorer som måste beaktas.

Detta är stora och goda nyheter. Det finns oerhört mycket vi kan göra med de delar vi nu plockar över.

De flesta av er kommer i kontakt med VeriSign varje dag. Ska du handla något på Internet eller loggar du in på någon sida där adressen börjar på “https” så använder du förmodligen ett certifikat från VeriSign även om du inte märker det. De delar vi nu köpt är certifikattjänsten för Secure Socket Layer (SSL), PKI-infrastrukturen, VeriSign Trust Services och VeriSign Identity Protection (VIP) tjänsten för autenticering.

Människor och information
Detta uppköp är lika viktigt för dig som hemanvändare som för företagen. Nu kan vi ännu bättre än tidigare hjälpa till att utveckla nya affärsmöjligheter och göra det ännu enklare och säkrare att vara uppkopplad.

Idag handlar säkerheten om två huvudteman: Människor och Information. VEM du är är i datorvärlden oerhört viktigt att klargöra. Vilka resurser och vilken information ska du ha tillgång till? Det är lika viktigt att släppa in rätt personer som att blockera ut fel personer.

En av de mer grundläggande reglerna för säkerhetsarbete är att “information ska säkras där den skapas, hanteras, lagras och överförs”. Med andra ord – överallt och hela tiden. Idag är det informationen som är viktigast och känsligast för de flesta företag och privatpersoner, och samtidigt det hetaste bytet för cyberbrottslingarna (90% av all elak kod är specialskriven för att stjäla information). Lika viktigt som att skydda informationen överallt och hela tiden är det att veta vem som har haft tillgång till den. På så sätt kan man t ex spåra läckor och stöld.

Med bas i våra befintliga produkter och genom uppköpet av VeriSigns autenticerings- och identitets-funktioner tillsammans med det tidigare uppköpet av PGP kan vi nu börja bygga upp mycket intressanta säkerhetslösningar!

• Identitetssäkerhet: Bevisa att du är den du säger att du är och att webbplatsen är den den säger att den är
• Säkerhet för mobiler och andra enheter: Säkra samtliga enheter och informationen på dem
• Informationssäkerhet: Skydda informationen från stöld, attacker, förluster och felaktigt användande samt se till att informationen snabbt kan återställas efter en händelse
• Kontext och relevans: Ge access till information som är relevant för dig både som privatperson och i din yrkesroll
• Säkerhet i molnet: Göra det möjligt att på ett säkert sätt ge dig tillgång till applikationer och information från både publika och privata moln.

Det kommer komma många spännande saker ur de senaste två uppköpen. Jag kommer skriva mer om dem när det blir publikt.

Detta känns mycket bra!

(Köpet skall dock först malas genom de sedvanliga kanalerna och beräknas avslutas först i septemberkvartalet. Loggan i bilden överst är förmodligen den nya, men det spikas inte förrän affären är klar.)

Mobile Spy kan bland annat följande:

• Loggning av telefonsamtal
  Alla inkommande och utgående telefonnummer lagras, inklusive tidsstämpel och hur länge samtalet pågick
• SMS-logg
  Alla SMS loggas, även om telefonens egna loggar raderas.
• GPS-logg
  GPS-positionering laddas upp var 30 minut med en länk till en karta. På så sätt kan man alltid se var offret befinner sig
• Kontakter
  Samtliga kontakter på enheten loggas. Nya kontakter som läggs till uppdateras allteftersom.
• Tasks och Memos
  Samtliga Tasks och Memos som skapas loggas och kan läsas i efterhand.
• Cell ID
  ID-information från alla telefonmaster som enheten ansluter till noteras i positioneringssyfte
• E-postlogg
  All inkommande och utgående e-post loggas. Hela meddelandet, inklusive headers, loggas.
• Kalendern
  All information i kalendern loggas. Datum tid, adress etc.
• Webbloggar
  Information om samtliga webbsidor som besöks loggas och laddas upp.
• Foto & Videologg
  Alla foton och videosnuttar som spelas in laddas upp till spionen.

Obehagligt är bara förnamnet…

För att detta ska kunna fungera på en iPad eller iPhone måste den vara “jailbreakad” som det heter på ren svenska.

Artikeln finns hos KrebbsonSecurity

I den seriösa delen av säkerhetsbranschen finns en policy att aldrig anställa någon som är eller har varit inblandad i fuffens. Visst, alla förtjänar en andra chans, men inte i vår bransch.

En del “före detta” virusskrivare och hackare söker jobb hos oss och tycker att de har en hel del kunskap att komma med. Men vi är helt enkelt inte intresserade. Vi skiter rent ut sagt i princip i vad som driver en virusskrivare eller hur en hacker tänker. Vi behöver folk som är duktiga på att läsa kod. Det finns det gott om på “den goda sidan”.

En viktig anledning är att vår bransch bygger på förtroende. Om vi skulle anställa “före detta” hackers så skulle det alltid finnas en obehaglig känsla när man sänder ut dem till kunder. Kommer de avslöja allt de hittar eller kommer de spara undan information till framtida hack? Om de hittar en angripare i systemet som är deras bästa kompis, kommer de då avslöja honom/henne?

En annan oerhört viktig anledning är att det skulle sända ut helt fel signaler. Signalen skulle bli “lär dig hacka/skriva virus och få ett jobb i säkerhetsbranschen”. Det är inget vi vill uppmuntra till.

Nä, vill du ha ett jobb i branschen så se till att sköta dig. Då är du välkommen till ett mycket spännande jobb i en mycket spännande bransch!

- Vilka är de främsta IT-baserade hoten idag?

- Vilka teknologier för skydd finns tillgängliga?

- Personalens beteende som säkerhetsrisk – hur motiverar man dem?

- Molnet och outsourcing – nya säkerhetsrisker, nya skyddsåtgärder

- Säkerhetsrisker med att allt fler applikationer körs i webbläsaren

- Ledningssystem för säkerhet, verktyg för säkerhetsstyrning, decentraliserade styrmodeller

- Hur mäter man den ekonomiska nyttan av säkerhetsinvesteringar?

- Cyberkrig – nya hotbilder såsom hacktivism med säkerhetspolitiska implikationer

- Exempel ur verkligheten

Förutom mig har man lyckats plocka ihop en mycket bra talarpanel med Lucas Cardholm, Bengt Berg, Roland Heickerö och Hans Dahlquist.

Mer information här

Välkomna!

Trots att jag inte är bokad för att tala så har de fått ihop ett spännande gäng talare:

• Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef på .SE
• Annika Biberg, KPA Pension
• Bosse Norgren, kriminalkommissarie Rikskrim
• Jimmy Ulfbåge, CISSP, QSA, GCFA, IT-säkerhetsspecialist på Verizon Business
• Chatrine Rudström, åklagare
• Dag Öhrlund, journalist

Välkomna ombord! Det blir garanterat intressanta diskussioner och gemytlig stämning som vanligt.

Subject: FW: Läääs viktigt!!!!!!!!!!!!1
Date: Wed, 17 Feb 2010 07:29:03 +0000

Hallå, Det är Andy och John, MSN: s grundläggare, Vi beklagar Att vi stör, men vi Håller på att stänga msn.

Detta är pga. Att så Många oförstående människor Använder alla våra användarnamn. Vi har bara plats till 578 användare kvar.

Om du vill Stänga din msn användare SKICKA INTE DETTA MAIL VIDARE!

Om du vill behålla din msn SKICKAVIDARE DETTA MAIL TILL ALLA DINA KONTAKTER!

Detta är inte en dum vits, vi Menar allvar, vi stänger Användaren! Du Som Inte Skickar vidare Detta mail kommer Att Få betala 10,00 kr för fortsatt använding.

Tryckpå vidarbefodra Så går det Lättare Att skicka vidare:

Tack för uppmärksamheten

Om ni Inte tror på det kolla här:http://news.bbc.co.uk/1/hi/business/1189119.stm

Når du har Skickat mailet till 18 kontakter kommer din användare Att Få Fortsätta Om Du Inte Gör det läggs den ner. LOOOVVAA DETTA!

Skicka inte sånt här vidare…

Jerome Segura på ParetoLogic bloggar en del därifrån. Senast skrev han om Charlie Millers hackande på scen. Jag citerar:

“He did not mince words when describing how easy it was to exploit bugs on a Mac, which actually seem to offer less barrier of defenses against attackers. This goes against a lot of preconceived ideas that Macs are virus free and more secure.

He did confess to me that Google Chrome was actually a tricky one to exploit because of its sandboxing technology. But again, Chrome has a limited market share, making it less appealing to hackers. Also, as he rightfully noted, the insecurity is not always the browser itself, but mostly all these plugins we use today (i.e. Adobe Flash). In essence, no matter what browser you’re using, if there’s a 0 day on Flash, we are all 0wned.”

Sanna ord.

Blogginlägget här