Gå til innhold

Synes at IT-konsulenter kan for lite om sikkerhet: – Vi ser at kompetanse ofte er mangelvare

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
LMH1

LMH1

Skrevet
Skrevet (endret)

Tror vi kan slå fast med unntak av store bedrifter er sikkerheten dårlig, ofte går skoler\offentlig etater for eldre operativsystem som XP og windows 7 som sier litt om hvordan sikkerhetsbilde er. Enkelte store bedrifter har antivirusprogram og brannmur ja det er vel der sikkerheten ligger. Men eldre operativsystemer er jo sikkerhetrisiko.

Endret av LMH1
  • Liker 1
Lenke til kommentar
LMH1

LMH1

Skrevet
Skrevet (endret)

Utviklere vertfall dagens tenker vel neppe heller på sikkerhet først når de lager ting? Er vel heller brukervennlighet og pris som kommer først. Man ser jo det fra store leveranører at det er så lett for hackere å stjele informasjon.

Endret av LMH1
Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Utviklere tenker ikke alltid sikkerhet og mye ad-hoc der noen kommer in i etter tid og påpeker ting, det gjør det tung å rydde opp. 

 

Buypass er flinke med og komme med nye løsninger herunder nå også støtte for ACME og gratis sertifikater, men dessverre henger de etter på muligheter i sertifikater for å øke sikkerheten enda mer, herunder 

 

OCSP Must-Staple og EC de henger også etter på IPv6. 

Lenke til kommentar
Sandormen

Sandormen

Skrevet
Skrevet

Joda, god idè å påpeke sikkerhet, menneh, skal man ikke også endelig innse at det er et enormt område som faktisk krever innsikt på nivå med en egen utdannelse? Man kunne jo håpe at en systemutvikler/programmør var like dyktig på sikkerhet, menneh...

Det blir jo som om en revisor må få kurs i hvordan astronomer lager matematiske beregninger på avstand til stjerner.

Alle kan ikke alt.

Det minner litt om ‘85-‘95, hvor en stillingsutlysing ‘krevde’ inngående kjennskap til 5 programmeringsspråk, 5 års god utdannelse samt 5-10 års yrkespraksis. -Til en lønn langt under sjefsstilling, da computerarbeidere var å regne som en irriterende ekstrautgift til nerdy unge mennesker som ikke riktig passa inn i hierarkiet.

 

Vil du ha datasikkerhet, vil det kreve en stilling utover Systemutvikling og Programmør, og etc.

 

Tviler på du får en Sikkerhetsspesialist til å ta rollen som support-tekniker/programmør/systemutvikler/admin. -Ok, kanskje admin. Det ligger ikke så langt fra treet.

  • Liker 2
Lenke til kommentar
siDDis

siDDis

Skrevet
Skrevet

Eg er enige med dei fleste her, behovet for riktig kompetanse matcher ikkje betalingsvilje. Og manglende betalingsvilje fører til at innsatsviljen for å lære seg ting forblir lav. Finn meg ein person som kan kort forklare forskjellen mellom Bcrypt og Scrypt/Argon2. Eg trur det er knapt 10-20 personar her i landet som kunne tatt det på sparken.

 

Istadenfor så bruker dei fleste framleis ein variant av SHA/MD5 + SALT :face-palm:

 

IT-sikkerheit er som fotball, skal du spele i lilleputt-ligaen eller premier-league? Du får det du betaler for.

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Eg er enige med dei fleste her, behovet for riktig kompetanse matcher ikkje betalingsvilje. Og manglende betalingsvilje fører til at innsatsviljen for å lære seg ting forblir lav. Finn meg ein person som kan kort forklare forskjellen mellom Bcrypt og Scrypt/Argon2. Eg trur det er knapt 10-20 personar her i landet som kunne tatt det på sparken.

 

Istadenfor så bruker dei fleste framleis ein variant av SHA/MD5 + SALT :face-palm:

 

IT-sikkerheit er som fotball, skal du spele i lilleputt-ligaen eller premier-league? Du får det du betaler for.

Akkuart det der går også mye på hvordan applikasjoner er skrevet front- og backend, i store bedrifter ser vi at det blir mer og mer SSO, enten med SAML/ADFS osv osv osv,  mye kan gjøre sikkerhet men mange faller desverre tilbake på buzzord som de har hørt i film for 15 år siden, slik som swordfish som gikk i går det 128bit var top of the line. 

 

Du har rett i det du skriver også rundt bruk av hasher, men passord i seg selv er ikke nok MFA er det som trengs per nå inntil vi kan gå bort i fra passord som helhet. 

Lenke til kommentar
siDDis

siDDis

Skrevet
Skrevet

Poenget mitt er at sikkerhetsprodukter som ingen forstår introduserer bare masse meir kompleksistet og mykje større potensiell fare for sikkerheitsbrister.

 

F.eks SAML, ser kjempebra ut på salgspapiret. Men den tekniske dokumentasjonen er dessverre tragisk, sjølv om det tekniske prinisippet er veldig enkelt. Ikkje at dei andre alternativa er noko betre dei heller...

 

Poenget mitt når det tekniske forståelsen mangler, så evner ein ikkje til å sjå svakheiter og risikoer. Vipps så får ein feilkonfigurasjon enorme konsekvenser.

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Poenget mitt er at sikkerhetsprodukter som ingen forstår introduserer bare masse meir kompleksistet og mykje større potensiell fare for sikkerheitsbrister.

 

F.eks SAML, ser kjempebra ut på salgspapiret. Men den tekniske dokumentasjonen er dessverre tragisk, sjølv om det tekniske prinisippet er veldig enkelt. Ikkje at dei andre alternativa er noko betre dei heller...

 

Poenget mitt når det tekniske forståelsen mangler, så evner ein ikkje til å sjå svakheiter og risikoer. Vipps så får ein feilkonfigurasjon enorme konsekvenser.

hehe ja, har sett den før, synd at mange pårober seg sikkerhet kompetanse uten og faktisk ha det. egner ikke see hvorfor man frks burde bytte ut SHA1/MD5 med noe nyere eller hvorfor man burde slå av SSL3/TLS1.0. ei heller fordelene av HSTS og tvinge kryptering gjennom. 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...