slettet Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 nmedaas: Helpdesk skal IKKE gi ut passord. Hvordan mener du at man skal verifisere at det er den riktige personen som ringer? Nei, jeg kan ikke holde styr på alle "kollegaene" mine, men jeg har kun vært med på at det er de på itavdelingen som har brukt OOO. Det jeg derimot har oppdaget er å motta OOOmail fra andre firma (altså, mailen ble sendt ut eksternt). Hvis journalistene kom seg inn så er det jo bygget som er for dårlig sikret Ta f.eks fraværsmarkering på telefon. Jeg vil tro dette er en funksjon som er flittig i bruk. Den utgjør da en minst like stor trussel den? Du har rett i at passorde ikkje skal utdelast. Eg meinte vel helst tilbakestillast, men skreiv/tenkte feil. Verifisering i eit nødstilfelle kan føregå på fleire måtar, f.eks. ved at innringar oppgir fleire ting som er få/ingen veit om, og som support kan få bekrefta uten for mykje arbeid. Har ein kollega som gløymde kode på nettbank, og måtte ha tilgang der og då. Han ringte til baken, og fekk dei til å endre koden etter at han hadde sa kva dei siste fem-ti transaksjonane gjekk til, kor mykje som var på konto, osb.. Om bygget er for dårlig sikra eller ei kan jo diskuterast, i det tilfellet var det eit relativt ope landskap, for at folk lett skulle kunne komme i kontakt med dei ansatte. Det eg skulle fram til var det at folk ikkje eig skrupplar. Om ein person gjer noko sånt, så stoppar det han iallefall ikkje frå å ringe support, og prøve å få passordet, sjølv om sjangsen for å verta tatt er stor. Derfor må ein være litt "paranoid".. ang. fråværsmarkering på telefon.. Då får ein gjerne berre beskjed om at personen ikkje er tilgjengleg, og ikkje noko meir. Med OOO skriv ein gjerne at ein er på ferie, og er tilbake på ein bestemt dato. Lenke til kommentar
roac Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 1. Tingen er (vi tar da utgangspunkt i at OOO kun fungerer internt), at hvis en kollega først skal være bogus, så trenger man jo ikke å få en OOOmail for å vite at noen er på ferie. Da kan kollegaen sladre på sidemannen når han/hun er på ferie.3. Som sagt, man trenger ikke bruke OOO for at en kollega skal kunne sladre på deg. Hvis denne angivelige hackeren skal kunne komme seg inn på nettet med dette brukernavnet, så må han jo nesten være i lokalene (du sier han godt kan være der). I såfall må han jo ha "brutt" seg inn. Det sies jo at de fleste hackerangrep foregår innenfra, men jeg tviler på at OOO er med på å gjøre trusselen større. Ta f.eks fraværsmarkering på telefon. Jeg vil tro dette er en funksjon som er flittig i bruk. Den utgjør da en minst like stor trussel den? 1. Hvem sier at det må være sidemannen? Det kan være en som er innleid, i en annen avdeling. Det kan være en som har infiltrert organisasjonen, og i så fall er han høyst sannsynlig ikke i samme avdeling som offeret. En tommelfingerregel i IT-sikkerhet: Ikke anta noe. Du vet aldri hvem/hva/hvordan. 3. Dette er en ikke-argumentasjon. Det er nesten det samme som å si at siden virus kan tas med på en CD inn i organisasjonen så trenger vi ikke virusscanning av inkkommende trafikk. At andre metoder kan brukes for å gjøre et angrep, betyr ikke at vi ikke skal motarbeide de alternativene som vi kjenner til. Så til slutt, for en god soscial engineer er det ofte lett å komme seg inn i bygget til en organisasjon. Ang fraværsmelding på telefon: Ja, det er også en trussel, og det bør derfor av samme grunn deaktiveres. Det er dessverre alt for mange som er slappe med sikkerhet. Så til slutt: Enhver løsning som kan misbrukes øker trusselen. Lenke til kommentar
slettet Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Diskusjon ferdig no? Lenke til kommentar
darkness| Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 nmedaas: Fraværsmarkering på telefonen gjelder ofte hvor lenge personen er borte, om han/hun er på kurs eller what ever. Det er valgfritt, akkurat som OOO er valgfritt. Har du noen gang sittet på en helpdesk? For all del, kom gjerne med noen FUNKSJONELLE rutiner du mener kan brukes. Jeg er sikker på at det i såfall er mange som setter pris på det roac: Jepp. Sikkerhet fremfor funksjonalitet. Litt ironisk at du sier det, med tanke på at du er Microsoft-mann Fraværsmarkering på telefonen ville jeg IKKE ha fjernet. OOO er ikke akkurat noe jeg egentlig bryr meg om. For all del, fjern den. Jeg synes bare ikke at argumentene dine er gode nok. Vil man inn, så kommer man inn. Både med og uten OOO. Lenke til kommentar
slettet Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Kjem an på kva du som support har tilgang på, men om eg hukser reglene og lovene rett, så er alt som vert produsert i arbeidstida bedriftas eigedom, noko som vil seie at i dei fleste tilfeller har du lov å sjå kva brukaren har av dokument, og kva epost han har sendt/mottatt. Ergo kan du spørje han kva han har liggande av dokument og epost. Klarar han å ramse opp ti-femten dokument og epostar vil eg tru ein byrjar å bli trygg på kven han er. Har ein hacker kjennskap til så mykje informasjon kan han like greit få resten også.. Ang. fråværsmerking.. Då har de litt nyare/meir avanserte telefonsystem en kva eg er vand med.. Her på bruket er ein enten tilgjengleg eller ikkje. Lenke til kommentar
roac Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 nmedaas: Fraværsmarkering på telefonen gjelder ofte hvor lenge personen er borte, om han/hun er på kurs eller what ever. Det er valgfritt, akkurat som OOO er valgfritt. Har du noen gang sittet på en helpdesk? For all del, kom gjerne med noen FUNKSJONELLE rutiner du mener kan brukes. Jeg er sikker på at det i såfall er mange som setter pris på det roac: Jepp. Sikkerhet fremfor funksjonalitet. Litt ironisk at du sier det, med tanke på at du er Microsoft-mann Fraværsmarkering på telefonen ville jeg IKKE ha fjernet. OOO er ikke akkurat noe jeg egentlig bryr meg om. For all del, fjern den. Jeg synes bare ikke at argumentene dine er gode nok. Vil man inn, så kommer man inn. Både med og uten OOO. At noe er valgfritt betyr ikke at det ikke kommer til å bli brukt, i dette tilfellet muligheten til å si hvor lenge man er på ferie og hvor. At det skal være funksjonelle rutiner på en helpdesk er vel alle enige om. En eller annen form for challenge-response bør enkelt la seg implementere, og det er effektivt. Men, det må ikke være noe som lett kan kobles til personen, for da har ikke en angriper problemer med å "bestå prøven". Hva heter sjefen din er typisk et veldig dårlig spørsmål, det samme gjelder spørsmål om foreldre, barn, kjæledyr etc. Hvorfor er det ironisk at jeg tenker sikkerhet når jeg jobber med Microsoft-teknologi? ISA Server er blant de bedre brannmurene som er produsert. Det er massevis av sikkerhetsinnstillinger tilgjengelig i Windows, for å kunne tilpasse OSet til behov og samtidig ha så høy grad av sikkerhet som mulig. Det samme gjelder mange andre Microsoft-produkter. Du visste kanskje ikke at Microsoft har en haug med folk som er sertifisert CISSP, en sertifisering jeg håper at jeg kan få tatt en gang, men det er langt frem dit. Og hvis noen har fått en feiloppfatning, så jobber jeg med Microsoft-teknologi, men er ikke ansatt av Microsoft. Lenke til kommentar
darkness| Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 nmedaas: Heh Sorry mac.. men lykke til. Man har ikke lov til å sitte og rote inne i andres mail eller andres dokumenter, og å stille 10 spørsmål ville tatt uhorvelig lang tid. Men, godt forsøk Bare ikke så enkelt å gjennomføre roac: Jeg har aldri antatt at du var ansatt av Microsoft. Den lille spøken min var forresten ikke personlig ment. Regner med du har litt humor Jeg sier ikke at det ikke kommer til å bli brukt. Jeg sier bare at telefonmarkering fungerer på helt samme måte som OOO. Sertifiseringersertifischmeringer Sikkert kjekt å ha hengende på veggen. Tar seg fint ut. Lenke til kommentar
roac Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Kjem an på kva du som support har tilgang på, men om eg hukser reglene og lovene rett, så er alt som vert produsert i arbeidstida bedriftas eigedom, noko som vil seie at i dei fleste tilfeller har du lov å sjå kva brukaren har av dokument, og kva epost han har sendt/mottatt. Når jeg jobbet i Forsvaret hadde vi i hvert fall ikke lov til dette såfremt det ikke pesonen ble informert først og vi fikk hans tillatelse, eller at vi kunne dokumentere mistanke om ulovligheter. Hvordan dette forholder seg nå er jeg ikke sikker på, men jeg har ikke fått inntrykket av at datatilsynet har gitt administratorer utvidede "rettigheter" på brukernes hjemmeområder. Lenke til kommentar
slettet Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 nmedaas: Heh Sorry mac.. men lykke til. Man har ikke lov til å sitte og rote inne i andres mail eller andres dokumenter, og å stille 10 spørsmål ville tatt uhorvelig lang tid. Men, godt forsøk Bare ikke så enkelt å gjennomføre Som eg sa, eg er ikkje sikker, men meinar at det som vart produsert i arbeidstida er bedriftas eigendom, såfremt det ikkje er tydleg merka "privat". Og når det er bedriftas eigendom trur eg ikkje det skal være verre en at ein legg inn ein klausul i eitelleranna papir som ein skriv under på at ved behov, så kan utvalgte personar, f.eks. dei systemansvarleg, internkontrollen osb, gå igjennom dokumenta. Trur de blir på samma måte som om ein person har eit prosjekt, og finn på at han skal falle bort (eller daue, som det heiter på godt norsk), og nokre andre kunne overta prosjektet, så bør dei få filene.. Er det nokon som kjenner til denne problemstillinga? roac, du har vært rundt i mange bedrifter: kva er rutinene hjå andre? Å få ein brukar til å ramse opp ti filnamn er ikkje all verden, sjølv om det kan ta nokre minutt. Kor ofte får ein sånne krise-henvendelsar? Lenke til kommentar
roac Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Sertifiseringersertifischmeringer Sikkert kjekt å ha hengende på veggen. Tar seg fint ut. Ta gjerne en titt på ISC(2) sine sider, CISSP er en tung sertifisering. Mange sertifiseringer (deriblant MCSA, MCDBA, MCAD, OCA og CCNA) henger ikke spesielt høyt. SSCP, og spesielt CISSP, ligger på et helt annet nivå. Lenke til kommentar
kamus Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Darkness: Der jeg jobbet tidligere, når bruker måtte ha ett nytt passord måtte de ned i resepsjonen for å legitimere seg for vedkommende vakt. Helpdesk kunne også sende passord til nærmeste overordnede på kryptert mail. Det nærmeste helpdesk fikk lov til, var å resette kontoen til bruker. Darkness sier at sertifiseringer er fine til å ha på veggen, da til dagens lille provosering: Er det bedre med fagbrev mener du, i såtilfelle hvorfor? Lenke til kommentar
slettet Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 .. på papiret, når ein søker jobb.. Ellers? Nei. Lenke til kommentar
roac Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Er det nokon som kjenner til denne problemstillinga? roac, du har vært rundt i mange bedrifter: kva er rutinene hjå andre? Jeg har bare vært i en bedrift som har vært stor nok til å ha noe relevans i forbindelse med denne problemstillingen, og i farten husker jeg ikke hvordan personer ble identifisert på telefon der. Jeg jobbet ikke fast på helpdesk, men var innom i ny og ne. Det begynner å bli noen år siden nå. For passordskifte mener jeg å huske at de faktisk måtte møte opp i egen person. Lenke til kommentar
kamus Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 nmedaas: du har ikke lov til å sjekke min mail eller hjemmeområde på bedriftens nettverk, uten at jeg har gitt tillatelse til det, eller at det er mistanke om noe kriminelt. Der må du være veldig forsiktig, sjekk med datatilsynet føre du gjør noe slikt. Datatilsynet om Epost og Filer Lenke til kommentar
roac Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Datatilsynet om Epost og Filer Lækket. Takker og bukker, den er nå i hardcopy. Lenke til kommentar
slettet Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 (endret) Fremgangsmåten ved innsyn i virksomhetsrelatert e-postArbeidsgiveren kan ha et saklig behov for innsyn i den ansattes e-poster og filer. Dersom det er laget regler eller retningslinjer for hvilke situasjoner arbeidsgiveren kan bruke innsynsretten, og de ansatte er klar over dette, er det tilstrekkelig for at arbeidsgiveren kan lese virksomhetsrelaterte e-poster og filer. Finnes ikke slike regler eller retningslinjer må den ansatte gi samtykke. Det vil vel seie at om eg lagar til ei kontrakt som går på bruken bedriftas datautstyr, der eg har ein klausul som seier arbeidstakar godkjenner at arbeidsgivar får gå igjennom epost og dokument (ved behov, sjølvsagt. Absolutt ikkje meint som overvaking!), bortsett frå det som er merka privat eller der det tydleg går fram at det er privat, så har eg mitt på det tørre. Sjølvsagt bør arbeidstakar bli varsla på førehand, samt ha moglegheit for å være tilstades, men som det kjem fram i diskusjonen, så er ikkje det alltid mogleg. Iom at dette er ein noko tungvindt måte å løyse problemet med verifisering av brukar på, så lurar eg på kva som er fungerande løysingar. Endret 14. juli 2005 av nmedaas Lenke til kommentar
kamus Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Dersom den ansatte er fraværende er det essensielt at vurderingen av om opplysningene er private foretas før e-posten eller filen åpnes. Dersom den fremstår som privat, skal den ikke åpnes. Noen ganger kan det likevel skje at arbeidsgiver vurderer feil og ved et uhell åpner noe som viser seg å være privat. Da skal filen snarest lukkes. Er en ansatt fraværende bør alltid en representant for den ansatte være tilstede ved åpningen av dennes e-post. Dessuten bør den ansatte i ettertid gis informasjon om hva det ble søkt innsyn i. Tror faktisk i en rettsak at bruker hadde vunnet frem, hvis du sjekket mail og filer hos en bruker, mens han f eks er på ferie. Ihvertfall hvis du gjør det uten å ha en representant for brukeren tilstede. Lenke til kommentar
darkness| Skrevet 14. juli 2005 Rapporter Del Skrevet 14. juli 2005 Darkness sier at sertifiseringer er fine til å ha på veggen, da til dagens lille provosering: Er det bedre med fagbrev mener du, i såtilfelle hvorfor? Nope Forresten så finner jeg ikke det minste provoserende. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå