Ifrågasätt dina konsulter
För några veckor sedan hävdade jag att säkerhet är ganska enkelt ändå. I större utsträckning än de flesta tror är det sunt förnuft och erfarenhet som är grunden. En av riskerna med att uppfattningen inte är särskilt utbredd är att vi säkerhetsfolk enkelt kan lura folk. Det är inte helt ovanligt, branschen är full av FUD. Ett utmärkt exempel dök upp på Server Fault för några dagar sedan: Our security auditor is an idiot, how do I give him the information he wants?.
En systemadministratör har råkat ut för en "security auditor" som begär att få ut listor på bl a alla användares lösenord och en massa andra dumheter, oklart i vilket syfte. När han blir ifrågasatt svarar han med hot och en allmän översittarattityd. Som sagt, en idiot.
Om din säkerhetskonsult rekommenderar något som du tycker verkar konstigt eller underligt, ifrågasätt! Antingen ska konsulten kunna övertyga dig eller så ska de kunna ändra sig och förklara varför. Säkerhet är en typisk market of lemons och öppenhet är extremt viktigt.
Tack Ted Meyer som pekade ut tråden på Server Fault!
--
Stefan Pettersson
En systemadministratör har råkat ut för en "security auditor" som begär att få ut listor på bl a alla användares lösenord och en massa andra dumheter, oklart i vilket syfte. När han blir ifrågasatt svarar han med hot och en allmän översittarattityd. Som sagt, en idiot.
Om din säkerhetskonsult rekommenderar något som du tycker verkar konstigt eller underligt, ifrågasätt! Antingen ska konsulten kunna övertyga dig eller så ska de kunna ändra sig och förklara varför. Säkerhet är en typisk market of lemons och öppenhet är extremt viktigt.
Tack Ted Meyer som pekade ut tråden på Server Fault!
--
Stefan Pettersson
Kommentarer
Postat av: Michael
Jag måste säga att jag var mest imponerad av den olycksalige administratörens jämnmod. Att han lyckades svara på de fullständig orimliga kraven så pass diplomatisk.
Troligtvis så har den så kallade "auditören" begått en kriminell handling enligt brittisk lag i och med att han försök från en förtroendeställning tillskansa sig lösenord och privata nycklar. Problemet är väl att vi sällan polisanmäler datasäkerhetsbrott mycket beroende på den låga kompetensen för dessa brott inom rättsväsendet och att de kräver mycket utredningsarbete för litet resultat i domstolen.
Trackback
