|
| IT Selvtægt ? Fra : Bjarne Østergård |
Dato : 18-11-02 17:34 |
|
Hej her er et par simpele spørgsmål
Bør IT selvtægt gøres lovlig, når blot man påråber sig at ville tjekke
sikkerheden.
Altså skal det være lovligt at hacke sig ind i et hvert edb system, når bare
begrundelsen er at man vil se om det er sikkeret nok.
Og bør alle og enhver have den ret.
Og skal alle have ret til at nedlægge et hvert system de finder usikkert.
Kort og godt, skal alle have ret til at nedlægge alle de systemer de finder
usikre.
Og bør alle systemer der kan nedlægges betegnes som usikre.
Og udgør det ikke en sikkerhedsrisiko hvis andre skulle kunne nedlægge et
system.
For at undgå faren ved at andre skal kunne nedlægge et system bør man så
ikke selv gøre det.
Kort og godt hvis en ting kan ødelægges, bør man så ikke ødelægge den, da
der jo ellers er risiko for at andre kan ødelægger den.
MVH
Bjarne Østergård
| |
Christian E. Lysel (18-11-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-11-02 18:23 |
|
Bjarne Østergård wrote:
> Kort og godt, skal alle have ret til at nedlægge alle de systemer de finder
> usikre.
Nej.
> Kort og godt hvis en ting kan ødelægges, bør man så ikke ødelægge den, da
> der jo ellers er risiko for at andre kan ødelægger den.
Nej.
--
Christian E. Lysel, http://www.spindelnet.dk/
| |
Jacob Atzen (18-11-2002)
| Kommentar Fra : Jacob Atzen |
Dato : 18-11-02 19:32 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:
> Bjarne Østergård wrote:
> > Kort og godt, skal alle have ret til at nedlægge alle de systemer de finder
> > usikre.
>
> Nej.
>
> > Kort og godt hvis en ting kan ødelægges, bør man så ikke ødelægge den, da
> > der jo ellers er risiko for at andre kan ødelægger den.
>
> Nej.
'Nuf said.
--
Med venlig hilsen
- Jacob Atzen
| |
Thomas Bjorn Anderse~ (18-11-2002)
| Kommentar Fra : Thomas Bjorn Anderse~ |
Dato : 18-11-02 21:15 |
|
Jacob Atzen <jacob@aub.dk> writes:
> 'Nuf said.
Hvad med: "Please don't feel the troll"?
--
Thomas Bjorn Andersen - tbaNOSPAM200211@gen-v.net
+++ATH
| |
Thomas Strandtoft (18-11-2002)
| Kommentar Fra : Thomas Strandtoft |
Dato : 18-11-02 20:08 |
|
"Bjarne Østergård" wrote:
> Kort og godt hvis en ting kan ødelægges, bør man så ikke ødelægge den, da
> der jo ellers er risiko for at andre kan ødelægger den.
Lol, godt tænkt.. Dit indlæg er røget lige i min perlesamling..
--
Hygge..
Thomas
< http://carftp.com> - a library of car videos.
| |
Kent Friis (18-11-2002)
| Kommentar Fra : Kent Friis |
Dato : 18-11-02 20:30 |
|
Den Mon, 18 Nov 2002 20:07:34 +0100 skrev Thomas Strandtoft:
>"Bjarne Østergård" wrote:
>
>> Kort og godt hvis en ting kan ødelægges, bør man så ikke ødelægge den, da
>> der jo ellers er risiko for at andre kan ødelægger den.
>
>Lol, godt tænkt.. Dit indlæg er røget lige i min perlesamling..
Forhåbentlig ind sammen med billedet af Claus og hans bror som bananer,
og ikke sammen med nogen seriøse ting...
Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^
| |
Thomas Strandtoft (18-11-2002)
| Kommentar Fra : Thomas Strandtoft |
Dato : 18-11-02 20:51 |
|
Kent Friis wrote:
> >Lol, godt tænkt.. Dit indlæg er røget lige i min perlesamling..
>
> Forhåbentlig ind sammen med billedet af Claus og hans bror som bananer,
> og ikke sammen med nogen seriøse ting...
Min perlesamling er udelukkende til skægge ting jeg kan more mig
over igen og igen, den anden samling hedder "værd at huske".. Det
skal lige siges at jeg griner _med_ Bjarne, ikke _af_ Bjarne (med
mindre han da mente indlægget seriøst?!?)
--
Hygge..
Thomas
< http://carftp.com> - a library of car videos.
| |
Bertel Lund Hansen (18-11-2002)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 18-11-02 21:13 |
|
Thomas Strandtoft skrev:
>skal lige siges at jeg griner _med_ Bjarne, ikke _af_ Bjarne (med
>mindre han da mente indlægget seriøst?!?)
Det er svært at vide. Det ligner hans forklaringer om hans egne
sikkerhedsprogrammer.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Stig Meyer Jensen (19-11-2002)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 19-11-02 14:18 |
|
"Bertel Lund Hansen" <nospam@lundhansen.dk> skrev i en meddelelse
news:kdiituou11festrnc7j421s0f4rpmnlt33@news.stofanet.dk...
> Thomas Strandtoft skrev:
>
> >skal lige siges at jeg griner _med_ Bjarne, ikke _af_ Bjarne (med
> >mindre han da mente indlægget seriøst?!?)
>
> Det er svært at vide. Det ligner hans forklaringer om hans egne
> sikkerhedsprogrammer.
Ja underligt nok har jeg kun læst en håndfuld indlæg af Bjarne, men allerede da
jeg nåede et par linier ind i dette indlæg tænkte jeg : "Gad vide hvilket
produkt han nu vil forsøge at markedsføre..."
--
Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)
| |
Bjarne Østergård (19-11-2002)
| Kommentar Fra : Bjarne Østergård |
Dato : 19-11-02 14:57 |
|
"Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse
news:3dda3a34$0$8585$edfadb0f@dread15.news.tele.dk...
>
> "Bertel Lund Hansen" <nospam@lundhansen.dk> skrev i en meddelelse
> news:kdiituou11festrnc7j421s0f4rpmnlt33@news.stofanet.dk...
> > Thomas Strandtoft skrev:
> >
> > >skal lige siges at jeg griner _med_ Bjarne, ikke _af_ Bjarne (med
> > >mindre han da mente indlægget seriøst?!?)
> >
> > Det er svært at vide. Det ligner hans forklaringer om hans egne
> > sikkerhedsprogrammer.
>
> Ja underligt nok har jeg kun læst en håndfuld indlæg af Bjarne, men
allerede da
> jeg nåede et par linier ind i dette indlæg tænkte jeg : "Gad vide hvilket
> produkt han nu vil forsøge at markedsføre..."
Mærkeligt for jeg da aldrig forsøgt at markedsføre et produkt herinde.
Faktisk tvivler jeg på at nogen egentlig ved hvilken produkter vi har til
salg undtagen det sidste vi har lavet. og det blev først intruduceret til
salg for nøjagtig 19 dage siden.
Jeg har ganske vist spurgt om råd herinde under udviklingsfasen, og spurgt
om nogen ville hjælpe med at teste det.
En nyhedsgruppe vill da også være det sidste sted jeg ville markedsføre
noget produkt.
Men hvis du endelig er intresseret kan du f.eks gå i Merlin og se om du kan
gætte hvilken produkter vi faktisk sælger.
MVH
Bjarne Østergård
| |
Kent Friis (19-11-2002)
| Kommentar Fra : Kent Friis |
Dato : 19-11-02 17:35 |
|
Den Tue, 19 Nov 2002 14:56:51 +0100 skrev Bjarne Østergård:
>
>"Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse
>news:3dda3a34$0$8585$edfadb0f@dread15.news.tele.dk...
>>
>>
>> Ja underligt nok har jeg kun læst en håndfuld indlæg af Bjarne, men
>allerede da
>> jeg nåede et par linier ind i dette indlæg tænkte jeg : "Gad vide hvilket
>> produkt han nu vil forsøge at markedsføre..."
>
>Mærkeligt for jeg da aldrig forsøgt at markedsføre et produkt herinde.
Man plejer eller at kalde det markedsføring, når folk påstår at et
produkt kan en hel masse som det ikke kan.
Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.
| |
Bjarne Østergård (20-11-2002)
| Kommentar Fra : Bjarne Østergård |
Dato : 20-11-02 01:46 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:ardp7p$41i$4@sunsite.dk...
> Man plejer eller at kalde det markedsføring, når folk påstår at et
> produkt kan en hel masse som det ikke kan.
Plejer man det ??
Du er da det første menneske, jeg har hørt påstå, at det er måden man skal
markedsføre produkter på.
Men hva det er jo et frit land, så du kan jo gøre som du vil, og som du
plejer.
Med venlig hilsen
Bjarne Østergård
| |
Kent Friis (20-11-2002)
| Kommentar Fra : Kent Friis |
Dato : 20-11-02 20:18 |
|
Den Wed, 20 Nov 2002 01:45:40 +0100 skrev Bjarne Østergård:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:ardp7p$41i$4@sunsite.dk...
>
>> Man plejer eller at kalde det markedsføring, når folk påstår at et
>> produkt kan en hel masse som det ikke kan.
>
>Plejer man det ??
>Du er da det første menneske, jeg har hørt påstå, at det er måden man skal
>markedsføre produkter på.
Du læser ikke hvad jeg skriver.
Jeg skriver at når nogen påstår at et produkt kan noget det ikke kan
(fx at et program kan overleve at man formaterer harddisken), så kalder
man det markedsføring. Vildledende markedsføring endda. Det er ikke
en måde at markedsføre produkter på, som jeg synes man bør bruge, men
hvis målgruppen er tilstrækkeligt uvidende om produktet, så virker den
slags markedsføring åbenbart rimelig godt.
Eksempler kunne være: PC Finder, Personal "firewall"s,...
Mvh
Kent
--
NT er brugervenligt - det er bare brugerne der ikke kan finde ud af det
- en NT-administrator
| |
Kasper Dupont (20-11-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 20-11-02 13:43 |
|
"Bjarne Østergård" wrote:
>
> Men hvis du endelig er intresseret kan du f.eks gå i Merlin og se om du kan
> gætte hvilken produkter vi faktisk sælger.
Da jeg alligevel var i Merlin i dag for at kigge efter en ny
mobiltelefon gik jeg lige over i computerafdelingen og kiggede.
Og ganske rigtigt på hylden sammen med alle de andre computerspil
stod pcfnider. Jeg prøvede at spørge en ekspedient hvad det var
for noget, hvad det kunne, og hvordan det virkede (hvis det
overhovedet virkede). Han vidste selvfølgelig ingenting.
Jeg spurgte ham så om programmet ikke bare kunne slettes fra
computeren. Han sagde, at det kunne selvfølgelig slettes, hvis
man vidste at det var der, og ellers kunne man jo bare slette
hele harddisken. Hans konklusion var at det måske virkede, hvis
ellers personen der kom i besidelse af computeren ikke var for
smart.
Jeg spurgte ham til sidst om man nu kunne være sikker på, at
programmet altid virkede, hvis computeren f.eks. blev tilsluttet
nettet bagved en firewall, men jeg måtte opgive at få ham til at
forstå spørgsmålet.
Da syntedes jeg, at jeg havde brugt nok tid på det, og jeg gad
i øvrigt ikke spilde 499kr på at finde ud af mere.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";
| |
Bjarne Østergård (20-11-2002)
| Kommentar Fra : Bjarne Østergård |
Dato : 20-11-02 15:11 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DDB836D.347C6F2C@daimi.au.dk...
> "Bjarne Østergård" wrote:
>Jeg prøvede at spørge en ekspedient hvad det var
>for noget, hvad det kunne, og hvordan det virkede (hvis det
>overhovedet virkede). Han vidste selvfølgelig ingenting.
Tjah! Så kan du da ihvertfald ikke beskyld ekspedienten for at have love for
meget.
MVH
Bjarne
| |
Kasper Dupont (18-11-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 18-11-02 21:16 |
|
Thomas Strandtoft wrote:
>
> "Bjarne Østergård" wrote:
>
> > Kort og godt hvis en ting kan ødelægges, bør man så ikke ødelægge den, da
> > der jo ellers er risiko for at andre kan ødelægger den.
>
> Lol, godt tænkt.. Dit indlæg er røget lige i min perlesamling..
Det udsagn kunne jeg heller ikke undgå at lægge mærke til. Det
ligner for mig en bevidst oversimplificering af problemstillingen.
Men taget ud af sammenhæng lyder det da morsomt, så jeg må
hellere tilføje den til min egen perlesamling.
Og vi er naturligvis alle enige med Bjarne i, at der sker nøjagtig
samme skade hvad enten en server bliver lukket ned et par timer,
eller om nogen hugger en kopi af alle data, sletter dem, og
placerer nogle forfalskede data i stedet.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf
| |
Bent Fleron (18-11-2002)
| Kommentar Fra : Bent Fleron |
Dato : 18-11-02 23:33 |
|
Bjarne Østergård wrote:
> Hej her er et par simpele spørgsmål
>
> Bør IT selvtægt gøres lovlig, når blot man påråber sig at ville tjekke
> sikkerheden.
>
> Altså skal det være lovligt at hacke sig ind i et hvert edb system,
> når bare begrundelsen er at man vil se om det er sikkeret nok.
>
> Og bør alle og enhver have den ret.
>
Såd'n lidt ironisk ment 'Hvad med at udvide det til også at gælde for
villaindbrudstyve, folk kan jo bare sætte nogle bedre låse i dørene'.
Nu vi er i gang kan man jo også udvide det til også at gælde for
voldsmænd, folk kan jo bare lære karate.
mvh. Bent Fleron
| |
Jonathan Stein (18-11-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 18-11-02 23:51 |
|
"Bjarne Østergård" wrote:
> Hej her er et par simpele spørgsmål
Ja, i en sort/hvid verden, hvor der kun eksisterer fuldstændig pacifisme og
total destruktion, er dine spørgsmål ganske simple. - Ellers er de nærmest en
gang vrøvl.
> Og bør alle systemer der kan nedlægges betegnes som usikre.
Ja.
> Og udgør det ikke en sikkerhedsrisiko hvis andre skulle kunne nedlægge et
> system.
Jo.
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Christian Andersen (19-11-2002)
| Kommentar Fra : Christian Andersen |
Dato : 19-11-02 21:08 |
|
Jonathan Stein wrote:
>> Og bør alle systemer der kan nedlægges betegnes som usikre.
> Ja.
Nej.
Jeg kan lægge enhver server ned med en hammer. Betyder det at alle
servere er usikre?
Når man vurderer sikkerhedsrisiko skal man også tage et trusselsbillede
med. Altså, hvor stor er sandsynligheden for at der kommer (kan komme) en
fyr forbi med en hammer der har onde hensigter?
Derfor kan der ikke svares ja/nej til Bjarnes spørgsmål.
"Jamen, MIN webserver er lavet af cement!"
Gå nu hjem.
>> Og udgør det ikke en sikkerhedsrisiko hvis andre skulle kunne nedlægge et
>> system.
> Jo.
Det kommer da an på hvad systemet står og laver. En power-point
præsentation for en ny hårlak er ikke specielt vigtig. Softwaren i et
dialyse-apparat er vigtig.
--
..signature
| |
Kent Friis (19-11-2002)
| Kommentar Fra : Kent Friis |
Dato : 19-11-02 21:11 |
|
Den Tue, 19 Nov 2002 20:08:10 +0000 (UTC) skrev Christian Andersen:
>Jonathan Stein wrote:
>
>>> Og bør alle systemer der kan nedlægges betegnes som usikre.
>
>> Ja.
>
>Nej.
>
>Jeg kan lægge enhver server ned med en hammer. Betyder det at alle
>servere er usikre?
>
>Når man vurderer sikkerhedsrisiko skal man også tage et trusselsbillede
>med. Altså, hvor stor er sandsynligheden for at der kommer (kan komme) en
>fyr forbi med en hammer der har onde hensigter?
Hvis et firma er afhængig af serveren, så er der normal også taget
forholdsregler der skal sikre at du IKKE kan lægge serveren ned med
en hammer.
Det kunne fx være låste døre, stålgitre, alarmsystemer
og/eller sikkerhedsvagter.
Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz
| |
Christian Andersen (19-11-2002)
| Kommentar Fra : Christian Andersen |
Dato : 19-11-02 21:46 |
|
Kent Friis wrote:
>>Jeg kan lægge enhver server ned med en hammer. Betyder det at alle
>>servere er usikre?
>>
>>Når man vurderer sikkerhedsrisiko skal man også tage et trusselsbillede
>>med. Altså, hvor stor er sandsynligheden for at der kommer (kan komme) en
>>fyr forbi med en hammer der har onde hensigter?
> Hvis et firma er afhængig af serveren, så er der normal også taget
> forholdsregler der skal sikre at du IKKE kan lægge serveren ned med
> en hammer.
Jep. Det var også derfor jeg skrev "kan komme" i parentes bagefter.
--
..signature
| |
Thomas (19-11-2002)
| Kommentar Fra : Thomas |
Dato : 19-11-02 23:12 |
|
Christian Andersen wrote:
> Jonathan Stein wrote:
>
>>> Og bør alle systemer der kan nedlægges betegnes som usikre.
>
>> Ja.
>
> Nej.
>
> Jeg kan lægge enhver server ned med en hammer.
Nej du kan ikke. Det kræver jo at du har fysisk adgang.
Enhver sikkerhedspolitik (med respekt for sig selv), håndterer også
fysisk sikkerhed.
--
Don't waste space
| |
Christian Andersen (19-11-2002)
| Kommentar Fra : Christian Andersen |
Dato : 19-11-02 23:37 |
|
Thomas wrote:
>>>> Og bør alle systemer der kan nedlægges betegnes som usikre.
>>> Ja.
>> Nej.
>>
>> Jeg kan lægge enhver server ned med en hammer.
> Nej du kan ikke. Det kræver jo at du har fysisk adgang.
>
> Enhver sikkerhedspolitik (med respekt for sig selv), håndterer også
> fysisk sikkerhed.
Når man vurderer om et system er i en farezone skal man opbygge et
trusselsbillede.
Det er min pointe.
Læs mere i "Security Engineering: A Guide to Building Dependable
Distributed Systems" af Ross Andersen.
http://www.cl.cam.ac.uk/~rja14/book.html
Jeg sværger hermed ved alt der er mig helligt, at jeg aldrig mere skal
bruge en analogi i nogen som helst sammenhæng i denne gruppe.
--
..signature
| |
Jonathan Stein (20-11-2002)
| Kommentar Fra : Jonathan Stein |
Dato : 20-11-02 01:06 |
|
Christian Andersen wrote:
> >> Og bør alle systemer der kan nedlægges betegnes som usikre.
>
> > Ja.
>
> Nej.
Jo! (Men det er ikke alle systemer, som har behov for samme grad af
sikkerhed).
> Jeg kan lægge enhver server ned med en hammer. Betyder det at alle
> servere er usikre?
Ja - usikre for angreb med hamre. Har man behov for sikkerhed mod angreb med
hamre, må man foretage andre sikkerhedforanstaltninger.
> "Jamen, MIN webserver er lavet af cement!"
Jeg havde en IBM maskine, som nok kunne have klaret en almindelig hammer - den
var ikke synligt påvirket, da jeg legede computer-kast med den på
containerpladsen...
> >> Og udgør det ikke en sikkerhedsrisiko hvis andre skulle kunne nedlægge et
> >> system.
>
> > Jo.
>
> Det kommer da an på hvad systemet står og laver.
Risikoen er der - om den betyder noget er en anden sag.
Prisen for en risiko er sandsynligheden for at den risikable hændelse
indtræffer gange omkostningen ved at den indtræffer. - Kan man fjerne risikoen
for et mindre beløb, kan det økonomisk betale sig at fjerne den.
På tilsvarende vis kan man beregne, om det kan betale sig at mindske en
risiko. Det svære er at sætte tal på de indgående parametre.
M.v.h.
Jonathan
--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/
| |
Christian Andersen (20-11-2002)
| Kommentar Fra : Christian Andersen |
Dato : 20-11-02 11:23 |
|
Jonathan Stein wrote:
>>>> Og udgør det ikke en sikkerhedsrisiko hvis andre skulle kunne nedlægge et
>>>> system.
>>> Jo.
>> Det kommer da an på hvad systemet står og laver.
> Risikoen er der - om den betyder noget er en anden sag.
Det er faktisk essensen af det jeg mente. Jeg er også enig i resten af
dit indlæg.
--
..signature
| |
Thor Larholm (19-11-2002)
| Kommentar Fra : Thor Larholm |
Dato : 19-11-02 21:23 |
|
"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3dd91641$0$73028$edfadb0f@dread16.news.tele.dk...
____ ._
,' \ |= <--- Filter-Schlüssel
,/ ~(.).)\ .O.
\ ._) ) \ ;
\ \.__, / / /
)`-.__,-'./ /
________ / /_.-. ____/________
/________(____| )_____________/|
| '-´ ||
| Bitte keine Trolle füttern! ||
| ||.'.
| \|/ ____ \|/ |//$ \
| ~@-/ oO \-@ ||\_'/
| /_( \__/ )_\ ||
| \__U_/ ||
| ||
| Sperrt Sie ins Killfile ein! ||
|___________________________arm°|/
Mmmm, har altid haft lyst til at smide en tysk don't-feed afsted ;)--
Thor Larholm<URL: http://www.jibbering.com/faq/> FAQ for
comp.lang.javascript<URL: http://jscript.dk/unpatched/> Unpatched IE
vulnerabilities
| |
|
|