Allan Olesen <aolesen@post3.tele.dk> wrote:
> Det er da godt, at vi endelig har faaet en reel grund til at gaa
> op i IT-sikkerhed. Indtil nu har det jo bare vaeret en
> formaalsloes hobby, for alle ved jo, at der ikke er nogen slemme
> personer, der forsoeger at faa adgang til vores maskiner. Eller?
Jeg tror ikke, at Prosa's website vil faa flere til at beskytte sig. De
fleste som ikke arbejder med IT sikkerhed eller hvert fald en form for
system administration lader denne slags ting glide ind af det ene oere
og ud af det andet.
Prosa skriver i deres pressemeddelse at de vil demonstere sniffing for
journalisterne og det mener jeg er ren FUD. Jeg bryder mig heller ikke
om, at Prosa giver indtrykket at alle ondskabsfulde vaerktoejer kan
findes, blot du har det rigtige vaerktoej. Der skal alligevel en del
forensics viden til at finde de som leger med kernen for at gemme sig.
Jeg har ikke alle svarene paa hvad der skal til for at folk passer bedre
paa, men jeg tror at en ikke-hjernedoed default opsaetning af de mest
udbredte OS vil vaere det stoerste skridt der kan tages. Om 5-8 aar vil
der stadigt vaere en stor portion af Windows 2000 og XP blandt
brugerbasen. Det er ikke et problem der kan loeses hurtigt.
Jeg oplever, at der blandt ikke-fagfolk er meget forskellige synpunkter
paa hvilke trussler der findes mod elektroniske data. Faktisk kan jeg
ikke sige, at der er et "typisk" syn paa situationen.
Der er nogen der slet ikke tror/mener/ved at der er nogen trussler. Paa
den anden side sidder de som er totalt paranoide og bruger naesten alt
deres tid foran PC'en paa at hente nyeste versioner af deres personlige
firewall, adware scanner, anti-virus software, etc. -- ironisk nok
tilbydes der ingen digitale signaturer af disse vaerktoejer, og hvis der
gjorde var det nok de faerreste af de paranoide der ville bruge tid paa
at checke dem.
CW bragte en overraskende korrekt artikel om, at de mennesker der var
bange for at handle over nettet pga. sikkerheden var de samme mennesker
som ikke patchede deres systemer og glaedeligt trykkede paa hver eneste
fil de modtog via email.
Man maa nok henfinde sig med, at ikke alle personer har brug for den
samme beskyttelse. De som mener de har, skal nok selv opsoege de som de
tror kan hjaelpe dem.
Jeg bryder mig ikke om den nuvaerende metode med at kaste vaerktoejer i
hovedet paa folk, men det siger lidt om hvor meget de som skriver disse
artikler og websites egenligt forstaar. Og hvad skal tilfaeldige
mennesker tro, naar f.eks. ham den reletivt ukendte Alex paa Usenet
siger, at personlige firewalls ikke loeser alle problemer men baade
DK-CERT og flere af de velkendte sikkerhedsfolk og virksomheder siger
der skal firewalls til?
De fleste borgere fedter rundt i alle andre aspekter af livet (huskoeb,
selvangivelser, forskellige lovgivninger, etc) saa jeg har egenligt ikke
de store forhaabninger om at PC sikkerhed skulle vaere anderledes. Jeg
kunne blot taenke mig, at der laa samme omtanke bag IT sikkerheds-
raadgivning som naar der raadgives omkring huskoeb og selvangivelser.
OSS'en i denne gruppe er det foerste og eneste dokument jeg har laest
paa dansk, der forsoeger at forklare hvad truslerne og problemerne er, i
stedet for at sprede FUD og kaste vaerktoejer efter folk de alligevel
ikke kan bruge korrekt.
Men i det mindste kunne det vaere interessant at lave en fuld trussel
model over situationen hvor nogen med en retskendelse har installeret en
keystroke logger og screen capture vaerktoej paa en PC.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org