Sommige bedrijven hebben dit handig opgelost, door de werknemer verantwoordelijk te stellen indien het met de computer fout afloopt. De automatiseringsafdeling trekt dan letterlijk de handen af van de gemaakte fouten. Komt de werknemer er zelf niet meer uit, dan zit hijzelf met de gebakken peren. Wie zich brandt, moet maar op de blaren zitten.


Pierpanda.

Men heeft gelijk maar niet zozeer in de zin van, dat er veel jeugdigen mensen (vakantiejobs, ...) zijn die wel weten hoe je een poortscannertje draait enzo.. Maar meer dat er mensen zijn die MSN gaan draaien ofzo, of ICQ en zo een deurtje wagewijd openzet naar buiten toe.. Allee, eerder naar binnen toe..

Gegroet,
Johan

Veel bedrijven hebben grote problemen omdat het personeel niet of slecht is opgeleid. Als er als iets aan opleiding wordt gedaan.

Selfs systeembeheerders (en ik heb ervaring) weten van toetten nog blazen. Hoe een OS/LAN/WAN e.t.c. in elkaar zit, hoe het (goed) te beheren, beveiligen.
Nee dat weten en kunnen ze niet.

Als het voor de directie niet aan hel licht komt, en zelfs dan weten ze zich er uit te l*llen.
Want: In het land der blinden is eenoog koning.

"Selfs " ?????

Het lijkt wel alsof 'men' het hele punt mist: als werknemers een PC krijgen toegewezen van de werkgever, betekent dat dan dat een werkgever niets meer te vertellen heeft over het gebruik van die PC ?

Niet werk-gerelateerde IM ? Nekken die handel.
Idioten die P2P (Kazaa etc) willen draaien ? Arbeidsburau is vlakbij..
WERK-nemer, niet SPEEL-nemer PORNO-nemer..
Of ga je ook rally rijden in de auto van de zaak ?

Verder kun je als IT afdeling heel veel doen om ongewenste software buiten het systeem te houden. En zoveel werk is dat niet, en duur hoeft het ook niet te zijn..

Dit is een non-issue IMO


peaz

Laten we dat rally rijden maar even niet te spraken brengen of heb je de gemiddelde vertegenwoordiger nog nooit gezien in zijn auto. Ik vind altijd dat het toch redelijk het rally rijden benaderd zoals die jongens af en toe door de file heen proberen te komen:D

Maar een punt blijft dat de werkgever de werknemer een computer ter beschikking stelt omdat deze hem nodig heeft voor het uitvoeren van zijn taak binnen het bedrijf. Als deze computer om welke reden dan ook de geest geeft is dit een probleem voor het bedrijf omdat de werknemer zijn taak niet meer kan uitvoeren. Het is dus ook een probleem van de IT afdeling. Het is een kwestie van de balans vinden tussen het systeem zo dicht mogelijk spijkeren en de gebruiker nog voldoende ruimte geven om zijn taak uit te kunnen voeren.

Zorg er voor dat de gebruiker zo min mogelijk kan mollen en niks kan installeren wat schade kan veroorzaken maar zorg er wel voor dat hij kan doen wat hij moet doen op die computer. Iemand van de boekhouding zal niks speciaals met zijn computer hoeven te doen en het meest spannende voor deze persoon is waarschijnlijk een banking pakket. Iemand van de software ontwikkelings afdeling zal veel meer met zijn machine moeten kunnen doen maar dit zijn ook de mensen die de meeste problemen zelf wel kunnen oplossen. Je zal bij deze jongens echter wel moeten kijken dat ze niet te veel kunnen op het netwerk want voor je het weet zitten ze je mail te lezen.... :cool:

Ik denk dat intern een groot probleem zit en ik denk dat bedrijven heel goed moeten kijken naar hun interne beveiliging.

Je kan de buitenkant nog zo goed dicht hebben zitten als de binnenkant een rommel is dan heb je nog geen goed beveiliging.

Suntac.

Ik denk dat het de meest voorkomende ~fuckup~ is op een netwerk; zelfkazers die ~alles~ uitproberen wat ze thuis niet durven/kunnen/hebben.
En om onszelf veel werk te besparen hebben we het redelijk rigoreus aangepakt. Het segment waar de clients aan hangen heeft ~geen~ directe connectie met 'buiten' , alles word geforceerd over een filtering proxy, dus jammer, maar helaas voor de downloaders, onlinegamers, porno-enthousiasten en IMers. Werk-gerelateerd verkeer wordt geen strobreed in de weg gelegd.
Sharing tussen de individuele clients is ook onmogelijk, ze ~zien~ elkaar niet eens, alles loopt over een aparte intranet-server/gateway.
En om het af te maken hebben we op alle clients een eigen shell lopen, die onder andere ~not-approved~ files/apps stomweg weigert te openen/starten.

Na een eerste storm van verontwaardiging onder ~bepaalde~ mensen, is men er ondertusssen aan gewend, en hebben wij nog maar een fractie van de storingen.


Hei-ho

Dat is volgens mij in de meeste gevallen het groote probleem. De gebruikers beginnen in het begin enorm te gillen dat ze niks kunnen en dat er niet mee te werken is maar na een tijdje worden ze steeds stiller. Het probleem is dat sommige IT afdelingen nogal gevoelig zijn voor dit soort commentaar en dat ze na een tijdje van zeuren gewoon alles weer terug draaien al dan niet onder dwang van een directie die niet begrijpt waarom alles zo dicht moet zitten..........

Als een grote groep gebruikers bij de chef gaat zeuren dat het zo echt niet kan die chef en nog een aantal chefs gaan zeuren bij de directie dat ze hun targets niet gaan halen omdat hun personeel hun taak niet kan uitvoeren omdat systeem beheer de computers heeft dichtgespijkerd...... Kun je op je klompen aanvoelen dat er binnen de kortste keren iemand van de directie naast je staat om je vertellen dat het echt anders moet en dat het bedrijf kapot gaat vanwegen de nieuwe security policy.

Je moet de directie eerst weten te overtuigen dat het echt nodig is voordat je zo iets kan gaan doen. Je moet ze wel voor 100% achter je hebben staan anders is het vechten tegen de bierkaai.

(En wie denk er nu nog dat systeem beheer geen politiek is?)

Suntac

Mijn baas :-)

Maar na een paar ~demonstraties~ (PC van een (anonieme) luser geconfisceerd en even laten ~zien~ wat er zoal mee gedaan wordt) en een overzichtje van de browsercache van de gemiddelde luser, gekoppeld aan de trafficlogs, was dat dus snel over :-)

Netto-resultaat: er wordt als regel ~geen~ software geinstalleerd, behalve door ons. Klagen bij de baas levert alleen maar irritante vragen op als: 'waar heb je het voor nodig ?' 'wat zeggen de beheerders?'..

Dit zou eigenlijk in het bedrijfsleven overal het netto resultaat moeten zijn.
Dat houdt de hele interne automatisering beheersbaar en dan niet alleen op het gebied van security maar ook te denken aan softwaregebruikerslicenties waar bedrijven de eindverantwoording voor dragen.

Correct, ik ben voor. Geef gebruikers niet de optie om iets te installeren, iets niet zakelijks te downloaden, een instelling te verandern, iets om zeep te helpen...........

Het enige probleem is hoe krijg je in hemelsnaam een systeem zo waterdicht dat er echt helemaal niks meer kan..........

Alleen files laten opslaan op de server en elke morgen een nieuwe image van het os wegschrijven naar de disk, al het www en mail verkeer scannen op niet zakelijke rommel......

Ik vraag me af of dit mogelijk is en het dan ook nog eens beheersbaar houden.............
Wie weet een bedrijf die dit voor elkaar heeft?

Suntac

Dat is ~spooky~ genoeg heel simpel, wij hebben twee stukjes software geschreven voor Win9x, waarvan de eerste de Exloder als vaste shell vervangt, en alles gewoon parsed naar exploder, ~plus~ 'onze' shellcommands. (restart/shutdown/logoff etc)
Tweede stuk is meer een virus :-) Gaat op je registry zitten, en controleert alle 'hooked' files (executable of niet) met een MD5 hashed list. Als niet in lijst, negeren.

Tot onze stomme verbazing is er ~geen~ antivirus pakket dat tot nu toe AppFilter32 heeft gevonden, sterker nog, AppFilter vraagt of je je heuristic scanner wilt starten, roflmao.

We zijn van plan de sources 'vrij' te geven zogauw we een 'general purpose' compilation gedaan hebben..

En verder hebben we Squid tussen 'hullie' en the void staan..

Ik dat dat sterk afhankelijk is van de bedrijfscultuur hoe de zaken momenteel zijn geregeld op automatiseringsvlak.

Welke zaken zijn centraliseerd en welke niet, wat is cruciaal voor het bedrijf en wat niet, en welke platforms daarbij zijn betrokken.
Als je bijvoorbeeld praat over bijvoorbeeld Windows clients dan is er best wel wat te realiseren met bijvoorbeeld de Policy's (de befaamde poledit) waarbij je natuurlijk ook het gebruik van regedit door users uitsluit maar vergeet dan ook niet de systeem BIOS haar CMOS settings (bijvoorbeeld opstarten vanaf floppy en cd-rom afschermen en dat achter een password zetten). Gebruik bij windows eigen desktops en program-paths, al dan niet gecentraliseerd.

Al met al komen een aantal vanzelfsprekende alsmede mogelijk ook minder vanzelfsprekende zaken om de hoek kijken bij het volledig dichttimmeren van je overall-automatisering. Het komt in feite neer op het idee dat wanneer 'iets' moet worden toegevoegd of gewijzigd daar echt Administrator rechten voor zijn benodigd, waarbij het de gewone gebruiker zo moeilijk mogelijk wordt gemaakt zelf zaken uit te halen of uberhaupt probeert je beveiliging te omzeilen met bijvoorbeeld met zo-een eenvoudig floppie'tje van 1.44MB :)

Stel nu even he...

iemand neemt AppFilter32 mee naar huis... decompileerd deze.... schrijft er een extra gedeelte bij dat er voor zorgt dat er een aantal progs hard staan ingevoerd en dat hij die locaal wel mag laden.... Dan heeft het dus geen nut meer.

Als iemand echt iets wil dan krijgt hij het wel voor elkaar....
Maar ik moet zeggen dat het inderdaad een mooie oplossing is en ik kan niet wachten om het een keer te bekijken en te testen.....

Natuurlijk is dit een theoretische aanpak maar je weet zelf vast ook wel hoe gebruikers soms zijn,.... zeker als ze iets meer dan gemiddeld van computers weten..........


ik denk dat je als je een goed effect wil hebben van AppFilter32 dat je er voor moet zorgen dat er niet mee gerommeld kan worden en ik zou telkens even een check laten uitvoeren of de versie van AppFilter32 wel de versie is die jullie hebben uitgegeven. Is wat meer klopwerk maar je ondervangt er wel de wat slimmere computer gebruikers mee die waarschijnlijk het meeste last kunnen gaan veroorzaken binnen het netwerk....


Suntac

Omtrend dit onderwerp kunnen de documenten van de NSA (National Security Agency) van de USA je misschien ook van hulp zijn met betrekking tot Unix, Linux, Windows systemen.

Ik kan momenteel geen directe URL opgeven omdat de site van de NSA weereens niet is te bereiken (gebeurt zorgwekkend veel de laatste tijd met overheidssite's)

Je kan deze documenten eventueel ook bij mij halen op http://217.120.75.226/dl/public/security/nsa/
of met https, net wat je wilt.

Jij zegt 't ik denk 't.

Dilemma dus ? OpenSource of in-house ?


Wat mij betreft Open, wij hebben vast iets over het hoofd gezien, en 'many eyes make bugs shallow' enzo..

Maar je hebt zeker een punt..

* schopt rest van team wakker, en haalt bier enzo *

We hebben het hier over ~users~ :-)

Mag je btw een vette dis-assembler hebben..en ook machine generated .386 assembler kunnen lezen..

Beetje veel moeite ..

Ik zou persoonlijk gaan voor een regel toevoegen met een overa te downloaden md5 hasher....

* nog steeds bezig :-) *

Als je de mogelijkheid tot booten beperkt tot de locale harddisk of evt. het netwerk (en de floppy-drives, cd-rom's etc. uitsluit) en er voor zorgdraagt dat zaken als bijvoorbeeld een prompt, registry, policy-editors en andere niet voor gebruikers relevante uitvoerbare code buiten bereik stelt (en dus niet laat slingeren op systemen) en de file-accessrights behoorlijk tight instelt, is daarmee een hoop narigheid voorkomen.In feite maak je er dumb terminals van die toevallig zelf over eigen rekenkracht beschikken en enige eigen opslagcapaciteit.

Het nadeel van een enkele oplossing in de vorm van een shell-vervangende applicatie is dat men daar dan echt hun aandacht op zal vestigen. Het kan echter wel, additioneel, een extra stok achter de deur zijn. Mits juist geïmplementeerd.

mailto:bieriegami@hotmail.com

effe addy geleend, geen zin om m'n home thingz te geven..

Mjaaa dat is waar maar ze zijn soms heeeeeel handig als het gaat om het vinden van een methode om ergens binnen te komen... Ik zou niet verbaasd zijn als er iemand is bij jullie die het zou kunnen als hij er zijn tijd in zou steken........


Maar over het dilemma... ik zou ook zeggen open... :-)
post het hier of daar ergens op sourceforge of zo en je hebt er meteen een bulk meer ontwikkelaars bij die je helpen de fouten er uit te peuzelen.....


Suntac

The Security Recommendation Guides zijn nu weer rechtstreeks te bereiken via http://nsa2.www.conxion.com/

Mocht deze weer onverhoopt offline komen, kan je altijd nog bij mij terecht :)

Kan ik mij voorstellen. Ik heb reeds helaas al een abuse-melding moeten maken naar een provider en een stuk log -file geforwardeerd aan Law Enforcement van iemand die het leuk vond om wat uit te proberen. Dergelijke 'tests' met als doel te proberen of een systeem is te compromiteren zijn strafbaar.

Nah jah, je hebt schijnbaar van die mensen die het vrije leven beu zijn ofzo :)

Beetje jammer weer jongens,...... je kan ook gewoon even vragen hoe het systeem in elkaar zit en of je iets mag hebben..... (tot op zekere hoogte uiteraard)

Maar oke was natuurlijk wel leuk geweest als er bij Virtual een geslaagde hack was geweest. (mist niks vernield maar alleen aangetoond) Alleen had je op je vingers kunnen natellen dat er natuurlijk iets aan vast zou zitten als je het zou proberen

Zijn we er ondertussen al uit of open of niet wordt?

Suntac.

Het was er maar eentje hoor die erg op wilde vallen. Security is immers vooral opletten, buiten technologische middelen, anders slaap je in. Maar Virtual ken ik niet, behalve dan als woord :)

Voor dat programma of dat wel al dan niet opensource wordt, moet je bij Anonymous Coward wezen. Hij had een email-adres achtergelaten op dit forum, dus give it a shot.