Avsnittet: 127 – Citaten som avslöjar säkerheten
Inspelat: 2021-06-04 (publicerat 2021-06-06)
Deltagare: Mattias Jadesköld och Erik Zalitis
Lyssna på avsnittet
Medan du lyssnar
Moderna tider kräver moderna lösningar. Det finns metoder, best-practises och lösningar som kan stå emot hackare tillräckligt bra för att man ska kunna våga koppla upp sina system på nätet.
Men ändå ser man samma trötta gamla system- och säkerhetsfilosofier när man kommer ut till kunden för att testa deras säkerhet, pentesta dem eller analysera deras säkerhetsstatus.
I dagens avsnitt av IT-säkerhetspodden är det Mattias Jadesköld och Erik Zalitis som med hjälp av några citat som ligger till grund för märkliga säkerhetsproblemen som borde vara lösta, men som inte är det.
| Punkt | Problem |
| 1 | ”Alltså, den här testmiljön är exakt som produktion, fast vi lägger inte in några patchar, eller använder modern utrustning och lösenorden är samma för alla konton” |
| 2 | ”Switchen? Ja, vi konfar den via det där terminalprogrammet. Vadå osäkert?” |
| 3 | ”Alltså, vår webb är säker. Den styr om alla att använda HTTPS så det blir krypterat” |
| 4 | ”Alltså, lugn nu, ingen vet att order-funktionen finns där! Det är ju bara javascripten som pratar med den.” |
| 5 | ”Vadå, ska du verkligen göra 1000 anrop mot webben. Det pallar den inte!!!” |
| 6 | ”Vem har kopplat in den där?” |
| 7 | ”Det är någon annans problem” |
| 8 | ”Lösenordet? Jag har det på mailen…” |
| 9 | ”Urgamla tjänster” |
| 10 | ”Brandvägg på klienterna? Varför det?” |
| 11 | ”Vi måste nå alla servrar” |
| 12 | ”Nej, konfigurationsfilerna har Windows standardrättigheter, men de är ju krypterade, så det gör inget” |
| 13 | ”Vi vet ju om det där redan – bra att du hittade det”. |
| 14 | ”Jaha.. Du skrev om det redan i förra rapporten. Nej, jag vet inte varför det inte är fixat. Hur så?” |
Länkar
- –
Felaktigheter
- Inget att rapportera denna gång. Kommentera gärna om ni
inte håller med omhittar fel i något vi sagt.