Tietoturvan tiivistäminen

[Nake]

Oheinen mielenkiintoinen artikkeli ilmestyi juuri:
http://www.itsecurity.com/features/ubuntu-secure-install-resource/

Kokeneemmat: mitä kannattaisi tehdä?

[Asmo Koskinen]

Oheinen mielenkiintoinen artikkeli ilmestyi juuri:
http://www.itsecurity.com/features/ubuntu-secure-install-resource/

Kokeneemmat: mitä kannattaisi tehdä?

Paranoidi - tekee kaiken tuon, mikä ei riitä mhinkään - tuo kaikki vaatii aktiivista päivittäistä tarkistamista kaiken maailman logeista.

En minä sellaista harrasta edes omilla LTSP-palvelimilla. Riittää, että käyttää sudo/root-tiliä järkevästi eikä sitä käytetä etänä. Jos käytetään, niin sitten rajoitetaan ip-numerot ja käytetään avainpareja eikä mitään helppoja salasanoja.

Itselläni LTSP-asennus tehdään ltsp-tilillä, joka ei ole päivittäin käytössä, vaan varattu vain ylläpitotehtäviin. Root-tiliä ei ole avattu.

Kun pitää koneensa up2date ja eikä asenna jokaista pakettia, mikä maailmalta tulee vastaan, niin se riittää kotikäyttäjälle.

Kun koneessa ei ole palveluja/portteja käytössä, niin ei niitä voi kaapatakaan.

Järki kädessä Ubuntu on erittäin turvallinen jo oletusasetuksilla Desktop-asennuksena.

Jos tosissaan pyörittää Server-asennusta, joka on auki pahaan Internet-maailmaan, niin silloin nuo asiat pitää olla jo etukäteen tiedossa ja asennuksen yhteydessä huomioon otettuina.

Ystävällisin terveisin Asmo Koskinen.

[tmp]

Oheinen mielenkiintoinen artikkeli ilmestyi juuri:
http://www.itsecurity.com/features/ubuntu-secure-install-resource/

Kokeneemmat: mitä kannattaisi tehdä?

Kaikki käyttöjärjestelmät ovat "turvallisia" oikein käytettyinä. Kuten Asmokin kirjoitteli, niin järki käteen käytössä. Voihan noista esimerkiksi nuo kolme kriittisintä tehdä. Niiden tekemisessä ei mene kuin hetki. Toivon, että Ubuntun tulevissa versiossa otetaan edes osa noista ominaisuuksista oletuksena käyttöön, ettei käyttäjien tarvitse alkaa niiden kanssa säätämään.

[Asmo Koskinen]

Kaikki käyttöjärjestelmät ovat "turvallisia" oikein käytettyinä.

"Symantec on selvittänyt pk-yritysten tietoturvaselvitystä jo useampana vuotena. "Aikaisempiin tutkimuksiin verrattuna merkittävä ero on, että yrityksissä ei suurimpana tietoturvauhkana pidetä enää haittaohjelmia vaan omien työntekijöiden tietämättömyydestä tai huolimattomuudesta johtuvia riskejä", Symantecin maajohtaja Stefan Zilliacus"

http://www.tietokone.fi/uutta/uutinen.asp?news_id=30522&tyyppi=1

Ystävällisin terveisin Asmo Koskinen.

[tmp]

"Symantec on selvittänyt pk-yritysten tietoturvaselvitystä jo useampana vuotena. "Aikaisempiin tutkimuksiin verrattuna merkittävä ero on, että yrityksissä ei suurimpana tietoturvauhkana pidetä enää haittaohjelmia vaan omien työntekijöiden tietämättömyydestä tai huolimattomuudesta johtuvia riskejä", Symantecin maajohtaja Stefan Zilliacus"

Mikko Hyppönen valittelee usein: "ihmiset eivät vain opi". Vaikka noh... veikkaan, että Hyppönen ainakin bisnesmielessä mielissään kun ihmiset eivät ota opiksi .
Ict-paneeli: Tietoturvagurut ruoskivat käyttäjää

[moonstone]

Tietoturvassa käy myös vertailuna tuotteiden ja laitteiden käyttöturvallisuus oletusasetuksilla.

[tmp]

Tietoturvassa käy myös vertailuna tuotteiden ja laitteiden käyttöturvallisuus oletusasetuksilla.

Löytyykö muuten esimerkiksi Dell:n Windows-koneista peruskäyttäjän oikeuksilla oleva käyttäjätunnus? No toivottavasti ainakin noista Linux-koneista löytyy root:n lisäksi peruskäyttäjän tunnus myös.

Edit: Nyt kun muistelen, niin ainakaan siskoni HP:ssa ei ollut pääkäyttäjän lisäksi valmista tunnusta, mikä tarkoittaa heti jo lopun alkua. Käyttäjien pitäisi olla tietoisia miten ja miksi uusi tunnus luodaan. Taitaa vain harvat uuden tunnukset luoda...

[tmp]

Tässä hyvä esimerkki siitä miksi SELinux on hyödyllinen:
SELinux Constrains Samba Vulnerability

"So in conclusion, while it is regrettable that any piece of software has a vulnerability, and we work hard to fix them when we find them, it's good to know that SELinux is there to lessen the impact."

[moonstone]

Löytyykö muuten esimerkiksi Dell:n Windows-koneista peruskäyttäjän oikeuksilla oleva käyttäjätunnus?

Käsittääkseni Windows XP Home -versiossa ensimmäinen luotu käyttäjätunnus on oletuksena "Järjestelmänvalvoja".

[tmp]

Löytyykö muuten esimerkiksi Dell:n Windows-koneista peruskäyttäjän oikeuksilla oleva käyttäjätunnus?

Käsittääkseni Windows XP Home -versiossa ensimmäinen luotu käyttäjätunnus on oletuksena "Järjestelmänvalvoja".

Juu ilmeisesti kaikissa Windows XP versioissa on sama(?). Meinasin vain, että onko Dell itse tehnyt jonkun valmiin peruskäyttäjän tunnuksen mukaan, mutta näin ei ilmeisestikään ole, mikä on mielestäni paha ongelma. Ihmiset eivät varmasti edes tiedä, että sellainen tunnus pitäisi luoda, puhumattakaan siitä, että miten sellainen luodaan.

[vkkk]

Windowsilla (XPllä ainakaan) ei tee mitään peruskäyttäjänä.
Peruskäytäjänä XPn käyttö on todella tuskaista ja aina kun tekee oikeastaan mitään lukuunottamatta WinAmpin avaamista niin tarttee jo järjestelmä valvojan oikeudet.
Harva jaksaa tehdä ylimääräisen käyttäjätunnuksen vain aiheuttaakseen itselleen lisää vaivaa. XPn tietoturvakin on niin perseellään ette en perstuntumalta tuon usko edes juuri vaikuttavan.
Jos joku jaksaa nähdä todella pienen edun eteen niin paljon vaivaa niin ok, mutta tämän uskon olevan syy miksi monet merkit eivät peruskäyttäjä tiliä luo.

Linuxin root tunnuksilla leikkiminen on täysin eri asia, koska Linuxissa asia on hoidettu äärettömän paljon paremmin.

[T.M]

Hmmm XP pro toimii ainakin hienosti peruskäyttäjä/pääkäyttäjällä asetelmalla about miljoonassa firmassa ihan OK. Samoin täällä meidän puljussa windows-ongelmat eivät johdu ainakaan käyttäjien administrator oikeuksien puutteesta. Yksi ikivanha ohjelma on löytynyt joka vaatii local-admin oikeudet. Siitäkin selvisi tekemällä run as-wrapperin em. ohjelmalle.

Olen täysin eri mieltä että oikeuksien alentamisella ei olisi hyötyä windowsissa. Näyttöä löytyy että siitä todellakin on apua. Lisäksi käyttäjät eivät pääse asentelemaan yhtä helposti p2p-softia ja sotkemaan asetuksiaan.

Mitä olen tuttavien XP homeisia asennellu niin em. konsepti toimii niissäkin hienosti. Ehkä se on nämä joka kodin mikrotukihenkilöt jotka vaativat oikeudet joka ikiseen säätönamiskaan/asennuksiin jotka aiheuttavat ongelmat.

Se on myönnettävä että hieman osaamista tuo käyttäjätunnusten luonti vaatii joten se saisi olla automaattinen. Tehtäisiin asennustunnus ja alennetuilla oikeuksilla toimiva käyttäjätunnus defaulttina.

[tmp]

BadBunny seen in "the wild"? OpenOffice multi-platform macro worm discovered

''"Palomuurit on murrettu", väittää Googlen turvatuntija Niels Provos New Scientistissa. Se tarkoittaa, että koti-pc:hen tunkeutuu yhä useammin haittaohjelmia jo silloin, kun surffaaja käyttää pelkkä selainta.'' - HS: Haittaohjelmat mutkistuvat koko ajan

[Asmo Koskinen]

BadBunny

Niin. Jos on niin tyhmä, että ajaa kaiken koneessaan, mitä Netistä löytyy, niin ei voi kuin syyttää itseään.

Ajettavuus koskee kaikkea (OOo-makrot, bash-skriptit, varsinaiset binäärit yms yms).

OOo kyllä varoittaa joka kerta, kun yritetään ajaa makroa (kuvakaappaus). Joten jos et todellakaan tiedä, mitä olet tekemässä, niin älä tee sitä.

Ystävällisin terveisin Asmo Koskinen.

[ylläpito on poistanut liitteen]

[tmp]

Niin. Jos on niin tyhmä, että ajaa kaiken koneessaan, mitä Netistä löytyy, niin ei voi kuin syyttää itseään.

Kuten käytännössäkin nähdään, niin ihmiset suorittavat Windowssissakin pääkäyttäjän oikeuksilla sähköpostiinkin tulevia ohjelmia, vaikka heillä ei ole mitään käsitystä kuka viestin _oikeasti_ on lähettänyt. Se on ongelma.