auditointeja jne.
Tarkistatteko asiat oikeasti auditoinnissa, vai esitättekö muutaman kysymyksen joihin valehtelu on triviaalia kun tiedetään mitä kysyjä haluaa kuulla. Auditointia varten voi tehdä paperit jotka näyttää sairaan hienolta, sekä siihen hommataan tyyppi joka osaa tehdä hienot paperit. Mutta viitsitäänkö sille tyypille koskaan maksaa siitä, että tehtäisiin jotain oikeita käytännöntoimenpiteitä? No eipä tietenkään.
Todellisuudella ja teorialla kun on valovuosien mittainen ero. Todellisuudesssa tietoturva on jotain hävettävän katastrofaalisen huonoa. Teoriassa se on hieno juttu, mutta käytännössä ongelmia ja huonosti hoidettuja asioita on niin monessa layerissa päällekkäin, että kokonaisuuden läpäisy on täysin triviaalia.
En vielä ehtinyt bloggaamaan sitä, mutta eräässä paikassa oli mm. hankittu kymmenien tuhansien eurojen lukitusjärjestelmä. Mutta lukitusjärjestelmän konfigit oli pielessä, mikä tahansa avain avasi minkä tahansa oven. Joten onko tuossa sitten mitään järkeä maksaa järjestelmistä noin paljon? Onhan se tietysti hienoa kun on state of the art digital locking system.
Ihan sama pätee valitettavasti myös palomuureihin. Ensin hankitaan hemmetin hienot järjestelmät, sitten kukaan ei jaksa eikä osaa ylläpitää niitä, ja se onkin sitten suurin piirtein siinä se. Vielä joku fiksu kääntää jonkun UPnP:n päälle. Sitten voi suorastaan nauraa sille että joku on upottanut 20 000 euroa tietoturvaratkaisuihin jotka ovat käytännössä hyödyttömät ja kenen tahansa edes marginaalisesti asiaan perehtyneen kierrettävissä mennen tullen.
Nimimerkillä, eräässä paikassa huomautin siitä, että niiden etähallinta oli auki kaikille koneille, eikä vaatinut missään vaiheessa salasanoja. Tietohallintopäällikkö totesi tähän, että etähallinta on toiminut hyvin. Mulla ei ollut enää mitään sanottavaa sille tyypille koskaan. Jokainen voi varmaan arvata mitä mieltä olin sen jäbän kompentessista. Joo, toimii hyvin, kaikki ok.
Mulla on kokemusta satojen yritysten ratkaisuista, muutamia isommista pörssiyrityksiä ja julkisensektorin firmoja lukuunottamatta tilanne on pääsääntöisesti katastrofaalisen huono kaikilla mittareilla mitattuna.
Pelkällä social engineeringillä pääsee monessa paikassa aivan uskomattoman pitkälle, kun vaan pokka pitää. Joskus tulee ihan hyvikseen testattua, kun on kerran oikealla asialla, että miten pitkälle pääsee, osoittamatta sitä oikeutusta millään tavalla. Parhaimmillaan koneet saa hakea pois firmoista, eikä kukaan kysy yhtään mitään missään vaiheessa. Salasanat annetaan kiltisti paperilla järjestelmiin, mukaan lukien domain adminit jne. Mutta joo, perussettiä, kaikille jotka näitä hommia joskus on tehneet. Sitten taas joskus vedetään ihan toiseen laitaan, pitää maksaa tuhansia euroja erikoissertifioitujen salausohjelmistojen lisensseistä, vaikka tietoa siirretään vaan tiukasti valvotussa sisäverkossa. Kultainen keskitie kulkee siinä jossain.
Pariltakin operaattorilta on tullut muuten tongittua puhelimessa mm. domainin hallintaan oikeuttavat tunnukset epäsuorasti asiakasta varten, ilman mitään konkreettisia todisteita.
Voisi ottaa oikein huvikseen kampanjan jossa selvittäisi monta domainia saa kaapattua suomessa, kun soittelis prepaidista eri palveluntarjoajien helpparit läpi ja jauhais vakuuttavaa tuubaa niille. Tämä siis kaikkien edun vuoksi, voisi ohjata kävijät jollekkin semi-hauskalle, mutta harmittomalle sivulle.
Aihe: Koneen fyysinen turvallisuus (Luettu 4563 kertaa)
