Rétikánya blogja

A madarak fentrõl szemlélve másképp látják a világot...

Tag: security

10 gondolat a weboldal biztonságáról

Optimize Joomla SecurityMostanában egyre többször fordul elő, hogy innen is onnan is megkeresnek azzal, hogy nem jól működik a weboldal nézzek már rá. Számos esetben azt tapasztalom, hogy az oldal jelentősen el van hanyagolva. Amikor az érintetteknek erre rámutatok, akkor döbbenten néznek rám. Az embereknek – és sajnos sokszor a kivitelezők is ezt erősítik, hisz nem mondják el, hogy nincs vége az oldal elkészítésekor a munkának – azt hiszik egy weboldal fejlesztéssel kész és nincs több feladat.

Ezzel szemben az az igazság, hogy a biztonságos weboldal kialakítása már a tervezéskor elkezdődik, folytatódik a kivitelezés során, majd az átadást követően is folyamatosan kell vele foglalkozni, ha az elért biztonsági szintet fenn akarjuk tartani. Amennyiben ezt nem vesszük figyelembe, akkor tudomásul kell venni, hogy bármikor érkezhetnek a kéretlen látogatók. Tudom a válasz “eddig nem jöttek ergó nincs gond” nos ez csak szerencse kérdése, nem több…

Az alábbiakban a gondolatokat a Joomla szempontjából szedtem össze, de félreértés ne essék ez bármely weboldal kialakításakor szinte teljesen megegyezik. Külön kiemelném, hogy az egyedileg fejlesztett megoldások esetén a probléma még inkább fontos, mert – tisztelet a kivételnek –, de nem nagyon szoktak az egyedi fejlesztés során a fejlesztők ezzel foglalkozni (igen akár 30%al megdobja az időt és a költségeket).

Continue reading

Nem specifikálják, nem tesztelik az üzleti alkalmazásokat

Bár el vagyok havazva egy projekt zárása során, azért olvasni mindig szakítok idõt, fõként a rövidebb hírekre. Ímhol egy mostani amin kicsit elgondolkodtam:

Egy mostanában közzétett vizsgálati eredmény szerint a programfejlesztéseket alvállalkozók bevonásával végzõ szervezetek 60 százaléka nem határoz meg biztonsági követelményeket. A Quocirca által végzett felmérés szerint manapság jóval több bérfejlesztést végeznek, mint valaha, és a programfejlesztéseket végzõ cégek kilencven százaléka bérmunkában végezteti a kódírás több mint 40 százalékát.
Eközben az USA Technológiai Szabványügyi Intézetének beszámolója arról tudósít, hogy a számítógépes hálózatokat is veszélyeztetõ szoftverhibák 92 százalékáért szoftveralkalmazások felelõsek, ugyanakkor az alvállalkozók bevonásával végzett fejlesztéseknél a fõvállalkozók 20 százaléka még csak nem is foglalkozik a biztonsággal.
Az alvállalkozókat leginkább a pénzügyi szolgáltatásokat nyújtó szervezetek foglalkoztatják; 72 százalékuk az újonnan fejlesztendõ szoftverek teljes kódjának 40 százalékánál is többet ad ki bérmunkába.
A Fortify Software vezetõségi tagja, Howard Schmidt – aki régebben IT-biztonsági tanácsadóként is dolgozott az amerikai kormányzatnak – azt mondta, hogy “A felmérés eredményei magyarázatot adnak arra, miért nõtt meg ilyen hirtelen az adatvesztéses incidensek száma”.
Forrás: vnunet

Gondoljunk csak a dolgok mögé! Ma magyarországon ez a trend simán tetten érthetõ, hisz a legfontosabb még a nagy cégeknek is, hogy minél költséghatékonyabban dolgozzanak. Ennek értelmében a feladatokat folyamatosan adják ki alvállalkozóknak, s nem teszik melléjük a QM részt a projektben. Az alvállalkozóknál – tisztelet a kivételnek – a QM csak nyûg, hisz akadályozza a munkát, nem a fõ feladat, ergó kerülik és kihagyják. Ennek okán nincsa kód ellenõrizve, dokumentálva, stb. Sajnos a Megrendelõi oldalon az átvétel ma – a mindennapi gyakorlat szerint – vagy nagyon, már-már túlzottan alapos, vagy csak abszolút formalizált.

Mit lehetne mindezek ellen tenni? Sokat, nem is túl bonyolúltan, de sajnos az pénzbe és odafigyelésbe kerülne. Continue reading

IT és a biztonság 2

Érdekes kiegészítõ hír jött az elõzõekben már tárgyalat Sebezhetõségi verseny az op.rsz-ek között cikkhez.

Nem a Linux természetes biztonsága, hanem az érdeklõdés hiánya maradt érintetlen az Ubuntu-laptop a hackerversenyen

Önmagában az, hogy a laptop – egy Ubuntu 7.10 változattal felvértezett Sony – érintetlen maradt az idei CanSecWest keretében megrendezett hackerversenyen, nem jelenti azt, hogy a Linux biztonságosabb, mint a Mac OS X vagy a Windows Vista.
“Egy ilyen verseny semmiképpen sem indikátora az operációs rendszerek relatív biztonságának”, jelentette ki Terri Forslof, a 3Com/Tippingpoint biztonság részlegének vezetõnõje, “A Linux az, ami; átláthatóbb a kódja, de igazából a Mac és a Windows sebezhetõségei vonzzák a médiafigyelmet. ( … ) Egyvalamit azonban a megmérettetés világosan jelzett – mondta Forslof – nevezetesen azt, hogy egyre jobban elõtérbe kerülnek a sebezhetõségek”.
Hónapok óta egyre markánsabban érvényesül az a trend, hogy a hackerek figyelme a platformszintû támadások felõl az alkalmazások és különösen az asztali kliensek felé fordul. Ma már a sérülékenységek elsöprõ többségét a kliensoldali alkalmazásokban fedezik fel és aknázzák ki. Az alkalmazások elõtérbe kerülése fõként annak köszönhetõ, hogy biztonságosabbak az operációs rendszerek. Ezt világosan érzékeltette az a tény is, hogy a vistás laptopot feltörõ Macaulay-nek meggyûlt a baja az egyes szervizcsomaggal.
Terri Forslof szerint a Macaulay által kihasznált – ugyancsak nem platformszintû – Flash sebezhetõség több operációs rendszert is érint, többek között éppen a Mac OS X-et és a Linuxot is.
Forrás: TechWorld.

Azért örülök ennek a cikknek, mert jelzi, azt amit sokan nem hisznek el, nevezetesen egy rendszer nem attól rendelkezik több vagy kevesebb töréssel, hogy mennyire rossz, hanem attól függõen, hogy az ezzel foglalkozókat – legyenek etikus vagy nem etikus táborba tartozó hackerek – melyik rendszer érdekli jobba, illetve melyik hoz nagyobb dicsõséget. Ma a világ az MS és a MAC hibákra akar figyelni, ez az ami a közvéleményt érdekli. Mégis ha bemegyünk egy UNIX biztonsággal foglalkozó csapathoz, azok kb. hasonló mennyiségû hibát gondot tudnak felsorolni egyik másik rendszerrõl, mint amennyit a Windows-ról tudunk.

IT és a biztonság

A héten számos cikket, blogbejegyzést olvastam az IT biztonság kérdésérõl. Érdekes, hogy e héten hirtelen megint ez volt az egyik fõ információ az általam figyelt médiumokban. Mikkel is találkoztam, amleyek felkeltették érdeklõdésemet?
Continue reading

© 2017 Rétikánya blogja

Theme by Anders NorenUp ↑