Indledning

Tak til..

Alex Holst står for at vedligeholde dette dokument, og enhver fejl i det kan udelukkende lægges på hans skuldre. Han er taknemmelig til de følgende som har bidraget til at forbedre indholdet gennem rettelser eller idéer, eller ved at et af deres svar har formet basis for et punkt i denne OSS:

Hvis du bidrager til dette dokument vil dit navn blive listet her. Kun rigtige navne vil blive listet. Hvis du skriver under et alias vil jeg gerne byde dig velkommen til den rigtige verden. Hvis du specifikt beder om at blive udeladt fra listen eller beder om at få et link til din homepage i listen, vil dette blive gjort.

Hvem skriver og læser med i gruppen?

Deltagerne i gruppen har meget forskellig baggrunde. Vi har både sikkerhedsspecialister, programmører, netværksfolk, matematikere, systemadministratorer, hobbyfolk samt almindeligt interesserede. Til tider får vi besøg af kværulanter og/eller individer der vil sælge et "sikkerhedsprodukt," men det går sjældent godt.

Der ligger en gammel tråd hvor nogle har valgt at skrive lidt om hvad de laver til daglig.

Nogen ville sige, at der er to markante, primære "typer", der frekventerer dk.edb.sikkerhed (almindeligt interesserede og trættende kværulanter er fælles for alle nyhedsgrupper og dokumenteres derfor ikke yderligere):

Den første gruppe er dem, der gerne vil vide, at alverdens problemer kan løses ved at installere ét program, der ordner alting for dem. I bund og grund gider de ikke sikkerhed - hvis de bare kan starte dette ene, fikse program, så skal alt være godt, og det skal sikre dem 100% mod samtlige ondsindede gerninger nu og i al fremtid.

Den anden gruppe er dem, der tager sikkerhed alvorligt. Forhandleren skal dokumentere helt ned på algoritme- og implementeringsplan, at produktet lever op til det, der loves. Filosofien er, at hvis ikke forhandleren har kendskab til programmets funktion helt ned til de enkelte kodelinjer, hvordan kan han så stå inde for, at det virker? Og hvordan kan han overbevise andre om, at det virker, hvis han ikke selv netop har dette indgående kendskab til programmet og altså ved selvsyn har konstateret det?

Den første gruppe er umulig at stille tilfreds. Ingen kan love dem, at ét program skaffer dem af med hackere, vira, diverse krikker og andre ondsindede personer. Ja, ikke engang 200 forskellige stykker software kan samlet gøre det for dem. Og vil nok aldrig komme til at kunne det.

Den anden gruppe kan stilles tilfreds, men det kræver en målrettet indsats. Der er ingen garanti for, at der kommer noget økonomisk fordelagtigt ud af det, men omvendt huser gruppen nogle folk med ret meget at skulle have sagt hos dansk erhverslivs "tunge drenge". Alene dét er en af grundene til, at de ikke stilles tilfredse af andet end en gennemgang af implementeringens finere detaljer.

Den meget korte version: Der er ingen nemme løsninger i dk.edb.sikkerhed.

Hvor kan jeg finde gruppens fundats og arkiv?

Gruppens fundats er tilgængelig på Usenet.dk.

Du kan se tidligere artikler i gruppen ved at bruge Google Groups. Den nye version af Google Groups har også en nuttet side der opsummerer detaljer om dk.edb.sikkerhed der blandet andet viser antallet af indlæg hver måned samt en liste over de som skriver flest indlæg.

Hvad er den bedste firewall/OS/whatever? Hvordan skal jeg stille spørgsmål i gruppen?

(Hvis en skribent i gruppen har henvist dig til dette afsnit, er det sandsynligvis for at give dig inspiration til at stille dit spørgsmål igen med flere relevante detaljer).

At tale om hvad der er "bedst" er ofte formålsløst da de mange deltagere i gruppen har hver deres baggrund og miljø at arbejde i, hvilket betyder at det system eller metode som måske ville være perfekt for een person ville være ganske uacceptabelt for en anden. Det kan også være svært at tage stilling til f.eks. regler i en firewall uden at kende dine behov og din sikkerhedspolitik.

Microsofts Michael Howard beskriver kort (på engelsk) hvordan man tænker omkring sikkerhed, og hans kommentarer er gode at have i tankerne når man stiller spørgsmål.

Du vil få meget ud af at stille dine spørgsmål med omhu. I nogle (mange) tilfælde vil du få endnu mere ud af at læse denne OSS før du spørger. En søgning i førnævnte arkiv kan også give hurtig gevinst, da mange emner har været oppe at vende ved en tidligere lejlighed.

Det sker ganske ofte, at man får svar som man spørger, selv når svaret derved bliver markant mindre brugbart. Hvis man eksempelvis formulerer et spørgsmål dårligt og tydeligvis ikke har gidet sætte sig blot marginalt ind i stoffet, og eksempelvist spørger "kan jeg sætte min firewall op, så den bliver mere sikker?", så kan man regne med et korrekt omend totalt ubrugeligt svar som "ja". Problemet med spørgsmålet er, at spørgeren ikke har læst denne OSS, at han ikke har gidet søge i gruppen efter de 117 andre gange, spørgsmålet blev besvaret, og at han har formuleret sit spørgsmål så generelt, at det kun kan læses som "forklar mig hvordan alt dette virker, og hvad jeg skal gøre". Sidstnævnte er der i princippet ikke noget i vejen for, hvis man dog er villig til selv at gøre en indsats, eksempelvis "jeg ved ikke noget om xyz, men vil meget gerne lære noget, så er der nogen, der har nogle gode referencer til begyndere eller gider at forklare det selv?".

Tonen i gruppen er sådan, at man som regel ikke fylder særligt mange eksplicitte venligheder, smilies osv. i sine indlæg, dog uden at der derfor skal læses nogen særlig distancetagen i dem. Desuden antages det, at de debatterende har et så solidt ego, at de kan holde til en irettesættelse uden at de tager det personligt eller skal pusles om.

Det skal endvidere siges, at kandu.dk ignoreres konsekvent af visse personer i gruppen og ses ned på af mange flere, og med de erfaringer gruppen har, er det egentlig også forståeligt nok. Man giver derfor sig selv den dårligst mulige start ved at sende indlæg gennem dette website.

Vi forstår naturligvis at du søger hjælp eller råd, så her er nogle tips til hvordan du kan hjælpe os med at hjælpe dig:

Forfatteren af denne OSS forbeholder sig i øvrigt retten til at tage det personligt hvis der spørges i gruppen uden at have læst OSS'en. Der ligger en del arbejde i sådant et dokument, og ikke at læse hvis man har brug for hjælp er at pisse på det arbejde der er lagt i dokumentet.

"If people are going to waste our time by asking for information readily available to them, they have to suffer the answer along with our disdain." -- attrition.org

Hvor kan jeg diskutere virus og anti-virus programmer?

Diskussion omkring computervirus og anti-virus software finder sted i dk.edb.sikkerhed.virus, som ligeledes har en liste over ofte stillede spørgsmål samt en fundats. Deltagerne i den gruppe ved hvordan de nyeste virus og orme spreder sig, samt de kan hjælpe dig med at benytte anti-virus software til at rense en inficeret maskine.

Hvis du ikke ønsker at vide hvordan virus og anti-virus software virker, men alligevel meget gerne vil undgå at blive inficeret, er dk.edb.sikkerhed den rette gruppe til at tale om brugeropførsel og visse aspekter af systemopsætning.

Hvordan kan jeg bidrage til OSS'en? Hvor tit opdateres OSS'en?

Nyt materiale kommer ind ved at det bliver snuppet fra et svar i gruppen, eller en person sætter sig ned og skriver lidt om et emne specifikt til OSS'en.

Nye udgivelser af OSS'en sker, når der er tilstrækkeligt med nyt, gennemarbejdet materiale, eller når der i medierne lyves om sikkerhed. Hidtil har der været en udgivelse omtrent hvert halve år. Hvis der bliver opdaget alvorlige fejl, vil der blive udgivet rettelser til disse, og dette vil blive annoceret i gruppen, så læserne bliver gjort opmærksom på dette.

Mennesker er sjove når det kommer til frivilligt arbejde. De som har evnerne, tiden og lysten til at skrive, gør det nok på et tidspunkt. De som mangler en af det førnævnte får ikke skrevet noget, uanset hvor mange opfordringer der tilkendegives.

Rettelser modtages også gerne. Trivielle rettelser af grammatik og stavning bedes holdes til privat email. Alex' email adresse kan findes på hans hjemmeside.

Hvis du tvivler på korrektheden af et emne som det er diskuteret i OSS'en, bedes du, i bedste full disclosure-stil, tage det op i gruppen. Hvis OSS'en har taget fejl, bliver folk gjort opmærksom på dette og kan rette op på forkert viden forårsaget af OSS'en. Hvis et emne virkelig er korrekt beskrevet i OSS'en, kan en klargørelse i gruppen afhjælpe misforståelsen hos mere end een person.

Hvad er edb sikkerhed?

Sikkerhed: at være sikker.

Sikker: at være uden for fare f.eks. angreb, ulykker el. andet uønsket.
                                        -- Politikens Nudansk Ordbog

Begrebet dækker over et ønske eller krav om en defineret grad af konfidentialitet, integritet og tilgængelighed. Med konfidentialitet menes at information og ressourcer kun skal være tilgængelige for autoriserede brugere. Med integritet menes at information og ressourcer skal være beskyttet imod modificeringer foretaget af uautoriserede brugere. Med tilgængelighed menes at information og ressourcer skal kunne tilgås når det er nødvendigt.

Absolut sikkerhed findes ikke.

I den professionelle verden opnås sikkerhed gennem en forståelse af risiko og konsekvenser. Man vurderer risiko for at en sikkerhedsrelateret begivenhed finder sted, og man vurderer hvilke konsekvenser der vil være hvis en sikkerhedsrelateret begivenhed finder sted. I de tilfælde hvor risiko eller konsekvenser er uacceptable gør man en indsats for at bringe det uacceptable til et acceptabelt niveau:

De 3 punkter kaldes ofte for CIA-modellen.

Visse situationer stiller, i tillæg til CIA, også krav om non-repudiation og plausible deniability.

Overholdelse af en sikkerhedspolitik er ligesom at være gravid. Man kan ikke være en lille smule gravid, ligesom man heller ikke kan næsten overholde en sikkerhedspolitik. Det er enten eller.

Hvordan kommer jeg i gang med IT-sikkerhed som karriere?

IT-sikkerhed er et fantastisk bredt felt. Det er så bredt af man ikke fatter det. Det bedste råd er absolut at følge dine interesser. Undgå at bruge din tid på kapløbsteknologier eller andet, som hurtigt bliver forældet. Det hjælper dig ikke, at du kender til samtlige sikkerhedsfejl der er blevet annonceret den sidste måned på bugtraq, hvis du ikke forstår hvordan de opstår og hvordan de kan forhindres.

Hvis du elsker matematik kunne du f.eks. finde dit kald i en del af kryptografiens verden, som i sig selv er enorm. Der er f.eks. stor forskel på kryptografisk matematik og på kryptografisk protokoldesign.

Hvis du finder nydelse i at designe eller programmere skal du måske søge over i softwareudvikling eller software quality assurance, hvor du arbejder med at forbedre udviklingsprocesser til at finde design og implementationsfejl. Mange starter desværre med at finde fejl i software og skabe et navn for sig selv på den måde.

Hvis du har interesse for elektronik, kan du måske finde det interessant at arbejde med sikkerhedshardware som single sign-on tokens, smartcards og lignende.

Det er også en kunst i sig selv at kunne forklare komplicerede sikkerhedstrusler til et firmas ledelse og andre ikke-specialister. Det er heller ikke let at balancere sikkerhed og økonomi. Din direktør er ligeglad hvilken vej stacken i jeres maskiner vokser, og om den er eksekverbar eller ej. Han vil vide hvor meget skade der sker i en given situation, hvor mange kræfter en angriber skal bruge på at forårsage skader, og hvad det vil koste.

Mange sikkerhedsspecialister kalder sig selv "sikkerhedsekspert" eller bliver kaldt det af pressen. Sandheden er, at der kun er få hundrede mennesker i verdenen med både den dybe og brede viden om hele IT-sikkerhedsfeltet der er en sådan titel værdig. De fleste af os dødelige må vælge et par områder som vi dygtiggør os på. Indtil eksperter, som har været i branchen mange år, begynder at omtale dig og mig som eksperter er vi det ikke.

Læs litteraturen angivet på Videre læsning om sikkerhed og gerne meget andet relateret til dine områder.