16. mars 2007

Sikkerhet og LMS-systemer

Fins det sikkerhetshull i LMS-systemene? Ja, det gjør det. Mange hull. I mange av de største systemene. Hvorfor? Fordi sikkerhet nedprioriteres ofte i applikasjoner på web (generell observasjon) og fordi det er vanskelig å tenke seg til alle mulige angrep før et system tas i bruk.

Det viktige spørsmålet blir da: Hvis hull oppdages, hva skal en da gjøre?

Blogginnlegget Debating Full Disclosure er meget interessant. Schneier (sikkerhetsekspert) vet hva han snakker om. Her er noen utdrag, men hele artikkelen (ca en side) anbefales.

"Full disclosure - the practice of making the details of security vulnerabilities public - is a damned good idea. Public scrutiny is the only reliable way to improve security, while secrecy only makes us less secure."
"Hackers have proven to be quite adept at discovering secret vulnerabilities, and full disclosure is the only reason vendors routinely patch their systems."

Kommenter gjerne dette innlegget!

2 kommentarer:

  1. Føler meg kanskje litt truffet av denne siden jeg har en viss tilknytning til en av LMS leverandørene :-)

    Som leverandør mener jeg at man uavhengig av om et rapportert sikkerhetshull "offentliggjøres" eller ikke må man regne med at informasjonen om hvordan et slikt hull kan utnyttes er i hender på personer som ønsker å utnytte det. Derfor må slike ting ryddes opp i så fort det lar seg gjøre. Og i en ideell verden der alle er teknologer og har et objektivt forhold til teknologi og sikkerhet så vil "Full disclosure" sikkert være fint og flott. Problemet er; hva er et sikkerhetshull? For mange teknologer så blir et sikkerhetshull sett på som å lage noe kode som kan omgå programvarens sikkerhetsmekanismer. Men er det ikke et like stort sikkerhetsproblem hvis man tillater simple passord? Eller hvis brukere skriver ned sine passord på gule lapper? Eller hvis en utdanningsinstitusjon har manglende rutiner rundt personvern og personopplysninger? En artikkel i Adresseavisen om at et kjent LMS hat et sikkerhetshull eller at "sikkerhetshullet er tettet" kan da være like mye med på å bygge opp en illusjon om at det er programvaren i seg selv som sørger for din sikkerhet.

    Jeg har lenge pleid på spøk å si at det største sikkerhetshullet er gule post-it lapper. kanskje vi skal sette i verk en kampane for å få tettet dette sikkerhetshullet
    :-)

    SvarSlett
  2. Det største problemet er brukerne som ikke skjønner at sikkerhet ER viktig. Kjenner til at enkelte lar kollger logge sg inn på systemet for å "ordne ting" for dem. Passord flyter og det samme gjør lapper med passord nedskrevet.

    Nå må det også sies at enkelte LMS-er ikke nødvendigvis inviterer til at folk skal ta sikkerhet alvorlig. Pålogging og bruk er alt for komplekst slik at brukerne velger lettvinte løsninger for å få jobben unnagjort. Når sikkerhetsaspektet har overstyrt brukervennlighetsaspektet totalt, og det ikke er opprettet gode nok opplæringssystemer med fokus på nettopp sikkerhet, da har oppdragsgiver (dvs de som ønsker å ivareta sikkerhetsnivået)bommet totalt.

    Inga Helene

    SvarSlett