Stephan Engberg skrev:
At jeg i anden sammenhæng klart advokerer for en Security by Design tilgang ønsker jeg ikke sammenblandet med denne diskusion som drejer sig om at man tager tiltag som umuliggør sikring af EPJ.
Det er IKKE "Stephans model" versus "tynde klienter".
Det er som at sætte diskusionen op som tortur versus "perfektionering" af demokrati. Sidstnævnte er svært/umuligt, men det blåstempler ikke tortur eller "moderat fysisk vold".
Stephan, jeg har stillet de spørgsmål jeg har for at se om der var en løsning som jeg ikke kendte til, men du forholder dig kun til teori, og ikke praktik. Jeg prøver så vidt muligt at forholde mig til begge, da upraktisk teoretiske løsninger fejler endnu værrer end ingen løsning. Jeg triggede af da du mente at hele sikkerheden var bare dovenskab, da man ikke designer ind sikkerhed fra starten - noget som jeg personligt prøver at gøre på den bedste mest praktisk muligt måde - og så kom du med et meget loftig postulat om en "ultimat" sikkerheds model, jeg var derfor nysgerrig, da jeg ikke kunne (og stadivæk ikke kan) se en pragmatisk løsning til den teori, som vil holde når man tilføjer brugere til systemet.
Man skal altid huske at sikkerhed er en balance mellem bruger venlighed, bruger nemhed, og sikkerhed. Hvis balancen er for langt mod sikkerhed, og ikke har medregnet brugeren som en faktor, vil sikkerheden fejle fordi at brugerne vil omgå den, fordi den er besværlig, man kan så vælge at prøve at tvinge folk til at følge modellen, men brister vil konstant ske. Hvis balancen er for langt mod nemhed, og venlighed, så er modellen så svag at den kan omgås af en 3. part.
Det her kan man se på bla. windows sikkerheds modellen som fokucere på brugere venlighed, og er så gennemhullet det er ret morsomt (sørgeligt), mens den originale UNIX anses som ubrugeligt af brugere, men sikkerheden er meget høj (kan desværre ikke sige det samme om de nye linux distributioner)
Men selvom jeg i princippet er enig med dig om hvad sikkerheden burde give, ved jeg at pragmatiske forhold er ufatteligt vigtige, og man ender altid med at lave løsninger som er en balance gang.
Mht tynde klienter og tykke klienter, er det nøjagtigt den samme balance gang, som kommer og går sådan cirka hvert 5-10 år. Industrien flytter sig p.t. mod tynde klienter, men om en anden 5-10år med tynde klienter vil industrien igen gå mod tykke klienter, af rent pragmatiske grunde.
En af de sikkerhedsmæssigt fordele ved den tynde klient er at de er meget nemmere at styre, fordi det hele er centraliseret, og derfor kan man meget nemt sørge for adgangskontrol, samt at ungå vira, m.m. Sikkerheds problemer kan opstå fordi at arbejdet udføres i hukommelsen på en maskine, hvor det er muligt for adminstratorer at læse indholdet af, og der med divs nøgler, men en virus kan det samme på tykke klienter.
Den store ulempe ved tynde klienter er og bliver at hvis en kable bliver gravet over, noget går galt centralt, eller nogen bryder ind centralt så er alt tabt, og det medfører at tusinder eller millioner af mennesker kan ikke udføre deres job, pga det hele er så centraliseret.
Efter sådan et nedbrud, flytter industrien igen over på tykke klienter og distribueret data, hvor folk stadigvæk kan arbejde, selvom centralen er gået ned.
Fordelen ved distribueret teknologi (og tykke klienter) er at ingenting afhængere af single point of failure, men administrativt og sikkerhedes mæssige udfordringer er langt større, fordi nu skal man ud og servicere 1000'er af maskiner, og lokale vira etc er et problem, samt tyveri af en enkelt maskine giver næsten alt data til tyven (ja ja, krypteret m.v. Men da det er software nøgler for tiden, så er det bare et spørgsmål om tid).
Men jeg kan vitterligt ikke se det sikkerheds problem du snakke om med tynde klienter, da rent faktisk kan de tynde klienter køre nøjagtigt de samme programmer som tykke klienter, spørgsmålet er bare hvor programmerne kører. Ønsker man end-to-end kryptering, kan det også udføres via tynde klienter (se SSH tunneling, VPN tunneling etc), kryptering med nøgler som du specificere, kan stadigvæk komme fra den lokale maskine, dog på en mere omstændigt måde.
Hovedet pointen er hvor de private nøgler gemmes, hvis software løsninger som er så populære i Danmark, bruges, så er problemet at nøglerne gemmes hvor mange kan få tilgang til dem, men tykke klienter er kun security by obscurity i det her sammenhæng, da en virus eller trojan, introduceret i systemet kan stjæle alle nøglerne alligevel hvis man lyster. Snakker man om en korrupt adminisrativ medarbejder, vil den person bare introducere en vira eller trojan som spreder sig til de tykke klienter, og sender alle de fortrolige data og nøgler ind til central serveren, hvor de kan opsamles.
Jeg har ikke før blandet tynde vs tykke klienter ind i den her sikkerheds debat. Da tyk/tynd debatten faktisk er ret uinteressandt, når man ikke snakker om drift sikkerhed, da indtil man forlader software sikkerhedsmodellen, så er tykke og tynde klienter lige så sikre eller lige så usikre, da sikkerheden afhænger af alt for mange forudsætninger, som desværre ikke holder i længden.
P.T. er det muligt at bruge hardware krypterings moduler med tykke klienter, men ændringen der skal til for det selvsamme kunne gøres med en tynd klient er ikke en speciel stor udfordering.
Jeg havde vitterligt håbet på at lære en ny måde at implementere sikkerhed på igennem denne debat her, da mit formål med at debatter på sikkerhed er for at lære nye metoder, samt at påpege problemer synlige problemer, men også at komme med konkrete pragmatiske løsnings modeller til de problemer som jeg påpeger.
Log ind
Publiceret d. 25. juni 2009 kl. 07.00
| 
)...
|
