Nu kan jeg snakke lidt ud fra erfaring, ganske nok er det “indhegnet og krypteret” men de data jeg sad med i mit team var klonet til et testmiljø som blev låst bag det nu infamøse kodeord Netcompany123. Næsten alle andre systemer havde et lignende testsetup og alle brugte samme kodeord til testserverne da det ellers ville være “for kompliceret” at flytte konsulenter fra et projekt til et andet (ja, det er en stor fed løgn da du kan fixe det med ordentlig SSO, men det var nu det man gjorde da jeg arbejdede ved Netcompany).
Havde det ikke været smartere at bruge et fiktivt datasæt i stedet? Nu er jeg ikke udvikler, men det burde da være muligt at få en computer til at generere tilfældig data, som man kan teste på i stedet.
I princippet muligt, men så skal du have en udvikler til at sidde og lave et program der genererer fiktivt data der minder om det rigtige. Det data vil så tit alligevel ikke indeholde de edge cases og problemer som rigtig data vil have, netop fordi det er konstrueret. Og det er jo en udvikler man kunne bruge til at sidde og lave features til timeprisen… Desværre er test og kvalitetssikring sjældent noget der vægtes højt.
Det du skriver lyder helt forfærdeligt - er det ikke noget datatilsynet kerer sig om?
I artiklen er der godt nok skrevet om en tidligere medarbejder og Netcompany. Men den praksis giver vel ikke adgang til andre kodeord i andre systemer, som artiklen skriver (“downloadet … kodeord” og “tilegnet sig loginoplysninger”)?
Herfra har han ifølge tiltalen downloadet forretningskritisk data - såkaldt kildekode - og kodeord til en række systemer i Skatteministeriet.
En del af det han har downloadet har altså været kildekode og det vil normalt ikke være krypteret da det jo skal ligge tilgængeligt for udviklere. Det burde sgu ligge offentligt tilgængeligt alligevel men det er en anden diskussion.
Det er ikke unormalt at have en delt password manager i firmaet/organisationen som alle medarbejdere kan tilgå (eller de kan tilgå forskellige dele af den). Det kan evt. være han har fået adgang til det. Hvordan skal jeg ikke kunne sige, men kodeord skal jo være tilgængelige et eller andet sted, selvom de bør krypteres i de services hvor de bliver brugt.
Hvis det er normalt hvordan holder man så øje med hvem der tilgår data? Igen må jeg sige at det lydet horribelt.
Men i øvrigt nævnes jo, at der er “skaffet kodeord”… jeg undrer mig over, hvordan de er skaffet, eller mere hvordan de har været tilgængelige. Hvor mon de kodeord har været registreret, siden de har været tilgængelige for uvedkommende?
Jeg forstår det altså ikke, så I må meget gerne være grundige i forklaringen, og ikke flimse overfladisk rundt - altså er en “delt password manager” bare at sammenligne med en fedtet seddel i bunden af skuffe 7, eventuelt med lidt bogstavombytning?
Det er jeg ikke uenig i - jeg forsvarer det ikke, jeg forsøger bare at give et kvalificeret gæt på hvad der er sket.
Hvor mon de kodeord har været registreret, siden de har været tilgængelige for uvedkommende?
Det er blot endnu et gæt, men da han har været tidligere ansat så tænker jeg at han har haft adgang i kraft af at han var ansat, og da han stoppede i arbejdet blev hans adgang ikke lukket ordentlig ned. Så det er ikke nødvendigvis fordi alle og enhver kan have haft adgang. Men igen, det er bare et gæt.
Jeg forstår det altså ikke, så I må meget gerne være grundige i forklaringen, og ikke flimse overfladisk rundt - altså er en “delt password manager” bare at sammenligne med en fedtet seddel i bunden af skuffe 7, eventuelt med lidt bogstavombytning?
Nu kender jeg jo ikke mere til detaljerne i sagen end du gør. Jeg er softwareudvikler, men ikke detektiv. Jeg har bare givet et par kvalificerede gæt på hvad der er sket. Jeg vil gætte på at der ikke er tale om noget fysisk indbrud.
Hvordan er det på nogen måde muligt at skaffe sig kodeord på en systemarisk måde? Ligger de data ikke både indhegnet og krypteret?
Nu kan jeg snakke lidt ud fra erfaring, ganske nok er det “indhegnet og krypteret” men de data jeg sad med i mit team var klonet til et testmiljø som blev låst bag det nu infamøse kodeord Netcompany123. Næsten alle andre systemer havde et lignende testsetup og alle brugte samme kodeord til testserverne da det ellers ville være “for kompliceret” at flytte konsulenter fra et projekt til et andet (ja, det er en stor fed løgn da du kan fixe det med ordentlig SSO, men det var nu det man gjorde da jeg arbejdede ved Netcompany).
Så Netcompanys sikkerhed er bare tåbeligt ringe.
Havde det ikke været smartere at bruge et fiktivt datasæt i stedet? Nu er jeg ikke udvikler, men det burde da være muligt at få en computer til at generere tilfældig data, som man kan teste på i stedet.
I princippet muligt, men så skal du have en udvikler til at sidde og lave et program der genererer fiktivt data der minder om det rigtige. Det data vil så tit alligevel ikke indeholde de edge cases og problemer som rigtig data vil have, netop fordi det er konstrueret. Og det er jo en udvikler man kunne bruge til at sidde og lave features til timeprisen… Desværre er test og kvalitetssikring sjældent noget der vægtes højt.
Det du skriver lyder helt forfærdeligt - er det ikke noget datatilsynet kerer sig om?
I artiklen er der godt nok skrevet om en tidligere medarbejder og Netcompany. Men den praksis giver vel ikke adgang til andre kodeord i andre systemer, som artiklen skriver (“downloadet … kodeord” og “tilegnet sig loginoplysninger”)?
En del af det han har downloadet har altså været kildekode og det vil normalt ikke være krypteret da det jo skal ligge tilgængeligt for udviklere. Det burde sgu ligge offentligt tilgængeligt alligevel men det er en anden diskussion.
Mit spøgsmål drejer sig om kodeord - som også skrevet. Det drejer sig ikke om testdata og ikke om programkode.
Hvordan filan kan vedkommende skaffe sig “kodeord til en række systemer i Skatteministeriet” ved at logge sig ind på en server?
Det er ikke unormalt at have en delt password manager i firmaet/organisationen som alle medarbejdere kan tilgå (eller de kan tilgå forskellige dele af den). Det kan evt. være han har fået adgang til det. Hvordan skal jeg ikke kunne sige, men kodeord skal jo være tilgængelige et eller andet sted, selvom de bør krypteres i de services hvor de bliver brugt.
Hvis det er normalt hvordan holder man så øje med hvem der tilgår data? Igen må jeg sige at det lydet horribelt.
Men i øvrigt nævnes jo, at der er “skaffet kodeord”… jeg undrer mig over, hvordan de er skaffet, eller mere hvordan de har været tilgængelige. Hvor mon de kodeord har været registreret, siden de har været tilgængelige for uvedkommende?
Jeg forstår det altså ikke, så I må meget gerne være grundige i forklaringen, og ikke flimse overfladisk rundt - altså er en “delt password manager” bare at sammenligne med en fedtet seddel i bunden af skuffe 7, eventuelt med lidt bogstavombytning?
Det er jeg ikke uenig i - jeg forsvarer det ikke, jeg forsøger bare at give et kvalificeret gæt på hvad der er sket.
Det er blot endnu et gæt, men da han har været tidligere ansat så tænker jeg at han har haft adgang i kraft af at han var ansat, og da han stoppede i arbejdet blev hans adgang ikke lukket ordentlig ned. Så det er ikke nødvendigvis fordi alle og enhver kan have haft adgang. Men igen, det er bare et gæt.
Nu kender jeg jo ikke mere til detaljerne i sagen end du gør. Jeg er softwareudvikler, men ikke detektiv. Jeg har bare givet et par kvalificerede gæt på hvad der er sket. Jeg vil gætte på at der ikke er tale om noget fysisk indbrud.