Välkommen till Simovits Consulting

2014-04-15 Vi lanserar prenumerationstjänsten Simovits Perimeter Security Control!

I svallvågorna efter uppmärksammade sårbarheter som ”Heartbleed” och ”goto fail” lanserar vi nu prenumerationstjänsten SPSC (Simovits Perimeter Security Control). Med SPSC är ni som kund garanterad snabb återkoppling om en ny sårbarhet upptäckts i de programvaror/tjänster som ni har exponerade mot internet. 

Hur fungerar SPSC?

Ni som kund anmäler vilka applikationer/tjänster som ni vill ska övervakas. Vi kontrollerar kontinuerligt om det finns nya allvarliga sårbarheter i dessa applikationer/tjänster med omgående rapportering till er om så är fallet.

Vad tjänar jag som kund på SPSC?

Ni som kund får snabb återkoppling om nya sårbarheter upptäckts i de applikationer/tjänster som ni har exponerade mot internet. Det innebär att...

2014-04-11 Är det riskfritt med outsourcing?

Under fredagens fika blev ett givet samtalsämne den varning som Säpo har gett avseende outsourcing!

Är det förknippat med stora risker att lämna ut hela eller delar av sin data till ett utomstående företag? Vi enades om att det finns ett antal fördelar med outsourcing; företaget behöver inte ha egen personal, man kan både lättare och snabbare anpassa sig till förändringar, man blir mer flexibel.

Men vad är riskerna? Vad kan man ge till tredjepart? All information eller vilka delar? Vilken lagstiftning gäller om det bolag man outsourcar till har större delen av sin verksamhet utanför landets gränser?

Vi enades om att det är nog OK att använda sig av outsourcing OM man har gjort en noggrann riskanalys innan man påbörjar processen.

...

2014-04-09 Heartbleed: Programvara för krypterad internetsurf (https) läcker känslig information!

Buggen har fått namnet Heartbleed då implementationen av TLS/DTLS som använder tillägget för hjärtslag (heartbeat extension) läcker data från servern till den anropande klienten. Buggen finns i kryptobiblioteket OpenSSL, där version 1.0.1 (har använts sedan Mars 2012) till 1.0.1f är sårbara. Version 1.0.1g, släppt 7 April 2014, innehåller en rättning av buggen.

Närmare bestämt är minnesläckaget av storleksordningen 64kb, detta kan innehålla data från andra sessioner. Orsaken till detta är att ingen gränsvärdeskontroll av datalängden sker och mer minne allokeras för svaret till hjärtslaget än nödvändigt. Det är det allokerade minnets innehåll som sedan skickas som svar till klienten.

Vilken information kan man få ut genom att utnyttja buggen? Lösenord, användarnamn,...