Firma 1: (Har fået rettet hullet)
 


Svar: 14-11-2002
Hej Søren,

Lad mig starte med at sige at jeg i den grad mangler præsentation af Dig!
- Hvem er Du?
- Hvilken interesse har Du i at gøre os den tjenste at teste vores virksomhed?
- Hvorfor ønsker Du at offentliggøre vores evt. sikkerhedshuller?
- Hvilke medier/ Hvor - vil det blive offentliggjort?

Jeg har sendt Din mail til de personer som vi arbejdere sammen med vedr. design af siderne.
Når jeg har svar på ovenstående og jeg har fået svar tilbage fra vores samarbejdspartnere, vil Du
modtage en udtalese fra mig.



Mit svar: (14-11-2002)
Hej Firma 1,

>>Lad mig starte med at sige at jeg i den grad mangler præsentation af Dig!
- Hvem er Du?

Søren Christensen og i denne forbindelse en privatperson.

>>>- Hvilken interesse har Du i at gøre os den tjenste at teste vores
virksomhed?

Jeg har bestemt ikke testet jeres system, men blot set og konstateret de
påpegede ting. Om det er en tjeneste skal jeg ikke kunne sige. Min
motivation er den at jeg er interesseret i at finde ud hvorledes firmaer
reagerer overfor meddelser om sikkerhedshuller. Derfor har i og 14 andre
danske websites modtaget en mail fra mig der specificere eventuelle
sikkerhedshuller.

>>>- Hvorfor ønsker Du at offentliggøre vores evt. sikkerhedshuller?

Det gør jeg bestemt heller ikke og jeg agter heller ikke at gøre det.
Såfremt det giver mening vil der måske blive en kommentar om 'resultatet'
uden angivelse af hverken firmanavne eller websteder. Grunden til at jeg
skrev at der kunne forventes en offentliggørelse var simpelthen at få folk
på mærkerne -  reelt set har jeg hverken tid eller energi ej heller lyst til
at gå gennem 15 retssager ..:)


>>>- Hvilke medier/ Hvor - vil det blive offentliggjort?

Ingen. Hvis der kommer en kommentar bliver det på diverse usenet relaterede
grupper.

>>>Jeg har sendt Din mail til de personer som vi arbejdere sammen med vedr.
design af siderne.
Når jeg har svar på ovenstående og jeg har fået svar tilbage fra vores
samarbejdspartnere, vil Du
modtage en udtalese fra mig.

Det vil jeg meget gerne.



Svar fra firma: (14-11-2002)
Hej Søren,

Tak for svar.

Hvis en mand kommer til Dig og siger: Dit hus brander!
...så behøver Du ikke vide ret meget andet.
Hvis en mand kommer til Dig og siger: Jeg eller en anden kan begå indbrud af den og den dør, 
fordi den har en svag lås.
...så bliver Du foruroligt og en del mistænktsom

Vi har i dag været 3 medarbejdere der har brugt tid og kræfter på at diskuterer Din mail.
"..er det afpresning " , "...hvem er han ?" mv.
Jeg har snakket med: 
- vores teknikker
- vores server-host (2 teknikkere)
- en ven i et stort netfirma, som gik til deres sikkerhedschef
- en anden bekendt som arbejder i en international virksomhed inden for IT
- vores erhvervscenter i området for at høre om der var IT-sikkerhedsfirmaer nær os, der kunne hjælpe.
- Et lokalt I-net firma.
- En landsdækkende avis for at komme Dig i forkøbet vedr. offentliggørelse 
(som virksomhedsleder har jeg intet valg! men må 
og skal melde klart ud vedr. virksomheden.)

Alt i alt har Du sat godt 12 - 15 folk i sving - blot for Din egen skyld. Regn selv på omkostningerne!
Jeg synes at Du har optrådt klodset i denne sag. Du har kostet os tid og penge - uanset Dine motiver!
Hvis Du havde spurgt om vi ville deltage i en undersøgelse eller Du havde fortalt os Din bevæg grund så havde der
ingen problemmer været. Men Du er gået ind i en bank og råbet "RØVERI!!" - Blot for at se hvad der sker!
...gang så dette med 14 andre firmaer og fortæl mig med åbne øjene at Du ikke skader dem Du "hjælper"!

Ang. vores sikkerhedshuller:
Vi erkender at man kan læse ASP-koderne og får rettet det inden for få dage.
ang. de andre ting har jeg først svar på mandag.

Tak for hjælpen vedr. vores sikkerhed - Det kunne være gjort bedre.



Mit svar: (15-11-2002)
Hej Firma 1,

>>>>Hvis en mand kommer til Dig og siger: Dit hus brander!
...så behøver Du ikke vide ret meget andet.
Hvis en mand kommer til Dig og siger: Jeg eller en anden kan begå indbrud af
den og den dør,
fordi den har en svag lås.
...så bliver Du foruroligt og en del mistænktsom

Jeg  behøver ikke dumme analogier til at sætte mig ind problematikken, men
du ser meget snæversynet på det. Det jeg har gjort er at gøre jer opmærksom
på at jeres kundeliste, jeres kundedata samt andet hænger til offentlig
anskuelse for enhver med bare en lille smule forstand på T-SQL.


>>>>>>Vi har i dag været 3 medarbejdere der har brugt tid og kræfter på at
diskuterer Din mail.
"..er det afpresning " , "...hvem er han ?" mv.


Afpresning? Hvilket så selvfølgelig forklarer at jeg har refereret til
dokumenter der giver jer løsningen på jeres sikkerhedsproblem.


>>>>>>Jeg har snakket med:
- vores teknikker
- vores server-host (2 teknikkere)
- en ven i et stort netfirma, som gik til deres sikkerhedschef
- en anden bekendt som arbejder i en international virksomhed inden for IT
- vores erhvervscenter i området for at høre om der var IT-sikkerhedsfirmaer
nær os, der kunne hjælpe.
- Et lokalt I-net firma.
- En landsdækkende avis for at komme Dig i forkøbet vedr. offentliggørelse
(som virksomhedsleder har jeg intet valg! men må
og skal melde klart ud vedr. virksomheden.)

Alt i alt har Du sat godt 12 - 15 folk i sving - blot for Din egen skyld.
>>>>


Min skyld? Det er ikke min sikkerhed der er hullet som en ost.


>>>Regn selv på omkostningerne!
Jeg synes at Du har optrådt klodset i denne sag. Du har kostet os tid og
penge - uanset Dine motiver!
Hvis Du havde spurgt om vi ville deltage i en undersøgelse eller Du havde
fortalt os Din bevæg grund så havde der ingen problemmer været. Men Du er
gået ind i en bank og råbet "RØVERI!!" - Blot for at se hvad der sker!
...gang så dette med 14 andre firmaer og fortæl mig med åbne øjene at Du
ikke skader dem Du "hjælper"!
>>>>>>>>>>>>


Faktisk så er det vel hvad man kan forvente! I har mega dummet jer med jeres
sikkerhed og sjusket på det groveste med de data i opsamler og bruger i
jeres butik. Jeres kodetekniske setup er noget af det groveste sjusk jeg
længe har set, og det vil undre mig meget hvis de to ting jeg har nævnt er
de eneste ting der er galt.
 Alt hvad du bekymrer dig om er jeres renomme, men nu da du ved jeres navn
ikke vil optræde i et eventuel resultat, vil du så stadig melde ud til dine
kunder at i har haft et alvorligt sikkerhedshul?


Ang. vores sikkerhedshuller:
>>>>Vi erkender at man kan læse ASP-koderne og får rettet det inden for få
dage.
ang. de andre ting har jeg først svar på mandag.

Ja, det tager jo næsten 1 minut at rette i IIS konfigurationsmanageren.

>>>Tak for hjælpen vedr. vores sikkerhed - Det kunne være gjort bedre.

Skulle jeg have gjort sådan her:

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=15301

eller

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16321

måske endda sådan her:

http://debat.computerworld.dk/debate.asp?Mode=1&ContributionID=14121&DebateI
D=1779

Du kan selv vælge.

Jeg må så tilstadighed tage mig til hovedet og sige suk. I har stadig
hullerne selv om jeg i min udmelding til jer gave links der forklarede
hvordan i løste jeres problem. Det kan ikke tage mere end 2 minutter før
konklusionen at i er åbne er lavet og i alt vil det ikke tage mere end 10-15
minutter at rette det.
 Jeg kan kun på det kraftigste opfordre dig til at tage sikkerhed mere
seriøst, samt hyre mere kompetent teknisk hjælp til at gennemgå jeres
applikation.

MVH

Søren Christensen



Firma svar (19-11-2002)
Hej Søren,

Lad mig lige starte med at sige at jeg på intet tidspunkt har sagt at jeg ikke ønsker 
at stå offentlig frem eller ikke ønsker at informere vores kunder - 
jeg har blot sagt at der er nogle ting som jeg har behov for svar på 
før at jeg kan træffe beslutningerne.
Vores teknikkere har nu lukket en del af hullerne og der kigges pt. på vores servere.
Jeg vender som lovet tilbage til Dig med endlig svar når vi har været hele vejen rundt.



Mit svar: (20-11-2002)
Hej Firma 1,

>>Lad mig lige starte med at sige at jeg på intet tidspunkt har sagt at jeg
ikke ønsker at stå offentlig frem eller ikke ønsker at informere vores
kunder - jeg har blot sagt at der er nogle ting som jeg har behov for svar
på før at jeg kan træffe beslutningerne.

Det er korrekt. Faktisk er du den eneste af dem der har vendt tilbage til
mig, der på noget tidspunkt har bragt dette på banen - foruden den
telefoniske lettere tilsløret trussel på vold jeg fik hvis jeg bragte noget
i den offentlige debat.
 Da i ikke forhandler et softwareprodukt der er distribueret til mange
klienter er det heller ikke så kritisk. Sikkerhedspolitisk og praktisk set
giver en offentliggørelse kun mening såfremt en undersøgelse af jeres
systmer viser tegn på decideret indbrud - brug af dette hul er det relativt
let at anskue ved en undersøgelse af logfilerne. Er dette tilfældet så står
i også en hel del bedre da der selvfølgelig så skal køres en politisag og i
derved har adgang til politiets IT 'eksperter'.
 Hvis ikke i finder noget efter sådanne en undersøgelse vil jeg personligt
ikke offentliggøre noget som helst, da det kun vil virke negativt på jeres
forretning.

Ingen af de andre jeg har henvendt mig til har nogen som helst planer (hvad
jeg er klar over) om at fortælle offentligheden om deres sikkerhedshul.

>>>Vores teknikkere har nu lukket en del af hullerne og der kigges pt. på
vores servere.
Jeg vender som lovet tilbage til Dig med endlig svar når vi har været hele
vejen rundt.

Det ser jeg frem til.

MVH

Søren Christensen



Firma svar (25-11-2002)
Hej Søren,

Vores teknikkere har nu lukket sikkerhedshullerne.

Vi vælger ikke at informere vores kunder/stå offentlig frem, idet at 
ingen følsomme kundeoplysninger har lidt skade og ingen har været inde 
og kigge på de få oplysninger der var tilgængelige.




Mit svar (26-11-2002)
>>>Vi vælger ikke at informere vores kunder/stå offentlig frem, idet at
ingen følsomme kundeoplysninger har lidt skade og ingen har været inde og
kigge på de få oplysninger der var tilgængelige.

Det står jeg lidt undrende overfor. Jeg er i dag blevet kontaktet af en
journalist (Line Ø. Jensen) fra ComputerWorld. Hun er ved at skrive en
artikel omkring virksomheders manglende seriøsitet omkring sikkerhedshuller.
Såvidt jeg forstod på hende ville hun bruge jeres navn (og mit vil jeg tro)
samt vores email korrenspondence i en given artikel.

 Hertil kan det nævnes at min holding til jeres håndtering af min
henvendelse kun er positiv - i har som en af de få virksomheder ført en
dialog fra første færd samt selvfølgelig rettet fejlene og undersøgt
hvorvidt det mulige hul har været udnyttet. Så vidt jeg er orienteret har
ingen af de andre kontaktede firmaer undersøgt om der har været en given
udnyttelse.



Firma svar: (27-11-2002)
Hej Søren,

Vi er nok gået lidt skvæt af hinanden med sidst mail.
Når jeg mener at vi ikke ønsker at informere vores kunder tænkte jeg på via e-mail 
eller at sætte en poster op med teksten: vi har haft et sikkerhedshul.
Jeg deltager gerne eks. via Computer World eller andet offenlig medie i en debat/artikel 
dels fordi vi nu har lukket påpeget huller og dermed 
er det fortid og dels fordi jeg mener at det er et vigitg emne.

PS: 
Blot til info:
- Computer World blev kontakte fra første dag af mig på flg. baggrund:
Som virksomhed er det vigtig at vi selv står frem - frem for at blive "afsløret"

Jeg har efter råd fra kyndig 3. part også kontaktet politiets IT-støtteendhed 
som tog det meget alvorlig og fortalte at der var tale om et 
klart lovbrud fra Din side - Da de efterflg. havde tjekket serverne som står hos 
central host trak de dog i land igen idet at Du (som Du skrev) ikke har ændret 
mv. i noget og Du ikke havde været "dybt nok inde"  



Mit svar (28-11-2002)
Hej Frima

1, >>>>Vi er nok gået lidt skvæt af hinanden med sidst
mail. Når jeg mener at vi ikke ønsker at informere vores kunder tænkte jeg på
via e-mail eller at sætte en poster
op med teksten: vi har haft et
sikkerhedshul. Jeg deltager gerne eks. via Computer World eller andet offenlig medie i
en debat/artikel dels fordi vi nu har lukket påpeget huller og
dermed er det fortid og dels fordi jeg mener at det er et vigitg

emne. Ah ok, så er jeg


med..:-) >>>>- Computer World blev kontakte fra første dag af mig på flg.
baggrund: Som virksomhed er det vigtig at vi selv står frem - frem for at
blive

"afsløret" Det tror jeg også er en god ide. Jeg tror også det er en god ide at
firmaer står frem og ærligt indrømmer de har haft problemer, men at disse er
blevet rettet. Det sender for det første et godt signal til kunderne, men
viser også at sikkerhed bliver taget seriøst hos

virksomheden. >>>Jeg har efter råd fra kyndig 3. part også kontaktet
politiets IT-støtteendhed som tog det meget alvorlig og fortalte at der var tale om
et klart lovbrud fra Din side - Da de efterflg. havde tjekket serverne som
står hos central host trak de dog i land igen idet at Du (som Du skrev) ikke
har ændret mv. i noget og Du ikke havde været "dybt nok

inde" Det undrer mig egentlig at de melder så stærkt ud fra starten. I de
her sager om 'skade' forvoldt via URLer bliver anklageren som regel nød til
at bevise at den tiltalte har ond hensigt - netop fordi det kan foregå
fra 'uskyldigt' udseende links sendt i mails eller spredt rundt på webbet,
hvor uforvarende folk kan klikke på. Det at jeg skriver en mail og forklarer at
i har et sikkerhedsproblem er et ret godt bevisemateriale for at fremstå
som havende ikke onde
 hensigter. Det kan så også være at støtteenheden (jeg formoder det er CCU) faldt
over mit navn og derfor blev lidt mere interesseret i jeres sag - grunden
er denne:http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16698

En anden lille tvist som må stå for min egen regning - jeg vil på ingen måde
overhovedet have tiltro til nogen som helst konklusioner omkring logfilerne
som CCU har gjort. Det er ikke relevant i denne sag da der ikke er foregået
noget skadende teknisk adfærd fra min side. Men CCU består af politifolk der
er omskolet, og mine erfaringer viser at de ikke har ret meget teknisk
kompetence - desværre. Åbenbart har man en politik fra politiets side at man
ikke bruger eksperthjælp til sådanne sager, og så må man sige at CCU ikke
har ret mange chancer overfor en ondsindet og kompetent 'hacker'.

MVH

Søren Christensen