Lazarus und IT-Security

Für alles, was in den übrigen Lazarusthemen keinen Platz, aber mit Lazarus zutun hat.
Antworten
Ronny58
Beiträge: 90
Registriert: So 27. Apr 2014, 20:35

Lazarus und IT-Security

Beitrag von Ronny58 »

Hallo Zusammen,

ich habe über die Jahre für meine Arbeit in der Firma einige Tools in Lazarus entwickelt, die mir sehr hilfreich sind.
Dazu habe ich einen Firmen-Laptop, auf dem Lazarus in der aktuellen Version von der IT installiert wurde und verwende die Lazarus-Standard-Komponenten. Also kein Copy/Paste vom Privat-Rechner. Kein zusätzlichen downgeloadet Komponenten. Rein Lazarus Standard. Auch keine besonderen Anwendungen, die irgendwelche Schnittstelle adressieren oder ins Internet verlinken. Nur Dateien lesen, ein bisschen Dialog zur Bearbeitung und Dateien schreiben.

Jetzt verschärft unsere IT die Security-Richtlinien. In diesem Zusammenhang wurden alle meine Programme alle als unsicher bezeichnet. Dabei bezog man sich rein auf die in Lazarus zur Verfügung gestellten Komponenten-Bibliothek. Da bin ich dann inhaltlich raus und kann das nicht beurteilen.

Hat jemand ähnliche Erfahrungen gemacht? Der Wegfall meiner Programme ist sehr schmerzhaft für meine Arbeit.

Sind mit Lazarus entwickelte einfache Dialog-Anwendungen Einfallstore oder Multiplikatoren für Schadsoftware in einem Unternehmensnetzwerk durch die dort enthaltenen Bibliotheken? Kann das sein?

Ronny58

Benutzeravatar
af0815
Lazarusforum e. V.
Beiträge: 4755
Registriert: So 7. Jan 2007, 10:20
OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
CPU-Target: 32Bit (64Bit)
Wohnort: Niederösterreich
Kontaktdaten:

Re: Lazarus und IT-Security

Beitrag von af0815 »

Grundlegend gelten für eine Unternehmens-IT immer der Grundsatz, was wir nicht kennen ist unsicher.

Das wird sicher durch die verschärften Security-Richtlinien abgebildet. Die Komponentenbibliothek ist durchaus dazu geeignet Angriffe durchzuführen. Allerdings geht das auch über andere Sprachen bzw. Tools.

Deren Problem ist, sie können nicht prüfen, was du alles in deinem Programm bewusst oder unbewusst hineingepackt hast, oder auch versteckt hast. Generell ist auch die Verwendung von 'selbsterstellten' Programmen im Unternehmensnetzwerk, die nicht durch die IT autorisiert wurden, schon Problematisch und können bei strengen Regelungen der Konzernleitung zur Entlassung führen.

Ich kenne das, da ich selbst in einem großen Konzern vor mehr als 10 Jahren Software mit Delphi und später Lazarus entwickelt habe. Das wurde aber über die lokale Unternehmnsleitung so bestimmt, das ich das durfte. Die fertigen Programme gingen dann an die IT und wurden dort extra als installierbares Paket gepackt und über die zentrale IT ausgerollt. Wer Bedarf hatte, musste über seinen Vorgesetzten die Software installieren lassen.

Ein Vorteil war, wenn etwas an einem PC defekt war, wurde der eingezogen und man bekam ein neues Gerät, hat sich angemeldet und ca. 1-2 Stunden später konnte man weiterarbeiten. Lokale Daten waren nicht zugelassen und auch der USB war gesperrt. Nur ganz wenige Entwicklungs PC und Maschinen, die in einem eigene Netz ohne externen Zugang hingen wurden mit höheren Rechten ausgestattet.

Also grundlegend sind die Vorgaben der IT nicht so unüblich. Nur aufgrund der Probleme mit Ransomware werden die Daumenschrauben angezogen. Bei manchen schon seit langen üblich, bei manchen erst jetzt.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).

Benutzeravatar
Aidex
Beiträge: 55
Registriert: Do 24. Sep 2020, 07:02
OS, Lazarus, FPC: Win10 64bit, Laz v2.0.10
CPU-Target: AMD64

Re: Lazarus und IT-Security

Beitrag von Aidex »

Tach!
Aus umgekehrter Sicht:
Als Programmierer, der seine kompilierten Programme an Firmenkunden verkauft, habe ich mich auch schon öfter gefragt, inwiefern ich beurteilen
und verantworten kann, einen Compiler und zugehörige Bibliotheken zu verwenden, die ich quasi irgendwo im Internet gefunden habe (hiermit meine ich FreePascal/Lazarus).

Wenn ich als Herausgeber meiner kompilierten Programme zu 100% garantieren soll, dass sie keine Malware enthalten, müsste ich bei jeder neuen Lazarus-Version,
die ich runterlade, inkl. aller Komponenten, einen kompletten Code-Review sämtlicher Units durchführen, um sicherzustellen, dass nicht bei irgendeinem der
FPC/Laz-Entwickler eine Malware in den Code gerutscht ist - auch wenn es für uns sehr unwahrscheinlich klingt.
Bei dem Code-Umfang ist das jedoch für einen Einzelentwickler und für eine durchschnittliche kleine Softwarebude gar nicht leistbar.
Ich persönlich habe sehr großes Vertrauen in das Lazarus-Projekt, aber letztlich ist es "nur" Vertrauen und keine Gewissheit.

Das einzige was mir einfällt, ist eine neue Lazarus-Version zwar herunterzuladen, aber dann bewusst einige Monate nicht zu verwenden ... und abzuwarten, ob
in der großen Community zufällig jemandem Bugs und ggf. auch Malware auffällt, falls sie irgendwo enthalten wäre.

Gerade im Firmenumfeld scheint es sicherer zu sein, einen Compiler und Bibliotheken zu verwenden, auf denen z.B. Microsoft draufsteht,
d.h. wo der Compiler-Hersteller für sein Produkt auch finanziell haftet, falls etwas passieren würde.

Ich934
Lazarusforum e. V.
Beiträge: 263
Registriert: So 5. Mai 2019, 16:52
OS, Lazarus, FPC: ArchLinux und Windows mit FPCUPdeluxe (L: 2.0.X, FPC 3.2.0)
CPU-Target: x86_64, i386
Wohnort: Bayreuth

Re: Lazarus und IT-Security

Beitrag von Ich934 »

100 %ige Sicherheit gibts nicht und eine Entwicklungsumgebung ist prinzipiell eine Sicherheitslücke. Du kannst damit ja einen Virus entwickeln - egal ob Lazarus, C# oder sonst was.

Wenn das aber von der IT installiert wurde dann war hier doch schon einmal ein Vertrauen da. Jetzt hast du Zeit und damit Geld in Tools investiert und sollst das nicht mehr verwenden können. Das heißt aber ja auch, du müsstest das jetzt in einer Vertrauenswürdigen Umgebung (wobei jetzt die IT diese erst einmal definieren müsste) neu schreiben. Auch diese Zeit ist nicht kostenlos und es wäre ggf. über deinen Vorgesetzen zu klären, ob dieses Budget zur Verfügung steht oder aber ob die IT ihre Richtlinien entsprechend anpassen muss.
Tipp für PostgreSQL: www.pg-forum.de

Benutzeravatar
Winni
Beiträge: 980
Registriert: Mo 2. Mär 2009, 16:45
OS, Lazarus, FPC: Laz2.0.12, fpc 3.2
CPU-Target: 64Bit
Wohnort: Fast Dänemark

Re: Lazarus und IT-Security

Beitrag von Winni »

Hi!

Die Erfahrung mit der IT-Security (und der Qualitätskontrolle) ist die, dass sehr oft dort die Unfähigkeit oder die Bequemlichkeit sitzt. Die "Unkündbaren", seien es Altersgründe, sei es der Sohn des Chefs oder ähnliches.

Denen geht natürlich nach den letzten Vorfällen mit den Verschlüsselungs-Viren und den Erpressungen der Arsch auf Grundeis. Also wird erstmal alles verboten, was vor einem halben Jahr noch möglich war.

Wenn es Deinen Job nicht gefährdet: Ich würde fragen, fragen, fragen: Warum ist dies und das gefährlich? Warum ist Lazarus gefahrlich? Weil es keine von M$ certifizierte Sicherheitslöcher hat? Zeig mir Sicherheitslöcher in Lazarus!

Worauf die Faulen und Dummen sich natürlich rausreden: Wenn es ein "unvorhersehbares" Sicherheitsleck von Microsoft oder Apple war, dann hat er keine Schuld. Wenn was über Deine Tools passiert, können sie ihm den Hals umdrehen. Also wird nur erlaubt, was ein teures (und oft verrufenes ) Markenzeichen trägt. War ja teuer genug.

So sind heutzutage die Machtstrukturen, wenn die Kaufleute das Sagen haben - und nicht die Kompetenz.

Du bist ein Opfer von "Nun müssen wir aber mal aufpassen, dass uns kein ErpressungsVirus erwischt". Da haben sie Angst vor. Aber nur, weil es die Bilanz verhageln könnte.

Winni

Timm Thaler
Beiträge: 1210
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Lazarus und IT-Security

Beitrag von Timm Thaler »

Aidex hat geschrieben:
Mi 14. Jul 2021, 16:51
Als Programmierer, der seine kompilierten Programme an Firmenkunden verkauft, habe ich mich auch schon öfter gefragt, inwiefern ich beurteilen
und verantworten kann, einen Compiler und zugehörige Bibliotheken zu verwenden, die ich quasi irgendwo im Internet gefunden habe (hiermit meine ich FreePascal/Lazarus).
Das ist aber mit jeder Sprache seit QuickBasic so. Bei C-Kreuz und C-Doppelkreuz kannst Du das auch nicht prüfen, und wenn die Windows-Api eingebunden wird schon gar nicht.

Nimral
Beiträge: 265
Registriert: Mi 10. Jun 2015, 11:33

Re: Lazarus und IT-Security

Beitrag von Nimral »

Dass das mit der Sichereheit im Zusammenhang mit Lazarus blanker Unsinn ist müssen wir nicht diskutieren. Nützen wird Dir das allerdings nichts. Ober sticht Unter, und wenn die Sicherheitsabteilung ihren Namen verdient und den Rückhalt von oben hat musst Du Dich ihrer Meinung beugen.

Ich kenne neblige Sicherheitsbedenken auch als beliebten Hebel, ungeliebte Software und/oder deren Programmierer kaltzustellen, und durch geliebte Software und deren Programmierer zu ersetzen.

In Bezug auf die Sicherheit von Microsof Produkten verweise ich auf deren endlose Sicherheits-Warnungen sowie deren allgemeine Lizenzbedingungen, in denen steht, dass Microsoft für gar nichts haftet. Mir wäre auch kein Fall bekannt wo Microsoft Schadenersatz geleistet hat, wenn ihre Sicherheitslücken ausgenützt wurden, oder wenn ihre Fehler reihenweise PCs lahmgelegt haben. Bitte um Zitat der Stelle, wo das mit dem Schadenersatz steht, oder um einen Link zu jemandem der Schadenersatz von Microsoft bekommen hat.

Armin.

Benutzeravatar
corpsman
Lazarusforum e. V.
Beiträge: 1251
Registriert: Sa 28. Feb 2009, 08:54
OS, Lazarus, FPC: Linux Mint Mate, Lazarus GIT Head, FPC 3.0
CPU-Target: 64Bit
Wohnort: Stuttgart
Kontaktdaten:

Re: Lazarus und IT-Security

Beitrag von corpsman »

Kann mich meinen Vorrednern nur anschließen.

Ich Setze ebenfalls in einer sehr Großen Firma immer mehr selbstgeschriebene Lazarus Software ein. Der Grund warum ich das darf ist simpel:

Ich bin mit Lazarus deutlich schneller als andere Kollegen und die Programme sind (wahrscheinlich durch meine Programmiererfahrung) in der Regel "ohne" Fehler (oder ich finde die Fehler vor meinen "Kunden/ Kollegen" und fixe sie dann)
=> Unterm Strich spart die Firma dadurch richtig viel Geld.

Ich mache das auch regelmäßig gegenüber meinen Chefs transparent und habe so über die Zeit deren Rückhalt gewonnen.

Wenn nun die IT kommt und mal wieder so einen Rundumschlag macht, gehe ich stets her und schreibe die entsprechenden Chefs an nach dem Motto "die folgenden Programme werden dadurch gekillt, das kostet die Firma mindestens X" und der Frage wohin ich die Rechnung schicken darf, bzw nach Lösungen meine Programme zu ersetzen. Bisher lief das immer auf das Selbe heraus. Nämlich das da ganz schnell die Chefs klar gestellt haben, dass die IT ihre Sicherheit auf andere weise sicherstellen soll, aber nicht durch das plattmachen meiner Programme :D
--
Just try it

Benutzeravatar
six1
Beiträge: 498
Registriert: Do 1. Jul 2010, 19:01

Re: Lazarus und IT-Security

Beitrag von six1 »

Ronny58, um Deine und Corpsmans Aussagen mal zusammen zu führen:
Für mich klingt es so, dass du dir Hilfsmittel geschaffen hast, ohne dass dies einen offiziellen Charakter hat.
Zieh deine Projekte mit Hilfe deiner Vorgesetzten auf eine offizielle Schiene oder stelle die Aktionen ein.
Besprich das mit deinem Vorgesetzten und, wenn das gewollt ist, beziehe eure IT mit ein.
Ich denke, man wird dadurch einen Rahmen finden.
Bei "uns" gibt es so etwas wie DEV***, wo man in gesicherter Umgebung seine Applikationen entwickelt.
Die können ja von eurer IT dann geprüft werden und in einer REV. online gestellt werden. (wenn so etwas gewollt ist!)
Gruß, Michael

Benutzeravatar
af0815
Lazarusforum e. V.
Beiträge: 4755
Registriert: So 7. Jan 2007, 10:20
OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
CPU-Target: 32Bit (64Bit)
Wohnort: Niederösterreich
Kontaktdaten:

Re: Lazarus und IT-Security

Beitrag von af0815 »

corpsman hat geschrieben:
Do 15. Jul 2021, 08:44
Ich mache das auch regelmäßig gegenüber meinen Chefs transparent und habe so über die Zeit deren Rückhalt gewonnen.
Das ist das wichtigste, das man immer transparent mit den Entscheidungsträgern zusammengearbeitet hat.

Wenn man kleine Tools gemacht hat, die durchaus Sinn machen, diese aber nie 'deklariert' bzw. absegnen hat lassen, dann hat man natürlich einen schweren Stand, wenn sich die Regeln ändern.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).

Ronny58
Beiträge: 90
Registriert: So 27. Apr 2014, 20:35

Re: Lazarus und IT-Security

Beitrag von Ronny58 »

Danke für Euer Feedback.
Jeder hat absolut recht.
Angst vor einem Cyberangriff haben wir nicht mehr... wir sind mitten drin. Mit allem was dazu gehört.
Die Security-Schrauben sind extrem angezogen. So mache ich unserer IT auch keinen Vorwurf.
Man hat mir angeboten, meine Programme mit einem offiziellen Entwickler nachzubauen. Das wird aber elendig lange dauern und ich befürchte, die Ressourcen dafür werden auf absehbare Zeit nicht zur Verfügung stehen. Das ganze hat mich administrativ in die Steinzeit zurück geworfen.
Eine Freigabe meiner Lazarus-Programme werde ich selbst von höchster Stelle nicht durchbekommen. Dafür verbrennt sich keiner die Finger.
Vielen Dank für Eure fachkundigen Erklärungen.

Ich934
Lazarusforum e. V.
Beiträge: 263
Registriert: So 5. Mai 2019, 16:52
OS, Lazarus, FPC: ArchLinux und Windows mit FPCUPdeluxe (L: 2.0.X, FPC 3.2.0)
CPU-Target: x86_64, i386
Wohnort: Bayreuth

Re: Lazarus und IT-Security

Beitrag von Ich934 »

Dann bist du in der Steinzeit. Das ist dann jetzt so. Melde das Problem deinen Vorgesetzten (schriftlich!) und arbeite dann ohne diesen Werkzeugen weiter. Wenn es dann länger dauert ist das halt so. Wenn das ein Problem wird dann bekommt die EDV zum entwickeln die notwendigen Ressourcen oder du die Programme. Ganz einfach.
Tipp für PostgreSQL: www.pg-forum.de

Benutzeravatar
af0815
Lazarusforum e. V.
Beiträge: 4755
Registriert: So 7. Jan 2007, 10:20
OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
CPU-Target: 32Bit (64Bit)
Wohnort: Niederösterreich
Kontaktdaten:

Re: Lazarus und IT-Security

Beitrag von af0815 »

Ronny58 hat geschrieben:
Do 15. Jul 2021, 12:50
Man hat mir angeboten, meine Programme mit einem offiziellen Entwickler nachzubauen. Das wird aber elendig lange dauern und ich befürchte, die Ressourcen dafür werden auf absehbare Zeit nicht zur Verfügung stehen. Das ganze hat mich administrativ in die Steinzeit zurück geworfen.
Wenn der Angriff vorbei ist, werden die Spielregeln meist wieder auf ein normales sinnvolles Niveau gebracht. Und freue dich mal, das du überhaupt ein solches Angebot bekommen hast.

Generell kann ich nur empfehlen, eine Auflistung zu machen, welche Programme, welchen Zweck und vor allen auch der dadurch entstehende Impact (zB. Zeitverlust) zu dokumentieren. Ohne Dokumentation kommst du nicht weiter. Und die höchsten Stellen interessiert nichts anderes, als Profit. Wenn du also Nachweisen kannst, das die Kosten über längere Zeit höher sind ohne die Programme, so werden die Mittel und Resourcen eher aufgebracht. Oder die Spielregeln angepasst.

Alles schon ähnlich vor Jahren mitgemacht. Nur ohne Dokumentation und Nachweise wäre ich damals nicht weitergekommen. So hat die IT damals sogar einen Pascal-Programmierer bekommen um die Programme zuerst zu übernehmen, dann abzuwickeln und auf M$ umzustellen. Dafür habe ich meinen Programmierbereich bekommen, der sich nicht gerechnet hat, dann umzustellen. Dadurch hat sich das Verhältnis zur zentralen IT optimiert, ich wurde dann sogar unterstützt und es war eine gute und sinnvolle Zusammenarbeit. Bis dann Manger in fernen Ländern entschieden haben, das sie lieber in den fernen Osten gehen und die Aktivitäten in Europa schliessen.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).

Benutzeravatar
six1
Beiträge: 498
Registriert: Do 1. Jul 2010, 19:01

Re: Lazarus und IT-Security

Beitrag von six1 »

af0815 hat geschrieben:
Do 15. Jul 2021, 14:16
Bis dann Manger in fernen Ländern entschieden haben, das sie lieber in den fernen Osten gehen und die Aktivitäten in Europa schliessen.
und dann gehen die "Reibungsverluste" erst richtig los...
Wir haben so einen "Thinktank" bekommen... machen tolle Sachen :twisted: nur nicht das, was gebraucht wird und seit ewigen Zeiten als Interimslösung läuft... is aber sicher! :lol:
Gruß, Michael

Antworten