Mine områder
Hjelp
Anonymous
Ikke relevant

GDPR og Visma Business dårlige sikkerhet

av Anonymous

Hei,

Er det andre som syns det er litt merkelig at en stor og seriøs aktør som Visma ikke tar sikkerhet på alvor?

I disse GDPR tidene så lagrer en ikke database brukernavnet og passordet i klartekst i config filer og i Windows registry.

En gir jo då alle brukere med litt IT kunnskap full tilgang til databasen.

Et annet krav som også er litt merkelig er at Visma Business krever en database administrator bruker under installasjon som lagres i klartekst i config filen.

 

Anbefaler alle til å fjerne database administrator rettigheten på SQL brukeren til Visma etter at systemet er installert for å øke sikkerheten litt, samt begrense med AD grupper hvem som har tilgang til installasjonsfilene og config filene.

20 SVAR 20
Stian Estil
VISMA

av Stian Estil

Hei,

 

Beklager at denne posten ikke har blitt besvart tidligere, men anbefaler for fremtidige spørsmål at saken rutes rett til vårt kundesenter hvis det forventes svar direkte fra oss (og raskt), og spesielt hvis du ikke har fått tilfredstillende svar fra partner. Community er i stor grad til for at kunder skal hjelpe hverandre, og for en til mange deling av kompetanse og artikler fra oss.

 

Men ditt spørsmål er langt viktigere enn det. De fleste av våre kunder har ikke deltatt på våre sertifiseringskurs for teknisk personell, da dette vanligvis overlates til en Visma Partner og/eller en drift/hosting leverandør. Men dine spørsmål (og konklusjoner) tydeliggjør behovet for en "best practise" beskrivelse av sikkert oppsett av Visma Business som kan legges ut her, og jeg skal ta iniativ til at det produseres.

 

Som default foreslår Visma Business integrasjonsprogrammet at du bruker Windows integrated security inn mot SQL Serveren slik en annen også foreslår. Da er det ingen lagring av passord i Visma sine løsninger. Hvis en heller vil bruke en SQL bruker er det ikke noe krav til at det er SA. Spesielt hos større driftssentre er det uaktuelt og bruke SA, og da benyttes dedikerte SQL server bruker(e) for Visma sine løsninger. Noen benytter egne brukere for oppretting av klienter, og andre brukere til connections, siden de kan greie seg med read/write rettigheter.

I så fall vil man bruke krypteringsfunksjonen i Visma Business for sikre brukernavn og passord. (vedlagt skjermbilde som viser dette). Lagring i klartekst brukes bare i test og demomiljøer hvor dette kan være praktisk. Mange av Norges største regnskapskontorer bruker Visma Business på tusenvis av firmaer, og det driftes da gjerne hos seriøse aktører som Telecomuting, Intility, Visma IT, med flere, og disse setter svært høye krav til sikkerhet på dette nivået.

 

Best practise artikkel kommer senere. 

 

 

 

 

 


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Flott at Visma nå kommer på banen og vil legge ut en best practise artikkel.

Dette er noe som alle kunder som har fokus på sikkerhet vil sette pris på.

Oppgradering av Visma systemet hos oss har alltid blitt gjort av Visma konsulenter som kommer fra høyt sertifiserte Visma partnere.

Jeg syns det er et dårlig tegn at 3 av 3 Visma partnere vi har brukt opp gjennom åra har satt opp systemet på samme måte med passord i klartekst.

 

Slike sikkerhets hull som dette bør fjernes fra systemet for å unngå at disse kan utnyttes.

Jeg syns ikke løsningen Visma har valgt der noen må aktivt inn og tette hullet er en bra løsning. Dette ettersom det med stor sannsynlighet vil være noen kunder/partnere som ikke gjør dette.

Stian Estil
VISMA

av Stian Estil

Helt enig med deg @Anonymous, det er ikke bra nok Så vi skal ta en oppfriskning av dette for partnerne våre. 

Når det gjelder muligheten til å kjøre ukryptert så tar jeg det nærmere opp med utviklingsavdelingen, da jeg i utgangspunktet tenker som deg, at kryptering bør være default på, og hvis det ikke finnes noen god grunner til det, så bør det heller ikke være mulig å sku av. To be continued....


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Stian Estil
VISMA

av Stian Estil

Jeg har snakket litt med våre interne konsulenter og det er ingen tvil om at beste praksis er det som er vår anbefaling i Visma Business GDPR guide. Dette dokumentet følger med Visma Business versjon 13.0 fra sommeren 2018, og ble sist publisert til versjon 13.10. Har lagt ved dokumentet her. I dokumentet står dette: 
Visma Business database connection
The recommended way to connect to the database is by using SQL Server authentication with encrypted password in registry. This enables the highest level of security for the Visma Business product line installation.

 

Så vil standard kryptering forhåpentligvis bli lagt inn en nyere versjon av VB. Det er meldt inn til vår "product backlog".

 

 

 


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Jeg var litt spent på hva dere ville anbefale som beste praksis.

Tidligere forslaget fra Visma om å bruke Windows integrated security mot databasen er en dårlig løsning ettersom denne har nesten nett det samme sikkerhetshullet som passord i klartekst.

Brukeren vil jo då få full tilgang til databasen og kan godkjenne betalinger på vegne av andre osv.

Det vil også være lett for virus å utnytte dette.

 

Så den eneste sikre måten å sette opp Visma på er å bruke database bruker med kryptert passord.

Hvorfor har Visma då valgt å bruke integrated security som default under installasjonen (ref dialog) ?

Det burde kun vært et valg og det er databasebruker med kryptert passord.

Idar_Kyrkjebø
PARTNER

av Idar_Kyrkjebø

Hvilke(t) sikkerhetshull referer du til vedr Windows integrated security mot databasen?

Anonymous
Ikke relevant

av Anonymous

Hvis en bruker Windows integrated security mot databasen så er det Windows brukeren som styrer tilgangen til databasen.

For at programmet skal fungere så må windows brukeren ha skrive og lese tilgang til databasen.

Sikkerhets hullet er at brukeren kan gå direkte mot databasen og gjøre endringer i stedet for å bruke Visma Business programmet og på den måten bypasse alle sikkerhets begrensinger som er satt i Visma på hva brukeren har lov å gjøre.

Når brukeren har full tilgang til databasen så kan han legge inn de radene han ønsker i tabellene og på den måten godkjenne faktura på vegne av andre og kjøre igjennom betalinger.

I tabellene til Visma så står det hvilken bruker som har gjort hva, men her kan brukeren selv bestemme hva han vil legge inn slik at alt ser OK ut.

 

En annen skummel ting med denne metoden er at det er veldig enkelt for et virus å utnytte.

Viruset får jo samme tilgang som brukeren som åpner viruset.

For eksempel så kan noen få sendt igjennom et virus til faktura mailen som folk på økonomi typisk styrer. Når de åpner dette så vil viruset ha full kontroll over Visma databasen og utføre de betalinger som de ønsker.

Stian Estil
VISMA

av Stian Estil

Jeg er litt rusten på Visma Business teknisk så jeg tok som nevnt en runde med våre tekniske konsulenter. Dette er forøvrig ingen ny praksis, men har vært slik lenge, men det er et økt fokus på sikkerhet for tiden, så bra med en presisjon og en oppfriskning. Windows Integrated Security er ikke noe godt forslag (setter det på rusten kontoen min) og vanskelig å få sikker i Visma Business kontekst. (Jeg har fra tidligere mest erfaring fra Visma Global og der benyttes det, men i en helt annet kontekst, siden det kun er serveren som kobler til SQL basen). Denne diskusjonen må forøvrig ikke forveksles med Windows security på innlogging i applikasjonen, noe som går uavhengig av oppsettet her. 

Forøvrig, at kyndige brukere får tilgang til databasen er selvsagt krise, både med tanke på innsyn og manipulasjon. Godkjenning av betalinger er forøvrig ikke noe jeg tror du får til den veien, siden vår betalingsløsning Autopay krever ekstra innlogging på nettside for godkjenning, evnt. med 2FA hvis du vil være helt sikker. Men du får gjort mye annen ugang...

Da regner jeg tråden som avsluttet, og håper du får satt opp en bombesikker Visma Business. Hvis du mot formodning ikke kommer i mål via de vanlige kommunikasjonslinjene er du alltid velkommen til å kontakte oss direkte.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Mitt inntrykk av Visma er at dere ikke har fokus på sikkerhet når slike sikkerhetshull fortsatt finnes i systemet.

Dette er jo kjente metoder som en har vært advart imot i mer enn 15 år.

Det gjør det ikke bedre at både Visma partnere og Visma konsulenter fra Visma setter opp systemet med dårlig sikkerhet og anbefaler kundene å sette opp løsning med dårlig sikkerhet.

Har også fått tips av andre etter å ha diskutert denne problemstillingen at det finnes tilsvarende sikkerhetsutfordringer i Visma Global.

Dette gjør at jeg blir litt skeptisk til Visma produktene ettersom jeg ikke er trygg på at dere ikke har tilsvarende utfordringer med andre produkter.

 

Jeg vil anbefale på det sterkeste at Visma tar kontakt med alle kunder som bruker Visma Business og andre Visma produkter med tilsvarende sikkerhetshull slik at kundene får tettet disse hullene så raskt som mulig.

Mitt inntrykk er at de fleste Visma Business kundene har dette hullet og dette er noe som bør tettes før dette utnyttes.

Jeg vil kategorisere dette som en svært kritisk sårbarhet som kan utnyttes til å svindle og tappe bedrifter for store pengesummer.

Vi snakker jo om potensiale for svindel  i mange millioners klassen og kanskje til og med milliardbeløp om mange firmaer blir rammet.

Litt av grunnen til dette er jo at anbefalinger vi har fått i forbindelse med Autoinvoice er at en kutter ut godkjenningen i banken, noe som gjør at mange har et oppsett der alt styres fra Visma Business.

Hvis kunden har godkjenning i baken så stiller han bedre, men hvis han har mange transaksjoner og noen får lurt inn en litt mindre betaling så vil ikke dette bli oppdaget når de godkjenner betalingen i banken.
Med full tilgang til Visma Business databasen så finner en raskt ut hvor store beløper som er vanlig og hvem som pleier å godkjenne disse slik at en kan svindle til seg penger.

En kan også bytte kontonummer på leverandører for å stjele penger osv.

 

Det er jo akkurat slike sikkerhetshull som gir tilgang til fortjeneste som de kriminelle er på utkikk etter.

Stian Estil
VISMA

av Stian Estil

Visma har et svært høyt fokus på sikkerhet, og vi bruker enormt med ressurser på dette. Som en annen kommenterte i denne tråden så vil Windows baserte løsninger alltid være prisgitt lokal infrastruktur, oppsett. og kompetanse. Så må vi gjøre vårt for at det er er færrest mulige måter å konfiguerere det dårlig på. Som tidligere nevnt så har vi tusenvis av installasjoner i Norge, blant annet hos banker, forsikringsselskaper og finansinstitusjoner, hvorav mange driftes hos profesjonelle driftsaktører. Det er lite sannsynelig at de velger en leverandør som har lite fokus på sikkerhet, slik du har inntrykk av.

 

 


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Mads Toftebakk1
PARTNER

av Mads Toftebakk1

Jeg syns det er bra å ha et system med fleksibilitet  🙂

Dette er vel et valg man må gjøre før/under installasjonsprosessen - skal man velge å installere med SA(sysadmin rettigheter i sql)  eller skal man installere med windows-bruker rettigheter(integrated security).  Integrated sequrity medfører at man kan styre tilganger også til databaser fra active directory. Om man velger å installere med sysadminrettigheter så finnes det vel også funksjonalitet for kryptering av passordet i registry. 

Dersom disse faktorene er ukjent for deg så bør du kanskje vurdere å ta det opp med din forhandler

Når det gjelder config-filer til diverse tjenester som kjører på applikasjonsserver så er det vel ingen brukere i nettverket som trenger tilgang til mappene disse ligger i - for å bruke programvaren.

Anonymous
Ikke relevant

av Anonymous

Det er positivt at det er fleksibilitet i systemet.

Problemet her er ikke fleksibiliteten, men sikkerhetsløsningen som Visma har valgt å bruke.

Visma krever at en må bruke en database admin bruker når en installere systemet for at systemet skal kunne opprette databasene. Det som jeg syns er spesielt er at systemet bruker denne brukeren til all framtidig kommunikasjon med databasen.

Systemet burde opprettet en bruker som den brukte mot egne databaser og glemt database admin brukeren som blir brukt under installasjon.

Det som gjør det ekstra kritisk er jo at systemet lagrer dette i klartekst slik at en bruker med litt IT kunnskaper kan finne passordet og få full tilgang til alle databasene på den database instansen.

 

Vi har hatt 3 Visma forhandlere de siste 15 årene og ingen av disse har informert meg om disse svakhetene. Dette er noe jeg selv har oppdaget.

Dette problemet har jeg tatt opp med to ulike Visma forhandlere og har fått informasjon om at slik er systemet og at dette har vært en kjent svakhet for Visma i mange år.

Ingen av disse forhandlerne jeg har snakket med har kommet med forslag til en løsning på denne utfordringen.

 

Grunnen til at brukerne må ha tilgang til Visma mappen er jo at programmet krever tilgang til denne mappa.

Det vil jo ikke være mulig for brukerne å installere Visma uten å ha tilgang til konfig filen.

 

Jeg har opprettet en sak på forumet her for å få fokus på problemet, samt tipse andre Visma brukere om hvordan de bør sikre seg.

 

Jeg tror ikke folk er klar over hvor kritisk denne sårbarheten er.

Med litt dårlig sikring av konfig filen, samt at firmaet i tillegg har Autopay fra Visma uten noe godkjennelse i banken så har de jo åpnet opp for at hvem som helst i firma kan overføre penger på vegne av hvilken som helst Visma bruker.

Dette er jo også en svakhet som kan utnyttes med et virus.

 

Anonymous
Ikke relevant

av Anonymous

Jeg er enig at det er skremmende. 

 

To uker og ingen representanter fra Visma som har kommet med en uttalelse? 
Har noen kontaktet deg direkte bak kulissene? 

Anonymous
Ikke relevant

av Anonymous

Jeg syns også det er skremmende når en vet hvordan dette kan utnyttes.

Mange har jo satt det opp feil og har jo då en åpen dør inn til firmaets bankkonto som lett kan utnyttes.

 

Nope, ingen fra Visma har tatt direkte kontakt med meg.

Mads Toftebakk1
PARTNER

av Mads Toftebakk1

Jeg er enig i at det du beskriver er for åpent og usikkert  - og ikke "i henhold".

 

Men det som jeg ønsket å kommentere er at selve årsaken til at det blir slik ikke nødvendigvis hviler på Visma som selskap/utvikler - men på den/de som bistår dere med å installere og sette opp løsningen. Jeg mener det er slik fordi man kan velge å installere uten å kryptere passordet i registry, uten å sette opp gode adgangsreguleringer (både i windows og i sql) - eller man kan velge  å konfigurere løsningen på en sikrere måte. Det er lurt å legge en god plan før man installerer. Og har man ikke gjort det - så er det ikke for sent å endre på det.

 

Sikkerheten man har i eget IT-miljø må jo også sees i et større bilde enn akkurat tilganger til økonomisystemet, selv om det er en viktig del av hvorfor man har et IT-miljø. Derfor er det slik at man må stille krav til alle som skal levere noe inn på løsningen. Generelt sett tenker jeg det kan være lønnsomt å søke bistand fra noen som er gode på IT-sikkerhet. Det kan også være lurt å ta en gjennomgang av hele miljøet - ikke bare det som er relatert til økonomisystemet - og få en helhetlig vurdering av bedriftens IT sikkerhet.

Anonymous
Ikke relevant

av Anonymous

Jeg syns Visma fraskriver seg mye ansvar hvis de legger hele skylden på Visma forhandlerne.

Systemet sin standard innstiling er jo slik jeg har beskrevet det og jeg regner med at minst 80% av alle kundene har det slik.

Hadde det vært fokus på sikkerhet så skulle det ikke vært mulig å installert Visma Business med et slikt oppsett.

 

Vi har som sagt brukt 3 ulike forhandlere opp gjennom tidene og ingen har informert oss om denne svakheten eller anbefalt oss å velge kryptering. Her bør Visma ta mer ansvar og informere forhandleren om hvordan de skal sikre systemet.

At Visma krever database admin bruker har jeg alltid vært klar over og har alltid fjernet denne tilgangen etter en installasjon.

Det med at passordet ligger i klartekst er noe jeg har oppdaget i senere tid.

At systemet lagrer passord i klartekst i registry som standard er ikke noe kunden normalt vil være klar over uten at noen informere de om dette.

 

Det hadde vært fint om Visma kan legge ut informasjon om hvordan vi kan kryptere passordet i Windows registry.

Då vil alle som leser dette finne informasjonen om hvordan en bør sikre systemet.

Anonymous
Ikke relevant

av Anonymous

Vi er i gang med å skaffe Visma Business, så jeg må snakke med forhandleren om dette. Jeg kan ikke forsvare å gå videre med dette produktet dersom dette ikke kan løses på en skikkelig måte. 

Det er svært skremmende at Visma sine produkter er bygget opp på denne måten. Ettersom Visma har både politiet, NAV og helsevesenet blant sine kunder blir jeg faktisk litt redd for vårt land. Det er garantert flere bakdører som aldri skulle ha eksistert. 

Stian Estil
VISMA

av Stian Estil

Hei og ref dine kommentarer på denne tråden. Er dine utsagn basert på egen kompetanse og erfaringer, eller er det basert på hva en annen kunde mener eller oppfatter? Jeg tilltater meg å spørre, for hvis du mener det finnes uidentifserte bakdører/sikkerhetshull så vil våre sikkerhetseksperter svært gjerne ha kontakt med deg for å få høre mer om disse, og evnt. avdekke feil eller evnt. mistforståelser. Visma stiller når som helst opp til gjennomgang med kunder når det gjelder slik alvorlige temaer. Visma har forøvrig egne sikkerhetsingeniører i alle våre utviklingsteamet, og svært omfattende testregimer for spesielt sikkertstesting av applikasjon og kildekoder. Vi tilbyr når som helst våre kunder gjennomgang av disse rutinene og status på våre produkter, og det er i så fall bare å ta kontakt med meg for å formidle en slik gjennomgang. 


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Regner med en slik gjennomgang faktureres med mellom 1500kr og 2000kr per konsulenttime. 

Stian Estil
VISMA

av Stian Estil

Nei, sikkerthetsgjennomganger tilbyr vi normalt sett gratis. Dette er ikke kurs, men en gjennomgang av våre utviklingsprosesser og testregime opp i mot GDPR og Sikkerhet generelt og for spesifikke produkter som kunden ønsker. Dette er noe vi typisk gjør for tekniske personell (operativt eller ledelse). Vi tilbyr også tekniske kurs, som har en standard pris, men det er mer beregnet på de som faktisk skal gjøre installasjon, oppgraderinger og drift av våre løsninger. Ønsker du en slik gjennomgang som beskrevet så kan du besøke oss på Skøyen (vi bjudar gjerne på lunsj) eller bestille et onlinemøte. Hvis det er spesifikke spørsmål eller teamer som ønskes belyst så vil vi gjerne vite det på forhånd slik at vi kan stille med riktig personell. Ha en strålende helg.

 

 


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"