Mitt inntrykk av Visma er at dere ikke har fokus på sikkerhet når slike sikkerhetshull fortsatt finnes i systemet. Dette er jo kjente metoder som en har vært advart imot i mer enn 15 år. Det gjør det ikke bedre at både Visma partnere og Visma konsulenter fra Visma setter opp systemet med dårlig sikkerhet og anbefaler kundene å sette opp løsning med dårlig sikkerhet. Har også fått tips av andre etter å ha diskutert denne problemstillingen at det finnes tilsvarende sikkerhetsutfordringer i Visma Global. Dette gjør at jeg blir litt skeptisk til Visma produktene ettersom jeg ikke er trygg på at dere ikke har tilsvarende utfordringer med andre produkter.   Jeg vil anbefale på det sterkeste at Visma tar kontakt med alle kunder som bruker Visma Business og andre Visma produkter med tilsvarende sikkerhetshull slik at kundene får tettet disse hullene så raskt som mulig. Mitt inntrykk er at de fleste Visma Business kundene har dette hullet og dette er noe som bør tettes før dette utnyttes. Jeg vil kategorisere dette som en svært kritisk sårbarhet som kan utnyttes til å svindle og tappe bedrifter for store pengesummer. Vi snakker jo om potensiale for svindel  i mange millioners klassen og kanskje til og med milliardbeløp om mange firmaer blir rammet. Litt av grunnen til dette er jo at anbefalinger vi har fått i forbindelse med Autoinvoice er at en kutter ut godkjenningen i banken, noe som gjør at mange har et oppsett der alt styres fra Visma Business. Hvis kunden har godkjenning i baken så stiller han bedre, men hvis han har mange transaksjoner og noen får lurt inn en litt mindre betaling så vil ikke dette bli oppdaget når de godkjenner betalingen i banken. Med full tilgang til Visma Business databasen så finner en raskt ut hvor store beløper som er vanlig og hvem som pleier å godkjenne disse slik at en kan svindle til seg penger. En kan også bytte kontonummer på leverandører for å stjele penger osv.   Det er jo akkurat slike sikkerhetshull som gir tilgang til fortjeneste som de kriminelle er på utkikk etter. ... View more

Hvis en bruker Windows integrated security mot databasen så er det Windows brukeren som styrer tilgangen til databasen. For at programmet skal fungere så må windows brukeren ha skrive og lese tilgang til databasen. Sikkerhets hullet er at brukeren kan gå direkte mot databasen og gjøre endringer i stedet for å bruke Visma Business programmet og på den måten bypasse alle sikkerhets begrensinger som er satt i Visma på hva brukeren har lov å gjøre. Når brukeren har full tilgang til databasen så kan han legge inn de radene han ønsker i tabellene og på den måten godkjenne faktura på vegne av andre og kjøre igjennom betalinger. I tabellene til Visma så står det hvilken bruker som har gjort hva, men her kan brukeren selv bestemme hva han vil legge inn slik at alt ser OK ut.   En annen skummel ting med denne metoden er at det er veldig enkelt for et virus å utnytte. Viruset får jo samme tilgang som brukeren som åpner viruset. For eksempel så kan noen få sendt igjennom et virus til faktura mailen som folk på økonomi typisk styrer. Når de åpner dette så vil viruset ha full kontroll over Visma databasen og utføre de betalinger som de ønsker. ... View more

Jeg var litt spent på hva dere ville anbefale som beste praksis. Tidligere forslaget fra Visma om å bruke Windows integrated security mot databasen er en dårlig løsning ettersom denne har nesten nett det samme sikkerhetshullet som passord i klartekst. Brukeren vil jo då få full tilgang til databasen og kan godkjenne betalinger på vegne av andre osv. Det vil også være lett for virus å utnytte dette.   Så den eneste sikre måten å sette opp Visma på er å bruke database bruker med kryptert passord. Hvorfor har Visma då valgt å bruke integrated security som default under installasjonen (ref dialog) ? Det burde kun vært et valg og det er databasebruker med kryptert passord. ... View more

Flott at Visma nå kommer på banen og vil legge ut en best practise artikkel. Dette er noe som alle kunder som har fokus på sikkerhet vil sette pris på. Oppgradering av Visma systemet hos oss har alltid blitt gjort av Visma konsulenter som kommer fra høyt sertifiserte Visma partnere. Jeg syns det er et dårlig tegn at 3 av 3 Visma partnere vi har brukt opp gjennom åra har satt opp systemet på samme måte med passord i klartekst.   Slike sikkerhets hull som dette bør fjernes fra systemet for å unngå at disse kan utnyttes. Jeg syns ikke løsningen Visma har valgt der noen må aktivt inn og tette hullet er en bra løsning. Dette ettersom det med stor sannsynlighet vil være noen kunder/partnere som ikke gjør dette. ... View more

Jeg syns Visma fraskriver seg mye ansvar hvis de legger hele skylden på Visma forhandlerne. Systemet sin standard innstiling er jo slik jeg har beskrevet det og jeg regner med at minst 80% av alle kundene har det slik. Hadde det vært fokus på sikkerhet så skulle det ikke vært mulig å installert Visma Business med et slikt oppsett.   Vi har som sagt brukt 3 ulike forhandlere opp gjennom tidene og ingen har informert oss om denne svakheten eller anbefalt oss å velge kryptering. Her bør Visma ta mer ansvar og informere forhandleren om hvordan de skal sikre systemet. At Visma krever database admin bruker har jeg alltid vært klar over og har alltid fjernet denne tilgangen etter en installasjon. Det med at passordet ligger i klartekst er noe jeg har oppdaget i senere tid. At systemet lagrer passord i klartekst i registry som standard er ikke noe kunden normalt vil være klar over uten at noen informere de om dette.   Det hadde vært fint om Visma kan legge ut informasjon om hvordan vi kan kryptere passordet i Windows registry. Då vil alle som leser dette finne informasjonen om hvordan en bør sikre systemet. ... View more

Jeg syns også det er skremmende når en vet hvordan dette kan utnyttes. Mange har jo satt det opp feil og har jo då en åpen dør inn til firmaets bankkonto som lett kan utnyttes.   Nope, ingen fra Visma har tatt direkte kontakt med meg. ... View more

Det er positivt at det er fleksibilitet i systemet. Problemet her er ikke fleksibiliteten, men sikkerhetsløsningen som Visma har valgt å bruke. Visma krever at en må bruke en database admin bruker når en installere systemet for at systemet skal kunne opprette databasene. Det som jeg syns er spesielt er at systemet bruker denne brukeren til all framtidig kommunikasjon med databasen. Systemet burde opprettet en bruker som den brukte mot egne databaser og glemt database admin brukeren som blir brukt under installasjon. Det som gjør det ekstra kritisk er jo at systemet lagrer dette i klartekst slik at en bruker med litt IT kunnskaper kan finne passordet og få full tilgang til alle databasene på den database instansen.   Vi har hatt 3 Visma forhandlere de siste 15 årene og ingen av disse har informert meg om disse svakhetene. Dette er noe jeg selv har oppdaget. Dette problemet har jeg tatt opp med to ulike Visma forhandlere og har fått informasjon om at slik er systemet og at dette har vært en kjent svakhet for Visma i mange år. Ingen av disse forhandlerne jeg har snakket med har kommet med forslag til en løsning på denne utfordringen.   Grunnen til at brukerne må ha tilgang til Visma mappen er jo at programmet krever tilgang til denne mappa. Det vil jo ikke være mulig for brukerne å installere Visma uten å ha tilgang til konfig filen.   Jeg har opprettet en sak på forumet her for å få fokus på problemet, samt tipse andre Visma brukere om hvordan de bør sikre seg.   Jeg tror ikke folk er klar over hvor kritisk denne sårbarheten er. Med litt dårlig sikring av konfig filen, samt at firmaet i tillegg har Autopay fra Visma uten noe godkjennelse i banken så har de jo åpnet opp for at hvem som helst i firma kan overføre penger på vegne av hvilken som helst Visma bruker. Dette er jo også en svakhet som kan utnyttes med et virus.   ... View more