Log4j, säkerhet och HCL Domino – uppdateras efterhand

Posted by:

Hej käre kund och läsare,

Under veckan som gått har mycket av IT-nyheterna handlat om kritiska svagheter (Remote code execution) i primärt version 2 av ”open source” programvaran Log4j från Apache. Infoware har här försökt beskriva det vi vet och samtidigt sätta problemet i relation till Domino-säkerhet i allmänhet.

Eftersom problemen kring log4j (version 1.x och 2.x) och lösningen på dem blir kända efterhand, så valde vi den här gången att skapa den här bloggen som vi kan uppdatera vid behov.

Här hittar ni Apaches beskrivning av de olika problemen

https://logging.apache.org/log4j/2.x/security.html

Utmaningen den här gången är att log4j används av många program- och hårdvarutillverkare. Hur ser det då ut för HCL Domino och dess kringprodukter?

HCL har gjort en ordentlig genomlysning av utsatta implementationer av log4j i deras programvaror och i korthet så ser det bra ut för HCL Domino och HCLs standardprogramvaror omkring dagens HCL Domino. Här är en länk till HCLs technote om ni vill läsa mer:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516

Kan vi nu känna oss helt trygga?

Nej tyvärr är det inte riktigt så. Här är några utmaningar som vi arbetar med:

1. Log4j 1.x

Även Log4j 1.x kan konfigureras så att den kritiska risken uppstår. Log4j1.x följer med i ett antal paket i Domino, Notes osv. Mycket kraft har lagts ner globalt på att analysera log4j1.x paketen i och kring Domino. Utöver för tidigare versioner av HCL Domino AppDev Pack så har inte hört om några fall där log4j 1.x varit default konfigurerad så att den kritiska risken uppstått.

Om ni använder HCL AppDev Pack versions 1.0.5 – 1.0.10 eller vill att vi skall undersöka om ni gör det så hjälper vi gärna till med att kontrollera och i så fall patcha dem till säkra versioner.

Log4j 1.x patchas inte, utan det vi hoppas på nu är helt trygga versioner av programvaror där log4j 1.x inte förekommer. Log4j version 1.x är inte trevlig att ha i sin miljö eftersom en i och för sig riktig konfiguration av den gör att den kritiska risken uppkommer.

Infoware har också arbetat med kunder för att på eget bevåg arbeta bort log4j 1.x från IBM/HCLs programvaror. Kontakta oss gärna om du vill veta mer om det.

2. Gamla versioner av Domino och kringprogramvaror

Domino är verkligen byggt kring säkerhet från första början och det finns riktigt mycket gott att säga om det. Vad som däremot inte är bra är att många organisationer använder Domino-versioner som är riktigt gamla. Notes och Domino 9 kom 2013 och även om det kommit patchar, så är ändå strukturen för gammal. Många Domino servrar innehåller därför onödiga kända svagheter (precis som äldre versioner av Windows etc.) Hör gärna av er om ni vill resonera kring hur en uppgradering skulle se ut för er miljö. I de allra flesta fallen så talar vi om små projekt som dessutom kan ge andra fördelar som HCL Nomad Web vilken gör att ni kan använda era applikationer direkt i webbläsaren.

3. Konfigurationen av HCL Domino och programvaror i dess närhet.

Många Domino-miljöer är över 20 år gamla och under resan så har mycket hänt kring säkerhet. Infoware erbjuder olika tjänster för att i möjligaste mån hålla er Domino-miljö så säker som det bara går.

  • Infoware Application Service Plus

Infowares proaktiva förvaltningstjänst för Domino där vårt XpertCenter kontinuerligt håller er Domino-miljö ajour utifrån både produktivitet och säkerhet.

  • Traditionell säkerhetsgenomgång och workshop

Konsult eller konsulter från Infoware går igenom er Domino-miljö enligt vår best practice och lämnar sedan en rapport på föreslagna åtgärder. Vanligen går vi sedan igenom rapporten i workshopform för att tillsammans prioritera och planer ev. åtgärder.

  • Automatisering av användarhantering

Felaktiga behörigheter är en vanlig orsak till säkerhetsproblem. Infoware har många referenser där vi hjälpt kunder att automatisera rutiner för användarhantering vilket ökat säkerheten, höjt kvalitén, effektiviserat och sparat licenskostnader.

  1. Tredjepartsprogramvaror och kundspecifika lösningar

Domino är en fantastisk verktygslåda. Utmaningarna här är bl.a. risken att någon av alla smarta lösningar byggt på komponenter som senare visat sig vara svaga.

Infoware hjälper gärna till med att gå igenom er Domino-miljö för att ge en bild utifrån flera olika perspektiv. Några exempel:

  • Automatiserad kontroll av vilka applikationer som används och av vem.
  • Djupare analys per applikation av använda tekniker, risker och lösningar
  • Städningsprojekt. Vi gör ett gemensamt mål och sedan genomför vi städningen i steg. Vanligen minskar städningsprojekt kostnader och mängden oanvänd kod i miljön rejält.
  1. Sametime och Connections

Både Sametime och Connections har egna technotes från HCL om log4j-problemen. För Connections finns det fixar för att uppgradera log4j2 medans senaste versionerna av Sametime i alla fall inte aktivt använder log4j2. Båda produkterna är (eller har varit) beroende av IBM WebSphere Application Server och för den finns det viktiga versionsberoende fixar.

HCLs technote om HCL Sametime

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095528

HCLs technote om HCL Connections

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095498

Tveka inte att höra av er om ni har några frågor om HCLs samarbetsprodukter eller för den delen Microsofts motsvarigheter. Infoware är som vanligt bra bemannade alla vardagar under julhelgerna.

Stort tack för 2021 alla kära kunder. Vi på Infoware önskar er alla en säker och riktigt härlig julledighet!

0

Compare 2 variants

Posted by:

Function Compare2Variants(C2Var1,C2Var2, C2VarExactMatch As Boolean) As Boolean

Dim C2Var1strList List As String
Dim C2Var2strList List As String
Dim C2VarCount As String
Dim C2Var1intList List As Integer
Dim C2Var2intList List As Integer

Compare2Variants = False
If (UBound(C2Var1)-Lbound(C2Var1)) <> (UBound(C2Var2)-Lbound(C2Var2)) Then
    Compare2Variants = False
    Exit Function               
End If

If C2VarExactMatch Then
    C2VarCount = 0
    ForAll C2Var1Values In C2Var1
        C2Var1strList(C2VarCount) = C2Var1Values    
        C2VarCount = C2VarCount +1 
    End ForAll
    C2VarCount = 0      
    ForAll C2Var2Values In C2Var2
        C2Var2strList(C2VarCount) = C2Var2Values    
        C2VarCount = C2VarCount +1 
    End ForAll
    ForAll x In C2Var1strList
        If Not C2Var1strList(ListTag(x)) = C2Var2strList(ListTag(x)) Then
            Compare2Variants = False
            Exit Function
        End If
    End ForAll
    Erase C2Var1strList 
    Erase C2Var2strList 
Else        
    ForAll C2Var1Values In C2Var1
        If IsElement(C2Var1intList(C2Var1Values)) Then
            C2Var1intList(C2Var1Values) = C2Var1intList(C2Var1Values) + 1                                   
        Else
            C2Var1intList(C2Var1Values) = 1                                 
        End If
    End ForAll
    ForAll C2Var2Values In C2Var2
        If IsElement(C2Var2intList(C2Var2Values)) Then
            C2Var2intList(C2Var2Values) = C2Var2intList(C2Var2Values) + 1                                   
        Else
            C2Var2intList(C2Var2Values) = 1                                 
        End If
    End ForAll
    ForAll y In C2Var1intList
        If IsElement(C2Var2intList(ListTag(y))) = True Then     
            If Not (C2Var1intList(ListTag(y)) = C2Var2intList(ListTag(y))) Then
                Compare2Variants = False
                Exit Function               
            End If              
        Else
            Compare2Variants = False
            Exit Function
        End If
    End ForAll
    Erase C2Var1intList 
    Erase C2Var2intList         
End If

Compare2Variants = True

End Function

1

Domino server rating from F to A+ in seconds

Posted by:

Requirements:
Server running 9.0.1 FP4 and up

Background:
Running SSL Labs test on https://www.ssllabs.com/ssltest/index.html
Gives You low rating

Mission:
Increase rating

Step1:
Gather OCSP information
Goto Site and View certificate

Go to Intermediate certificate next to Your own and View Certificate

Go to Details and Authority Information and under Alternative name write down the URL.
In our case it is https://ocsp.starfield.com/

Step2:
Update notes.ini from console with the following, remember to replace the value of OCSP_RESPONDER with Your value from Step1.!!

set config DISABLE_SSLV3=1
set config HTTP_HSTS_MAX_AGE=17280000
set config HTTP_HSTS_INCLUDE_SUBDOMAINS=1
set config SSL_ENABLE_OCSP_STAPLING=1
set config OCSP_RESPONDER=https://ocsp.starfield.com/
set config OCSP_CLOCKSKEW=10
set config OCSP_LOGLEVEL=31
set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013

In Release 10 the last notes.ini SSLCipherSpec is not respected it must be set in Internet Sites\Security

a. Is most secure

b. If You have with a. You can use this and get a good rating anyway

Step3:
Restart HTTP task with following command:
restart task http

Now You can test Your server again and everything should be running fine

0

Now available DomainPatrol Social 14

Posted by:

We are glad to present DomainPatrol Social 14 with support for IBM Connections 6.0 CR4.

In addition, we also added a couple of useful functions.

Communities ACL by user
Add/Remove/Change ACL for communities based on selected users.

Improved usage reports
Get a deeper understanding of what content has been created and used in your Connections environment.

Additional gui-based admin commands

Graphical user interface for some of the most used Administrator commands (wsadmin)

 

So contact us today if you want a free trial of the administration tool DomainPatrol Social for IBM Connections. The unique solution for a flexible IBM Connections environment which makes content movable and solves complex user issues.

0

Nyheter i Domino 10, Domino 11 och lite om Connections

Posted by:

Sista veckan i februari höll HCL öppet hus i Milano och pratade om vad de planerar att göra med IBM Collaboration produkterna, som de håller på att köpa från IBM. Precis innan det var det IBM Think 2019 i San Francisco, där också en hel del nytt presenterades för framförallt Domino. Beträffande själva köpet så vet vi inte så mycket mer än att allt tyder på att det verkar bli av och att HCL tänker ge Domino en nystart.

 

Några spännande grejor som ser ut att komma med Domino 11 under Q4 2019.

 

  1. Domino som Elastic Search provider. Elastic Search kommer äntligen att kunna ersätta Dominos fulltextindex, som i mina ögon överlevt sig själv med många år. För att inte störa bakåtkompabiliteten kan Elastic aktiveras applikation för applikation.

 

  1. HTTP-autentisering mot ID Vault vilket bl.a. förenklar lösenordshantering. ID Vault blir i allt bättre med APIer etc., vilket i sig fått Dominos katalog att fungera lite mer som t.ex. Active Directory. som t.ex. inte haft Dominos problem med t.ex dubbla lösenord och klientberoenden.

 

  1. Apropå Active Directory så kommer också en helt ny AD synk.

 

  1. Ny installerare – InstallAnywhere 2018 ersätter InstallShield som gick ur tiden för länge sedan

 

  1. Domino Publisher – Snärtigare eventhanterare för både publicering- och prenumerationer knutna till databasevents och document events.

 

To be continued…. Jag skall försöka uppdatera den här posten efterhand som mer information släpps från HCL och IBM

 

Nya Domino 10 funktioner som redan släppts eller släpps efterhand

 

  1. En app (Domino Mobile Apps, kodnamn Nomad) som kör traditionella Notes-applikationer direkt från Ipads sluttestas just nu och efter den kommer även Nomad för iPhone, Android och ChromeOS. Apple versionerna av Nomad verkar distribueras via Apples B2B app store. Infoware har testat Nomad med gott resultat och vi följer utvecklingen.

 

  1. Notes-applikationsstöd som WebAssembly komponent. Nomad är också byggd för att kunna kompileras enligt WebAssembly-standarden. WebAssembly är en ny standard för att köra binärer på webb oavsett webbläsare. Web browser pluginen verkar alltså komma tillbaka, men betydligt tunnare och mer standardbaserad än tidigare. Tillsammans med ID-Vault för både Notes och http så kan det nog bli riktigt smidigt att köra både webb- och traditionella Notes applikationer från både webbläsare och mobiler https://en.wikipedia.org/wiki/WebAssembly

 

  1. Domino Query Language

 

DQL – Domino Query Language släpptes i december 2018 med Domino 10.0.1. DQL är ett nytt blixtsnabbt sätt/API/Språk för att hämta data från Domino. Om jag förstått det rätt så kommer DQL t.ex. att kunna ersätta t.ex. sök och NoteCollections i Domino applikationer.

 

  1. Domino Query Language Explorer är en Notes databas byggd för att testa DQL och få frågorna översatta till java, lotusscript eller javascript.

https://www.youtube.com/watch?v=rJNqjfML9-I

Presentationen är 11 minuter. Riktigt snyggt.

 

  1. Domino AppDev Pack 1.0 har släpptes tillsammans med Domino 10.0.1 och nu siktar HCL på att följa upp det med en ny release varje kvartal. Målet med Domino AppDev pack är att möjliggöra modernare Domino utveckling baserat på Node.js, javascript tillsammans med Domino Query Language.

 

Connections framtid, vad händer där?

HCL verkar satsa lika hårt här, även om planerna inte verkar lika klara som för Domino. Några saker har dock sipprat ut

  1. Release-tempot ökas upp till ett nytt Feature pack per kvartal och paketen utlovas att innehålla mer nytt. Senast nu under Q1 släpptes IC6 CR4 med bland annat en funktion för att dela enskilda filer externt m.h.a. direktlänkar som sedan inte kräver inloggning. Den funktionen har iallafall jag längtat efter. Infoware släpper förresten DomainPatrol Social support för IC6 CR4 nu i dagarna.
  2. IBM Connections kund-Jams för att samla input framåt är igång nu i stil med HCLs Jams inför Domino 10 och senast Domino 11

 

Länkar till mina viktigaste källor

 

Bra sammanfattning om IBM Collaboration på IBM Think nu under februari 2019

https://domino.elfworld.org/this-is-what-happened-at-ibm-think-2019/

 

Bra sammanfattning från HCLs konferens i Milano nu sista veckan i februari 2019

https://www.c3ug.ca/c3ug-blog/2019/3/1/hcl-factory-tour-episode-2-a-new-base-a-new-hope-a-new-beginning

_______________________________________________________________________________________________

Picture copyright and cudos belongs to colleague and photographer Tony Andersson

https://500px.com/tonyandersson

 

 

 

 

 

0

Infoware, Enterprise Collaboration and Identity

Posted by:

Infowares history and role from 1995 onward has been the pro-active, technical, business-oriented drivers. Our focus in the “digital transformation” is to help large organizations getting their collaboration platforms smart, efficient and secure. Our purpose with this, is a conviction that smarter collaboration and technology can make the planet a better place to live.

We work with organizations from 30 to 120 000 users with 50% of our billing on each side of the 10 000-user mark. Infowares technical place is primarily the central IT highways and/or Group Communication. Typically, we work with core catalogs, intranets, migrations, email optimization, federation services and application infrastructure etc. Until 10 years ago many Swedish organizations used IBM Domino for a large portion of their collaboration solutions. Since then +90% has changed to use Microsoft technologies for their base services, but many continue with IBM Domino for agile collaborative business applications.

An Enterprise Collaboration project, from the technical side, is seldom about developing beautiful front ends or implementing cool tools to the end user. Instead our role is more often to automate processes for how users (Identity Management) in separate catalogs and data in different applications can work together or be moved without disturbances. Such work often gets down to a mix of experience, respect for size, technical skills, patience, tests, tests and in the end politics. I think our most important success factor has been a culture to do the extra miles and never ever give up.

Of course, we have also developed many solutions (and skills) to automate the large amounts of changes in identities, collaboration applications and even the tools used. Sometimes we have been used as architects or developers, but of course we have also been the fire department when central systems got issues. We are now a highly experienced team of experts, with a good understanding on Enterprise Collaboration from both the technical and business logic sides.

Some of our solutions got repeatable and even to the next levels products and services. We think our customers like our innovation process; (a.) real world Enterprise Collaboration problem, (b.) Enterprise Solution, (c.) repeatable solution, (d.) Standard Product and eventually (e.) a service.

Another side of working with Enterprise Collaboration and Identity are migrations driven by digital transformation and organisational mergers. We, the movers, have helped our customer with complex splits, merges, system changes or why not to move part of their on-premise collaboration platforms to Office 365 and implement MS Teams at the same time. From our experience the IBM Domino customers are collaborating more (in Office 365) compared to the many on-premise Microsoft customers. We are sure the on-premise Microsoft customers will take the jump too, and to do this they will need experienced movers like us.

Another trend is contract services and outsourcing. Infoware is a relevant contract service provider for solutions that we have built and for IBM Domino environments, where we have super human capabilities and economy of scale.

 

Picture copyright and cudos belongs to colleague and photographer Tony Andersson (https://500px.com/tonyandersson)

0

Välkommen till GDPR Meetup – vad hinner du egentligen med på 72 timmar?

Posted by:

Välkommen på GDPR-frukost Meetup!

Den nya Data Protection Regulation från EU säger att ett dataintrång måste rapporteras inom 72 timmar. Så långt är allt klart. Utmaningen vi nu står inför är att vara redo med rutiner på vad som ska hinnas med på de 72 timmarna.

– Var upptäcktes intrånget?
– Vilka delar av verksamheten drabbas och kan skadas?
– Kan intrånget spridas till andra delar?
– Har vi någon action plan för att täppa till säkerhetshålet?

Utan ett loggverktyg eller en SIEM-lösning som samlar in information om säkerhetshändelser i din miljö data är det i princip omöjligt att formulera en överblick över intrånget och rapportera det. Än mindre sätta in åtgärder för att lösa problemet.

Under mötet berättar och diskuterar vi om hur du kan upptäcka händelser i realtid och förbereda dig för ett eventuellt intrång.

Spendera dina 72 timmar på omedelbar avhjälpning och snabb rapportering till de drabbade.

Michael Albek har arbetat inom SIEM området i mer än tio år och han kommer att krydda presentationsdelen med flera verkliga intrång som han arbetat med.

Infoware bjuder på frukost!

Talare: Ulf Stider, Infoware och Michael Albek, SecureDevice

Tisdag 8 maj 2018
8:30 – 1
0:00

Se mer information här!

0

IBM Champion: Maria Nordin

Posted by:

I am very happy and excited to announce that I am once again selected to be an IBM Champion. For the third consecutive year. For me this is a recognition of that I am doing something right, which is fantastic!

One of my greatest passions is collaboration and bringing people together in various situations. I truly believe that we are stronger together and can achieve higher goals and better results if we work more out loud and closer to one another. Closer doesn’t necessarily mean geographically. That’s where the extra sweet sprinkle is added. By using various collaboration tools teams, colleagues and companies can overcome distances both in distance and culture.

To work out load is to learn about your co workers. About their skills, experiences and strengths. In the same way they learn about you. And to use tools that are intelligent and helps you make the most of all your assets. Like for example Watson who (is she a person? 😉 ) can summarise a long chat discussion to short overview moments, suggest where you should store files and what to answer (and who) on emails. Just to mention a few.

I am truly happy I get to be in this collaborative community and to be part of this journey to a more digitalised and open work space.

Thank you IBM for letting me go on the carousel this year too!

/Maria Nordin

 

0
Page 1 of 6 12345...»