Anders Hessellund Jensen

Måske man skulle etablere et dansk center for Penetrationstest (af offentlige IT-systemer). Centeret skulle være:

1. 100% uafhængigt
2. Have beføjelser til at udføre penetrationstest af alle offentlige IT-systemer på et hvilket som helst tidspunkt, herunder eksempelvis anvendelse social engineering
3. Alle fundne sårbarheder offentliggøres med det samme de er rettet hos den pågældende myndighed
4. Centerets finansiering fordeles på de myndigheder, som centeret finder sårbarheder hos

Et sådant center ville utvivlsomt sætte meget stort fokus på sikkerheden i offentlige IT-systemer, og jeg tror også man ville kunne tiltrække nogle meget dygtige medarbejdere til sådan et center.

Der er masser fornuftige opgaver som et dansk Center for Cybersikkerhed kunne foretage sig. Udsendelse af sikkkerhedsadvarsler om offentligt kendte sårbarheder er bare ikke en af dem.

Hvorfor i alverden skulle Danmark dog spilde skattekroner på at udsende advarsler om offentligt kendte sårbarheder? - Der er utallige andre organisationer der udfører den opgave langt bedre end et dansk center for IT-sikkerhed nogensinde vil kunne. Det er da penge lige ud af vinduet.

Et dansk center for cybersikkerhed kan naturligvis heller ikke påtage sig ansvaret for alle danske myndigheders IT-sikkerhed. Man kan ikke centralisere ansvar, det virker ikke. Resultatet af at forsøge er det præcist modsatte, nemlig at dem der rent faktisk skal udføre sikkerheden i praksis ikke føler de har ansvaret.

Man kan dog diskutere, om centeret skulle have en kontrol- eller rådgivningsfunktion. Her er shellshock-sårbarheden en rigtig god anledning. Man kunne bede de offentlige myndigheder om en redegørelse for hvordan de har håndteret Shellshock, og så kunne man efterfølgende tage fat på de myndigheder, som ikke har håndteret sårbarheden tilfredsstillende.

NemID dækker jo også over bankernes fælles login-løsning, og ikke bare det offentliges loginløsning.

Det er derfor ikke utænkeligt at bankerne vil fortsætte med NemID selvom det offentlige vælger en anden løsning. I så fald er det vel kun rimeligt, at den eksisterende løsning kan fortsætte med at hedde NemID, og at den nye løsning til det offentlige får et nyt navn.

http://aphyr.com er også meget læseværdig hvis man har en interesse i den slags.

Fejlen hvis man trykker "afbryd" er vist en fejl i NemLog-In, ikke NemID (men den er rigtignok ret kritisk).

Nej det vil ikke kunne automatiseres. Når en bruger logger ind med NemID, så får serviceudbyderen (eksempelvis teleselskabet) brugerens fulde navn, men ikke CPR-nummer. Serviceudbyderen beder defter brugeren om at indtaste CPR-nummeret, og så kan serviceudbyderen sende navn og CPR-nummer til CPR og få et ja/nej svar tilbage om hvorvidt navn og cpr-nummer stemmer overens.

Eftersom navnet kommer fra NemID certifikatet, er det ikke muligt at slå CPR-numre op for andre end brugeren der er logget ind med NemID. (Dvs, serviceudbyderen kan godt, men slutbrugeren kan ikke).

Det er problematisk, når aktivister begynder at gå efter politikere personligt, men jeg har meget svært ved at se hvordan der kan være tale om offentliggørelse af "fortrolig" information.

Den offentliggjorte information er tilgængelig på en offentlig hjemmeside for enhver person der måtte gide at bruge en times tid eller to på at foretage en helt simpel proces som det ikke kræver noget særligt IT-kundskab at udføre. De ansvarlige for hjemmesiden har endda udtalt, at, at der ikke er tale om et sikkerhedshul, og at den udstillede funktionalitet fungerer præcis som det var intentionen den skulle.

Hvis der falder dom for, at den offentliggjorte information skal betragtes som fortrolig, så må det i hvert fald som minimum følge, at tinglysningens hjemmeside (og andre hjemmesider med lignende funktionalitet) skal lukkes indtil de ikke længere udstiller denne fortrolige information på en måde der er umiddelbart tilgængelig for enhver med en lille smule tålmodighed.

Hvor er det bizart, at det nu er fløjpartierne der forsøger at værne om friheden mens mainstream-partierne indskrænker den skridt for skridt.

Det plejede da at være omvendt?

Ivan Damgaard anvender formuleringen "... en større chance for at give noget sikkerhed", og siger da også dermed, at den form for obfuskering ikke giver nogen sikkerhed i kryptografisk forstand, men derimod er et "arms race" med hackerne. Jeg kan ikke se udtalelsen er problematisk (og vi ved jo ikke hvad han ellers har sagt).

De ting der ville tænde mig i et jobopslag, er de ting der betyder noget for mig på mit arbejde:

• At de teknologier jeg arbejder med er effektive og fornuftige teknologier til løsning af opgaven.
• At projektet er af høj teknisk kvalitet: arkitektur, kodekvalitet, automatiserede tests, CI, deployment-proces, osv.
• At projektet giver mening - at der kommer noget brugbart software ud af det jeg laver.
• At jeg arbejder sammen med dygtige og inspirerende kollegaer.
• At processen omkring softwareudviklingen er fornuftig.
• At jeg har indflydelse på de (tekniske) beslutninger der tages i projektet.
• At arbejdet er udfordrende og lærerigt.
• At jeg får en god løn.

Et godt jobopslag kommer derfor ind på ovenstående områder, men mange af parametrene fremgår af ikke af et jobopslag. Her handler det om virksomhedens renommé: hvordan arbejder virksomheden med software, og hvilken type medarbejdere formår virksomheden at tiltrække?

Det betyder mindre hvilke konkrete teknologier der arbejdes med, så længe der er tale om gode teknologier, der er egnet til at løse opgaven. Det gør som udgangspunkt heller ikke noget, at koden har nogle år på bagen, men det er ofte sådan, at projekter med nogle år på bagen også er udviklet med teknologier, som er særdeles uproduktive i forhold til hvad der findes af muligheder i dag. En 10 år gammel J2EE 1.4 applikation er altså ikke nogen fest at arbejde på, hvorimod en 10 år gammel, men velskrevet, Erlang-applikation kunne blive et interessant og lærerigt bekendtskab.

"Med NemID vil et login på offentlige websider til sammenligning altid blive koblet med dit CPR-nummer, ved hjælp af en database, der forbinder danskernes CPR-numre med deres NemID-nummer."

Det er dog værd at nævne, at når en offentlig side anvender Nemlog-In SSO løsningen, så får den enkelte side ikke nødvendigvis CPR-nummeret. Offentlige sider der ikke har brug for CPR-numre kan fravælge at modtage CPR-nummeret fra Nemlog-In.

"I Danmark vil et NemID-login omvendt altid sende dit navn og CPR-nummer afsted til tjenesten, du logger ind hos."

Dette er forkert.

Der gælder specielle regler for beskatning af firmatelefon og internet: https://www.skat.dk/SKAT.aspx?oId=1872145 .

Der er altså næppe noget problem for Anker Boye i forhold til skattevæsenet. Skatten der skal betales er et fast beløb, uanset hvor meget firmatelefonen/internet anvendes privat.

"Gratis" WIFI tilbudt af kommunen er da fuldstændig perspektivløst. I dag kan man få et mobilabonnement med data til rimeligt små penge. De fleste mennesker som benytter mobil data har da i forvejen et abonnement, og kigger man et par år frem er tiden da fuldstændig løbet fra tanken om kommunalt WIFI. Jeg synes kommunen skulle bruge pengene på at få en velfungerende netværksinfrastruktur op at køre på kommunens egne institutioner, og lade teleselskaberne sørge for resten.

Jeg har svært ved at se hvordan det giver mening at brokke sig over at et site som borger.dk bruger cookies. Problemet med cookies er jo, at de kan bruges til at identificere og spore dig. På borger.dk logger man ind med NemID, og sitet ved dermed allerede præcis hvem du er.

Så længe borger.dk ikke anvender tredjepartscookies har jeg virkelig svært ved at se problemet.

Man kan anvende en "canonical URL" angivelse til at fortælle google, at to sider har samme indhold:

https://support.google.com/webmasters/answer/139394

Hvis man gør det så burde det kun være den ene side (hovedsiden) der optræder i Googles indeks, og links til begge sider burde booste page rank. For at det giver mening kræver det selvfølgelig, at mobilklienter der går ind på hovedsiden redirectes korrekt til mobilsiden.

Når jeg skriver "burde", så er det fordi at Googles algoritmer jo er hemmelige, så der er ingen der ved præcis hvad der foregår.

Husk nu lige på hvem der er offer og hvem der er skurk. Det er CSC der har været udsat for et indbrud. Det er dem der er offeret. Der er nogen der uretmæssigt (ulovligt) har skaffet sig adgang. Det er ikke noget vedkommende har gjort ved et uheld - der har været en bevidst, kriminel hensigt bag. CSC har været udsat for en forbrydelse.

Sikke noget vrøvl. CSC er ikke offeret her. Ofrene er de mennesker, der har fået stjålet deres oplysninger.

Hvis vi absolut skal lave en indbrudanalogi, så svarer det til, at du har betalt en bank en hel masse penge for en top-sikret bankboks, som det er nærmest umuligt at bryde ind i. Så har banken glemt at låse boksen, og en tyv har stjålet alle dine værdigenstande i bankboksen. Banken betaler ingen erstatning, men lover at de nok skal huske at låse bankboksen fremover.

Er det så stadig banken der er ofret?

Der er ingen grund til at starte en ny fanboi-diskussion om hvorvidt det er en den ene eller den anden amerikanske megacorp der er mest "Evil" eller åben. Jeg forholder mig kun til den konkrete beslutning af Google om at droppe ActiveSync, hvilket burde fremgå af konteksten.

ActiveSync er en propritær og patenteret protokol ejet af Microsoft, som Google skal betale licens til Microsoft for at bruge. Her er et link hvor Microsoft stolt annoncerer at de har hævet penge ud af Google for at Google kunne få lov til at supportere ActiveSync:

Earlier today Google announced Google Sync, which is made possible by a patent license they obtained from Microsoft covering Google’s implementation of the Microsoft Exchange ActiveSync protocol on Google servers.

Jeg har meget svært ved at se det urimelige i at Google dropper support for dette. Tværtimod - jeg bakker 100% op om virksomheder der dropper proprietære protokoller til fordel for åbne ditto.