Henrik Størner

DIGST om manglende mail-beskyttelse i staten: »Vi forventer, at myndighederne vil tage hånd om opgaven«

Rigtig mange beslutningstagere er panisk angste for at de skal gå glip af en mail, der bliver afvist pga nogle regler som de ikke forstår. Eller endnu værre: At deres egen mail ikke kommer igennem fordi IT "roder med noget teknik".

Komplet irrationelt, men det er virkelighed når teknikken møder chef-laget.

Har selv haft udfordringen for nylig, og de statslige anbefalinger var klart en nyttig løftestang. Til efteråret skal vi så igang med at overtale til at have "p=reject" i stedet for "p=quarantine".

11. august 2020 kl. 12:39
Rapport: TLS-overhaling kan blive et sikkerhedsproblem

det er vel muligt at installere et certifikat på en proxy og forhåndsgodkende det på klienten, så klienten kun ser proxy'ens certifikater og proxyen terminere sessioner

Det er præcis sådan "TLS Intercept" proxy'er fungerer - dens rod-certifikat er præinstalleret på klienterne, og proxy'en laver så et certifikat "on-the-fly" så når klienten går på https://www.version2.dk/ så får den også et certifikat med det rigtige navn i.

Det virker kun fordi TLS 1.2 (og tidligere) ikke krypterer "www.version2.dk" i sit TLS handshake, så proxy'en kan se hvilket website den skal lave et certifikat til. I TLS 1.3 er dette felt krypteret, så proxy'en ikke kan aflæse det i tide. Det er det "Encrypted Server Name Indication (ESNI)" gør.

Om du så helst vil have privatliv eller et beskyttende filter mod ondsindede websites er en subjektiv afgørelse. Personligt mener jeg at det fuldt ud kan forsvares at lave TLS Intercept på en arbejdsplads, mens det er fuldstændig uacceptabelt når jeg er hjemme i privaten.

10. august 2020 kl. 15:48
Datatilsynet godkender: Virksomhed må godt aflæse medarbejderes fingeraftryk

fingeraftryk skal begrænses til kun at være af national sikkerhedsmæssige opgaver. ansigtsgenkendelse må kunne bruges andre steder.

Skal jeg forstå det således at du mener fingeraftryk er mere sikkert end ansigtsgenkendelse? Så synes jeg du skal læse denne næsten dugfriske rapport fra Thalos (Cisco's cyber-forsknings team) https://blog.talosintelligence.com/2020/04/fingerprint-research.html

TL;DR: Det kræver ikke nogen voldsomme ressourcer at snyde de fleste fingeraftrykslæsere.

6. august 2020 kl. 22:11
Velkommen tilbage fra ferie...

er de faste elementer i sådan en risikovurdering.

Sandsynligheden for genvalg af Trump er nok større end risikoen for dit borgerkrigs-scenarie: Godt nok er Biden forud i alle svingstater, men der kan ske meget inden November. Og de beskidte tricks er kun lige begyndt. Mit gæt er at det er 50/50 om han bliver genvalgt.

Jeg mener ikke borgerkrigsscenariet er særlig sandsynligt. Der er mange eksempler på at når det virkelig strammer til, så gør nøglepersoner det rigtige - f.eks. lader være med at udløse en atomkrig pga. fejlagtige signaler fra satellitter, selv om ordrerne var krystalklare om hvordan der skulle reageres. Jeg tror på at der nok skal være en passende mængde Secret Service agenter, som eskorterer den orange herre ud af Det Hvide Hus - med eller mod hans vilje. Så kan der blive noget spredt ballade rundt omkring, men ikke noget der for alvor sender hele USA ud i en regulær borgerkrig.

Så er der konsekvenserne. I "worst case" hvor al IT-infrastruktur baseret på udstyr med amerikanske komponenter går i sort, så er det ikke realistisk at en it-tung virksomhed kan fortsætte. Det er et dommedags-scenarie, og hvis ikke du allerede er biodynamisk landmand og 100% selvforsynende, så må du hellere se at blive det. I det scenarie overlever virksomheden ikke, når der kun er max. 6 måneder til at forberede det.

Så er der scenariet hvor det udstyr vi har bliver ved med at virke, men alle forsyninger fra og leverancer til USA stopper. Dvs. alle cloud services (Office 365, Salesforce, AWS, Azure, Google osv), alle hardware-leverancer, internet-forbindelser som routes via USA. Det er et klassisk (omend stort) disaster/recovery scenarie, så man skal planlægge efter at etablere eget datacenter til de mest nødvendige funktioner, have indkøbt hardware på forhånd, fundet et sted det kan være, trukket kommunikationsforbindelser til vigtige partnere, og være klar over hvilke funktioner der kan håndteres manuelt - og hvor mange flere man skal ansætte til at gøre det. Også gerne have bygget sine kritiske funktioner så de er testet af og kan køre den dag alt går ned (formentlig omkring nytår). Det bliver rigtig dyrt - alle gevinsterne ved at have outsourcet og cloudificeret sine IT-services går fløjten. Plus at man må forvente et kraftigt produktivitetsfald og manglende omsætning fordi alle dine kunder vil være ramt på samme vis. Et fuldstændrig grebet-ud-af-luften estimat: IT-budgettet skal 20-dobles i 6 måneder og 10-dobles i 2-5 år, og man skal være forberedt på en omsætningsnedgang omkring 70-100%, afhængigt af hvor dine primære markeder ligger.

Og det er i øvrigt ikke kun IT, der er masser af andre leverancer (råvarer og serviceydelser) fra USA som vil stoppe. Dem skal de andre afdelinger også i gang med at planlægge efter.

Jeg tvivler på at mange bestyrelser vil sige "bare gå igang" på baggrund af sådan en kalkule, aktionærerne vil gå amok over at kaste så mange penge efter et langt-ude scenarie.

28. juli 2020 kl. 11:28
Lovændring skal give politiet adgang til telefon-data via IMEI-nummer uden kendelse

Forslaget laver ikke om på hvilke data politiet kan få udleveret, eller om der skal en dommerkendelse til. Den eneste forskel er at politiet kan bede om data ud fra et IMEI nummer på en telefon, i stedet for at skulle give et navn på personen eller et telefonnummer.

Prøv at læs detaljerne om forslaget (det er kun 3 sider).

Der er generelt for dårlig kontrol med hvilke oplysninger teleselskaber skal logge og udlevere uden dommerkendelse, men denne ændring laver ikke om på den eksisterende - sørgelige - retstilstand.

17. juli 2020 kl. 12:47
Negative skudsekunder i sigte

men hvordan skal jeg forstå grafen derhen at de negative skudsekunder er på vej? Så vidt jeg kan se holder grafen med UT1-UTC tæt på nul i det der er plottet ind mod 2021 med en udfladende tendens - og hvis de to ikke divergerer ret meget, så burde der vel slet ikke være brug for at indsætte skudsekunder?

13. juli 2020 kl. 12:32
Skal vi have en Corona app?

Det er det korte svar på overskriftens spørgsmål. Af alle de grunde du selv og Bruce nævner, men for mig er den enkleste årsag: Det kommer ikke til at virke.

Der bliver for mange falske positive og negative resultater, for få der vil have den på telefonen når de opdager strømforbruget, og så kan jeg levende forestille mig det trætte udtryk laboranten får i øjnene når der står en hel skoleklasse i panik udenfor teltet og siger "jeres app har slået alarm - gør noget!"

Det er meget mere effektivt at gøre som hidtil: Hold afstand (1-2 meter efter smag), host i albuen, vask hænder, og isoler dig selv i nogle dage hvis du føler dig sløj. Kombiner det med dækkende stikprøver af tilfældigt udvalgte personer i et omfang, så man kan sige noget meningsfuldt om smittetryk, immunitet og mørketal.

Men det er selvfølgelig bare sund fornuft, og vi ved jo hvor mange der lytter til det ...

11. maj 2020 kl. 12:38
Min Drømmeserver

"BBB" er så vidt jeg kan google mig til et BeagleBone board https://beagleboard.org/

Det lyder som en god ide. Velbekomme med frokosten.

6. maj 2020 kl. 11:46
Microsoft lukker 3 nuldagssårbarheder og 15 'kritiske' sårbarheder

Jeg troede den slags tåbelige religions-kommentarer var døet ud for 10+ år siden.

Der er ingen operativsystemer, der ikke har brug for sikkerheds-patches med jævne mellemrum.

Der er ingen applikationer, som ikke har sikkerhedshuller der skal patches.

Der er stor forskel på at skifte videokonference-system og skifte operativsystem. Og mange flere reelle valgmuligheder.

16. april 2020 kl. 08:55
Grønne grafer - og mangelfuld kommunikation

Corona-udbruddene på krydstogtskibe (især på Diamond Princess) viste at kun cirka 20% af personerne blev smittet, og det endda i nogle omgivelser hvor smittetrykket må have været ret massivt. Beretninger fra passagerer og besøgende viste at adskillelsen mellem smittede og ikke-smittede var nærmest ikke-eksisterende.

Endnu en faktor, der påvirker kurverne.

7. april 2020 kl. 11:03
Lækket EU-lovforslag: Smartphones skal have udskiftelige batterier

Så vidt jeg lige kan google, så klarer et almindeligt Li-ion batteri omkring 1000 fulde opladninger uden at miste kapacitet.

Hvis man er ivrig mobilbruger så man skal lade telefonen hver dag, så er det en levetid på cirka 3 år. Som ivrig mobilbruger vil man sandsynligvis skifte mobilen ud efter 3 år, da den så er teknologisk forældet.

Hvis man - som jeg selv - ikke bruger mobilen så meget, så er 1000 opladninger 4-6 års brug. Efter så lang tid er der stor sandsynlighed for at andre dele er ved at være slidt, f.eks. skærm, knapper og stik. Plus at den for længst er håbløst usikker, da den ikke længere får softwareopdateringer.

Med andre ord: Er det virkelig batteriet, der er den mest udskiftnings-nødvendige komponent?

2. marts 2020 kl. 14:59
Er censur genindført?

Grundlovens censurbestemmelse handler om statens censur af den offentlige debat. Youtube (og Facebook m.fl.) er ikke statslige instanser, derfor er §77 irrelevant.

Vi kan så diskutere det fornuftige i at medier som Youtube har fået en indflydelse, der vel reelt er større end mange staters. Men det er en anden diskussion, som handler om monopoler, medieansvar og mange andre ting.

At et privat firma vælger og vrager mellem de indlæg, deres brugere indsender, har ikke noget med censur (i Grundlovens forstand) at gøre. Paludan m.fl. har helt frie muligheder for selv at udgive deres politiske tirader i de medier, der vil lægge spalteplads eller webside til, eller til at udgive det selv.

26. februar 2020 kl. 14:02
Sikkerhedsekspert: »IoT er som asbest. Om 20 år vil folk undre sig over, hvad vi havde gang i«

Det store antal IoT enheder - er det så et problem. Næppe. Hvis en cyberkrig rammer et land, vil man nok ikke hacke millioner af IoT enheder, men et par kraftværker eller tre

Jo, antallet er et problem. Det er forholdsvis nemt at indrullere nogle hundredetusind IoT enheder i et botnet, og så bruge botnettet til at angribe kraftværket. Meget nemmere end at gå direkte efter kraftværket. Det var f.eks. fremgangsmåden da DynDNS blev DDoS'et. Og hvis DNS ikke virker - tjah, så er det egentlig lige meget om din server er oppe. Man kan ikke finde den.

Derudover er problemet med IoT enheder jo at de er forholdsvis billige, så der er ikke råd til at lave software-vedligehold. Så når først IoT dimsen er sat på nettet, så lever den der - i al sin sårbarhed - i lang tid.

13. februar 2020 kl. 15:17
Pensionsselskab nægtede indsigt i rapport der sagde god for »stærk klagesag«

Du tager helt fejl. Det er forsikringsselskabets læge, ikke patientens.

10. februar 2020 kl. 12:36
At slette sin konto hos Amazon

Det er kun fordi Spillemyndigheden kræver at spiludbydere gemmer oplysninger om alle spil-aktiviteter i 5 år.

(Disclaimer: Jeg er ansat i Danske Spil)

5. februar 2020 kl. 14:22
SONOS’ uheldige business case

Phillips er i gang med samme øvelse på deres første version af Hue systemet - deres basisenhed ("bridge") bliver ikke supporteret fra 1/4, så man kan ikke længere fjernstyre sit lys over Internet.

Jeg er nu ligeglad, har aldrig brugt den feature, men det er bare endnu et eksempel på at "smarte" dimser afhænger helt af om der er nogen der vil levere software til dem.

27. januar 2020 kl. 12:33
Endnu en grund til at opdatere Windows 10: RDP-servere også sårbare

Som skrevet i overskriften, så er det en evig diskussion.

Ude i virkeligheden - væk fra mediehysteriet, sikkerhedsfarisæerne og de altid bagkloge mandagstrænere - er mulighederne sjældent så sort-hvide.

Noget skal patches. Noget skal patches, men det kan bare ikke være lige nu. Noget kan slet ikke patches. Nogle systemer kan man ikke finde den ansvarlige for, eller ingen ved hvordan man patcher applikation X. Nogle systemer må overhovedet ikke røres, fordi en eller anden myndighed kræver at de skal køre den certificerede udgave af softwaren. Find selv på flere gode undskyldninger.

Det er en risikovurdering, og du er nødt til at bruge de forskellige muligheder der findes, for at gøre risikoen så lille som mulig. Patchning, opgradering, hardening, netværkssegmentering, IDS/IPS løsninger, overvågning af hvad der foregår på systemerne, logopsamling, applikations-whitelisting, backup osv. osv.

Og sidst, men ikke mindst: Sørg for at have en plan for hvad du gør, når du bliver hacket. For det bliver du. Uanset hvad du gør.

17. januar 2020 kl. 12:37
Sådan fandt tre unge danskere verdensomspændende sikkerhedshul i modemmer: »Hvis vi kan verificere det her, så skal der øl på bordet!«

... nogen brugte et sikkerhedshul til at skrive rigtigt mange gange i flash-hukommelsen og de blev ved indtil flash-hukommelsen holdt op med at virke permanent. Så ville modemet være blevet til en grim og ikke særlig tung brevvægt.</p>
<p>Hvis "nogen" gjorde det ved kabelmodemmer i et helt land eller i flere lande som del af en krigsindsats. Hvor lang tid ville det så tage at komme op og køre igen?

Muligt, men ikke særlig sandsynligt.

Sårbarheden kan kun udnyttes fra LAN-siden af routeren. Så et exploit er afhængigt af at der er en bruger på indersiden af routeren, som begynder at angribe routeren. Det kan gøres, men deres exploit er afhængigt af at brugeren besøger et website som indeholder noget Javascript til at angribe routeren. Et "waterhole" angreb (f.eks. på et reklamebanner site) kunne selvfølgelig bruges, men det er nok ikke sandsynligt at rigtig mange vil blive ramt samtidigt.

15. januar 2020 kl. 09:59
Kerne1 og Kerne2

Jeg er også vild med at man kan koble lange pipes af sammen af små værktøjer og gøre magiske ting.

Men det er bare også en akilleshæl. Antallet af sikkerhedshændelser der skyldes problemer med præcist at tolke output fra en kommando i den næste er pænt stort, især hvis vi begynder at tage input fra nettet og sende gennem diverse små-kommandoer. Kombinationen af tekst-input, "quick-fix" administrator-scripts med mangelfuld inputvalidering, og root-rettigheder er farlig.

JSON som interface i stedet for rå tekst kan måske hjælpe på det, men jeg tror sådan en ændring vil give lige så meget ballade som SystemD. Så vil vi have to standarder for at sende data mellem kommandoer, for de gamle tools forsvinder ikke.

Helt enig i at SystemD i udpræget grad lider af scope-creep, men at det er roden til alt ondt køber jeg ikke.

9. januar 2020 kl. 10:23