Jakob Stærk

Politistaten Danmark ruller ensidigt spin udover alt

Uden at have nogen juridisk kompetance at tage udgangs punkt i så tænker jeg:

  1. PET kan have en legitim interesse i at gennemlæse bogen inden publicering for at sikre at ingen bryder deres tavshedspligt (faktisk ment på den mest positive måde - det kunne vel være en hjælp til både Jacob Scharf og PET selv)

  2. Men når de kræver ret til at ændre indholdet, så må de vel også forvente at både forfatter og forlæg afviser et sådant krav, ellers er de vel for nu at sige det med lidt humor "Dummere end politiet/justitsministeriet tillader"

  3. Hvis man så antager (igen i bedste mening) at de ikke er "Dummere end politiet/justitsministeriet tillader" - ja så kan man jo mistænke at det er en bevidst handling der skal sikre "en legitim" grund til at forbyde bogen udgivet.

Uanset hvad årsagen er til den valgte fremgangsmåde, så er det ikke noget der styrker min tillid til systemet.

10. oktober 2016 kl. 12:19
Java-plugin er den største it-sikkerhedstrussel mod danskerne

Kræver også java fra min pc, men hvis jeg via User-Agent Switcher lader som om jeg bruger en nexus 7 tablet, så kan jeg godt logge ind med javascript. Når jeg lander i e-post kan jeg skifte tilbage til at bruge default user-agent og det virker stadigt.

Det er mig lidt af en gåde at vi skal vente til nytår før javascript bliver default.

18. november 2014 kl. 14:53
Ekspert: Ro på - intet nyt i WPA2-sårbarhed

Thomas har helt ret - Som angriber har man brug for en packet capture af de pakker der bliver udvekslet når en bruger/klient authentikerer til det trådløse netværk. I disse pakker udveksles der nogle krypterede data som danner grundlag for selve authentikeringen og for efterfølgende udveksling af krypteringsnøgler, både ap og klient vil beregne en Pairwise Master Key (PMK) til dette brug.

Sådan lidt forenklet så beregnes PMK ud fra noget "hemmeligt" + SSID + længden af SSID, disse 3 ting køres så igennem en 1-way hashing algoritme, resultatet er PMK. PMK kan ikke dekrypteres direkte - da den netop er beregnet med en 1-way hash.

I WPA2-PSK er det "hemmelige" den pre-shared-key som er ens for alle klienter på samme AP/ssid med wpa2-psk - så PMK er ens for alle klienter på dette netværk.

I WPA2-802.1X vil RADIUS serveren generere nyt "hemmeligt" materiale for hver authentikering, hvilket betyder at PMK er unik for hver klient.

Off-line bruteforce angrebet tager udgangspunkt i at vi har en packet capture af en succesfuld authentikering. Hvis der er tale WPA2-PSK kan vi ikke bare dekryptere data (1-way hash), men vi kender alle variable på nær PSK, så hvis vi starter fra en ende af og gennemregner samtlige værdier at PSK så vil vi på et tidspunkt få samme resultat som vi har i vores packet capture - og ergo så ved vi hvad PSK er for dette netværk.

Nu er det ikke nødvendigt vis så nemt som det måske lyder, idet PSK skal være mellem 8 og 63 karakterer, så det giver faktisk pænt mange muligheder (læs tager rigtigt lang tid at beregne samtlige mulighder - det er nemlig en tung beregning).

Men ofte så vælger vi svage passwords eller velkendte passwords, det samme gælder også for PSK, så hvis man nu istedet for at beregne samtlige værdier af PSK så forsøger sig ud fra en liste af velkendte passwords/PSK/ord, så vil man nogen gange være heldig. Dette kaldes et dictionary attack. I virklighedens verden vil man ofte forsøge med en hybrid mellem dictionary og brute-force attack.

Det kan faktisk blive meget lettere med Rainbow-tables. Ideen bag dette er at hvis nu vi er mange der beregner hver vores portion af samtlige PSK værdier og vi så samler resultatet i en fælles database, så kan vi alle bruge den. Så skal vi ikke længere beregne, men blot lave et database opslag - (søg efter rainbow tables - og du skal finde)

Det lyder næsten for nemt, og det er det faktisk også.

Men SSID indgår som en del af beregningen, så hvis du sørger for at ændre dit SSID så det ikke er default for AP'et (eller et af de godt 1000 der ligger rainbow-tables til), sørger for at vælge en kompleks PSK så kræver det stadig rå regnekraft og masser af tid at brute force din PSK.

Anvender du WPA2-802.1X, så er du også godt kørende (igen anvender du PEAP altså brugerid/password, så skal du vælge et godt/stærkt password)

Personligt er jeg tryg ved sikkerheden i mit wireless net. Tænk lidt på at hvis du vælger en hemmelig kodt på 128 cifre og jeg får 3 gæt, så er det faktisk muligt at jeg gætter rigtigt, men sandsynligheden er nok meget lille. Det samme gælder for PSK eller passwords etc.

Ovenstående er ikke ment som en fuldstændig teknisk korrekt og udtømmende forklaring. Så kommenter endelig hvis du har noget at tilføje.

28. marts 2014 kl. 09:17
Lærerne fik kun gavn af iPads i halvdelen af klasserne i Odder

Jeg har selv en datter på 8 der fik ipad i løbet af indskolingsforløbet (hun går på en af Odder kommunes skoler). Sådan lidt på side linien har min opfattelse været at det var vigtigt at komme først og at det var ipads. Præcist til hvad og hvordan de skulle bruges måtte man så finde ud af bagefter (sat lidt på spidsen).

Det kunne såmænd være en god ide for et pilot projekt med enkelte udvalgte klasser, hvor man så kunne høste erfaring fra inden man udbredder konceptet til alle elever.

Der er bestemt gode ting ved ipads til alle, men hvis man havde valgt klasse sæt til de små klasser som kunne deles og overvejet om ikke de større klasser havde brug for at lære at bruge et tastatur (som kunne være tilbehør eller del af cover til ipad) så tror jeg at man kunne få et større udbytte for de samme penge.

Lige nu tror jeg nogle af udfordringerne er følgende:

  1. Hvordan kan vi egentlig anvende ipads i undervisningen, så de bidrager til indlæring eller motivere eleverne til læring. Dette stiller især krav til den enkelte underviser, nogle er gode til det, andre har brug for noget inspiration.

  2. Opdatering af de apps der anvendes i undervisningen kræver stadig at en lærer skal logge på og lave manuel opdatering (det burde kunne gøres mere elegant - ipad'en er jo skolens ejendom)

  3. I starten var det medfølgende cover uden skærmbeskytter, det var dyrt i reperationer. Nu har man så udskriftet det med et der beskytter godt, men gør ipad'en meget træls at anvende (knapperne er svære at betjene, skærmbeskytteren klæber ikke til skærmen så der kommer hurtigt støv mellem film og skærm, men værst er nok at der dannes en visuel effekt der ligner lidt "en oliefilm på vand" hvilket er meget forstyrende for brugeren. Jeg vil gå så vidt at sige at den nuværende skærmbeskytter er uegnet til formålet.

For mig er valg af platform blot et middel der skal understøtte noget langt vigtigere, nemlig elevernes indlæring, motivation og evne til at begå sig i vores samfund. Min fornemmelse er at der i projektet har manglet lidt fokus på målet.

24. februar 2014 kl. 13:00
Printere melder systematisk om fejl - men virker fint

Jeg har en HP Officejet Pro 8500A, som vel er i den dyre ende af mindre blæk printer markedet. Den har 4 seperate farvepatroner, men hvis en er tom (eller printeren tror den er tom) så nægter printeren helt at udskrive. Har lige oplevet at cyan var tom og jeg kunne ikke udskrive dokumenter i gråtoner (altså kun med sort).

Det var okay at den gør mig opmærksom på at der ikke er mere blæk, det er bare ikke i orden at den holder helt op med at virke fordi en blækpatron er tom.

Den skriver flot, har god driver understøttelse i linux, det kræver en pæn portion sort magi at få den til at virke under windows via wireless og så er der lige der der med total cost of ownership. Så jeg har måske svært ved at få øje på hvorfor jeg skulle vælge HP blæk printer næste gang.

23. januar 2014 kl. 10:09
Nu kommer afklaringen: Er NemID Danmarks stats-trojaner?

Selve spørgsmålet til ministeren vender om - "Kan ministeren garantere, at NemID ikke bruges eller kan bruges af PET, FE eller andre myndigheder" Så hvis der ikke kommer et klart JA til spørgsmålet, så er der vel "ugler i mosen" uanset hvad begrundelsen så måtte være.

Jakob Stærk

30. januar 2012 kl. 11:28
Find fem fejl

Baldur Norddahl skrev "Skal det bare være simpel ACL? Så er jeg enig at mange switche kan gøre det."

Korrekt, hvis du vil have stateful inspection så kan du route i firewall istedet for i switchen, er det trafik mellem klinter i samme broadcast domain kan du skubbe en bridging firewall ind i ligningen - sammen med lidt kreativitet og så kan du faktisk opnå funktionaliteten med "små" midler (afhændig af hvilket firewall produkt du vælger).

31. oktober 2011 kl. 13:46
Find fem fejl

Baldur Norddahl skrev "Desværre kender jeg ikke noget produkt der kan det"

Det tror jeg faktisk flere produkter kan som standard. Jeg har selv konfigureret det i HPs switche (både E serie og A serie). Jeg tror faktisk også du kan gøre det i Cisco switche (jeg har dog ikke prøvet det)

Det kræver blot lidt kreativitet i brugen af protected ports/Isolated User Vlan/Super vlan i HP og private vlan i Cisco.

Ofte kan det gøres med de enheder man allerede har i sin infrastruktur. Det kræver noget systematik og standardisering. Men det behøver ikke at koste "kassen"

31. oktober 2011 kl. 11:32
Wifi mysterium

Kombineret med mit tidligere bud. Så opfylder Stofa's SSID'er flere krav:

  1. De er nemme at generere med et script

  2. De er "nemme" at læse for Her og Fru Jensen

  3. Navnet i sig selv giver ingen mening og du kan ikke udfra SSID se hvem den tilhører. (Så ingen Stofa udstiller ikke hvem der har Stofa net - navnet er ikke person-henførbart for andre en Stofa og dem med retningsbestemte antenner ;-)

5. september 2011 kl. 15:11
Wifi mysterium

Jeg tror (er ikke ansat hos Stofa, så jeg gætter) der er en hel jordnær årsag til at f.eks. Stofa vælger denne type SSID'er. Hvis man som leverandør skal sælge "sikker" trådløs internet til Her og Fru Jensen, så kunne man nemt ende i noget WPA med Pre-shared key, hvor hver kunde har sin egen unikke Pre-shared key. Hvis du så forestiller dig at Her og Fru Jensen bor i etage ejendom, med flere Stofa kunder. Så vil det være dejligt hvis hver kunde har et unikt SSID, så Her og Fru Jensen ikke ringer til supporten fordi de uvidende prøver at koble på naboens AP. Hvis alle Stofa kunder brugte samme SSID, ville man risikere at en klient ville roame til naboens AP når man var tættere på dette end sit eget (sådan rent SNR mæssigt)

5. september 2011 kl. 11:28
Eks-politiker til it-ordførere: Drop dokumentformater og fokusér på cloud

Når man kigger på cloud løsninger bliver standarder, specielt åbne standarder et nøgle parameter. En af grundene til at sende sine data og forretningslogik (applikationer) ud i en cloud løsning er at spare penge på driften, når man gør dette bliver det helt essentielt at sikre sig at man ikke bliver stavnsbundet til den valgte leverandør. Når kontrakten skal genforhandles, er det vigtigt at det faktisk kan lade sig gøre at skifte leverandør. Ellers kan den nuværende leverandør jo selv sætte prisen (sat på spidsen).

23. august 2011 kl. 14:34
Nu får små lokalkontorer it-i-en-boks

For den danske version mangler noget - der refereres til en modular switch, mon ikke den oprindelige artikel henviser til Procurve One moduler der kan anvendes i den nævnte (og andre switche). Ultrakort er et Procurve One modul en blade server på et modul der passer i switchen.

8. oktober 2010 kl. 23:24