Morten Sørensen

Qubes 4.0 release - party!

Tak for begge kommentarer.

Jeg tænker heller ikke at integrere en Linux i arbejdspladsens AD vil være den store hurdle, men dét der stopper mig fra at gøre det er politikken omkring ingen skift af OS. Så jeg må vel skrotte idéen om at have en mere clean arbejds laptop uden en IT afdeling, der tvangs-pusher TeamViewer Host services ud på maskinerne, hvilket skræmmer mig lidt. Jeg har dog sat den pågældende service til kun at starte manuelt, og servicen er også blokeret i firewallen.

Jeg er heller ikke sikker på at politikken om ingen skift af OS kun bunder i, at de ikke gider at supportere andre OS end Windows 10. Der må sgu være et eller andet dokument man kan underskrive med blod, hvor man højt og helligt lover ikke at komme og græde, hvis OS ikke virker korrekt og at det er ens eget ansvar at sætte OS samt Outlook- og Skype-alternativer op korrekt og holde det opdateret.

Eller også må jeg fortsætte med at booke et mødelokale for at græde lidt :D

1. februar 2018 kl. 11:34
Qubes 4.0 release - party!

Nu spørger jeg lige, fordi jeg opfatter folk her på sitet som mere eller mindre eksperter. I må give mig uret, hvis dette ikke er tilfældet.

Men vil man kunne integrere en QubesOS maskine i et AD? F.eks. på arbejdspladsen, hvor der i øvrigt er en politik om at man ikke må skifte OS på sin PC, selv om springet til Linux er uhyggeligt fristende (men dog kræver lidt testing).

30. januar 2018 kl. 11:14
Nyt værktøj fra Microsoft viser Windows 10's dataindsamling

Det er da meget fint at man kan se hvad Microsoft miner af data. Men det er da at foretrække at der slet ingen data bliver minet!

Som en tommelfingerregel går jeg altid ud fra at intet virker 100%, Men W10Privacy, som er et tysk stykke software, giver i hvert fald indtrykket af at det blokerer diverse telemetri og data mining fra Microsoft. Der er da sikkert huller i det, og der slipper sikkert noget igennem alligevel, men på ingen måde lige så meget som før.

Det kan også disable og afinstallere diverse ting, f.eks. de indbyggede Windows apps hvis man ikke har brug for dem.

Link

25. januar 2018 kl. 14:19
Kontaktløs betaling uden pinkode sættes op fra 200 til 350 kroner

I forbindelse med bestillig af et nyt, hvor jeg stod og så medarbejderen udfylde diverse ting på skærmen, så jeg at man i Jyske Bank faktisk kunne bestille et "kort uden kontaktløs betaling", så det bev fluks valgt i stedet for standarden "med kontaktløs". Så jeg slap heldigvis.

Jyske Bank er også så progressive. ...har jeg hørt.

Den valgmulighed havde jeg ikke i min bank, desværre. I hvert fald ikke online. Det er muligt at de kan trylle nede i selve banken, men min erfaring siger mig at de kun kan trylle mine penge pist væk, så jeg er ikke sikker på om jeg har lyst til at gøre forsøget.

14. december 2017 kl. 09:32
Kontaktløs betaling uden pinkode sættes op fra 200 til 350 kroner

At ændre grænsen, endda til den forkerte side efter min mening, afhjælper på ingen måde problemet i, at kortet til hver en tid kan aflæses med en simpel NFC reader, demonstreret ved Ole Tange. Med udstyr for $50 kan man få kortoplysninger luret ud af folks lommer bare ved at gå tæt forbi dem på gaden.

Men den kære Ole Tange har løsningen, som jeg selv har benyttet mig flittigt af, når vi nu ikke kan slippe for skidtet.

13. december 2017 kl. 14:41
315 danske hjemmesider filmer, hvordan du bruger dem: »Det er totalovervågning«

Vi har vænnet os til, at alt vi gør online kan og vil blive tracket

Der vil jeg da lige hilse og sige, at vi stadig er nogle der bestemt ikke vænner os til at blive tracket online, og stritter voldsomt imod!

7. december 2017 kl. 11:01
Værktøj compiler Kotlin til født kode som kan køre på Rasberry Pi

Født kode = hjernedød oversættelse af "native code"

I det mindste blev det ikke oversat til "indfødt kode"...

10. november 2017 kl. 16:02
Det ved vi om WPA2-sårbarheden: Android og Linux er mest udsatte

Findes der en form for test, ligesom med Stagefright, der kan finde ud af om ens enhed er sårbar?

17. oktober 2017 kl. 09:25
Derfor skal du skifte fra Facebook Messenger til dens lettere lillebror med det samme

For mig ligger problemet i, at det så ikke længere er muligt at bede app'en om ikke at have snablen nede i mine kontakter, sms'er, mikrofon, osv. Og da Messenger Lite compiles på Android 2.3 SDK'en (sikkert for at være kompatibel med så mange enheder som muligt), så kommer de fine spørgsmål vedrørende tilladelser via en popup ikke frem - kun som en almighty popup ved install, som alle alligevel ignorerer.

Jo vist, jeg kan gå ind i indstillingerne for app'en og fjerne alle permissions. Men det ændrer ikke på, at disse indstillinger er slået til fra start.

Og manglen på muligheder for f.eks. end-to-end kryptering (om end det er en vag kryptering som diverse 3-bogstavs agencies alligevel har nøglen til) gør at det er et klart no-go fra mig.

Og så er der en lille ting, som for mig også er et irritationsmoment. Emojis! Lite bruger Androids inbyggede emojis, som ikke altid stemmer overens med Facebooks emojis. For ikke at tale om designet af de indbyggede, som jo er helt hen i skoven, og man skal have pillet i sin telefon (læs rooted) for at skifte til EmojiOne.

10. oktober 2017 kl. 14:24
Github sætter turbo på Atom-editor

Nu er det jo ikke helt hastigheden når man gemmer en fil, der er hemskoen ved Atom. Og ret skal være ret, Atom er en fed editor, der kan customizes i ét væk, hvilket er dejligt for en som mig. Men grunden til at jeg stadig bruger Sublime Text er, at Atom simpelthen er for langsom i opstarten.

Ja, man kan pille under hjelmen og disable ting man ikke bruger, f.eks. kun loade de sprog-syntaxer man har brug for. Men det er bare ikke nok.

Hvad hvis min fil ligger på en ftp-server?

Then you're doing it wrong. Hav altid dit projekt liggende lokalt, så du fanger fejl inden det bliver lagt ud live.

15. august 2017 kl. 07:36
Ugle-sprog vil gøre PHP mere sikkert med Javascript-stil

Er det ikke bare fordi man kan? Og bare fordi man kan, er det jo altså ikke nødvendigvis en grund til at man skal.

Jeg kan godt se idéen med galskaben, især mht sikkerheden. Men er det ikke lidt skørt essentielt at skrive JS for at compile det til PHP? Man bruger jo heller ikke en skruetrækker til at banke et søm i med.

Jo vist, hvis man sidder som en enkelt udvikler på et projekt, der ligger på en shared host, og man ikke er særligt god til PHP men er verdensmester i JS, og har brug for noget serverside, så giver det måske mening. Men hvis du bygger apps, der gør brug af templates og routes, så kan du jo lige så godt lave din app i Vue.js i stedet for, hvor du kan lave dine templates og components i Markdown og Sass. Det er da langt nemmere, end at skulle bruge en eller anden JS-to-PHP compiler.

Og ja, skal du have indhold fra en database over i Vue.js, så skal du have et API og lave nogle ajax-kald. Men altså, jeg er ikke PHP udvikler, og det tog mig et kvarter at lave et RESTful API med Lumen.

28. juli 2017 kl. 11:10
Justitsminister: EU-dom mod logning sætter ikke stopper for sessionslogning

Det er så simpelt at omgå sessionslogning. Ved brug af en krypteret VPN-forbindelse, så ligner det at du konstant snakker med et datacenter et sted i verden. Der findes fine VPN-udbydere, der har danske servere, hvis man foretrækker at "blive i landet". Tor er også en fin mulighed.

Så længe overvågningen hos teleselskaberne ophører, så kan jeg godt leve med at min session på nettet bliver logget. De skal være mere end velkommen til at trævle krypteret trafik igennem mellem mig og et datacenter i Sverige.

Om overvågningen hos teleselskaberne stopper kan jeg dog ikke svare på. EU har afsagt dom i sagen. Så kan man vel også forvente sanktioner eller straffe, hvis dommen ikke bliver efterlevet? Det er da sådan et retssamfund fungerer.

3. marts 2017 kl. 09:34
Vis os dine klistermærker - eller hvordan din Angular-sticker kan spores tilbage til Victoria-tiden

Jeg har kun en enkelt sticker. Inspireret af en bestemt hr. Snowden, og for at støtte et godt formål.

http://i.imgur.com/DGCe7EN.jpg

22. februar 2017 kl. 11:35
Sådan kommer du i gang med at lære Git

Hvis man gerne vil have en smule flere hjælpe-informationer, bl.a. til Git, i commandline, så kan jeg klart anbefale Oh My Zsh.

17. februar 2017 kl. 11:50
Udvikler: Linux er en del af IoT-sikkerhedsproblemet

Det handler vel også lidt om brugeren af de her IoT-enheder? På Raspberry Pi - og de utallige andre SBCs - er der ofte en standard root user og root password. Det bliver typisk oplyst enten på hjemmesiden, eller i en README.md/.txt, og på Raspberry Pi'en er det nemt at huske: pi / raspberry

Hvis de mange brugere af disse enheder smider dem på nettet med f.eks. en simpel nginx webserver, så er det jo easy-as-pie at logge ind via ssh, og lave ulykker med en root-bruger.

Problemet kunne f.eks. løses ved enten at fjerne root-brugeren, disable login med password (kun bruge authorized_keys), eller begge dele.

16. februar 2017 kl. 11:35
Rådet for Digital Sikkerhed: Ingen grund til panik efter CPR-tyveri hos teleselskabet 3

For mig er det himmelråbende hvilke informationer, og hvilke muligheder en kriminel har, hvis vedkommende har fat i CPR-nummeret. Bl.a.:

  • Fødselsdato inkl årstal (de første 6 tegn)
  • Køn (de sidste 4 tegn - hhv. lige og ulige numre)
  • NemID bruger-id

Det er altså noget vi bruger til at identificere os overfor alle offentlige myndigheder. Pånær steder hvor du rent faktisk kan få lov til at bruge dit pas-nummer, eller dit kørekort-nummer.

Har vedkommende hacker fat i de rigtige databaser (hvilket nyheder om hacks har vist gang på gang), så har vedkommende også fat i adresse, telefon nr., bank-oplysninger, e-mail, sundhed.dk, oplysninger fra SKAT, generelle offentlige oplysninger fra f.eks. BBR, osv., osv....

Der skal så få oplysninger til for at danne et billede af en person - bare se på den metadata som NSA/GHCQ opsnapper og som alle teleselskaber er blevet pålagt at logge.

Hvis man f.eks. kunne få tildelt et vilkårligt CPR-nummer (et dårligt eksempel kunne være 998877-6655, eller et andet format med f.eks. 12-16 cifre), der kunne ændres per anmodning af en myndighed - f.eks. af politiet ved identitetstyveri (uanset graden heraf), så ville vi kunne eliminere de tre punkter jeg har opstillet ovenfor.

Men det er åbenbart svært for CPR at lave en edit-knap ;)

14. februar 2017 kl. 08:59
Datatilsynet advarer mod at stole på hængelåsen i browseren

Må jeg i denne forbindelse slå et slag for Subresource Integrity, forkortet SRI, som er en blændende metode til stadig at sikre levere data, hvis man ikke stoler 100% på den grønne hængelås. Ved at hashe en fil og lade browseren sammenligne hashværdien, så sikrer man at filen rent faktisk er den fil man søger, og ikke en kompromiteret fil som en hacker har pillet ved.

Vi bruger det på en privat CDN, der leverer alt fra CSS frameworks og web-skrifttyper, til JS-libraries og banale ting som f.eks. jQuery. På denne måde sikrer vi os, at selvom vores SSL forbindelse er sikker, så kan en hacker sagtens have været inde forbi og pille ved f.eks. Bootstrap, så vi henter malware ned i stedet. Men med SRI, så rejecter browseren simpelthen filen, hvis hash'en ikke passer, og der er ingen skade sket.

Det er heldigvis ikke sket endnu, men det skader ikke at være et skridt mere sikker.

PS: Det er selvfølgelig ikke supporteret i IE

1. november 2016 kl. 19:37
Regeringen vil bruge internetfilter mod ekstremistisk propaganda

Kan man ikke også argumentere for, at Ny Borgerliges hjemmeside er ekstremistisk propaganda?

Det er voldsomt spild af resourcer at sætte et pedonaziterrorfilter[1] op. Ikke fordi jeg har tænkt mig at føjte rundt på IS-forums, eller dele nøgenbilleder af små børn. Men der er sgu' ingen, og specielt ikke Søren Pind, der skal bestemme hvilke sider jeg ikke må gå ind på. Hurra for at det tager under et minut at skifte DNS.

12. oktober 2016 kl. 10:02
Cyanogen opgiver at sælge en komplet Android og satser i stedet på Android-stumper

Sagen blev så mudret og ulækker at OnePlus endte med at lave deres eget, knap så gode, firmware.

De fik gutterne fra Paranoid Android ansat til at udvikle OxygenOS. Potentialet har helt sikkert været der, da PA var en fin ROM, men ja, du har ret i at de aldrig har formået at give OxygenOS den samme følelse af både stabilitet og bleeding edge som man havde med PA.

12. oktober 2016 kl. 09:50
'admin:admin' - kæmpestort Internet of Things-botnet udnyttede 60 standard-kodeord

Ikke fordi jeg skal komme med gode tips, men det er da langt fra alle, der skifter default password på f.eks. en Raspberry Pi. Der er også mange andre operativsystemer til de forskellige SBC'ere, der har default bruger/password og skriver det på deres download side. Lige dér kan jeg så anbefale Armbian, der beder dig om at skifte root password når du booter første gang, samt oprette en ny personlig bruger.

Personligt disabler jeg altid login med password, så man kun kan logge på med min personlige ssh-key på mine SBC'ere.

12. oktober 2016 kl. 09:43