Thue Kristensen

Allianz: Bitcoin er værdiløs

Selv om guld har nogle industrielle anvendelser, så er gulds værdi jo heller ikke begrundet af denne anvendelse. Hvis guld ikke havde nogle anvendelser, ville guld jo stadig have "værdi".

Jeg er enig i at bitcoin er en boble, men jeg synes at "En bitcoin har ikke rod i noget eller noget" argumentationen er logisk fejlagtig.

21. marts 2018 kl. 11:43
Banker advarer: Svindlere lokker NemID-koder ud af borgere med telefon-spoofing

Man kan sikre sig imod det ved at følge reglerne ved brug at slemid. Giv ALDRIG kode, kortoplysninger osv. til andre.

Med den "lille detalje", at Nets har glemt at giver brugerne nogle kriterier for hvor de må indtaste deres koder.

https://www.version2.dk/blog/nemid-er-ikke-kryptologisk-sikker-og-myndighederne-er-ligeglade-513303

24. februar 2018 kl. 04:50
Apples Spectre-patch til Safari kan reducere Javascript-performance med flere procent

Til gengæld kan Spectre potentielt misbruges gennem JavaScript, der kører i en browser.

Snarere "reelt" end "potentielt". De har jo demonstreret det i deres artikel: https://spectreattack.com/spectre.pdf

5. januar 2018 kl. 16:43
Bitcoin-kurs eksploderer - Den Europæiske Centralbank advarer imod boble

Sååå, ligesom guld og diamanter? Eller fiat penge for den sags skyld?

At 1g guld koster 260kr er jo ikke fordi at brugsværdien af guldet er 260kr; modsat e.g. hvede, hvor brugsværden præcis er prisen.

Så heller ikke guld er "bundet til nogen reel værdi"; prisen på guld er 3 gange så høj som den var i 2001, og måske falde guldprisen til 1/3 i morgen. Det kan den gøre, fordi guldprisen ikke er bundet til nogen reel værdi.

28. november 2017 kl. 12:18
300.000 navne og mailadresser lå sammen med gaveønsker i åben PostNord-database

I takt med at der dukker sårbarheder op, og hardwaren bliver kraftigere, så er nogle algoritmer i dag fuldstændig ubrugelige til lagring af kodeord. Det gælder for eksempel hash-funktionen MD5.

Det har ikke noget at gøre med at hardware bliver kraftigere, at MD5 er ubrugelig til lagring af kodeord. MD5 er ikke og har aldrig været en key stretching algoritme, og man skal og har altid skulle bruge key stretching algoritmer til at lagre passwords.

25. oktober 2017 kl. 17:39
Python er verdens hurtigst voksende sprog

Jeg sidder og skriver et program til at tilgå en WSDL-SOAP tjeneste i Java (sprog påkrævet). Det bliver på cirka 100 linjer. Jeg har fundet et eksempel på nettet, skrevet i Python, som gør det på 3 linjer.

Så er det selvfølgelig ikke type-sikker som i Java, men det viser stadig forskellen. Nogle gange skal det bare være hurtigt at skrive.

11. september 2017 kl. 21:37
NotPetya-bagmænd havde aldrig en chance for at dekryptere data: ID-kode er helt tilfældig

Motivet er dog noget sværere at gennemskue. Det kan være et ideologisk slag mod verdenshandlen. Det kan være et test-run for et større og mere omfattende angreb. Og det kan være et forsøg på at pumpe bitcoinprisen op igennem øget eksponering af valutaen. Det eneste det nærmest ikke kan være er det det ligner på overfladen: gemen ransomware.

  1. Rusland er i en stedfortræderkrig med Ukraine 2) Rusland har en historie med at bruge cyber-angreb 3) Rusland har før angrebet Ukraine med cyberangreb 4) Det oprindelige udbrud af ormen var jo via opdateringsmekanismen på et Ukrainsk moms-system.

Jeg vil sige at et cyberangreb fra Rusland mod Ukraine klart bør være mulighed nummer et.

At ormen så spreder sig til andre lande, selv om Ukraine selvfølgelig er værst ramt, er nok et uheld. Men jo ikke forskelligt fra USA's Stuxnet, som jo også spredte sig vidt fra de atom-centrifuger stuxnet var designet til at ramme.

Her er en artikel som er enig med mig: https://www.techspot.com/news/69922-researchers-claim-notpetya-might-russian-cyberattack-disguised-ransomware.html

29. juni 2017 kl. 17:33
Dansk studerende finder alvorlige sikkerhedshuller i Snowden-rost sky-storage

Hvorfor er der ikke noget link til specialet i artiklen?

21. juni 2017 kl. 18:11
Britisk cybertjeneste om kodeords-blokering i NemID-app: »Det er en dårlig idé«

»De nærmere forhold og detaljer, der ligger bag vores valg af sikkerhedsforanstaltninger, kan vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen,« oplyser Digitaliseringsstyrelsen i et skriftligt svar, der skulle stamme fra en ikke nærmere specificeret kilde i Nets.

Jeg er efterhånden rigtig godt træt af Nets og Digitaliseringstyrelsen. NemID er fuld af åbenlyst defekte valg, og de kan/vil ikke forsvare dem. Så vi ender med "vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen" fra "en ikke nærmere specificeret kilde i Net".

På baggrund af hvad vi har set fra Nets og Digitaliseringstyrelsen, så antager jeg klart at der ikke ligger et grundigt argument bag dette designvalg, som kan tåle at se dagens lys, og at det er derfor begrundelsen er hemmelig.

24. maj 2017 kl. 08:04
Datatilsynet afviser anmeldelse af manglende HTTPS på læge-hjemmeside - er det et problem?

NemID bør anvendes, jeg ville aldrig oplyse f. eks. mit CPR nummer på denne måde, det er en overflødig handling.

Men der er jo ingen meningsfuld garanti for at en NemID-loginboks er reel, så du ville ikke være sikrere ved at indtaste dit CPR-nummer via NemID.

27. april 2017 kl. 14:03
Intet krav om grøn hængelås til sider med NemID

Svaret fra både Nets Ulrik Marschall og Teamleder hos Digitaliseringsstyrelsen Kenneth Mose Kruuse er absurde.

At sige at "NemID tjenesteudbyderne skal stå for sikkerheden for deres egen løsning" er absurd, når NemID's design gør at et sikkerhedhul hos en NemID-udbyder kan bruges til at logge ind på en anden NemID-sikkerhedsudbyder. bemærk at denne egenskab er et resultat af et tilsyneladende umotiveret fejldesign i NemID, som ikke findes i andre single sign-on udbydere.

Når Kenneth Mose Kruuse siger at "Den offentlige sektor anvender den fælles login side NemLog-in til at udstille et NemID-login. Denne side er beskyttet af HTTPS. Dette er valgt for, at brugeren har mulighed for at kontrollere, hvem der er afsender af siden.", er det stort set meningsløst. For en angriber kan jo bare hugge et NemID-login fra en side hvor brugeren ikke forventer NemLog-in.

Igen Har Kenneth Mose Kruuse måske ikke forstået, at et sikkerhedshul i en NemID-side giver adgang til at logge ind på en anden NemID-side. Det er Digitaliseringsstyrelsens ansvar, at de har valgt den usikre løsning løsning NemID med denne egenskab. Som at vælge en hængelås, som har samme nøgle som 1000 kopier solgt til andre mennesker, og så sige at det er brugerens ansvar hvis hans konto bliver misbrugt når en af disse nøgle-kopier bliver brugt til at stjæle hans data. Det er Digitaliseringstyrelsens inkompetence som fører til at brugerens data bliver stjålet.

Se også: https://www.version2.dk/blog/nemid-er-ikke-kryptologisk-sikker-og-myndighederne-er-ligeglade-513303 . Citat:

Jeg har fremlagt dette for professor Lars R. Knudsen, som er en internationalt anerkendt kryptolog og leder af DTU's kryptologi-gruppe. Knudsen er enig i at NemID har et reelt sikkerhedshul, som ikke findes i andre browser-baserede single sign-on systemer, såsom Google's, og han ”finder det besynderligt at Nets ignorerer dette problem”.

23. marts 2017 kl. 12:27
Github blokerer for forsøg på at snyde SHA-1

Vi har vidst at det bare var et spørgsmål om tid, før der blev fundet SHA-1 kollisioner, i flere år. Hvorfor er det først nu at git-udviklerne arbejder på en migration til en sikker hash?

21. marts 2017 kl. 23:07
Linus Torvalds om fiks af SHA-1 i Git: Kæmpe patch som ikke løser problemet

Det er endnu kun en teoretisk mulighed, da Google-demonstrationen af SHA-1-sårbarheden gjaldt for særlige tilfælde og udnyttede, at en PDF-fil kan få tilføjet indhold, som ikke vises, men blot er med til at påvirke hashværdien.

Det er altså ikke teoretisk. PDF-filer kan også tilføjes til git. Så lav et nyt par PDF-filer tilpasset git, med det rigtige prefix inklusiv størrelsen. Så får du listet det ene PDF-fil ind i et git-repositorie, og kan lave et repositorie med samme SHA-1 hash, men med den onde PDF-fil.

17. marts 2017 kl. 11:40
Uoverensstemmelse i e-Boks.dk's url: »Man skal kigge efter hængelåsen«

Så e-boks.com er ok, så længe der er en hængelås?

Hvorfor så ikke købe e-boks.nu , som er til salg lige nu. Det er gratis at få et Let's Encrypt certificat, så der kommer en hængelås på.

.nu er præcis lige så latterligt som .com (selvfølgeligt skal det være .dk). Og andre sider, så som www.nemid.nu direkte fra den inkompetente Digitaliseringsstyrelse, har jo allerede trænet brugerne i at .nu og andre skumle ikke .dk-sider er "sikre".

Og e-boks.dk bruger jo ikke HSTS. Så sæt en MitM op, block HTTPS så brugerne sender den initielle forespørgsel over HTTP. Redireger brugerne til https://e-boks.nu , som er kontrolleret af dig. Lav en falsk NemID-boks, og stjæl brugers password, eller giv brugerne beskeder mens de tror de taler med e-boks. Se Moxie Marlinspike's Black Hat foredrag for et eksempel.

Da e-boks derfor ikke er sikker mod MitM, så vil jeg mene at e-boks ikke er kryptologisk sikker. Skal lige læse Persondataloven igen, jeg mener at huske at der var en anvendelig paragraf, som vil gøre e-boks direkte ulovlig.

Jeg lavede nogle gode værktøjer til at definere kryptologisk sikkerhed da jeg skrev artiklen "NemID er ikke kryptologisk sikker". Disse værktøjer er super-anvendelige her til at definere e-boks' mange fejl klart og formelt. Bør få tager mig sammen og få det skrevet pænt ned.

4. marts 2017 kl. 18:20
Rekord: 406.000 brugere streamede nytårs-tv fra DR under Yousee-nedbrud

Svaret er vel ret simpelt. Alle "kunder" jo IPv4, DR når ikke nogen nye seere ved at tilføje IPv6-understøttelse. Det bliver bare endnu en ting som kan gå galt, og koster penge at understøtte.

Grundlæggende er hele IPv6-transitionplanen (eller mangel på samme) meget dårligt designet.

2. januar 2017 kl. 17:53
FBI renser Clinton: Dropper undersøgelse af nye e-mails

erklære mig enig med Trump i at det lyder mystisk at 650.000 emails er blevet gennemgået med en tættekam for ulovligheder på 5? dage. Jeg har svært ved at de at er nået så langt i automatisk tekstforståelse kombineret med jura og jeg finder det meget usandsynligt at de har sat flere 100 personer til at læse emails 24/7.

I dag bruger man noget som hedder "computere". En computer kan arbejde lige så hurtigt som 100 mennesker til tekstsammenligning- det er et mirakel! Du burde læse nogle af disse nymodens "EDB"-magasiner for at lære mere om dem.

Citat Edward Snowden:

Drop non-responsive To:/CC:/BCC:, hash both sets, then subtract those that match. Old laptops could do it in minutes-to-hours.

7. november 2016 kl. 21:25
Ny phishing breder sig: Kriminelle forsøger at lokke NemID-info fra dig med SMS

udfolder smishingangrebene sig typisk som en spambesked, hvor hackeren forsøger at lokke folk ind på en hjemmeside og taste deres NemID

Brugeren gør jo ikke noget galt her. Der er jo ikke udstukket nogle retningslinjer for hvornår man må indtaste sin NemID-adgangskode. Så en bruger som følger alle retningslinjer, kan stadig få tømt sin bankkonto.

I andre sammenlignelige systemer kan man checke adressen i browserens adresselinje (e.g. skal være https://accounts.google.com for Google's single sign-on system). Så disse systemer giver en kryptologisk garanti (så længe brugeren følger instruktionerne), modsat NemID som har valgt at basere deres system på brugerens skeptiske mavefornemmelse.

Se https://www.version2.dk/blog/nemid-er-ikke-kryptologisk-sikker-og-myndighederne-er-ligeglade-513303

5. oktober 2016 kl. 15:44
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Indholdet på en computer er i princippet dybt privat, private dokumenter, emails, etc.. Man skal ikke kunne tvinges til at installere et program, specielt når det tilsyneladende er så invasivt og ikke er open source (hvilket jeg går ud fra at det ikke er).

Så jeg mener at SDU skal stille computere til rådighed. Eleverne må selvfølgelig gerne stadig vælge at bruge deres egen computer med Exam Monitor, bare der er tale om et reelt frivilligt valg.

At der bliver gemt screenshots etc under selve eksamen mener jeg ikke er noget principielt problem, så længe eleverne er informeret om det.

9. juni 2016 kl. 11:36
Nets advarer mod endnu en bølge af fupmails og -beskeder

Wow. Jeg tilføjer det til listen af grunde til at Nets er komplet ligeglade med sikkerhed og/eller inkompetente. Det er en ret lang liste, efterhånden.

Det er jo ikke raket-videnskab at sætte DMARC op.

31. maj 2016 kl. 11:59
Selvudråbt Bitcoin-bagmand trækker i land

Hvem er denne "Gavin Wright" artiklen taler om, og er han i familie med Craig Wright eller Gavin Andresen?

6. maj 2016 kl. 14:39