Michael Bisbjerg

Sådan fjerner du Oracles Java og installerer OpenJDK

Bemærk dog at du ved at have de ekstra værktøjer på din server, også åbner for yderligere hacks. Hvis en fejl f.eks. tillader at en udfrakommende kan køre kommandoer (RCE) på din server, så vil det faktum at "javac" er til stede gøre at hackeren har flere muligheder.

JDK'et kommer også med en række ekstra værktøjer til f.eks. at manipulere med certifikatstores, så man kunne f.eks. forestille sig at hackeren (nemmere) kunne indsætte sit eget certifikat i en store -- hvor man normalt kun har værktøjer til at liste certifikater med.

Det går igen for alle værktøjer. Der er f.eks. ikke brug for ping på en produktionsserver, men ping er et værktøj en hacker kan bruge til at teste om andre servere eksisterer, eller til blot at vente i et script i nogle sekunder (Windows cmd har ikke nogen sleep, men en ping kan substituere for sleep).

11. oktober 2018 kl. 14:02
Botnet leger kispus med malware-jægere via reverse proxy

Jeg formoder det har gjort det, og det er gået i vasken.. Men det er vel ikke en nyhed her?

Det ville være nyt hvis et botnet brugte P2P, DHT, eller andre lignende decentraliserede kommunikationsteknikker.. At et botnet kontakter ét domæne (xyz.ngrok.com), eller én ip, eller et sæt af domæner fra en DGA, er meget normalt..

14. september 2018 kl. 13:39
Fejl hos Nationalbanken lukker kundeadgang til netbanker

Der skulle vist også være en markant risiko for store domino-fejl i det system. Det er de individuelle banker der skal levere deres "transaktionsliste" til nationalbanken hver dag, på et meget bestemt tidspunkt - så det her job kan køre.

Hvis en bank misser den her deadline, så vil det i værste fald kunne betyde at nationalbanken ikke kunne regne med at den bank har de værdier de siger de har - og derfor er de så "insolvente" (i citationstegn, for jeg er ikke sikker på det er det rigtige ord her). Alle der så har gæld hos den pågældende bank kan ikke indfri deres indestående - hvis det så medfører at de er insolvente, så kører møllen videre.

Anyways. En historie jeg fik fortalt fra en bankmand en gang.. Uvist hvor meget automatik der er indblandet og hvor mange safeguards der er :).

31. august 2018 kl. 11:50
Styrelse: Ingen direkte opkobling til MitID - mellemhandlere bliver et krav

Finder det underligt her i foraet at diskussionen gik primært på om man kan få en key til S/MIME el.lign.. Det plejer at dreje i retningen af F/OSS løsninger :)

Men det kunne da være belejligt hvis der var garanti for at man som alm. website-ejer kan benytte sig af en SSO løsning for danskerne, som ikke kræver at man betaler 1-3 kr. pr. login - men måske bare "kan bruges".

22. juni 2018 kl. 10:28
Særligt backup-setup: Derfor mistede KMD 82.000 af Roskilde Kommunes filer

Kjeld, man tvinger vel ikke et produktionssystem ned for at teste backuppen? Man kunne højst bede leverandøren om at de skal sikre sig at backuppen virker - og så ellers overlade det til dem at teste -- men det står jo nok allerede i kontrakten at der er "en backup" (eller i det her tilfælde, en speciel form for backup), så der er ingen grund til at spørge :).

Man kunne vel i princippet tage ud til leverandøren og se en restore i aktion, men det forestiller jeg mig der er meget få der gør :).

23. maj 2018 kl. 17:48
Standardorganisation afviser NSA-kryptering til Internet of Things

Nu plejer krypteringsalgoritmer generelt (dem der skal standardiseres) at være relativt åbne. F.eks. kan jeg hurtigt finde dette paper, fra NIST.gov, som beskriver SIMON og SPECK.

https://csrc.nist.gov/csrc/media/events/lightweight-cryptography-workshop-2015/documents/papers/session1-shors-paper.pdf

Så, det er jo ikke fordi algoritmerne her er proprietære og "hemmelige" på nogen måde.

At du så ikke kan lave en pull-request på Github er noget andet.. Det flow passer nok heller ikke lige med den her slags academia.

26. april 2018 kl. 11:51
Jagt på domæne-snyltere kan automatiseres med 113 linjers kode

En lille bankgaranti på 25.000 og så kan man blive registrator :)

13. juni 2017 kl. 23:18
Jagt på domæne-snyltere kan automatiseres med 113 linjers kode

Du ville ikke bruge en resolver til denne her øvelse. Du ville bruge de autoritative servere direkte. DK zonen har 6 hostnames (~2 ip'er hver), som er anycastede (vistnok).. Så det er bare at vælge den der svarer hurtigst (eller sprede sit load over flere).

I enkelte tilfælde har jeg kunnet presse flere tusinde opslag i sekundet igennem .. Så de er ikke langsomme :)

13. juni 2017 kl. 23:18
Snart giver dit fingeraftryk adgang til e-boks fra din Android-telefon

Der er to ting til det. Det første er at i f.eks. iPhones er fingeraftryk ikke gemt i selve operativsystemet. Det er i stedet håndteret af Secure Enclave chippen, en sikkerhedschip i stil med TPM fra alm. computere. OS'et får ikke fingeraftrykket, men får derimod låst op for en sikker nøgle, også gemt i Secure Enclave. (https://www.apple.com/business/docs/iOS_Security_Guide.pdf)

Den anden del er at i f.eks. Nordea kan du ikke føre penge over til andre konti, uden også at oplyse noget NemID (mindes det var kode+engangskode). At logge på mobilbank med fingeraftryk er på iPhone at sammenligne med en begrænset adgang.

15. december 2016 kl. 20:01
Finne får admin-adgang i Windows 10 med Shift+F10

Nej - dette er ikke et Bitlocker bypass. Du kan ikke randomly starte en WinPE session op og omgå Bitlocker.

Grunden til at det virker, er at install processen deaktiverer Bitlocker midlertidigt, for at sikre at det går igennem uden problemer. Når den er færdig, aktiveres Bitlocker igen.

1. december 2016 kl. 21:01
Svindelfænomen rammer styrelse: Mistede 6,7 millioner kroner i en uges tid

Man skal nu heller ikke være bleg for hvad mennesker gør. DMARC beskytter et domæne ganske fint - men det kan man komme udenom:

  • Brug et typosquatted domæne
  • Brug et domæne der minder om (firma.dk, firma.com, firma-global.com, firma-legal.com ...)
  • Brug et helt tredje domæne (gmail, hotmail), håb modtageren ignorerer det (som Peter Hansen nævner)
  • Brug et fake domæne der ikke eksisterer, men som minder om offeret, med Reply-To sat og håb at modtageren ignorerer det

Jeg har selv set flere af de senere (med reply-to) hvor der er kørt længere korrespondancer og endeligt trukket penge ud til scammeren. Offeret fik også en kraftig opfordring til DMARC da de netop blev spoofet.

19. maj 2016 kl. 22:17
Backup-firma tester blockchain-teknologi til databeskyttelse

Historik og garantier. Lidt ligesom Gits commithashes.

En blockchains "head" er summen af alle forudgående "transaktioner" eller beskeder. I Bitcoin netværk er denne historik sikret ved at et netværk af uafhængige maskiner bliver enige om hvad "nu" er, og hele tiden holder styr på dette.

I en enkelt virksomhed hvor man naturligvist kontrollerer alle maskiner, er det lidt sværere at bevise udadtil at der ikke er pillet ved data - men det kan blockchains hjælpe på ved at agere historik og notar. Man kan ikke bagudrettet pille ved data uden at omskrive alt historik fra det punkt og fremad.

19. maj 2016 kl. 20:56
Nets: Vi skylder kviknet.dk en undskyldning for spærring af deres penge

.. gør det samme. Hvis man som forhandler eller privatperson pludseligt har et større flow af penge, så vil Paypal også suspendere ens konto indtil de har vurderet sagen.

Det kan man læse mange historier om på nettet - så jeg synes som sådan ikke metoden er mystisk eller unik. Man kan så på den anden side synes at det er groft når nu det danske marked for Nets primært må bestå af reelle virksomheder og ikke whomever.

19. maj 2016 kl. 20:51
Opgør med dyre databasekopier af CPR-registret

Det hedder vel CPR registeret?

Hvis man rettede de kapacitetsproblemer og fejl der måtte være der, fik alle vel gavn af det?

8. januar 2016 kl. 17:17
Protip: Buddyledger deling af udgifter mellem venner

Vil lige henlede til et alternativ i samme retning, dog beregnet til forhold over længere tid. I dette system er der ligeledes mulighed for en ujævn fordeling af betaling, såsom eksemplet i bloggen.

https://secure.splitwise.com/

2. januar 2016 kl. 18:33
Sådan virker omstridt wifi-deling i Windows 10

Men Peter. For at kunne tilgå et netværk beskyttet af en Pre-Shared Key (PSK-delen i WPA2-PSK) skal man under alle omstændigheder have den pre-shared key, som Jacob Pind også nævner.

Så helt korrekt er artiklen jo ikke - udover at der ganske korrekt ikke er en "re-share" knap så man kan videre-dele oplysninger.

29. juli 2015 kl. 18:35
Usikker cookie gør Wordpress pivåben for hijacking

Er sårbare, hvis at det kun er login-delen der bruger HTTPS (set flere steder). Efter login redirectes man til insecure fordi det er billigere i serverkraft..

Men jesus.. Old news :P Nogen der husker "Firesheep" (2010)?

27. maj 2014 kl. 19:34
Dataopsamling på en internet exchange

Check lige dine links (suricata linket peger på v2.dk).

Ellers en cool post - tak for tools linksne :)

19. marts 2014 kl. 18:29
Datalog overhaler det offentlige med egenudviklet NemID-klient: "Vi skal have flere øjne på protokollen"

Jeg mindes, mht. regler om reverse engineering, at RE er tilladt hvis det er nødvendigt for at få tingene til at virke (ligesom dvd kopi-beskyttelses' brydning).

Så når en Linux/Mac/Windows klient ikke har Java installeret (bare quote en "stram virksomheds sikkerhedspolitik"), så er det "nødvendigt".

10. marts 2014 kl. 19:26