Michael Cederberg

Russiske hackere angreb Københavns Kommune: Fik adgang til kommunens netværk

men advarer også imod, at man er for hurtig til at melde ud, at ingen data er kompromitteret.

Ja! Basalt set er det ret umuligt at sige hvilke data de har fået fat i. Hvis der fx ligger en database på netværket og de har fået fat i credentials så kan de snuppe alt i den uden at det umiddelbart kan ses. Så med mindre kommunen har overvåget angrebet i realtime og debugget alt kode der er eksekveret så ved de det ikke.

Russiske statshackere har udført et såkaldt supply chain-angreb mod Københavns Kommune, og hackerne har således fået adgang til kommunens netværk via en bagdør i leverandørsoftware.

Det store problem er når man snakker om "fået adgang til kommunens netværk". For det kan nærmest kun forstås som om de har haft adgang til hele netværket.

Havde det været et fysisk angreb så ville et indbrud i et redskabsskur ikke give adgang til alle kommunens bygninger. I den virkelige verden har vi opdelt adgang sådan at der ikke er en dør der give adgang til alt. Det samme skal vi gøre i IT netværk. Og så skal vi altid gå ud fra at der allerede er kompromitterede enheder på netværket.

22. maj kl. 00:37
Medie: EU-Kommissionen mål for spionage med israelsk spyware

Så var det måske alligevel ganske fornuftigt, da statsministeren blev rådet til at slette beskeder af sin departementschef? Hvem skulle have troet det? Nå det er sagt, er det nok en god idé at omtalte beskeder journaliseres inden sletning, nu hvor der næppe er nogen, der er i tvivl om, at slettet betyder "helt væk".

Næppe. Hvis beskeder allerede havde ligget på telefonen i en måned så har der været god mulighed til at opsnappe dem - fx i real time. Derfor er det meget problematisk hvis de er brugt til følsom kommunikation ...

19. april kl. 10:45
It-rådgiver: Danmark skal rekruttere russiske it-specialister

Ja tak. Danmark er brug for dygtige IT folk og min oplevelse af russiske IT folk er at de er dygtige, venlige og fungerer godt i Danmark. Dem der nu ønsker at forlade Rusland er givetvis dem der er utilfredse med Putins angrebskrig. Vil der være sikkerhedsproblemer? Selvfølgeligt. Men vi havde præcist de samme sikkerhedsproblemer for et år siden. Løsningen er at der skal flere øjne på på koden. For at være helt ærlig så er jeg meget mere bekymret for de bunker af libraries og applications der blot flyder ind i virksomheder uden at nogen har gjort sig de store tanker om hvem der har lavet dem og hvordan det ser ud med kvalitet.

Hver gang notepad++ kommer og fortæller mig at der er en opdatering til et eller andet plug-in ... tør jeg så tage den opdatering? Hvem lavede det plugin? Hver gang jeg opdaterer et library ... hvad er mine garantier for softwaren? Når jeg køber en dims og sætter den på nettet - kan jeg så stole på leverandøren?

11. april kl. 14:02
Microsoft advarer om cyberangreb mod Ukraine og EU

Malwaren har været i aktiv brug i et års tid, da firmaet bag den usikre firewall havde undladt at gøre godt nok opmærksom på problemet. Så der var tid nok...

Hvis man læser artiklen som du referer så står der ganske klart:

"But it is unclear what the malware was intended to do, since it could be used for everything from surveillance to destructive attacks. An American official said on Wednesday that the United States did not want to wait to find out. ..."

Så det er meget muligt at den udnyttede vulnerability har været kendt og udnyttet i et år men botnettet er nyt. Og set i lyset af den ændrede sikkerhedssituation så var amerikanerne bange for at hullet og botnettet ville blive brugt offensivt nu.

At sikkerhedssituationen ses igen af følgende citat fra artiklen:

"... comes as U.S. officials warn that Russia could try to strike American critical infrastructure — including financial firms, pipelines and the electric grid — in response to the crushing sanctions ..."

10. april kl. 11:06
Microsoft advarer om cyberangreb mod Ukraine og EU

I stedet for denne ret meningsløse magtdemonstration kunne man bare have sendt malwarens fingeraftryk til de firmaer, der i forvejen fjerner antivirus hos firmaerne. Det bliver interessant at høre, om også Center for Cybersikkerhed har brugt dette som en bekvem anledning til at bryde ind hos danske firmaer.

Men det havde naturligvis været stjerneidiotisk. For det havde taget tid og viden om USAs viden om botnettet ville være endt i Moskva. I så fald ville russerne kunne udnytte den overlevende del af deres botnet til cyberkrig mod vesten og Ukraine. På den her måde har amerikanerne ødelagt et russisk våben inden det nåede at blive brugt. Set i lyser af timingen har det været vigtigt. Sandsynligvis har amerikanerne kendt til denne malware i en længere periode og haft tid til at analysere den relativt grundigt.

Tja, hvordan kom amerikanerne ind? Statslige bagdøre? Egen malware? admin, admin?

Hvordan amerikanerne var i stand til at opdage og ødelægge botnettet kloden rundt skal jeg ikke kunne sige. Men monitorering af C&C servere ville give mulighed for at afdække botnettets omfang. En grundig analyse af malwaren ville give mulighed for at bruge malwarens egen backdoor til at fjerne samme. Jeg er sikker på at amerikanerne har andre veje men jeg har svært ved at se at amerikanerne skulle udnytte en højkvalitets day-zero backdoor til det her. En sådan backdoor vil i sagens natur skulle være ekstrem generel. Det er den slags backdoors ganske enkelt for værdifulde til.

9. april kl. 09:08
Velkommen til det nye Version2

I den nye debat er der en relation mellem de kommentarer, der svarer hinanden - noget der bl.a gør, at trådning virker. Det vil ikke fungere med flere relationer. Det jeg tænker du savner er, at du kan fra flere kommentarer kan markere en del af en kommentaren og trykke 'Svar', for så at få markeringen indsat som et citat i dit kommentarfelt. Du kan stadigvæk citere flere, det skal dog gøres manuelt hvor du kopiere markeringen og sætter ind i kommentarfeltet, i stedet for at markere og trykke svar. I kommentarfeltet kan du så bruge citat-funktionen på det indsatte tekst. Jeg kan godt se at det er en lidt mere besværlig måde at citere flere på, men jeg kan ikke lige nu se en løsning hvor vi samtidig beholder relationerne. Måske en lille boks der dukker op når tekst markeres, hvor du kan vælge at citere teksten kun, uden der bliver lavet relation?

Til version2: Prøv at sammenligne kommentarerne på reddit og så på version2. Kommentarene på version2 er typisk længere og mindre punch-line agtige. Det er det der sker når man vælger det trådede format. For et fag-medie må det klart være en fordel med længere kommentarer i modsætning til et medie hvis primære opgave er at underholde. I øvrigt virker det trådede format også fint hvis der er relativt få kommentarer, men version2 kommentarer løber hurtigt op i 20-30 stk.

8. april kl. 09:03
Danske bank står til historisk GDPR-smæk: »Den største pris er næppe bøden«

Disse data skal jo kun bruges til at validere kundes identitet, hvilket kan gøres af én eller få nøgle-medarbejdere og derefter kan disse data slettes med det samme, for valideringen ér jo sket.

Jeg kender ikke noget til de specifikke processer, men der er rigtigt mange steder hvor virksomheder bagefter skal kunne bevise at de har gjort det rigtige. Nogen gange er der krav til at de skal gemme beviserne i 10 år (nogen gange mindre). Hvis det senere viser sig at nogen alligevel har snydt så kan banken få en bøde for ikke at have haft styr på valideringsprocessen. Med mindre den kan bevise at den har gjort sit arbejdet ordentligt. Damned if you do, damned if you don't ...

7. april kl. 17:26
War, war what is it good for…absolutely tech

Der er ingen tvivl om at vi ikke skal ønske at vi eller nogen andre oplever Putins fred. Ukraine oplevede den i årene op til nu hvor Putin hældte bunker af korruptionspenge i Ukraine, sendte snigmordere ud og endda forsøgte at slå en præsidentkandidat ihjel.

Så ja vi skal være de stærkeste og vi skal vinde. Vores fred handler om at lande bør have demokrati, retsstat, markedsøkonomi, menneskerettigheder, etc. Og ja, vi er ikke altid helt gode til det.

Nu har vi slækket på forsvaret i årevis. Resultatet er at der er gigantisk efterslæb som skal indhentes. Der skal givetvis også bruges en bunke penge på R&D og der er fantastiske muligheder for Danmark og Europa. Det er ganske klart at vi skal forberede os på at krig kommer til at se meget anderledes ud i fremtiden. Når man ser værdien af Javelin missiler og simple DJI droner i Ukraine så er det ganske klart at alle der forbereder sig på gårsdagens krig vil tabe stort.

6. april kl. 20:44
War, war what is it good for…absolutely tech

Der er ingen tvivl om at vi ikke skal ønske at vi eller nogen andre oplever Putins fred. Ukraine oplevede den i årene op til nu hvor Putin hældte bunker af korruptionspenge i Ukraine, sendte snigmordere ud og endda forsøgte at slå en præsidentkandidat ihjel.

Så ja vi skal være de stærkeste og vi skal vinde. Vores fred handler om at lande bør have demokrati, retsstat, markedsøkonomi, menneskerettigheder, etc. Og ja, vi er ikke altid helt gode til det.

Nu har vi slækket på forsvaret i årevis. Resultatet er at der er gigantisk efterslæb som skal indhentes. Der skal givetvis også bruges en bunke penge på R&D og der er fantastiske muligheder for Danmark og Europa. Det er ganske klart at vi skal forberede os på at krig kommer til at se meget anderledes ud i fremtiden. Når man ser værdien af Javelin missiler og simple DJI droner i Ukraine så er det ganske klart at alle der forbereder sig på gårsdagens krig vil tabe stort.

6. april kl. 20:39
Velkommen til det nye Version2

Der skulle i øvrigt 5 tryk på "udgiv" før ovenstående kom ud ...

3. april kl. 21:48
Velkommen til det nye Version2

Erfaringer efter nogle uger ...

  • Jeg savner adgang til at se alle indlæg af en person herunder mig selv. Nogen gange er historikken god for at forstå hvem man diskuterer med.
  • Dobbelt postings. Når man trykker "Udgiv" så sker der ingenting. Resultatet er at indlæg lægges ud 2-3 gange. Nogen gange virker "Udgiv" ikke (måske når trådede format er slået fra?)
  • Manglende edit funktion er skidt
  • Vigtigst: Det nye trådede format kombineret med ændringer i quote funktionen er elendig og ødelægger debatterne. Mere herunden.

Ofte når jeg har svaret har jeg quoted flere forskellige indlæg for at skabe en sammenhængende tekst. Det giver bedre mulighed for at diskutere flere vinkler på det samme aspekt uden at det bliver spredt ud over det hele. Det nye format vil ødelægge de debatter vi hidtil har haft. Jeg har fundet funktionen til at slå det trådede format fra, men det er kun halvvejs og giver ingen mening med mindre man kan citere flere indlæg ad gangen.

Personligt kan jeg se at jeg bruger version2 mindre efter vi har fået det nye layout. Det er synd.

3. april kl. 21:46
ATP tjekker 6,4 millioner kodelinjer med automatiseret værktøj

Jeg kan godt lide de tools. Jeg har selv brugt flere af dem. IntelliJ har også en fin funktion hvor det kan lave simple checks. Det er gode tools for den enkelte udvikler når de er rigtigt sat op. Men at de skulle gøre det helt store for kodekvalitet har jeg aldrig oplevet. Grundlæggende er de problemer som toolet fanger typisk ting der er relativt nemme at fikse og ikke gør den store forskel.

3. april kl. 21:28
ATP tjekker 6,4 millioner kodelinjer med automatiseret værktøj

Latterlige website der ikke viser når man trykker udgiv og tillader dobbelt posting af det samme!

1. april kl. 15:33
ATP tjekker 6,4 millioner kodelinjer med automatiseret værktøj

Hurra! Et tool der kategorisere koden. Men giver toolet værdi? Tjaa ... Thomas Hartmann kan nu komme med rapporter om hvordan kode-kvaliteten er til ledelsen. Hurra! Nu har vi noget målbart. Nu kan vi give bonusser til Hartmann og alle hans folk alt efter hvordan de formår at hæve kodekvaliteten.

Et godt spørgsmål er så hvorvidt toolet rent faktisk måler kodekvalitet. For ja, det er vigtigt at stave rigtigt, at funktioner ikke bliver for lange, etc. Men det er sjældent den slags der giver de store problemer. For toolet kan ikke måle om det er den rigtige kode der er skrevet, om den er opdelt fornuftigt, om de rigtige abstrationer er lavet, om navngivningen giver mening, etc. og den slags betyder meget meget mere. Den slags vurderinger kan laves af en rigtig dygtig udvikler der forstår koden og forstår hvad for et problem der skal løses.

Men ovenstående kan ikke måles objektivt på tværs af hele kodebasen. Og dermed kan det ikke bruges til at måle kodekvalitet for hele organisationen. Derfor bruger de nu tool X. Resultatet er at udviklerne nu ret hurtigt finder ud af hvad de skal gøre for at hæve deres score. Og det bruger de så tid på. Mens de rigtige problemer bliver lagt til side ...

Jeg har endnu ikke set nogen organisation få noget ud af den slags værktøjer. Måske tager jeg fejl men jeg tror det ikke. Selv blandt udviklere kan det være svært at vurdere kodekvalitet ...

1. april kl. 15:30
Problemet er Grundloven

Intet system er perfekt. Med det amerikanske system er man endt med en højesteret der er ekstremt politisk. I praksis betyder det at politiske beslutninger er endt med at blive taget af 9 gamle mænd og kvinder som er valgt på livstid. Fx er retten til abort i mine øjne ikke noget der bør høre ind under forfatningen men et politisk spørgsmål hvor fornuftige folk bør vælge politikere der giver kvinder retten.

Så hvis PHKs forslag skulle blive til virkelighed så ville vi ad åre også ende med en politisk udpeget højesteret og alle de kampe der hører til der. Og så er det i øvrigt ikke altid at USAs højesteret er garant for de frihedsrettigheder som står i den amerikanske grundlov. Jim Crow lovene der fratog sorte essentielle borgerrettigheder skete selvom den amerikanske forfatning sagde noget andet. McCarthy-tidens forfølgelse af kommunister skete også. Og jeg tør slet ikke tænke på hvordan en Donald Trump vil kunne ødelægge det amerikanske samfund med den amerikanske forfatning i hånden.

Demokratiet og frihedsrettighederne eksisterer kun så længe borgerne er villige til at forsvare det. Det gælder uanset hvor mange love og rettigheder der er nedskrevet. Det danske system med ingen over og ingen ved siden af folketinget fungerer fint og jeg ser ingen grund til at udskifte det. Hvis danskerne mente at logning var et problem så havde de stemt anderledes. Hellere det end en politiseret højesteret.

31. marts kl. 17:41
De prøvede ikke engang...

What a fragile web we weed ...

Jeg er ganske enig i at noget så centralt som authentikering af brugere mod offentlige IT systemer m.m. kræver rigtigt meget kvalitet og sikkerhed. For få måneder siden havde vi log4j problemet ... den slags problemer kan potentielt kompromittere hele mitid.dk og således lukke for adgangen til offentligt IT i ugevis. nemid/mitid er centrale brikker i Dansk IT infrastruktur og bør sikres på linje med fx. fly-by-wire koden til passagerfly.

PS: Man kunne jo lade et eller flere af universiteterne konkurrere mod "os" professionelle. Dvs. give et universitet adgang til krav og interfaces. De kunne så lave en parallel implementation som del i deres kurser. Det ville være god træning i store IT projekter og samtidigt give alle os gamle hoveder et los i r....

24. marts kl. 14:54
Velkommen til det nye Version2

Man kan ha et håbe at paywalled artikle faktisk var noget egen research og ikke vidreformidling fra andre medier, som de så brugt penge på.

Du kan jo prøve at drive dit eget medie. Så vil du opleve hvor dyrt ordentlig journalistik er og hvorfor alle medier har en del "kopi" artikler der kommer fra pressemeddelser eller andre medier.

22. marts kl. 13:18
Javascript-bibliotek overskriver russiske filer med hjertesymboler

Det viser jo meget godt at når man hiver kode eller binaries ind, så skal man enten reviewe koden grundigt (og lade være med at hente binaries) eller finde nogen man stoler på der har gjort det. På samme måde skal man finde nogen man stoler på der bygger binaries.

"Dem man stoler på" kan være udvikleren, en virksomhed, en mindre gruppe af personer, etc. Men det må aldrig være "communitiet" for det er det samme som blind tillid. Basalt set skal man retfærdigøre overfor sig selv (og den virksomhed man er ansat i) at give disse mennesker hvad der svarer til admin/root adgang til de computere kan skal køre på.

22. marts kl. 13:14
Velkommen til det nye Version2

Hvis V2 skal være paywalled, så god fornøjelse.

Det koster penge at lave journalistik. Hvorfor skal jeg betale for at du får det gratis?

Men se det som en forretningsmulighed. Nu kan du lave dit helt eget gratis site og tager kampen op med V2. Held og lykke!

21. marts kl. 17:16
Velkommen til det nye Version2

Man skal ikke deltage i mange diskussioner på facebook før man indser, at validering af identitet ikke er en garanti for kvalitetsdebat - og omvendt.

Det er jeg ganske uenig i. Men i øvrigt er stort set alle navne på facebook ikke-valideret. Hver gang jeg skriver nogen negativt om Putin på facebook, så dukker der bunker af kommentarer op fra trolls der skriver på google translate-dansk samt "kvinder" der vil være facebook venner (eller mener de faktisk venner?).

21. marts kl. 17:12