Torben Rune

Dansk undertøjsgigant klædt af: JBS ramt af dobbelt afpresningsangreb

hvorfor ligger en produktionsvirksomhed inde med billeder af sygesikringsbevis og pas!? det lugter af slavelignende sweatshop skræmmeri.. ubehagelige forhold!

Virksomheder skal sikre, at alle medarbejdere har ret til at arbejde i landet. Det kræver i visse tilfælde en arbejdstilladelse, og virksomheder skal sikre, at en sådan findes og er udstedt til den medarbejder der ansættes. Et pas kan bruges som dokumentation for, at der er match mellem tilladelse og medarbejder, og derfor gemmer virksomheder typisk kopier af begge dele, så de kan bevise at reglerne er fulgt. Det er der ikke noget ubehageligt i - det er lovgivning.

28. juni kl. 07:16
T-Mobile købte data tilbage fra hackere for at forhindre læk: Men hackerne forsøgte stadig at sælge dem

Billedet som illustrere denne (og andre af V2's) artikler er morsomt. Det stammer fra en aprilsnar i 2019 lavet af John Legere. Den gik under navnet the "T-Mobile Phone BoothE". Lidt mere info her.

19. april kl. 07:56
It-rådgiver: Danmark skal rekruttere russiske it-specialister

I den givne situation, kan jeg godt være bekymret for om man kan skelne hvilke der faktisk er flygtet ud af Rusland og hvilke der kommer til at optræde som Russiske agenter. Netop i IT stillinger er risikoen temmelig stor for at uheldige elementer kan få indflydelse eller information som ikke burde tilflyde Rusland disse dage.

Jeg er helt enig. Af samme grund vil firmaer komme i problemer, hvis der skal leveres til virksomheder der repræsenterer kritisk national infrastruktur. Her taler vi om telesektoren, energisektoren, transportsektoren, søfartssektoren, sundhedssektoren og den finansielle sektor.

I disse sektorer gælder særlige skærpede regler for leverancer. Ofte betyder det, at der skal sikkerhedsgodkendelser til de medarbejdere der skal levere, og i mange tilfælde skal virksomheden også selv sikkerhedsgodkendes. Desuden vil der, hvis de russiske ansatte placeres i f.eks. en russisk filial, skulle gennemføres investeringsscreeninger for leverancer til de kritiske infrastruktur sektorer.

Selv hvis virksomheden ikke arbejder inden for de kritiske sektorer, kræves der i mange tilfælde sikkerhedsgodkendelser.

Godkendelserne kræves uanset om der er tale om danske statsborgere, eller ej. Det er myndighederne i medarbejderens hjemland som foretager sikkerhedsgodkendelsen, og jeg kan godt forestille mig, at russiske medarbejdere - som skal sikkerhedsgodkendes af russiske myndigheder - vil løbe ind i visse problemer blandt danske infrastruktur kunder - de vil formodentlig næppe accepteret godkendelsen.

Så bortset fra at sætte fokus på, at Danmark - som resten af Europa (og verden) - mangler kvalificerede IT folk, så er forslaget - mildt sagt - rigtig dårligt timet, og så uigennemtænkt, at det næppe har gang på jord. Til gengæld kan det lynhurtigt få ekspederet virksomheder som prøver, ud i et helt uforudsigeligt troværdighedsproblem, ikke kun i de kritiske sektorer, men helt generelt.

12. april kl. 12:48
Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet

Denne type fejl løses ikke ved hverken unit-test, integrations-test, performance-test etc. Det er et design review af løsningen med deltagelse af erfarne folk med 'sikkerheds briller' på, og ikke nødvendigvis den billigste.

Enig - og typisk løses den type af konceptuelle designfejl heller ikke på to døgn. Risikoen for fejl i uigennemtænkte og utestede lappeløsninger er alt for stor.

Og ja, prisen for erfarne systemarkitekter med 'sikkerheds briller' er høj - men det er prisen for at undgå de monumentale fejl der opstår i kølvandet på dårligt design og forkerte koncepter.

Som man siger: Hvis du synes det er dyrt at bruge dyre konsulent, så vent og se hvad det kommer til at koster at bruge billige. QED.

5. april kl. 12:47
Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet

Fuldstændig enig. Og inden man starter testen kunne man passende få nogle erfarne systemarkitekter til at gå de koncpetuelle designkriterier for Mit.dk igennem. I lyset af den omtalte fejl kunne man passende få dem til at sætte fokus på bl.a. alt hvad der kan ske, når man skifter sessionsnøgle mellem frontend og backend, med specielt fokus på sessionens kobling til MitID. Det er noget af en opgave, bl.a. fordi forskellige browsere har kedelige tendenser til at behandle sessionsbegrebet forskelligt.

5. april kl. 07:48
Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet

Diagnosen er forkert - der er ikke tale om en kodningsfejl! Det der beskrives i artiklen er en konceptuel og arkitekturmæssig designfelj - ikke en kodefejl. En kodefejl beskriver en fejl, hvor et stykke software gør noget andet end tiltænkt. Beskrivelsen her afdækker, at softwaren gør nøjagtigt som tiltænkt, men at tankerne bag funktionen er forkert.

En strid om ord? Nej, bestemt ikke. Kodefejl opstår når en systemkoncept omsættes til kode. Den beskrevne fejl er sket på konceptniveau - hvor det åbenbart er besluttet at bruge en forkert sessionsidentifikation i systemet - formodentlig fordi den sessionsidentifikator som frontenden vedligeholder, åbenbart ikke er god nok, eller ikke kan overføres til backend systemerne. At skifte sessionsnøgler under vejs er der intet odiøst i, men her er konceptet udviklet uden hensyn til eller forståelse for løsningens realtidsegenskaber.

Den slags fejl skal fanges på designtedspunktet - ikke i kodetest, og da slet ikke i "slutbrugertest" med live data.

Er det ikke lige meget - når nu fejlen er fundet og rettet? Absolut ikke. Når der opstår konceputelle fejl på dette niveau, er det alvorligt. Risikoen for, at lignende fejl ligger andre steder i løsningen er overhængende, netop fordi den aktuelle fejl afslører mangel på systemforståelse. Blot for at nævne nogle få problemområder: Tilgangen til og låsningen af records i backend systemets databaser; Håndtering af sessionsudløb eller afslutning i frontenden, med låste records i backenden; Spærring eller udløb af brugerens MitID under en kørende session; Samtidig tilgang fra samme bruger via forskellige apps (web, mobilapps osv.), med samme MitID, men med forskellige sessioner; Samtidig tilgang fra to forskellige brugere til samme persons data (muligt via værgemåls tilgang).

5. april kl. 07:40
Commodore 64 og rollespil banede vejen for Sveriges milliardstore spilindustri

En meget væsentlig medvirkende grund til, at Sverige - og navnlig Stockholm - blev centrum for ikke kun spil industrien, men også for tjenester som Skype og Spotify, var fiber bredbånd. Stokab blev grundlagt i 1994, og havde som mål at etablere en konkurrenceneutral tele infrastruktur baseret på fiber. Det betød, at der meget tidligt var adgang til en billig og - for datidens Inetrnet - ekstremt hurtig opkobling, som blev fuldstændig afgørende for denne nye industris adgang til distribution af spil, musik og kommunikation.

Og hvorfor fik vi så ikke fiber bredbånd i Købenmhavn - og i resten af Danmark? Forklaringen er ret enkel: TDC. De forretningsmæssige beslutninger der blev taget i den danske teleindustri helt frem til 2018 har kostet det danske samfund dyrt - meget dyrt. Vi kom ikke med på samme bølge som i Sverige, og fik ikke adgang til udviklingen af den meget store følgeindustri som fiberbredbånd førte med sig.

Desværre gentager historien sig lige nu, når det gælder 5G. Danmark ligger langt bagud i udviklingen, specielt når vi taler om professionelle industrielle 5G anvendelser, hvor vi endnu ikke har adgang til licensfrie frekvensbånd til private net. Det giver allerede nu bagslag fordi danske virksomheder hverken kan udnytte den ny teknologi, eller - og det er langt værre - kan udvikle den kæmpe følgeindustri som de private 5G net allerede har skabt grundlaget for og som stormer afsted i Sverige, Tyskland, Norge, England og en stribe andre lande.

Om 5-6 år kan vi så læse en tilsvarende artikel om, hvordan andre europæiske lande sidder på et milliard stort marked for industriel 5G, fordi deres unge udviklere bare var bedre, dygtigere og hurtigere. Nop - det er ikke forklaringen. Forklaringen er, at manglende fremsyn, og at den danske telebranchen tænker alt, alt for kortsigtet.

4. april kl. 07:39
Professor: Formålet med MitID er ikke kommunikeret klart nok 

Beklager repetitionen. Jeg var vist lidt for hurtig på "Udgiv" knappen.

2. april kl. 11:12
Professor: Formålet med MitID er ikke kommunikeret klart nok 

Hvorfor købte man ikke SecurID brikker, de laves da i det mindste af en stat, vi er allieret med?

SecureID tokens produceres i Kina. I Europa er "oprindelseslandet" Irland, fordi - som det hedder - "substantial transformation happens at the time of programming", og det sker for Europas vedkommende i Shannon i Irland. Så MitID og SecureID har samme produktionssted.

2. april kl. 11:10
Professor: Formålet med MitID er ikke kommunikeret klart nok 

Hvorfor købte man ikke SecurID brikker, de laves da i det mindste af en stat, vi er allieret med?

SecureID tokens produceres i Kina. I Europa er "oprindelseslandet" Irland, fordi - som det hedder - "substantial transformation happens at the time of programming", og det sker for Europas vedkommende i Shannon i Irland. Så MitID og SecureID har samme produktionssted.

2. april kl. 11:09
Professor: Formålet med MitID er ikke kommunikeret klart nok 

Hvorfor købte man ikke SecurID brikker, de laves da i det mindste af en stat, vi er allieret med?

SecureID tokens produceres i Kina. I Europa er "oprindelseslandet" Irland, fordi - som det hedder - "substantial transformation happens at the time of programming", og det sker for Europas vedkommende i Shannon i Irland. Så MitID og SecureID har samme produktionssted.

2. april kl. 11:09
Italien vil udelukke russisk antivirus fra den offentlige sektor

Med hi-tech produkter kan man i praksis ikke vurdere om der er bagdøre i produkterne.

Jeg er fuldstændig enig. Min pointe var også, at man - selv om man (lidt naivt) vælger at tro på Kasparsky's og de andre russiske virksomheders forklaringer, af andre årsager - at disse virksomheders overskud beskattes til den russiske statskasse og dermed bidrager til krigsførelse - bør droppe indkøb fra den kant.

22. marts kl. 18:25
Italien vil udelukke russisk antivirus fra den offentlige sektor

I en mail til Reuters skriver det russiske it-sikkerhedsfirma Kaspersky: »Vi håber ikke, at denne holdning vil føre til implementering af illiberal lovgivning, der primært vil påvirke vores italienske partnere, familier og borgere.«

Det handler ikke kun om hvorvidt Kaspersky eller russiske myndigheder kan lytte med, men i høj grad også om, hvorvidt man ønsker at handle med virksomheder som bidrager økonomisk til udvikligen i Rusland.

Derfor vil en lang række andre russiskejede softwarevirksomheder komme i søgelyset, efterhånden som flere både private og offentlige virksomheder bidrager til den økonomiske blokade af Rusland.

En ikke-komplet - men trods alt lang - liste over russiske softwarevirksomheder kan findes her.

21. marts kl. 10:27
Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«

For mig ser det ud som et helt normalt (evt caching) proxy-setup der benyttes.

Ja, det er et helt almindeligt setup, hvor IP adresserne er spredt ud over jordkloden. Det gør man ikke kun af load-mæssige årsager, men også for at tilgodese en lettere transport til roamede mobiltelefoner, som breaker ud lokalt, men som bevarer sin danske IP adresse i nettet.

Hvad der foregår på bagsiden af proxien kan du ikke se, og her benyttes bl.a. tunnelering af SSL. Caching af ikke krypteret variabelt indhold, og indhold hvor cachen er udløbet, hentes selvfølgelig også direkte fra back-end serverne. Så ingen grund til bekymring af den grund.

1. februar kl. 17:31
Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«

Alle disse spekulationer om diverse tekniske forhold og protokoller og som bruger af disse infrastrukturer, og er vi ikke alle det, får mig til at spørge: Er der nogen, der VED, hvordan det foregår, og om disse MITM servere har adgang til trafikken eller ej? Og ikke flere spekulationer, tak.

Jeg er fuldstændig enig. At postulere at MitID løsningen er usikker på basis af en begynderfejl på fornyelsen af et servercertifikat er forkert. Som jeg skrev ovenfor: Det farligste er at postulere, at man ved noget hvis man ikke gør det.

Jeg har prøvet at give mit bidrag baseret på hvordan proxy servere normalt virker, og ud fra den viden vil jeg være tryg ved at bruge MitID. Påstanden om man-in-the-middle angreb og Akamai som skjult SSL inspector, er for mig at se fuldstændig fri fantasi grebet ud af luften. Der er intet - som i absolut intet - belæg for at konkluderer noget i den retning, ud fra hvad der er oplyst.

Om formålet med en sådan misinformation er at skabe frygt, mistillid til løsningen, eller bare generel samfundsmæssig destabilisering - eller ren og skær stædig uvidenhed - er svært at vide.

1. februar kl. 17:04
Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«

Således dekrypterer CDN trafikken fra backend for at kryptere den igen i retning mod klienten (browseren der requester)

Nej, det er ikke det der sker.

CDN serveren kører SSL tunneling imod origin. CDN har intet behov for at intercepte SSL trafikken. Krypteringen mellem CDN og origin sikrer, at ikke-krypteret trafik mellem parterne ikke kan kompromitteres.

Artiklen viser også hvordan CDN "visitor" siden forwarder SSL handshaket (Client hello / Server hello) direkte igennem til origin.

Hvis det kan dokumenteres, at Akamai er sat up så tjenesten agerer SSL inspection proxy, er der tale om et ekstremt alvorligt sikkerhedsbrud, og løsningen bør stoppes omgående. Jeg vælger at tro, at der er tale om rene spekulationer, og at Akamai agerer fornuftigt som SSL tunnelerings proxy.

1. februar kl. 15:49