Povl H. Pedersen

Kommentarer

Kommentar til Reflektioner om at stole på hardware

Re: Hvad er næste skridt?

Vi har produktansvar i dag. Der er bare ikke kørt mange sager mod Microsoft, Intel m.m.. Men hvis man lider tab som følge af en 0-day, så burde man allerede i dag have krav på erstatning. Hvis Intels nye patch koster performance, så burde man kunne reklamere og få et afslag i prisen med tilbagevi...

Motiv

Motivet er oplagt. Det er alt fra uautoriserede opkald til overtakserede numre til at overtage din 2-FA device (SMS koder, Google Authenticator etc). Man vil også kunne fiske brugernavn/password til mail og websider etc.
Kommentar til TDC ændrer forklaring: Nedbrud skyldes hardwarefejl

Skal vi antage

at TDC er ved at gennemgå listen af personer der havde sidste arbejdsdag søndag ? Det vår sådan de fandt den "skyldige" i nytårsfreden.
Kommentar til Popcorn Time skal stoppes med DNS-blokering

DNS Blokering

Der er nogle der siger at DNS blokering kræver en målrettet indsats at omgås. Her kan jeg kun råbe sludder og vrøvl. For at få tingene til at virke rigtigt derhjemme, så har oprettet en lokal DHCP/DNS service (min OpenWRT virkede ikke rigtigt), og her har jeg brugt de anbefalede upstream servere...
Kommentar til MobilePay har øget sikkerheden efter svindel

Sikkerhed

Jeg slettede MobilePay og prøvede at installere igen. For at installere MobilePay på en ny device skal jeg kende: - telefonnr - selvvalgt 4-cifret PIN (hemmelig) - SMS kode der sendes - CPR-nr (ikke ret hemmelig, alle kan købe adgang til opslag) Hvis jeg ikke kender PIN, så er alternativet NemI...

Det gælder mange steder

Innovation kommer udefra. Det er muligt at der ikke skal meget til at flytte eksisetrende personer i en anden retning, men det meste innovation kommer udefra. Der er dog undtagelser. Steve Jobs er det klassiske eksempel. Han fik folk til at tro på at det umulige var muligt, og tvang dem til innov...

DXC det tidligere CSC

For dem der ikke kender DXC, så er det CSC der følte at deres 3-bogstavers forkortelse var blevet for belastet, så de valgte 3 nye bogstaver til at signalere at de fortsat er en stor spiller der er ligeså troværdig som man forventer af 3-bogstavers kæmper (CSC, KMD, IBM, TDC etc).

Offentlig ansættelse

Det er ikke kun et spørgsmål om løn, for der må da kunne findes penge og uddannes flere på sigt for at fjerne lønpresset. Det offentlige har pengene, det kan vi se med diverse cheflønninger der langt overstiger lønninger i det private, og så med øget jobsikkerhed oveni. Ved at have egne folk, så...

Man når langt

men ikke 100% hvis man gør noget ved det. Man er nødt til at have den tynde klient til at tilgå backend systemer. Og isolering, og adskille nøgler og data. Dvs persondata i et system, og UUID til at associere det med data i et andet system (ikke CPR). Og noget overvågning på kommunikation fra de...

Man forstår det godt

De fleste ville føle sig stødte over at blive kaldt homoseksuel selvom de ikke er det. Det er ikke et positivt eller netralt tillægsord for store dele af befolkningen. Sort eller neger er absolut neutrale ord der beskriver et tydeligt fysisk kendetegn. Ligesom høj, tyk, tynd, rødhåret, blondine ...
Kommentar til Nets: Vi fik en mistanke, testede nøgler og spærrede NemID på hardware

Re: Blackbox?

Og endelig en buggy key generator: https://gist.github.com/truemongo/7aea60f80f6aa9b79cc9509b633557c9
Kommentar til Nets: Vi fik en mistanke, testede nøgler og spærrede NemID på hardware

Re: Blackbox?

Og så lige et link til når man leder efter tallene: http://elenzil.com/esoterica/encoding/ Representing large numbers with only 8 bits. Given 8 bits ABCDEFGH, this interprets AB as a binary number N between 1 and 4 inclusive, and CDEFGH as a binary number M between 1 and 64 inclusive. The entir...
Kommentar til Nets: Vi fik en mistanke, testede nøgler og spærrede NemID på hardware

Blackbox?

Hvordan kan svagheden være en blackbox ? Kig på Java implementeringen: Først tager den BigInteger 1 og shifter left med remainder af noget primtalsdivision (med en meget lille primtalsliste). Og så laver man en binær AND med en maske. Så der er noget der tyder på, at det ikke er tilfældige primt...
Kommentar til Infosec for begyndere

Kommunalvalg

er nok ikke interessant at påvirke for udenlandske interessenter, medmindre de tror at det er her man skal starte for at påvirke folketingsvalget. Men klart at misinformationskampagner er det bedste våben. Til folketingsvalget er folket allerede misledt til at de stemmer på den med den største ...
Kommentar til Bøde-dilemmaet: Skal offentligt datasjusk gå ud over kræftpatienter?

Argumenter

Hvis argumentet er, at en bøde giver mindre kræftbehandling, så er det vel også et argument at IT Sikkerhed i første omgang giver mindre kræftbehandling. Og det faktum at man ikke sælger alle danskeres sundhedsdata giver endnu mindre kræftbehandling. Der skal være styr på sikkerheden. Og hvis de...
Kommentar til Rigspolitiets hemmelige bitcoin-våben fik Datatilsynet til at stejle

Persondata

Jeg ved ikke lige hvor persondata kommer ind i billedet. Det første tidspunkt man har persondata er, når man via en kendelse eller læk får nogle udtræk fra en BitCoin exchange. Dette navn kan vel holdes hemmeligt/pseudonymiseres af politiet. Jeg ser ikke noget formål med at politiet sender perso...
Kommentar til Praktikantopgaven: Et Danmarkskort

Er anonymiseringen god nok ?

Hvis i bare tager screenshots, så har i ikke koordinater, men hvis man ved at centrum af cirklen er placeret meget præcist, så vil man ofte fra billedet kunne lokalisere ihvertfald nogle kunder. Tilfældighed vil ikke hjælpe, da man så kan lave gennemsnit over flere kort, og få info til at ramme ...
Kommentar til Udlændinge- og Integrationsministeriet udsat for cyberangreb

Re: Ikke DDoS

nyidanmark har outsourcet driften. IBM annoncerer at de er driftsleverandør på F5 boksen. Outsourcing = downsizing, og betale for enhver opgave. Så hvis der ikke er nogen der beder IBM om det, med en pose penge i hånden, så er der ingen der gør det. nyidanmark.dk ligger på en IP adresse under ...
Kommentar til Udlændinge- og Integrationsministeriet udsat for cyberangreb

Ikke DDoS

Der er ingen adgang til siden, og fine traceroute tider, så ikke DDoS. Og som Peter Kruse udtaler andet steds, så er det nok indikationer på, at der er slettet/ændret indhold på siden. Altså et hackerangreb, enten mod dårlig kode, eller manglende patch. Det offentlige er ikke med helt på toppen...
Kommentar til Overlæge: Uetisk ikke at anvende sundhedsdata bedre

DNA

DNA er et sted hvor man kunne hente rigtigt meget viden, og sikre en bedre behandling i sundhedsvæsnet. Der er eksempelvis forskel på hvor hurtigt alm NSAID (smertestillere) nedbrydes i patienter, så forskellige patienter skal have forskellige doser. Nogle patienter har krigergenet, også kaldet...