Henrik Juul Størner

Nets trækker i land om single point of failure i MitID: »Det var et upræcist ordvalg«

Altså "Security by Obscurity". Effektiviteten er på linje med "hope is not a strategy" (citat BBB).

28. september kl. 09:19
Nets bøjer sig for Apple: Trækker stikket på dankort-appen

Dankortet er på vej ind på Apple Pay. https://danskebank.com/da/news-og-insights/nyhedsarkiv/press-releases/2021/pm12102021

Hvad det så betyder for forretningens omkostning ved betalingen ved jeg ikke.

14. september kl. 12:15
IDA kritiserer regeringens millionplaner for logning af danskerne: »I bedste fald penge ud af vinduet«

Det er tankevækkende at man gerne vil bruge 150 mio på ulovlig logning og overvågning, men samtidig skærer Datatilsynet ned fra 54 til 44 mio.

9. september kl. 13:07
Sociale medier koger: »MitID er en katastrofal brugeroplevelse«

For mig at se er MitID's app/nøgleviser cirka same-same som NemID's app/nøglekort. Begge dele fungerer (når ellers man først er kommet ombord) OK.

Jeg opfordrer alle til at have begge dele, især fordi man jo kan miste sin telefon, få slettet appen eller på anden måde blive låst ude. Og for de ældre som er vant til nøglekortet, er nøgleviseren en mindre omstilling end at skulle til at bruge en app.

Men jeg er helt enig i at brugeroplevelsen med at komme ombord i MitID er temmelig bøvlet hvis man ikke er helt oppe på dupperne med NemID app, har scannet sit pas i NemID appen inden man går i gang, og er rimeligt habil med teknik. Jeg har hjulpet tre 75+ personer, og ingen af dem kunne have klaret det selv. (Og jeg har et teknisk udfordret medlem af familien tilbage, som ikke har noget pas). Så det overrasker mig ikke at support-linjerne gløder og køerne er lange.

13. april kl. 11:59
Professor: Formålet med MitID er ikke kommunikeret klart nok 

Trinene giver nok mening hvis man er IT-kyndig, men det er ikke nemt. Jeg har haft fornøjelsen af at hjælpe et par ældre medborgere med opgaven. Det går nogenlunde sådan her:

  • De har ikke NemID app'en, så den skal installeres først. Det kræver et par NemID logins og en times ventetid.
  • I NemID app'en skal man så scanne sit pas. Den ene havde et gyldigt pas, så det gik - den anden havde ikke, så omkring Borgerservice og 1-2 ugers ventetid for at få nyt pas.
  • Med gyldigt pas kan man så bestille en MitID kodeviser. Den kommer med posten efter nogle dage. MitID app til at logge ind? Glem det ... telefoner er KUN til at tale i.
  • Så er det ind på mitid.dk, oprette sig som bruger (nej, du kan ikke bruge CPR-nummer længere til at logge ind med), godkende oprettelsen med NemId, tilknytte kodeviser osv.

Altså noget der tager en del tid - regn med minimum en halv dag, og book tid til en omgange mere hvis passet er udløbet.

Logisk for IT-folk. Ikke for pensionister.

30. marts kl. 15:34
Rusland etablerer sin egen TLS-myndighed for at omgå internationale sanktioner

den russiske myndigheds formål nok snarere at kunne intercepte kommunikationen til og fra virksomhederne.

Det får man ikke mulighed for kun ved at udstede et certifikat. Dekryptering af trafikken kræver adgang til den private del af certifikatets nøgle, og den skal CA'en ikke have for at kunne udstede certifikatet.

11. marts kl. 11:39
CPR i nummeroplysningen: Kan stadig supporteres fra tredjelande

Kan ikke rigtig se behovet for at nummeroplysningen absolut skal flyttes til tredjeland.

Det er måske ikke så meget at flytte systemet til udlandet som at tillade at udenlandske supportere administrerer systemet fra f.eks. Indien.

10. februar kl. 13:20
Stort cyberangreb lammer 4G- og 5G-netværk i Portugal

Vodafone's direktør Mário Vaz sagde i går på en pressekonference at angrebet "var rettet mod vores netværk - ikke mod vores systemer".

Så formentlig et mere målrettet angreb end et "tilfældigt" ransomware angreb.

Der spekuleres i om passwords til systemerne er blevet opsnappet eller lækket og har givet adgang til at lukke mobilnetværket ned. Men det er ikke bekræftet.

Og selvfølgelig også spekulationer om der er en sammenhæng mellem dette angreb og så et angreb mod det portugisiske parlaments hjemmeside i januar.

Avisartikel (på portugisisk): https://www.publico.pt/2022/02/08/sociedade/noticia/objetivo-acto-criminoso-deixar-rede-vodafone-indisponivel-empresa-trabalha-repor-servicos-essenciais-inem-bombeiros-bancos-1994668

9. februar kl. 10:09
Microsoft forsikrer om lovlige produkter, efter Stockholm dropper 365

Jeg er absolut ikke tilhænger af at involvere amerikanske cloud-tjenester i mine personlige data, men må også bare konstatere at det er svært at finde realistiske alternativer. Derfor bliver jeg nødt til at afveje datasikkerheds-risici ved at bruge O365 mod behov til funktionalitet - og sikkerheden i alternativerne.

O365 er en nem løsning, og rigtig mange almindelige virksomheder har meget få data, som reelt vil være interessante for USA's efterretningstjenester. (Offentlige myndigheder og sundhedsvæsenet som mulige undtagelser).

Og alternativerne har deres egne problemer med databeskyttelse, f.eks. på mobile enheder. Data fra O365 kan styres med Intune, så det er muligt at afskærme firma-data fra private apps på telefonen og slette data uden at wipe hele telefonen - hvis du kender en ikke-O365 løsning som kan det, så hører jeg gerne om det. Problemet er især håndtering af mail, hvor de alternative løsninger bruger standard mail protokoller (IMAP). Så er der "frit slag" på valg af mail-app, og det gør det umuligt at styre hvor data havner.

Så det er ikke et spørgsmål om at "tage chancen med GDPR" eller med at have "kritiske dele af produktionsapparatet udenfor virksomhedens kontrol". Det er en afvejning af fordele, ulemper, funktionalitet, omkostninger og risici ved at bruge O365 kontra "noget andet".

Og husk så også at persondata slet ikke må sendes via email uden at være krypteret, uanset om data bliver i EU eller ej, og uanset hvilken løsning du bruger. På det punkt tror jeg at 100% af de ansatte "tager chancen" af og til. https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed-/transmission-af-personoplysninger/transmission-af-personoplysninger-via-e-mail

26. januar kl. 15:00
Seks zero days: Usædvanlig mange patches skal lappe Microsofts sårbarheder

Den er ikke nævnt i ZDNet artiklen fordi der ikke er et exploit ude endnu, men der er et kritisk patch til IIS med i Januar-pakken, som bør prioriteres højt hvis man kører en webserver på Windows Server 2019 eller nyere. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907

12. januar kl. 10:47
Regeringen endelig klar med strategi for dansk cybersikkerhed: Her er hovedpunkterne i planen

Jeg bliver nødt til at give en "kan ikke lide" tommelfinger, for der er altså store problemer i det du foreslår.

</p>
<ol><li>En tvungen ISP styret firewall

For at være effektiv vil det være nødvendigt at firewall'en dekrypterer https-trafik, ellers kan den ikke se hvilket website du prøver at få fat i. Så mister vi hele ideen med end-to-end kryptering - logningsbekendtgørelsen er ren privatlivsidyl i sammenligning.

2) En tvungen ISP styret virusscanning

Samme problem som 1) - jeg vil ikke have min ISP til at læse kontraktdokumenter, breve fra min læge osv.

15. december 2021 kl. 22:55
Den tid af året igen...

Blankmedieafgiften er et misfoster - der er ingen grund til at gentage den fejl.
...
Det er en simpel løsning, som hverken kræver lobbyorganisationer, love eller bureaukrati. Alt hvad det kræver, er IT-chefer, der forstår værdien af open source software.

Tro endelig ikke jeg er vild med blankmedieafgiften, jeg synes også det er en bizar løsning på et meget lille problem. Mit argument var kun at Copy-Dan har tilpas meget rocker-inkasso erfaring til at få kronerne i kassen.

Problemet med den simple løsning du beskriver er, at jeg sjældent har set den fungere ude i firmaerne. Hvis ikke der kommer en opkrævning for softwarelicens en gang om året, så kan der ikke komme penge ud af bogholderiet. Det er muligt IT-chefen forstår det, men finans-høgene gør ikke. Så bliver det filantropisk, og dermed punkt 1 til at ryge ud af næste års budget. Desværre.

13. december 2021 kl. 10:45
Den tid af året igen...

I betragtning af hvor effektive Copy-Dan er til at indkræve afgifter, så var det måske ikke nogen helt dum ide at lægge opkrævning af en FOSS afgift over til dem. De må også være vant til at håndtere mange småbetalinger internationalt.

Men sikken et hundeslagsmål der bliver, når størrelsen af afgiften skal fastlægges.

PS: Blankbåndsafgiften findes stadig, selv om bånd nu er fritaget. https://ing.dk/artikel/ny-afgift-paa-computere-smartphones-sikrer-kulturlivet-93-millioner-243909

12. december 2021 kl. 10:18
Fairphone 3+ /e/OS anmeldelse

Grafikken viser at en iPhone næsten er på linje med Fairphone ud fra et grønt perspektiv (hvilket faktisk overraskede mig).

Så hvorfor skulle jeg bøvle med en obskur leverandør og et OS der måske/måske ikke kan køre de apps jeg har brug for, bare for at være en smule mere grøn end jeg er med en iPhone?

Så er der overvågnings-argumentet tilbage. Det er min opfattelse at overvågning foregår mindst lige så meget via de apps, der bliver installeret, som via telefonens OS. Så /e/OS alene gør det ikke.

Ergo er jeg nok ikke kunde til en Fairphone.

6. december 2021 kl. 15:09
Undersøgelse afslører stor ulighed: Hver fjerde dansker er digitalt udfordret

Offentlige systemer er udfordrende, uanset om de er digitale eller analoge. Prøv at huske på hvordan papirudgaven af din selvangivelse så ud. Eller formularen til ansøgning om boligsikring - det var ikke for børn (og det er den digitale udgave heller ikke).

Og et brev fra kommunen med afgørelsen i din sag er lige uforståeligt og fuldt af henvisning til underlige paragraffer, uanset om det lander i den digitale eller den fysiske postkasse.

Problemet er ikke at vi er gået fra analog til digital sagsbehandling (selv om jeg er enig i at mange borger-rettede systemer er pænt bagud hvad angår UX). Problemet er snarere at den flinke mand/dame oppe i kommunen, som man kunne bede om hjælp til at udfylde formularen, ikke længere er ansat.

23. november 2021 kl. 15:29
Vi får aldrig plads nok...

Ja hvis man er en samler-type er der aldrig plads nok. Tvivlere kan komme og besøge min kælder ...

Jeg gætter på at svaret er B (tyngdepunkt i DC3), simpelt hen fordi den eneste gang jeg er blevet spurgt om min vægt ved check-in var for 25-30 år siden da jeg fløj i DC3 fra Boston til Marthas Vineyard. Og det var i mine yngre, betydeligt mere veltrimmede dage :-)

21. november 2021 kl. 16:14
Derfor har vi brug for statsautorisation for IT-sikkerhed

Men hvilke krav vil du stille til en statsautorisation? Revisorer og aktuarer skal have gennemført en bestemt uddannelse, er det det, du tænker på?

Autorisation til softwareudvikling er noget helt andet end til IT drift. Så vi kan ikke nøjes med en slags autorisation. I virkeligheden skal softwareudvikling måske hellere styres via produktansvarsreglerne.

Der skal nok også være en autorisation på organisationsniveau til overhovedet at måtte have IT kørende, og så en autorisation (= krav til uddannelse) af folk som arbejder med IT sikkerhed.

Sikkerhedsmæssig fornuftig drift af IT findes der faktisk en del rammeværker til, og en certificering kunne jo tage udgangspunkt i dem. Jeg vil foreslå CIS https://www.cisecurity.org/controls/v8/ som et godt udgangspunkt - den kan også gradueres efter hvor stort et system/firma, det handler om.

Autorisation af IT sikkerhedsfolk bliver reelt "certificeringer". Og området er stort nok til at der må være mere end en (sikkerhed på SCADA systemer omfattet af NIS direktivet er anderledes end sikkerhed på webshops).

Leverandørernes certificeringer er helt ligegyldige, man skal have fat i nogle af de uafhængige organisationers uddannelsesprogrammer. Vi kan ikke alle have en CISSP, men mindre kan også gøre det: F.eks. de forskellige GIAC certificeringer fra SANS https://www.sans.org/cyber-security-certifications/?msc=main-nav

16. november 2021 kl. 13:37
Incident Handling og Logning

Det er en hyppig fejltagelse kun at logge på servere. Stort set alle angreb i dag starter på en klientenhed (læs: medarbejder-laptop), og ethvert nogenlunde fornuftigt EDR system - selv MS Defender - logger hændelser der. Dem skal du fange tidligt, så er der en chance for at spotte et angreb inden det breder sig.

DNS query logning er essentiel for at spotte kommunikatione med C&C servere, det er også en tidlig indikation på at der er noget i gang. Med SolarWinds angrebet var det nærmest den eneste indikator til at begynde med.

Logning af DHCP leases er afgørende for at kunne identificere hvilken enhed, der laver noget snavs.

Hvis du bruger en eller anden directory service (f.eks. Active Directory), så er logning af fejlede og succesfulde loginforsøg mega-vigtig. Ditto ændringer af gruppemedlemskaber og oprettelse af nye brugere (især hvis de har særlige rettigheder).

Og så er der lige problemet med at hackere arbejder 24/7, men at du formentlig ikke har mandskab til at sidde og kigge på dine Kibana grafer og logkonsoller døgnet rundt. Så overvej kraftigt om ikke det vil være pengene værd at hyre et sikkerhedsfirma som får sendt loggen over i near-realtime, og så tager sig af analyser og alarmering. Det er en business-case, der skal overvejes. Det er ikke open-source, men det vil være min anbefaling.

11. november 2021 kl. 09:59