Erik Andersen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Danske energiselskaber ramt af Solarwinds-angreb

Udskift alt IT

Det er ikke nok, hvis man udskifter med lignende udstyr. Det bliver bare angrebet igen. Vi ligger, som vi har redt. CFCS har groft svigtet sit ansvar. Ligeledes har Erhvervsstyrelsen og Energistyrelsen. Noget tyder på, at problemet skyldes programmer baseret på standarder med manglende eller sva...
Kommentar til Solar winds-bagmænd kompromitterer endnu en udbredt antivirus-service

Vi står i problemer til halsen

SNMP, syslog, DNS m.fl er gamle ukrypterede UDP-protokoller, der i dag som udgangspunkt er sårbare. Vi har med meget stor sandsynlighed en stor sump af ubeskyttede systemer også i vores kritiske infrastrukturer og sikkert ikke kun pga. af de standarder, som Rune nævner. Ved brug af en af tidens ...
Kommentar til Solar winds-bagmænd kompromitterer endnu en udbredt antivirus-service

SNMP synes at være problemet

Den må du meget gerne uddybe - hvor kommer SNMP ind i billedet? Se fx https://energycentral.com/c/iu/solarwinds-hack-can-directly-affect-contr... og https://www.alphaguardian.net/the-solarwinds-hack-is-only-the-beginning/
Kommentar til Solar winds-bagmænd kompromitterer endnu en udbredt antivirus-service

SNMP syne at være problemet

Det er min forståelse, det er manglende sikkerhed i Simple Network Management Protocol (SNMP). Den nyeste er version 3 og er mere end 20 år gammel og derfor ikke sikker. Det lyder som et angreb, som ikke kan imødegås af den danske strategi for cybersikkerhed.

Lad os håbe OL

Nu må vi bare håbe, at angriberne ikke ikke river el-nettet ned, så de etiske hackere ikke kommer til at side i belravende mørke med slukkede PC'er og wifi ude af funktion.

Manglende led i Dansk Cyber forsvar

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige. Jeg ...

Manglende led i Dansk Cyber forsvar

De forbundende enher må antages at kommunikere over internettet. Skal disse have en sikker kommunikation (autensitet, integritet og muligvis hemmeligholdes) så kræver det international cyber sikkerhedsstandarder, som i stor udstæktning ikke findes eller er for dårlige. Danske myndigheder ignorer...

I stedet for XML

Hvad ville du foreslå i stedet? ASN.1? Protobuf? XDR? Flatbuffers? Jeg ved min kommentar var provokerende. Jeg ved også, at det ikke er emne for artiklen. Jeg reagerede bare imod at de, som har opfundet XML har gjort menneskeheden en tjeneste, For at svare kort, så foreslår jeg ASN.1. Certifik...

Skulle været fyret forlængst

En med-opfinder af XML skulle have fyret for længst. Tænk sig at der i moderne tid er opfundet en syntaks, der ikke kan transportere binære data uden en eller anden form for gimmick.

Tror ISO/IEC 27001 er tilstrækkelig

Ud over at virke skræmmende så afslører det en brutal virkelig. Tro r digitalstyrrelsen virkelig at bare ISO/IEC 27001 overholdes, så er sikkerheden i år?
Kommentar til CFCS udgiver ny vejledning om sikkerhed i industrielle kontrolsystemer

The missing link

Jeg har læst vejledningen. Det tog ikke mange minutter. Vejledningen undgår behændigt at omtale, at den potentiel største anvender af SCADA er det danske elnet. Så havde man nok ikke klaret det med en vejledning på brutto 14 sider og netto 11 sider med brede marginer. Nogle af vejningerne er for...
Kommentar til Folketinget videresendte personoplysninger på politikere ved en fejl

Nå, hvad så!

Der er nok ikke sket den store skade. De, som ud over balademagere kunne tænke sig at skade politikere eller Danmark, har allerede disse oplysninger og meget mere. Der er intet i National strategi for cyber- og informationssikkerhed, der forhindre en organisation med tilstrækkelige ressoucer at...
Kommentar til Vi tabte ad helvede til...

Kritisk infrastruktur på hackernes hænder

En af de største trusler mod Danmark er den større og større afhængig af IT for styring af vores kritiske infrastrukturer, hvilket gør os meget sårbare over for overtagelse af vores infrastruktur, fx el-nettet. Mange naive menneskre, inkl. CfCS, er overbeviste om, at bare man vifter med ISO/IEC ...

Kunne CFCS forhindre eller opdage hackning af Enigma

Verdens første cyber angreb var vel englændernes hackning af den tyske Enigma syatem under sidste verdenskrig. En hackning, som gjorde stor skade på den tyske krigsførelse. Hvis nu tyskerne havde vort CFCS og havde alle den danske regeringens procedurer på plads, sådan som fx beskrevet i Nation...
Kommentar til CFCS vil simulere phishing-angreb og bruge ondsindede USB-nøgler

Endnu mere ISO/IEC 27001 fascination

Udkastet til lovforslaget bekræfter, at CFCS anvender uforholdsmæssig tid på ISO/IEC 27001, dvs. en tyrker tro på, at man vha. procedurer beskrevet i en 37 sider pamflet kan sikre cybersikkerhed. En væsentligdel af den nuværende kommunikation i kritiske infrastrukturer er Machine-to-Machine (M2M)...
Kommentar til Er CFCS pengene værd ?

Re: Mener også de rammer forkert

Det er ikke nok, at sende de sidste 7 dages print over kablet. Det er bedre med en kopi af ISO/IEC 27001. Hvis de er hurtige, kan de lige nå at se, at der ikke står ISO27001 eller ISO 27001. Man mister gerne troen, når man ikke engang kan få identiteten korrekt.
Kommentar til Java er udviklernes valg, men Javascript er mest udbredt

Re: Hold jer væk fra Java

Hi Jan, duhar ret. Jeg ved ikke hvad jeg taler om, men prøvede at provokere. Jeg beskæftiger mig en del med IT sikkerhed for Smart Grid (SCADE systemer). Jeg gyser hver gang nogen forslår at bringe et eller andet mammutsystem ind i en meget kritisk infrastruktur. Jeg bliver dårlig, når nogen nævn...
Kommentar til Java er udviklernes valg, men Javascript er mest udbredt

Hold jer væk fra Java

Det er mit indtryk, at Java er en sump af sikkerhedshuller. Det er en dinosaur, som aldrig får gjort fejlfri. Security through simplicity!
Kommentar til Ny HTTPS-protokol er godkendt efter fire års tovtrækkeri

Brug af TLS 1.3

TLS anvendes mange steder unden HTTP.

Open source kan også være farlig

Hvis man anvender open source, har hackere adgang til en stor del a source koden og kan finde sikkerhedshuller. Tænk bare på Heartbleed.