Joe Sørensen

Populær password manager med 33 millioner brugere hacket: Udvikler var vejen ind

Der er virksomheder, som opdager og derefter indrømmer at der har været besøg. Men der er flere virksomheder, som ikke opdager det. Og hvis de gør, så indrømmer de det ikke før deres kunder ringer og fortæller at deres navn er på haveIBeenPowned.com

26. august kl. 11:49
Danskerne dropper dankortet til onlinehandel

Ja, jeg kunne også godt tænke mig en opdateret version af Rapport_omkostninger_betalinger_i_Danmark_web.pdf, hvor MobilePay PayPal indgår. MobilePay er ikke gratis, men for små butikker og især små on-line butikker, vil den sandsynligvis være billigst.

18. august kl. 10:24
AU lukker akut ned for it-systemer og aflyser eksaminer: Frygter Log4shell-angreb

Man kommer til at tænke på dengang for SQL Slammer lukkede en del systemet ned. Inklusive nogle transport virksomheder. Og blev ret slemt for nogle virksomheder dengang.

De havde enten havde åbnet for MS Sql adgang fra Internettet. Selv med en IP blokkering, der kun tillod deres samarbejdspartnere at forbinde, blev de stadig ramt, fordi deres samarbejdspartner blev ramt først.

Denne fejl kan potentielt udnyttes fra en login side. Fx hvis du logger brugernavn, ved login fejl. Eller Agent Identifier. Og der skal nok komme en Log4Slammer orm.

Så man skal ikke vente med at reagere.

15. december 2021 kl. 18:44
Over 1000 personer støttede dansk spiludvikler på Kickstarter: Nu drejer han nøglen om

Firmaet burde sende alt IP det ejer til deres backers.

Det lader til, at de har fået produceret noget grafik og nogle effekter til spillet. De brude finde en passende Creative Commons licens og lade deres backers bruge det, til hvad end de ønsker. Fx i andre spil. De har trods alt betalt for det.

De burde også kunne udgive nogen kode under en fri eller open source licens, sådan at deres backers kan bruge det i andre projekter. Eller nogen kan lave et nyt kickstarter project ud af at forsætte med projektet.

Dette vil også vise backers. om de er blevet ripped-off, eller om de faktisk har forsøgt, at leverer noget for pengene.

27. oktober 2021 kl. 16:19
Supply chain-angreb rammer tusindvis med ransomware

Som jeg læser det, er der tale om et decentral system. Desværre skal systemet opdateres alle steder, før det er sikkert at starte det op igen, fordi angreber nu ved, at hvis de vil udnytte deres muligheder, så er det nu eller aldrig. Og opdateringen skal selvfølgelig også gøres decentralt.

Jeg tror heller ikke det er tilfældig, at de vælger at bruge en søndag på det. Hvid angriber havde fået lov at vælge tid og sted havde sikkert valgt anderledes.

4. juli 2021 kl. 19:31
Dansk hotelbooking betaler stor løsesum til ransomware-banditter: »Det var det første vi gjorde«

Så gør det simpelthen strafbart at betale løsesum og problemet vil dermed forsvinde af sig selv.

Vil du gøre det strafbart, at indrømme at man har betalt løsesummen? Fordi jeg tror det bliver resultatet i sådan en situation.

Jeg synes det er godt at Techotel indrømme,r hvordan problemet er opstået fortæller om deres oplevelser. Det hjælper nemlig andre virksomheder med at lave deres risiko vurderinger. Så tommel op for det.

I tidens løb, er jeg blevet bedt om at forberede forskellige setups så de kan håndtere diverse ret så usandsynlige senarier. Fordi så mener ejeren af virksomheden, at være helt på den sikrer side. Samtidig blevet der intet gjort, for at afbøde ganske sansynlige senarier, som vil give ret lang nedetid, eller det som er være.

Hvad hjælper det fx med spejlede datacentre, hvis alle medarbedjere har adgang til at logge på begge steder og slette al data. Det er der selvfølgelig ingen medarbejdere der kunne finde på. Men deres computer kan, hvis den bliver bedt om det, af en tyv/virus/crypto bot/whatever.

Fejlen er at man overhovedet i dagligdagen har brug for en adgang, som også giver adgang til at slette data.

14. juni 2021 kl. 17:48
Vi har et problem...

Men rigtig mange distributioner er sat op, så sudo kan alt - hvilket vel ikke er langt fra windows bruger som admin (hvis man bruger password login)

I rigtig mange distroer, er det ikke meningen, at den systembruger der kører din service skal være i sudo gruppen. Og den systembruger, skal ikke have en adgangskode, fordi den skal jo alligegvel ikke logge på systemet, eller skifte bruger. Men jeg mener ikke ovenstående er så stort et problem længere, fordi admins efterhånden har forstået det. Og det er let at gøre rigtigt. sudo kommandoen gør også, at root kontoen ikke behøver nogen kode. Dermed er der heller ikke nogen der logger ind med den.

Problemet er, at en fejl i en lib i noget kode, kan give mulighed for at køre kode på serveren. Og man har normalt ikke engang brug for superbruger adgang for at skabe problemer. Tit er der kun en konto på DBen. Så kan du køre kode på en af deres servere, så kan du vælte dig rundt i al data. Serveren er også på indersiden af netværket. Og hvis virksomheden har satset på en perimeter firewall, så er du nu på den interessante side af både firewall og alle VPN forbindelser. Samtidig har du også mulighed for at ændre på den service. der kører på serveren. Hvis du mangler noget info, så retter du bare programmet til at spørge brugeren om det. Mangler du fx koden i klartekst, så ændre du programmet, så den skriver den ned for dig.

Min fornemmelse er, at mange bruger den version af et lib, som de brugte dengang de stødte på det lib for første gang. De er bange for at en opdatering af enhver lib vil kræve opdateringer af andre libs, som igen vil kræve ændringer i deres egen kode. Og det har vi jo ikke tid til. Det betaler kunden ikke for. Så hellere hente gamle versioner ned, når de skal bruge et nyt lib. Faktisk er min fornemmelse at det problem er stiende.

8. marts 2021 kl. 22:30
Tiernes største teknologi hypes - hot or not

Jeg tror, der er et par teknologier på listen, som både vil nå at blive kaldt både hot, fuser og commodity i løbet af dens levetid. I den rækkefølge.

Fx er det klart at 5G er ( 4G + G ). Så ikke noget specielt i sig selv. Dog har jeg bemærket at det tager 70GB at installere Fortnite og jeg kender ingen tweens, der kan leve uden. Heldigvis fylder mobiltelefonversionen ikke lige så meget, men ... Min pointe er, at vi ikke kan få data nok.

De fleste vil heller ikke påstå, at de bruger kunstig inteligens. De beder bare deres telefon om at vise alle billeder i deres cloudmappe, er af dem selv og taget sidste weekend. Det gør man selvfølgelig ved at tale til telefonen. Ellers er det jo lidt svært at sætte de søgeparametre op. Og man ville jo ikke kalde det en telefon, hvis man ikke kunne tale med dem?

Så men teknologien nok skal blive til noget, så tror jeg til gengæld at der er mange der ser noget hot teknologi og basere nogle bullshit forretningsmodeler på det. Hvis jeg skal være ærlig, så tror jeg IoT enheder kommer til at køre på 5G i stedet for mere dedikerede netværk. Men IoT enheder er der allerede masser af. Ligesom der er allerede mange 5G telefoner ude. En kunstig inteligens bliver brugt af almindelige mennesker.

8. januar 2021 kl. 17:11
Datatilsynet har meldt sig selv for brud på persondatasikkerheden

Lad os nu se noget konsekvens!

Jeg mener ikke, at der skal være en konsekvens! for dem der indrømmer fejl. Ud over at de lover at forbedre sig. Alle begår fejl. Nogen begår endda den fejl ikke tillade fejl. Det er ikke løsningen. At straffe er ikke et selvstændigt mål. Forbedringer er et mål. Vi skal lære at håndterer de fejl, der bliver begået og stoppe dem ved at forbedre os. Vi opnår ikke meget forbedring ved at staffe dem, som opdater og retter en fejl og derefter lover at forbedre sig.

Vi skal gemme straffen til dem, som ikke forbedre sig, eller som skal have hjælp til at indrømme fejl.

Der er selvfølgelig den bargatel med at sagen blev anmeldt et døgn for sent. Det er selvfølgelig en vurderingsag, hvor stor betydning det har haft. I andre situationer kan det have haft stor betydning. Men nok ikke her. En skraldemand har i forvejen tavhedspligt med hensyn til hvad der bliver smidt ud. Der er ikke noget der tyder på, at han ikke også har overholdt denne tavshedspligt.

23. august 2020 kl. 13:42
Kampen mod Corona: Europæiske tele-operatører leverer lokationsdata til myndigheder

folk så bare lader devicen blive hjemme ?

Det er faktisk et godt spørgsmål. Er nogen villige til at overtræde afstandsreglerne? Ja, nogle personer er. Er nogen villige til at overtræde reglerne, hvis dette betyder at de skal undvære deres smartphone? Jeg tror der er betydeligt færre perfoner, der er klar til det.

20. marts 2020 kl. 13:31
Er censur genindført?

YouTube er netop grunden til at Paludan kunne komme i orde i første omgang. De har endda hjulpet med at finde ligesindede og føre dem sammen i et åbent forum.

Så vidt jeg husker, lukkede YouTube ikke for hans videoer før landsretten havde stadfesten en dom der gør Paludan til rasist. YouTube skriver i deres betingelser, at YouTube ikke er et medie der skal bruges til videresendelse af racistiske materialer.

Skal vi ikke blive enige om, at ingen skal kunne tvinge et privat firma til at viderebringe racist materiale. Det er ikke meget frihed til, hvis man er tvunget til den slags.

26. februar 2020 kl. 21:47
Apple langer ud efter EU's fælles opladerstik

Så Apple ønsker frihed til ikke at kunne lade en iPhone op med en iPad lader? Eller vil de gerne fjerne kablet helt fra telefonen så trådløst strøm og trådløse headsets være eneste mulighed? Det kan de vil stadig, hvis de sælger en trådløs ladestander der bruger USB-C?

Selvom USB-C bruger det eneste stik, er jo stadig muligt at konkurrere om at lave den bedste USB-C lader. Og med dette forslag vil flere kunne få glæde af en god USB-C lader. Inklusive iPhone brugere.

6. februar 2020 kl. 08:59
Uhindret adgang til 500.000 cpr-numre og sundhedsdata i Region Syddanmark

Som jeg ser det, så er det første skidt til at begrænse de data læg der sker, at man begynder at erkende at de sker. Og at de er forkerte. Vores reaktion skal ikke være: "De indrømte en fejl! Brænd dem på bålet!"

Her har vi et eksempel, hvor de anmælder sig selv, på ca det tidspunk hvor de øgede straffe for i GDPR bliver indført. Det vil sige, at de op til indførselen af GDPR har været deres systemer igennem og fundet et problem. De er så heldige at de har mulighed for at slippe for en bøde, hvis de øjeblikkelig lukker problemet hurtigst mulig. Hvilket de allerede havde gjort.

Problemet er nu stoppet. Og det er efter min mening selve målet. Hvad skulle målet ellers være? At regionen nu skal sende penge til regionen borgere? Hvordan skal regionen få råd til det? Ved at kræve dem ind som skat fra regionens borgere? Eller spare penge på sygehuse i regionen? Hvilket problem skulle det løse? Hvorfor giver det mening at have det som mål?

Lad os indrømme, at den fejl de har begået, er meget almindelig. Mange virksomheder har begået den fejl. For få år siden, var det en almindelig holding i befolkningen, at ingen ansatte i sundhedsvæsenet skulle være begrænset i deres adgang til data om patienter. Det kunne jo potentielt forringe en behandling, hvis der manglede adgang.

28. januar 2020 kl. 10:04
Derfor bruger Amnesty overvågningscookies trods egen kritik af samme: »De fungerer som gatekeepers«

...godt nok skuffet over.

Sødt at når man click'er sig ind på rapporten, så blokkere Firefox for en række tracking cookies. Fx 2 fra Facebook. Og det gør Firefox allerede før man trykket på "I accept cookies" knappen i brugen af siden.

Men der burde vel ikke være tracking cookie overhåvedet før jeg trykker på "I accept cookies" knappen? Eller har jeg misforstået reglerne?

10. januar 2020 kl. 09:02
Gør surfingen sikrere og mindre irriterende: Her er den nye Firefox

private IP ranges

Til gengæld har de lyttet til dem, som er træt at udvikere, der kommer til at udvikle noget funktionalitet, som virker på lokal nettet, men bløder, når det kommer i prod.

De har lyttet til argumentet omkring konvinience for webudviklere. Men det vejede ikke så meget som argumentet om at have samme beskyttelse i test som i produktion.

9. januar 2020 kl. 15:48
Dovne Y2K-rettelser giver nye Y2020-fejl

Jeg er hverken børn eller røgalarm, da ingen af delene vil kunne slukke en brand, imens jeg sover.

Så at sidde og tænke nøjagtig det samme om år 2020 tilbage i 1998 er da dumt med dumt på...!

Så det et jo godt at der er lang tid til 2038 :)

Jeg bliver nok aldrig klogere. :) Godt nogen har sat en aftale i kalenderen https://sslug.dk/events/panik-kaos-og-hysteri/

9. januar 2020 kl. 10:39
Kerne1 og Kerne2

Jeg har stadig til gode at møde nogen som ikke hader systemd

Så må vi finde en dag at mødes. Jeg giver en øl :-)

Personligt har jeg lettere ved at overskue indholdet af /lib/systemd/system/ end indholdet af /etc/init.d/ . Jeg synes SytemV er noget rod og SystemD er en god løsning. Og jeg kan godt lide at den opsætning der kommer fra distributionen liger i /lib/systemd imens mine lokale tilføjelser kommer i /etc/systemd.

Jeg er også glad for at sætte noget sammen af de værktøjer der ligger i /usr/bin . Nogen gange måske lidt for glad. Det er ikke altid sjovt at møde et 50 linjer Bash program man kodede for 3 år siden. Bash er ikke bedre en Perl på det område. Ofte er en stor del af koden brugt til at parse og godkende input og derfor køre en kommando og lave select/map/reduce på det output. Og så gemme det som en array i en streng variabel. Udfordringen er at værktøjerne i /usr/bin/ ikke er så konsistente. Det er svært at vælge hvilke "kolonner" i output man skal bruge. Så der er noget om data type vi kan lære af PowerShell. Sorry der.

9. januar 2020 kl. 10:14
Poster til tiden: Her er nyhederne i Java 14

Ja, problemet var hele ideen med at have browser plugins. Den kører andres programmer på din computer, i en fortolker, der har adgang til resourcer, der ligger uden for browseren.

Kald det Flash, Silverlight eller endda ActiveX.

Det var ellers lidt cool, at man kunne installere drivere i styresystemet via browser plugins. Der har endda eksisteret hjemmesider, som downloaded i iso image til browserens cache og derefter bootede Linux maskinen derfra. Det blev desværre ødelagt at Windows XP SP2 opdateringen, men stadig cool.

8. januar 2020 kl. 12:55
Færøsk migrering med kultursammenstød og timestamp-problemer

Tak for en spændende serie, hvor der også bliver fortalt om problemer, og konkrete løsninger. Absolut et projekt for de modige :)

Helt enig.

Hvordan ser løsning ud fysisk? Jeg forstod at hele løsningen kørte på én mainframe, som er købt i 2008. Og at resultatet kører på 45 Windows maskiner, som er købt løbende de 6 år hvor systemet er udviklet. Umiddelbart lyder det som om systemet fysisk fylder ca. det samme.

Hvordan ser det ud med oppe tid? En mainframe er kendt for at have god tollerance for hardware fejl, sådan at softwaren ikke bliver berørt af det. Og derfor tager mainframe udviklerne heller ikke højde for hardware fejl. Hvad gør I på det nye systemet? Bruger I VMWare, HyperV eller lignende til fejlover for at håndtere hardware fejl og opdateringer? Fordi softwaren tager vil stadig ikke højde for at en maskine kan være nede?

6. januar 2020 kl. 12:58