Asger Solvang

Jeg er jo ikke ekspert, men umiddelbart vil jeg mene at rodcertificater ikke er noget man bare genudsteder. Hvis de er udløbet, så vil ingen af de certificater der er signet af dem nogensinde kunne virke igen. Går ud fra at de signede certificater, der ikke virker, i sidste ende er f.eks. vores centralt opbevarede NemID certificater. Åbenbart ikke alle, da de benytter flere rodcertifcater.

De har vel så lavet nye rodcertificater, i stedet for dem der er udløbet, og er måske i gang med den store opgave at lave nye NemID certificater til alle der berørt af udløbne rodcertificater.

Eller er der nogen sikkerhedseksperter der kan forklare hvordan det muligvis kan hænge sammen.

Håber det passer. Det bliver virkelig rart hvis vi kan få fjernet "pistolen for panden".

Ja det kan man. Jeg havde ikke noget pas, da jeg ikke har haft behov for at komme til udlandet de sidste par år. For at få MIT-ID så booker man en tid hos kommunen - jeg skulle afsætte 1/2 time. Man møder op - efter et par ugers ventetid - og herefter bliver man udspurgt om hvornår du flyttede til nuværende adresse, hvad din mors gamle efternavn er o.s.v. indtil de virkelig tror på at man er den man er. Derefter opretter man så sammen med medarbejderen MitID. Det skalerer slet ikke!

Ja det kan man. Jeg havde ikke noget pas, da jeg ikke har haft behov for at komme til udlandet de sidste par år. For at få MIT-ID så booker man en tid hos kommunen - jeg skulle afsætte 1/2 time. Man møder op - efter et par ugers ventetid - og herefter bliver man udspurgt om hvornår du flyttede til nuværende adresse, hvad din mors gamle efternavn er o.s.v. indtil de virkelig tror på at man er den man er. Derefter opretter man så sammen med medarbejderen MitID. Det skalerer slet ikke!

Ja det kan man. Jeg havde ikke noget pas, da jeg ikke har haft behov for at komme til udlandet de sidste par år. For at få MIT-ID så booker man en tid hos kommunen - jeg skulle afsætte 1/2 time. Man møder op - efter et par ugers ventetid - og herefter bliver man udspurgt om hvornår du flyttede til nuværende adresse, hvad din mors gamle efternavn er o.s.v. indtil de virkelig tror på at man er den man er. Derefter opretter man så sammen med medarbejderen MitID. Det skalerer slet ikke!

Det at de anvender "fælles fil systemer" viser at de ikke tager sikkerhed særligt seriøst. Troede slet ikke man gjorde sådan noget i dag når vi taler om lidt større firmaer. Ud over den "sure medarbejder", så vil en evt. "Ransomware" virus have frit spil på et sådant fælles fil system. Måske det her er et sidste "wake up call" til firmaet inden det går helt galt.

Hvis man kan tilgå "vigtige" systemer vha. et enkelt password, så har systemet vel de sidste par år pr. definition ikke været beskyttet ordentligt.

Alle vigtige systemer skal i dag minimum have 2-faktor godkendelse. Hvem ved måske vi også snart skal op 3-faktor godkendelse for at følge med i forhold til det stigende trusselsbillede fra nord/syd/øst/vest.

Selv min "ligegyldige" private google mail har 2-faktor godkendelse.

Jeg ville nok bruge mit krudt på, at få dem der leverer vigtige systemer, til at sikre at der altid bruges 2 faktor godkendelse.

Når ens password så før eller siden bliver komprimiteret, er det ikke i sig selv nok til, at få adgang til et vigtigt system beskyttet af passwordet.

Jeg har stor forståelse for at folk syntes det må være en katastrofe at Solarwinds software har siddet i Nationalbankens net og "kaldt hjem" for at få instruktioner til at hente malware ned til banken og eksekvere det.

Nu ved jeg ikke hvordan Nationalbanken infrastruktur er bygget op, men er den kastet ind med en skovl, så vil jeg også være meget nervøs ved at Solarwinds software har været kompromiteret.

På den anden side, har Nationalbanken tænkt sikkerhed "rigtig" ind i infrastrukturen, så vil de have sørget for, at fordi et enkelt lag af sikkerhedsstrukturen er blevet skrællet af, så er det ikke nok til at kompromiterer essentielle systemer i banken og så er jeg knap så nervøs.

Når man taler om sikkerhed handler det om at acceptere at nogle af ens sikkerheds foranstaltninger på et tidspunkt vil blive kompromiteret. Derfor er det nødvendigt at have flere lag af sikkerhed. På den måde kan en "ubuden gæst" ikke nøjes med at komme igennem kun et lag af sikkerhed for at få fat i "gevinsten".

Der er mange måder man kan bygge flere lag af sikkerhed ind i sin infrastruktur. F.eks. vil man typisk lave netværks segmentering og sætte alle systemer på deres egen lille netværks ø og så have firewall's mellem de netværks segmenter, der har brug for at kommunikere med hinanden. Endvidere kan man også have firewall aktive på de enkelte servere, man måtte have, så man er dobbelt sikret. Alting handler om at bygge så mange lag ind som man finder nødvendig for at minimere risikoen for kompromitering af alle sikkerheds lag. Typisk vil man sikre de mest sensitive systemer mest.

Problemet i denne diskussion er at vi aldrig får at vide hvordan Nationalbanken har prøvet at sikre sig, fordi den slags information er ikke noget man ligger frit frem. Det kan altså være at Nationalbankens infrastruktur er hullet som en si, men det kan også være de har bygget tingene med omtanke og professionel hjælp og f.eks. har placeret Solarwinds komponenten på servere på en netværks ø uden adgang til andet en hvad den har brug for at gøre sit arbejde.

AK Techotel https://techotel.dk/driftinfo der leverer løsninger til Hotel drift i Norden er også blevet ramt. De har også valgt at punge ud til de kriminelle, da de åbenbart heller ikke selv kan reetablere deres systemer.

Alt hvad der kan gå galt, vil på et eller andet tidspunkt gå galt. Vi kan sandsynligvis bagefter finde ud af "hvad det gik galt" og måske endda hvorfor.

Vi kan langt hen af vejen sikre os mod "uheld" ved at designe systemer godt, bygge dem efter designet og drifte dem som beskrevet i driftsmanualer. Men det viser sig alligevel - gang på gang - at der kan gå noget galt.

God historie at hive frem næste gang nogen syntes det er for dyrt at lave en løsning, der kan håndterer Dissaster Recovery.

Hvorfor opdagede det sekundære datacenter ikke bare at det primære var nede, og overtog hele driften?

Har man automatisk failover er en typisk tilgang til dette at man har en tredie site, der har en slags "Observatør" rolle. De 3 sites kan nu kommunikere med hinanden om hvem der er "i live".

Et forsimplet eksempel er på dette er at falder den primære site ud pga. "hedeslag", så holder den op med at kommunikere med de to andre sites og de kan så blive enige om at aktivere standby siten.

Det er lidt mere kompliceret i virkeligheden. F.eks. behøves man ikke at kunne tale direkte med de 2 andre sites. Hvis man mister forbindelsen til en site kan man alternativt prøve at tale med den via den anden site, hvis denne forbindelse stadig virker.

Denne nye opgradering forklarer måske noget jeg har observeret i den sidste tid på mine 2 daglige ture med InterCity tog.

Jeg ser at der konstant er fuld 4G signal på telefonen, men jeg kan nogle gange ikke tilgå internettet alligevel. Dette kan måske skyldes de at de nyligt installerede repeatere vil få telefonerene til at vise fuld signal mens, mens "hullerne" i den rigtige 3G/4G dækning uden for toget gør at der ikke kan modtages/sendes data fra repeaterne og videre til teleselskabet.

Jeg har i afmagt over - den for mig uforståelig situation med fuld signal og "ingen internet" - prøvet at genstarte telefonen fordi jeg tænkte at den var "syg" men lige lidt har det hjulpet. Rart at læse at der måske er en mulig forklaring på mine oplevelser.

Måske andre med dybere teknisk indsigt kan bekræftige om de nye repeatere og den manglende dækning kan give oplevelser som dem jeg har haft.

Enkelte er efter sigende helt døde.

Som person er man normalt død eller levende, med mindre man f.eks. er skindød. Mon ikke der her tales om telefonerne. Det er dog ikke helt oplagt ud fra overskrift og under overskrift at vide om det er de ansatte eller telefonerne der tales om.

Det er jo tandlægernes egne data der evt. er blevet lækket. Så de kan de bare sagsøge deres egen forening og så selv hoste op med erstatning til dem selv. Det er da helt hul i hovedet hvis folk oven i det skal betale bøder for at lække deres egne data. For mig lyder det som noget man kan klare internt blandt tandlægerne.

Kom til at tænke på om det ikke er lidt risikabelt at flyve så relativt hurtigt i en jetstrøm set i forhold til jordens overflade. Måske det er mig der ikke kender nok til jetstrømme, men hvad sker der f.eks. hvis flyet af eller anden grund "falder ud af" jetstrømmen og pludselig flyver med overlydshastighed.

Grunden til at det OK med at anvende en lavere temperatur er, at man opvarmer stegen i lang tid. Bakterierne kan ikke klare 58 grader celsius i f.eks. 5 timer.

Uambitiøs måde at løse problemet med at strande midt på græsplænen på. En anden, og for brugeren mere ligetil løsning, er at "måle løbende" på batteriets tilstand og så køre hjem når det er ved at være slut med den oplagrede energi i batteriet.

Der er vist allerede stof nok til en ny film om Peter Madsen! Denne gang bliver det nok en gyser film!

Som du selv siger så er du i EDB branchen. Vi er sikkert mange herinde der arbejder der. Men der er endnu flere der ikke arbejder i vores branche og "bare" bruger IT som et værktøj. For nogle af dem (måske en del) er EXE filer og makroer tit "en by i Rusland" og de kan være vant til de mange gange skal trykke på "uforståelige" pop up's i løbet af en arbejdsdag for ellers får de ikke gjort deres arbejde.

I bank verdenen er jeg overbevist om, at der alle steder konstant kører kampagner mod at klikke "OK" til at køre EXE file og makroer - hos os gør det i alle tilfælde - men det vil - uanset hvad - bare ske en gang imellem at en kommer til at gøre det.

Vi kan ligeså godt acceptere at dette helt sikkert vil ske. Vores fornemmeste opgave, som dem der arbejder inden for IT branchen, er så at prøve at sætte vores miljøer og systemer op sådan at skaden minimeres. En god backup strategi er selvfølgelig et must, men også hvordan vi bygger på infrastruktur arkitekturen op kan være mere eller mindre hensigtsmæssig. F.eks. er det - ud fra et sikkerhedsmæssigt synspunkt - en rigtig dum ide at have "fællesdrev", da det jo er en effektiv måde at sprede virus rigtig hurtigt på eller få krypteret alle de fælles filer på.

Faktisk syntes jeg at det meste falder tilbage på os IT professionelle. Vi har simpelt hen ikke gjort vores arbejde godt nok - endnu :-).

Mon ikke nogle af de 650000 mails har kunnet filtreres ret hurtig fra, f.eks. alle dem hvor Clintons mail domæne ikke var i mailens metadata. E.v.t har de filtreret sådan at har taget alle mails med hvor Clintons navn var nævnt uanset hvad bare for at være sikker på at de ikke missede noget. Tror at det er ret få af de 650000 mails der har noget som helst med Clinton at gøre.