Asger Solvang

Nu forklarer Nets sig: Rod-certifikat står bag stort database-nedbrud

Jeg er jo ikke ekspert, men umiddelbart vil jeg mene at rodcertificater ikke er noget man bare genudsteder. Hvis de er udløbet, så vil ingen af de certificater der er signet af dem nogensinde kunne virke igen. Går ud fra at de signede certificater, der ikke virker, i sidste ende er f.eks. vores centralt opbevarede NemID certificater. Åbenbart ikke alle, da de benytter flere rodcertifcater.

De har vel så lavet nye rodcertificater, i stedet for dem der er udløbet, og er måske i gang med den store opgave at lave nye NemID certificater til alle der berørt af udløbne rodcertificater.

Eller er der nogen sikkerhedseksperter der kan forklare hvordan det muligvis kan hænge sammen.

24. juni kl. 17:26
Farvel til GratisDNS og Gratis Google GSuite

Håber det passer. Det bliver virkelig rart hvis vi kan få fjernet "pistolen for panden".

19. maj kl. 06:33
Professor: Formålet med MitID er ikke kommunikeret klart nok  (DigiTech)

Ja det kan man. Jeg havde ikke noget pas, da jeg ikke har haft behov for at komme til udlandet de sidste par år. For at få MIT-ID så booker man en tid hos kommunen - jeg skulle afsætte 1/2 time. Man møder op - efter et par ugers ventetid - og herefter bliver man udspurgt om hvornår du flyttede til nuværende adresse, hvad din mors gamle efternavn er o.s.v. indtil de virkelig tror på at man er den man er. Derefter opretter man så sammen med medarbejderen MitID. Det skalerer slet ikke!

4. april kl. 16:49
Professor: Formålet med MitID er ikke kommunikeret klart nok  (DigiTech)

Ja det kan man. Jeg havde ikke noget pas, da jeg ikke har haft behov for at komme til udlandet de sidste par år. For at få MIT-ID så booker man en tid hos kommunen - jeg skulle afsætte 1/2 time. Man møder op - efter et par ugers ventetid - og herefter bliver man udspurgt om hvornår du flyttede til nuværende adresse, hvad din mors gamle efternavn er o.s.v. indtil de virkelig tror på at man er den man er. Derefter opretter man så sammen med medarbejderen MitID. Det skalerer slet ikke!

4. april kl. 16:49
Professor: Formålet med MitID er ikke kommunikeret klart nok  (DigiTech)

Ja det kan man. Jeg havde ikke noget pas, da jeg ikke har haft behov for at komme til udlandet de sidste par år. For at få MIT-ID så booker man en tid hos kommunen - jeg skulle afsætte 1/2 time. Man møder op - efter et par ugers ventetid - og herefter bliver man udspurgt om hvornår du flyttede til nuværende adresse, hvad din mors gamle efternavn er o.s.v. indtil de virkelig tror på at man er den man er. Derefter opretter man så sammen med medarbejderen MitID. Det skalerer slet ikke!

4. april kl. 16:49
Fyret medarbejder i amerikansk kreditforening ødelægger 21 gigabyte data som hævn

Det at de anvender "fælles fil systemer" viser at de ikke tager sikkerhed særligt seriøst. Troede slet ikke man gjorde sådan noget i dag når vi taler om lidt større firmaer. Ud over den "sure medarbejder", så vil en evt. "Ransomware" virus have frit spil på et sådant fælles fil system. Måske det her er et sidste "wake up call" til firmaet inden det går helt galt.

8. september 2021 kl. 17:49
Efterretningstjenester advarer om månedlang russisk hackerkampagne

Hvis man kan tilgå "vigtige" systemer vha. et enkelt password, så har systemet vel de sidste par år pr. definition ikke været beskyttet ordentligt.

Alle vigtige systemer skal i dag minimum have 2-faktor godkendelse. Hvem ved måske vi også snart skal op 3-faktor godkendelse for at følge med i forhold til det stigende trusselsbillede fra nord/syd/øst/vest.

Selv min "ligegyldige" private google mail har 2-faktor godkendelse.

Jeg ville nok bruge mit krudt på, at få dem der leverer vigtige systemer, til at sikre at der altid bruges 2 faktor godkendelse.

Når ens password så før eller siden bliver komprimiteret, er det ikke i sig selv nok til, at få adgang til et vigtigt system beskyttet af passwordet.

5. juli 2021 kl. 17:03
Nationalbanken afviser alt i egen nyhed

Jeg har stor forståelse for at folk syntes det må være en katastrofe at Solarwinds software har siddet i Nationalbankens net og "kaldt hjem" for at få instruktioner til at hente malware ned til banken og eksekvere det.

Nu ved jeg ikke hvordan Nationalbanken infrastruktur er bygget op, men er den kastet ind med en skovl, så vil jeg også være meget nervøs ved at Solarwinds software har været kompromiteret.

På den anden side, har Nationalbanken tænkt sikkerhed "rigtig" ind i infrastrukturen, så vil de have sørget for, at fordi et enkelt lag af sikkerhedsstrukturen er blevet skrællet af, så er det ikke nok til at kompromiterer essentielle systemer i banken og så er jeg knap så nervøs.

Når man taler om sikkerhed handler det om at acceptere at nogle af ens sikkerheds foranstaltninger på et tidspunkt vil blive kompromiteret. Derfor er det nødvendigt at have flere lag af sikkerhed. På den måde kan en "ubuden gæst" ikke nøjes med at komme igennem kun et lag af sikkerhed for at få fat i "gevinsten".

Der er mange måder man kan bygge flere lag af sikkerhed ind i sin infrastruktur. F.eks. vil man typisk lave netværks segmentering og sætte alle systemer på deres egen lille netværks ø og så have firewall's mellem de netværks segmenter, der har brug for at kommunikere med hinanden. Endvidere kan man også have firewall aktive på de enkelte servere, man måtte have, så man er dobbelt sikret. Alting handler om at bygge så mange lag ind som man finder nødvendig for at minimere risikoen for kompromitering af alle sikkerheds lag. Typisk vil man sikre de mest sensitive systemer mest.

Problemet i denne diskussion er at vi aldrig får at vide hvordan Nationalbanken har prøvet at sikre sig, fordi den slags information er ikke noget man ligger frit frem. Det kan altså være at Nationalbankens infrastruktur er hullet som en si, men det kan også være de har bygget tingene med omtanke og professionel hjælp og f.eks. har placeret Solarwinds komponenten på servere på en netværks ø uden adgang til andet en hvad den har brug for at gøre sit arbejde.

1. juli 2021 kl. 16:14
Slagteri-giganten JBS betalte løsesum på 11 millioner dollars efter ransomware-angreb

AK Techotel https://techotel.dk/driftinfo der leverer løsninger til Hotel drift i Norden er også blevet ramt. De har også valgt at punge ud til de kriminelle, da de åbenbart heller ikke selv kan reetablere deres systemer.

10. juni 2021 kl. 15:52
Stort datacenter i Østfrankrig brænder ned: Millioner af hjemmesider påvirket

Alt hvad der kan gå galt, vil på et eller andet tidspunkt gå galt. Vi kan sandsynligvis bagefter finde ud af "hvad det gik galt" og måske endda hvorfor.

Vi kan langt hen af vejen sikre os mod "uheld" ved at designe systemer godt, bygge dem efter designet og drifte dem som beskrevet i driftsmanualer. Men det viser sig alligevel - gang på gang - at der kan gå noget galt.

God historie at hive frem næste gang nogen syntes det er for dyrt at lave en løsning, der kan håndterer Dissaster Recovery.

11. marts 2021 kl. 16:01
Derfor bragede NemLog-in ned trods failover: Host forsøgte at bruge forkert storage

Hvorfor opdagede det sekundære datacenter ikke bare at det primære var nede, og overtog hele driften?

Har man automatisk failover er en typisk tilgang til dette at man har en tredie site, der har en slags "Observatør" rolle. De 3 sites kan nu kommunikere med hinanden om hvem der er "i live".

Et forsimplet eksempel er på dette er at falder den primære site ud pga. "hedeslag", så holder den op med at kommunikere med de to andre sites og de kan så blive enige om at aktivere standby siten.

Det er lidt mere kompliceret i virkeligheden. F.eks. behøves man ikke at kunne tale direkte med de 2 andre sites. Hvis man mister forbindelsen til en site kan man alternativt prøve at tale med den via den anden site, hvis denne forbindelse stadig virker.

10. september 2019 kl. 22:24
Helium-lækage på sygehus fik de ansattes Apple-enheder til at svigte

Enkelte er efter sigende helt døde.

Som person er man normalt død eller levende, med mindre man f.eks. er skindød. Mon ikke der her tales om telefonerne. Det er dog ikke helt oplagt ud fra overskrift og under overskrift at vide om det er de ansatte eller telefonerne der tales om.

2. november 2018 kl. 06:59
Alvorligt persondatabrud: Datalæk afslører alle medlemmer af Tandlægeforeningen

Det er jo tandlægernes egne data der evt. er blevet lækket. Så de kan de bare sagsøge deres egen forening og så selv hoste op med erstatning til dem selv. Det er da helt hul i hovedet hvis folk oven i det skal betale bøder for at lække deres egne data. For mig lyder det som noget man kan klare internt blandt tandlægerne.

1. juni 2018 kl. 21:41
BEC - Bankernes EDB Central - ramt af angreb med ransomware

Som du selv siger så er du i EDB branchen. Vi er sikkert mange herinde der arbejder der. Men der er endnu flere der ikke arbejder i vores branche og "bare" bruger IT som et værktøj. For nogle af dem (måske en del) er EXE filer og makroer tit "en by i Rusland" og de kan være vant til de mange gange skal trykke på "uforståelige" pop up's i løbet af en arbejdsdag for ellers får de ikke gjort deres arbejde.

I bank verdenen er jeg overbevist om, at der alle steder konstant kører kampagner mod at klikke "OK" til at køre EXE file og makroer - hos os gør det i alle tilfælde - men det vil - uanset hvad - bare ske en gang imellem at en kommer til at gøre det.

Vi kan ligeså godt acceptere at dette helt sikkert vil ske. Vores fornemmeste opgave, som dem der arbejder inden for IT branchen, er så at prøve at sætte vores miljøer og systemer op sådan at skaden minimeres. En god backup strategi er selvfølgelig et must, men også hvordan vi bygger på infrastruktur arkitekturen op kan være mere eller mindre hensigtsmæssig. F.eks. er det - ud fra et sikkerhedsmæssigt synspunkt - en rigtig dum ide at have "fællesdrev", da det jo er en effektiv måde at sprede virus rigtig hurtigt på eller få krypteret alle de fælles filer på.

Faktisk syntes jeg at det meste falder tilbage på os IT professionelle. Vi har simpelt hen ikke gjort vores arbejde godt nok - endnu :-).

24. februar 2017 kl. 22:37
FBI renser Clinton: Dropper undersøgelse af nye e-mails

Mon ikke nogle af de 650000 mails har kunnet filtreres ret hurtig fra, f.eks. alle dem hvor Clintons mail domæne ikke var i mailens metadata. E.v.t har de filtreret sådan at har taget alle mails med hvor Clintons navn var nævnt uanset hvad bare for at være sikker på at de ikke missede noget. Tror at det er ret få af de 650000 mails der har noget som helst med Clinton at gøre.

7. november 2016 kl. 20:35
3½ times data er gået tabt i Salesforce-nedbrud

De har muligvis et setup hvor de tager løbende "rigtig" database backup med et antal timers interval. Samtidig laver de disk replikering mellem 2 sites for at sikre at man kan starte op et andet sted hvis en site ryger ned. Desværre har fysisk disk replikering den uheldige egenskab at den også kopierer de korrumperede data med over. Pludselig har man så 2 ødelagte datasæt og skal hente den sidste "rigtige" backup ind. Ved sådan en operation vil man altid miste data, da backup pr. definition er "gamle". Spørgsmålet er kun hvor meget data man mister. Her var det så 3 1/2 time! Løsningen er at lave database replikering, da det foregår på et andet lag, hvor korrumperinger i filsystemet ikke slipper med over.

13. maj 2016 kl. 17:57
Periodekort på rejsekort udskudt til næste år

Ja det er simpelt med "papkortet". Men hvis man så en dag f.eks. skal en zone længere, skal man vel hoppe ud af tog/bus og checke ind på sit rejsekort lige før man forlader de zoner Pendlerkortet dækker - ikke særlig optimalt hvis man f.eks. er lidt skidt gående.

Er ikke helt sikker på hvad problemet er med at beregne en fælles pris hvis man kombinerer Pendlerkort og Rejsekort. Men er der ikke noget med at det faktisk er den enkelte stander, der evt. kan være offline feks. i en bus, som beregner slutprisen. Skal det derfor gøres simpelt for brugerne kræver det vel at den enkelte stander har alle oplysninger om den enkelte brugers pendlerkort, for at den kan beregne prisen og trække det korrekte beløb på rejsekortet.

For mig virker det som om man har valgt en ufleksibel arkitektur, der ikke muligør fleksibel afregning af ture.

19. august 2014 kl. 18:06
Periodekort på rejsekort udskudt til næste år

Ja det er simpelt med "papkortet". Men hvis man så en dag f.eks. skal en zone længere, skal man vel hoppe ud af tog/bus og checke ind på sit rejsekort lige før man forlader de zoner Pendlerkortet dækker - ikke særlig optimalt hvis man f.eks. er lidt skidt gående.

Er ikke helt sikker på hvad problemet er med at beregne en fælles pris hvis man kombinerer Pendlerkort og Rejsekort. Men er der ikke noget med at det faktisk er den enkelte stander, der evt. kan være offline feks. i en bus, som beregner slutprisen. Skal det derfor gøres simpelt for brugerne kræver det vel at den enkelte stander har alle oplysninger om den enkelte brugers pendlerkort, for at den kan beregne prisen og trække det fra rejsekortet.

For mig virker det som om man har valgt en ufleksibel arkitektur, der ikke muligør fleksibel afregning af ture.

19. august 2014 kl. 18:02
Ohøj, Nets! 36 nye Java-opdateringer på vej

Som der står i en af Jespers henvisninger så er et af de store problemer at mange kører på gamle usupporterede versioner af Java. Når nye patches releases til de nye versioner af Java så kan man i mange tilfælde bruge oplysniger i patchen til at lave angreb på de gamle versioner.

På samme måde vil Microsoft XP blive ramt af samme type problem når den nu snart bliver usupporteret. Hvis folk ikke opdaterer til en nyere version af Windows vil vi se en masse angreb på Windows XP.

14. januar 2014 kl. 08:02
Fire mænd anholdt for NemID-angreb

Jeg tror ikke at de udenlandske "forbrydere" er så interesserede i at lave DDoS på NemId, da de jo ikke har nogen vinding ud af det. Sandsynligvis skal de fleste "forbrydere" nok findes indenlands blandt alle de personer der af den ene eller anden grund har set sig sure på NemId og vil markere deres utilfredshed.

7. juni 2013 kl. 13:34