Kim Schulz

Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

ok jeg bruger nu ellers normalt app, men har da enkelte gange brugt både chip og kode generator. Skal dog altid indtaste password efter brugernavn.

4. oktober kl. 14:01
Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Nu er problemet for mange af dem på borgerservice ikke onboarding men at de ikke har pas, ikke har haft NemID eller at de simpelthen ikke evner at bruge en mobil app (typisk den meget ældre generation). I Vermunds tilfælde er hun ganske velbefaren i IT og mobil i særdeleshed (hendes tilstedeværelse på SoMe vidner herom), så her er der nærmere tale om brok eller simpelthen et mislykket politisk vinklet angreb.

4. oktober kl. 13:59
Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Jeg forstår nok ikke helt "hacket" her, men når jeg skal logge på mitID, så spørger den om brugernavn, så password og så derefter enten app, kodegen, eller chip. Hvordan er det i bypass'er passwordet ?

30. september kl. 08:54
Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Vermund er en joke hvis hun ikke kan finde ud af det. Jeg gjorde det forleden og det tog få minutter alt i alt - det var lettere end nemID hvor man skal vente i en time før man kan færdiggøre aktivering. Havde hun fulgt mitIDs anbefalinger og havde sat sin konto op på en anden device også (eller bestilt en kodegenerator eller chip), så ville det gå endnu lettere og hun ville stort set bare skulle logge ind. MitID er lort på mange måde (især basal sikkerhed som denne artikel afspejler så fint), men deres onboarding er altså rimelig banal og ligetil - især hvis man er villig til at scanne sit pas med mobilen undervejs.

30. september kl. 08:51
DNS anbefalinger 2022

Du skriver du benytter hidden primary DNS, hvilket jeg selv med glæde har benyttet hos gratisDNS. Men det var lidt uklart for mig hvem du benytter som udbyder at din primary nu? (kan være det bare er det nye, meget lidt læsevenlige v2 design der gør det uklart for mig).

24. marts kl. 19:23
RIP GratisDNS Tak for mange gode år

Understøttes der hidden primary dns hos simply? Det har jeg været utrolig glad for hos gratisdns da det giver mig fuld kontrol via min egen ns server

2. februar kl. 20:28
Den nye cyber-strategi er en ommer

Jeg læste jeres kronik dengang og den var ganske udemærket - det er dette blogindlæg ikke. Du kunne have nøjes med at skrive "det er noget makværk" og så var indholdet det samme. Det er DET jeg klandrer dette blogindlæg for. Du kommer med et udsagn og følger det ikke op. Hvad er makværket? hvordan kunne det konkret have været bedre? Det er den slags der er interessant for læserne her på V2 - ellers kunne det ryge på EBs Nationen hvor niveauet er "jeg synes det er noget lort". Du er eksperten som afsender dette, så opfør dig som en.

Man kan ikke leve højt på en år gammel kronik, for denne branche er altså langt videre siden da (også selv om regeringens strategi ligner noget der er 10år for sent på den).

Her er nogle konkrete og simple forbedringsforslag som du kunne være kommet med (alle udsprunget af mangelfuldt indhold i den nye strategi):

  • undervisning i cybersikkerhed og færden på nettet i folkeskolen skal ikke varetages af den almindelige lærer men af et uddannet, nationalt, fagpersonale der rent faktisk forstå det materiale der er på området. Det skal være tvungen undervisning fra 2-3 klassetrin og op gennem alle klassetrin.
  • Der skal ses på lovgivningen og strafferammerne for cyber-relateret kriminalitet så også dette er bedre dækket. Den nuværende mangelfulde dækning i f.eks. post og telegraf lovens brevhemmelighed skal udvides så den bedre dækker den digitale tidsalder.
  • Der skal være mere fokus på krypteret og sikker kommunikation frem for den nuværende linje hvor det hele helst skal være ukrypteret så alle let kan "lytte" med.
  • Danmarks "ledelse" (regering, embedsværk, folketingets medlemmer mm) skal være underlangt langt strengere krav til sikkerhed end i dag. Der skal etableres flere aflytningssikrede rum, telefon (både tale og skrift) skal ske via 100% krypterede linjer og al dataopbevaring (journaliseret data mm) skal være varetaget på dansk jord af danske instanser.
  • De danske cyber-forsvars instanser skal underlægges skærpet kontrol for at sikre de danske borgeres rettigheder såvel som at sikre at de varetager landets bedste ud fra de givne ressourcer.

Dine kritikpunkter og ideer til forbedringer er uden tvivl nogle andre og netop derfor havde de været relevante at nævne her og ikke blot spilde læsernes tid.

21. december 2021 kl. 11:17
Den nye cyber-strategi er en ommer

Man plejer at sige at "det er nemt at kritisere andre, hvis man ikke selv laver noget". Det ville klæde dette blogindlæg umådeligt meget, hvis hr Foley rent faktisk kom med konkrete forslag til forbedringer i stedet for tom kritik.

Er det noget makværk de har lavet? uden tvivl! Er den nye strategi værre end de tidligere? nææe egenligt ikke! Er det noget der let kan gøres bedre? Ganske givet hvis man sidder med ved det bord, så hvorfor gjorde hr Foley ikke noget ved det dengang hvor han havde muligheden sammen med CFCS?

21. december 2021 kl. 10:02
Cyberlandsholdet nummer fem ved EM

virker typisk kun hvis man kender til den skrifttype der er benyttet, hvilket er tilfældet med f.eks. nummerplader. Derimod er det langt mere vanskeligt at depixelate fotos af ansigter osv.

7. oktober 2021 kl. 12:57
Dansk hacker finder mystisk bug i moderne Iphones

Med lidt hurtigt disassembling og debugging så kan det ses, at følgende kodeblok giver fejlen:

  1. v27 = sub_1000A25D4(v21);
  2. v28 = objc_msgSend(
  3. &OBJC_CLASS___NSString,
  4. "stringWithFormat:",
  5. CFSTR("Attempting Apple80211AssociateAsync to %@"),
  6. v27);
  7. v29 = objc_msgSend(&OBJC_CLASS___NSString, "stringWithFormat:", CFSTR("{ %@+} %@"), CFSTR("ASSOC"), v28);
  8. v30 = objc_autoreleasePoolPush();
  9. v31 = (void *)qword_100251888;
  10. if ( qword_100251888 )
  11. {
  12. v32 = objc_msgSend(v29, "UTF8String");
  13. objc_msgSend(v31, "WFLog:message:", 3LL, v32);
  14. }
  15. objc_autoreleasePoolPop(v30);

Navnet klaskes på enden af en format string og forsøges at blive brugt ifm skrivning til log. Rimeligt klassisk format-string bug og noget Apple helt klart burde have fanget.

22. juni 2021 kl. 18:04
Hackergruppe advarer danske journalister: I afslører jeres børns CPR-numre

Det oplevede jeg da jeg gik på DTU. Alle eksamensresultater blev hængt op på grædemuren på Sletten og de var alle påført CPR nummer. Det fik de vist heldigvis rettet et par år efter

7. juni 2021 kl. 08:35
Så fik EU også nok: Kræver masterkeys til end-to-end krypto

Du glemte: "... med dommerkendelser."

Du glemte: Hovsa, FE kom til at kigge med i en masse danskere rådata uden dommerkendelse og kan slippe afsted med det. Du glemte: Hovsa, Politiet har haft fri adgang til et hav af ulovligt logget teledata uden dommerkendelse - de skulle bare bede om det.

Du glemte...

Din Escrow løsning er kun brugbart hvis man har 100% tillid til systemet. Det har vi historisk haft i Danmark og det har de senere år vist sig at være en fejl. Hvordan ser det mon ud i andre lande hvor de i forvejen ikke har tillid til systemet?

Der er i dag 2 miliarder brugere af whatsApp. Hvor mange af dem tænker du der er terrorister/forbrydere som benytter det som kommunikationsvej? Skal vi gætte på 0.0001 promille? Så nu vil de gerne åbne en kattelem til alle brugernes kommunikation for at gøre det muligt (med dommerkendelse som du siger) at få adgang til kommunikationen af disse 0.0001promille? I min verden giver det ingen mening overhovedet.

9. november 2020 kl. 15:04
Professor: Teleselskaberne kan stoppe ulovlig logning af danskerne - hvis de vil

Jeg talte med 3's databeskyttelses afdeling som står for logning hos dem og det korte af det lange var, at de tør ikke gøre noget ved det og at teleindustrien (TI - brancheforeningen) har bedt dem om at blive ved. Ser dog også ud til at TI er begyndt at se at der er problemerhttp://www.teleindu.dk/logningsreglerne-bor-aendres/

5. november 2020 kl. 09:06
Over 300.000 har downloadet “smittestop”

Sjovt. Forskning på området fra bl.a. Teknisk universitet i München har via simulering vist at vi skal op på at næsten 80% af befolkningen skal have app for at den giver en reel virkning. Det er altså blot 3.7mio der mangler at downloade (hvis vi holder det i runde tal).

22. juni 2020 kl. 10:55
Usikkert dansk plugin: 20.000 danske webshops lader kunders kortdata køre gennem egne servere

Jeg har selv været aktiv bruger af yourpay til flere projekter og kan godt huske nogle "udfordringer" i de tidlige dage. Men kigger jeg på koden til det nuværende plugin, så benytter den sig af en indlejret iframe der poster kort info direkte til yourpays servere via deres api og javascript:

  1. function submityourpayform(clsbtn) {
  2. $.ajax({
  3. type: 'POST',
  4. url: 'https://webservice.yourpay.dk/httpd.php?json=1',
  5. crossDomain: true,
  6. data: { "function": "TransactionTokenGenerate" },
  7. dataType: 'json',
  8. success: function(responseData, textStatus, jqXHR) {
  9. transactiontoken = responseData.Token;
  10. respondtoken(transactiontoken);
  11. $("body").prepend("<div class='yourpayoverlay'></div>").addClass('cover');
  12. $(".yourpayoverlay").addClass('cover');
  13. $(".yourpayoverlay").before("<div class='yourpay iframeview'></div>");
  14. $(".yourpay.iframeview").before("<div class='yourpay closebutton'><img src='" + clsbtn + "'></div>");
  15. $(".yourpay.iframeview").append("<iframe src='https://payments.yourpay.se/betalingsvindue_cardtype.php?paymenttoken=" + transactiontoken + "&" + $(".yourpay_form").serialize() + "'>");
  16. $(".yourpay.closebutton").css("margin-left", (($(".yourpay.iframeview").width()/2)-24));
  17.  
  18. $(".yourpay.closebutton").click(function() {
  19. .......

Der laves derfra et callback der fortæller om betaling er gået godt, transaction ID mm. Så vidt jeg husker giver den også nogle anonymiserede kort-data tilbage til webshoppen således at der kan laves en "ønsker du at benytte samme kort 1234 1234 1234 XXXX som sidst" for kunder der har oprettet en bruger. Disse kommer ganske rigtigt via en GET.

16. marts 2020 kl. 20:52
Kritisk Android Bluetooth-fejl kan udnyttes uden brugerinteraktion

Der er en aftale mellem google og producenter om at de skal udsende opdateringer i 2 år. Det svarer til at man kan gå fra Android P til android Q og få de opdateringer der kommer i dens levetid. Det er normalt svært at får 3 generationer af Android til at køre på samme gamle hardware (2år er gammelt i denne verden) og du kan så overveje om du helst vil have de bruger en masse tid på at få lavet en middelmådig løsning til gamle telefoner eller om de hellere skal se på innovation og fremtidssikring af systemet.

4. marts 2020 kl. 08:45
12 forskellige svagheder gør millioner af Bluetooth-enheder sårbare

Det er værd at nævne at der er tale om implemenatationsfejl i kode fra specifikke chip producenter og ikke en fejl i bluetooth som sådan.

19. februar 2020 kl. 18:42
Kasper opdagede sikkerhedshul i Bluetooth: »I princippet kunne man angribe fra over en kilometers afstand«

Ved ikke helt om det er Kasper eller journalisten der forsøger at blæse dette op til noget helt vildt og få det til at lyde som at enhver let kan lytte med på en bluetooth forbindelse.
En angriber skal indenfor et utroligt lille tidsvindue formå at:

  • se at en forbindelse er ved at blive oprettet
  • blokkere en besked fra den ene side
  • erstatte det blokerede besked med en anden besked hvor keysize er lavere
  • sørge for at ingen af siderne opdager det

Herefter skal angriberen bryde krypteringen på forbindelsen (tager tid selv om entropi er lavere) imens forbindelsen stadig er kørende. Efter endt forbindelse skal angriber nemlig starte forfra igen.

Det er også langt fra alle devices derude der har problemet. Der er rigtigt mange producenter af BT chips som har dette konfigurerbart i controlleren imens andre slet og ret går mod bagudkompatibiliteten og ikke tillader de lave keysizes. For det er nemlig grundet bagudkomaptibilitet at man har valgt at have support for den lavere keysize - netop fordi en del gamle devices stadig benyttede den lille keysize.

Hvis man kender lidt til radiobølgers udbredelsestid, så ville man hurtigt kunne gennemskue at en større antenne stadig ikke ville kunne gøre dette angreb muligt over flere km afstand (eller sågar blot 500m afstand). Timingen i keynegotioation er simpelthen for stram til at beskederne vil kunne nå at bevæge sig frem og den afstand og angrebet så stadig vil kunne lykkes.

Tænker forøvrigt at Kasper skal læse det fint gennemarbejdede svar han fik fra Bluetooth SIG, hvis han mener at de var overraskede over "hvordan det virkede" (læs: det var de ikke - de var højest forundret over at der stadig eksisterede nyere controllere som fortsat havde problemet).

KNOB CVSS score er 4.8, svarende til den lave ende af "medium" (https://www.first.org/cvss/specification-document)

19. september 2019 kl. 09:04
Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

kig på onlykey.io som netop gør det du forespørger. Den kan huske passwords, være yubikey, otp og et hav af andre ting. alt sammen i en yders sikker inpakning af tamper-resistent elektronik og højt niveau af crypto. Der er pinkode på når du sætter den i din enhed og du kan sætte timeout for hvornår den låser igen. Næste generation kommer med NFC også (men så er pin ikke muligt for den løsning)

12. september 2019 kl. 23:32
Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

at det så ofte virker sådan rent teknisk og den ikke godkender de koder man får, er en anden sag.

12. september 2019 kl. 23:27