Casper Thomsen

Danske kommuner fortsætter med Chromebooks: »Det er ikke, fordi vi ikke har forstået alvoren«

https://www.dr.dk/nyheder/seneste/skoleelever-maa-undvaere-chromebooks-ved-skolestart

Eleverne på folkeskoler i Helsingør Kommune tager hul på det nye skoleår uden brug af Chromebook-computere.

Det sker, fordi byrådet ifølge det lokale dagblad sent søndag aften besluttede, at eleverne foreløbig den første uge ikke må bruge computerne udviklet af amerikanske Google.

8. august kl. 09:11
Supersygehus i Skejby får fibernetværk styret med to store switche

noget af udstyret (...) forventer at sidde på et VLAN, som netværksfolkene helst vil undgå at bruge

Hvordan bliver det så løst? Er der faktisk to separate fysiske netværk (ønskværdigt, tænker jeg)?

Må jeg være så fri at spørge om mere "teknisk kød" på historien, eller får vi en follow-up?

30. marts 2016 kl. 09:50
NIST frigiver endelig version af SHA-3

Hvem siger, at de kender saltet?

Det siger Kim Dons Laursen:

Vi leverer hash-værdien, og de kan benyttes som pegepind. Den bliver dels genereret ude i terminalen, og den bliver også genereret, når man opretter sig som bruger hos en udbyder af digitale kvitteringer.

12. august 2015 kl. 15:27
NIST frigiver endelig version af SHA-3

Men det er heller ikke det, som sker. Der laves en SHA-256(kortnummer|salt).

Korrekt. Men det er effektivt det e-kvittering mv. ser, fordi de jo i sagens natur kender salten (eller rettere peberen, når nu det ikke er en unik pr. kortnummer, men én fælles hemmelig). Så e-kvittering mv. kan brute-force'e alle kortnumrene på under et minut. (Outsidere er ikke de eneste angribere der findes.)

De burde have gjort brug af scrypt, bcrypt eller PBKDF2.

12. august 2015 kl. 14:41
NIST frigiver endelig version af SHA-3

Mit svar står såmænd i sætningen lige efter det du hev ud som et citat, nemlig: "SHA-x er hurtig. Hvis databasen lækkes skal det være langsomt at tygge sig igennem dem."

SHA-(2|3) er helt fint til hvad den skal bruges til, men sha256("kodeord") er ikke en acceptabel måde at gemme kodeord på. Brug gerne en times tid på at læse tilfældige kilder på søgestrengen why is sha wrong for password storage.

Eksemplet med sha256(kortnummer) er helt til grin. De første 4 cifre er 4571 (på Visa/Dankort, som er størstedelen af kortene). Derefter 4 som er reg.nr. -- lad os være pessimistisk og antage at 1/10 er brugt. Altså er der 16-4-1-1 = 10 (det sidste "-1" pga. LUHN) cifre at traske igennem. Med en nogenlunde nymodens GPU tager det ikke et minut at have lavet alle 10^10 SHA256-hashes.

12. august 2015 kl. 13:58
NIST frigiver endelig version af SHA-3

Et andet scenarie for brug af kryptografiske hashværdier er lagring af passwords, kortnumre eller andre følsomme oplysninger.

Ved at suse inputtet gennem en kryptografisk hash-algoritme og lagre message-digestet i stedet for det oprindelige input, kan brugerindtastede passwords valideres op mod hash-værdien, selvom passwords ikke ligger i klar tekst. Det kan give et ekstra lag af sikkerhed, såfremt databasen bliver kompromitteret.

Nu skal man passe på hvad der evt. måtte være ment med dette. Men, for en sikkerhedsskyld: Brug ALDRIG SHA-noget-som-helst-hjemmebryg til kodeord eller kortnumre. SHA-x er hurtig. Hvis databasen lækkes skal det være langsomt at tygge sig igennem dem. Brug scrypt, bcrypt, PBKDF2 eller en af vennerne. (Også selvom vi for nylig har hørt at Nets antageligt bruger en enkelt runde SHA-256 når de sender kortnumrene rundt til e-kvittering m.fl. Det. Er. Forkert.) Brug i det hele taget et færdigt lib til kodeord. Du har oddsene meget imod dig for at lave det rigtigt og sikkert.

Ud over at bruge en torx-skruetrækker til at få skruet din torx-skrue i (i stedet for din gode gamle SHA-hamm^Whøvl) så skal der selvsagt saltes og pebres alt hvad den kan trække. (Ja, både en individuel salt på hvert kodeord og en hemmelig salt, også kendt som "peber".)

Tillad mig at opfordre til at være ualmindeligt påpasselig ift. at forklare hvad man kan bruge kryptografiske stumper til.

11. august 2015 kl. 23:02
Stor stigning i hackerangreb mod forældet protokol

... for ikke at nævne muligheden for at sætte en honeypot op.

27. marts 2015 kl. 08:47
S: Terrorangreb i Paris kan åbne for genoptagelse af internetlogning

Så vidt jeg husker har de væsentlig mere omfattende logning i Frankrig. Og det forhindrede jo som bekendt ikke angrebet.

Der er altså ingen evidens for at sessionslogning vil forhindre et angreb som i Frankrig. Tværtom er der evidens for at sessionslogning ikke vil kunne forhindre angreb som i Frankrig.

At bruge angrebet i Frankrig som argument for sessionslogning er absurd.

14. februar 2015 kl. 13:10
Sydbank: Login uden nøglekort er sikkert nok

Differentieret sikkerhed giver fortrinlig mening. Jeg billiger absolut tiltaget med to forbehold:

  1. Det er lavet ordenligt og de tager andre tiltag for at opretholde nogenlunde samme niveau af sikkerhed (eksempelvis holder øje med hvilke IP'er jeg har logget ind fra og kræver nøglekortet, hvis jeg pludselig kommer fra en usædvanlig IP).
  2. Jeg får valgmuligheden for at vælge nøglekortet til.

Hvis man er virksomhed i og bruger netbanken, så har man en meget forskellig selvrisiko ift. en almindelig forbruger. Derfor ville det være oplagt at give virksomheder mulighed for at kræve nøglekort -- også allerede ved login.

20. november 2014 kl. 11:15
Filmfolk: Teleselskaber skal betale 62 millioner kroner til film

"Vi beklager at vi har tjent på at levere jeres indhold til forbrugerne. Det skal vi straks holde op med. Vi har opsat filtre så danskproducerede film ikke længere bliver leveret. Hyg jer ovre på stenen."

... har jeg hørt. Vistnok.

28. august 2014 kl. 21:00
Versionskontrol i undervisningen

Jeg husker at have afholdt et 1-ECTS-kursus i form af en "EDB-introduktion" med 5 kursusgange, hvoraf den tredje havde titlen "Versionsstyring" og bl.a. indeholdt basal SVN og Darcs. Det var tilbage før Git tog førertrøjen. Valget af VCS er underordnet, men overblik over som minimum ét distribueret VCS er vel et rimeligt krav af sådan et "værktøjskursus".

Selv fik jeg introduceret CVS da jeg startede. En introduktion må forventes at være rigeligt til at sætte i gang. Det er trods alt ikke rocket science.

16. juli 2014 kl. 11:01
Indspark: Fremtidens NemID skal lade brugeren være mere anonym

dag er det f.eks således at blonde unge kvinder i langt større grad bliver bedt om at vise ID i nattelivet end alle andre. Gæt selv hvorfor.

Den interessante sammenligning er om blonde unge kvinder i større grad bliver bedt om at vise ID i nattelivet end (a) ikke-blonde unge kvinder og (b) unge mænd. Unge generelt bliver jo bedt om ID oftere, fordi 18-års reglen er mere relevant at kontrollere for unge.

Bortset fra det, så vil det være dejligt om vores stats-ID kan håndtere "gradueret sikkerhed" både mht. log-ind/id og signering. Det er ikke det samme at signere en aftale om netbank som det er at tiltræde skøde. Jeg håber Dansk IT mener at det skal være gradueret generelt, ikke kun mht. id.

1. juli 2014 kl. 09:42
Æblet blev alligevel ramt: Apple patcher for Heartbleed

quote ingen af klientprogrammerne rørte de fejlbehæftede dele af koden så hverken rene desktop instalationer af linux eller android var påvirket.[/quote]

Jeg tror du mangler at kigge på https://github.com/Lekensteyn/pacemaker som udnytter Heartbleed mod OpenSSL klienter.

24. april 2014 kl. 14:28
Hvor er YouSees bøde ?

med de sædvanlige danske takster overfor virksomheder vil den nok ikke være på mere end 1000kr.

Hvis det bare er pr. kunde summer det såmænd også op.

Hvis man kan fastsætte en pris for at en virksomhed sløser ift. persondataloven, så kan man vel også fastsætte en pris for at en virksomhed sløser og giver "fremmede" adgang til dit netværk.

31. marts 2014 kl. 14:06
Nu når Nets er solgt ...

Allerbedst vil det være, hvis en kunde, der skal til at betale, kan se en oversigt over gebyrer ved forskellige betalingsformer, ligesom man kan i mange netbutikker.

Jeg foretrækker personligt at have sammenlignelige priser som er inkl. betalingsgebyr, pakkegebyr og fragt (hvis det er en internethandel jeg foretager) og hvad butikker ellers kunne finde på af spændende udgifter. Alt for udspecificerede priser i forskellige gebyrer og vi ender med samme oplevelse når vi handler i Fakta som når vi køber en rejse hos Ryanair.

Det kan bringe mit pis i kog når jeg er i IKEA og handler i selvbetjeningskassen og først skal vælge hvilket kort jeg vil betale med -- så kig dog på det BIN kortet jeg propper i læseren har ... Men det er måske fordi jeg er varmet godt op efter stroppeturen hen til kassen :-)

Hvis et eller andet kort er ekstra dyrt (eller billigt) kan jeg acceptere at prisen afviger, men det kan jo bare stå på et klistermærke (som det vistnok gør i dag vedr. internationale kreditkort).

26. marts 2014 kl. 11:11
Nu når Nets er solgt ...

I dag skal butikkerne indgå aftale med hver enkelt kreditkortudsteder. (...)

Butikker indgår som udgangspunkt ikke en aftale med en kreditkortudsteder(*), de indgår en aftale med en indløser (Eng: acquirer) -- og den aftale beskriver hvilke "card schemes" (Visa, MasterCard, Diners, JCB, ...) der kan indløses (dvs. laves betalinger via). En kortudsteder er din bank -- som i øvrigt har en aftale med Nets om at Nets udsteder kortene på bankens vegne (og den aftale er vist for nyligt blevet forlænget); eller, sådan er det vistnok for de fleste danske banker.

Det dersens betalingskort-sjov er mere indviklet end man umiddelbart skulle tro -- siger en der har fingrene dybt nede i den slags hos https://www.clearhaus.com.

(*): Hvis en biks laver en MobilPay erhvervsaftale, så indgår biksen en aftale med Danske Bank (antager jeg) og Danske Bank jo kortudsteder (af eksempelvis Visa/Dankort), men det er en lidt anden verden så vidt jeg forstår -- uden at vide ret meget om den tekniske del af MobilePay til erhverv. Og, så ved jeg ikke hvordan det er med forbrugsforeningen.dk som tilbyder et dansk betalingskort.

26. marts 2014 kl. 10:31
Nationalbanken sammenligner værdien af bitcoins med glasperler

Bitcoins er der (som guld) en endelig mængde af.

20. marts 2014 kl. 11:25
Hvilken Linux/BSD distribution anvender du i dag?

Som ved distro forventer jeg det kun er relevant at sætte hak ved ét af tallene/intervallerne.

17. marts 2014 kl. 09:11
Apple retter SSL-sikkerhedshul i OS X

Det er langt fra kun "den dobbeltlinje" der er noget skidt ... http://www.version2.dk/blog/apples-ssl-broeler-56425#comment-266576

26. februar 2014 kl. 13:25
Apple retter SSL-sikkerhedshul i OS X

quote at Apple faktisk er en ret god software virksomhed (...)[/quote] Læs kildekoden. I min bog producerer "en ret god softwarevirksomhed" ikke sådan noget skrammel.

26. februar 2014 kl. 12:37