Martin Clausen

CFCS advarer: Mangel på arbejdskraft er en trussel mod dansk it-sikkerhed

Jeg er grundlæggende uenig i præmissen om manglen på (kvalificeret) arbejdskraft. Jovist, indenfor visse områder mangler der helt sikkert specialister, men overordnet findes der mange andre muligheder, der af politiske årsager ikke forfølges. Her tænker jeg specielt på samkøring af systemer (hvorfor skal alle køre deres egne systemer) samt rent faktisk at følge best-practice. De fleste leverandører offentliggør helt gratis masser af anbefalinger og best-practices, men mange følger dem ikke, hvorfor? Der er ikke brug for flere anti-{phishing, malware , NG-AI-xyz} produkter, men at virksomheder implementerer en mere robust arkitektur. Kritiske systemer må simpelhent ikke være sårbare overfor en simpel phishing mail. Arkitekturen skal kunne håndtere dette.

27. september kl. 14:40
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Aula bruger også Google (Firebase), der er vel samme udfordringer.

7. september kl. 19:19
Rapport: Syv ud af ti nordiske it-virksomheder mangler kvalificerede sikkerhedsfolk

Der er klart en mangel på dygtige specialister indenfor for specifikke områder.

Men den største udfordring er faktisk, at IT folk generelt ikke følger best-practice og anbefalinger - som alle leverandører mv. løbende frigiver og opdaterer. Så det er ikke fordi viden ikke findes, den bruges bare ikke.

8. januar 2020 kl. 10:16
CFCS indkalder telebranchen til »konstruktiv snak« efter sim-kort-afsløringer

Og jeg troede ellers at CFCS var tilsynsmyndighed på området...

23. september 2019 kl. 20:20
Danske banker tvinges nu til at gennemgå omfattende it-sikkerhedstjek

Der har vist sneget sig et par faktuelle fejl ind i denne artikel. Så vidt jeg ved, så er det fx helt frivilligt at deltage i testen.

8. august 2019 kl. 13:32
Bjarne Corydon: Kunstig intelligens får enorm betydning for de danske samfund

Et første skridt kunne være automatisering af konsulent rapporter. Min vurdering er, at der er en rigtig god business case i at erstatte rapporter fra McKinsey & Company med AI, Big Data samt ikke mindst http://www.itu.dk/people/sestoft/center.html:

Omstillingspotentiale: Hvis man justerer ordforrådet og tilpasser lix-tallet, kan rapportgeneratoren formentlig bringes til at generere evalueringsbilag, høringssvar, strategiplaner, kvalitetsudviklingsrapporter, essays om postmodernisme, OL-reportager og lignende dokumenter.

:-)

27. april 2017 kl. 14:47
Banker går glip af cloud-effektiviseringer: »Finanstilsynet må følge med«

Der er en del deltajer omkring DNB's godkendelse og forbehold, som i ikke har fået med. Det er lidt mere kompliceret end som så.

12. oktober 2016 kl. 14:22
Sikkerhedshuller i 92 procent af Cisco-enheder på internettet

Ville være super hvis i generelt kunne linke til jeres kilder.

22. januar 2016 kl. 12:28
OpenSSL er død, længe leve LibreSSL

Ja, det er ikke så mærkeligt man kan opnå det, for et bibliotek som OpenSSL er det jo netop vigtigt, at operationer tager samme tid uafhængigt af, hvad fx din nøgle er.
Da det ellers åbner mulighed for timing-attacks.

Tiderne er skam helt sammenlignelige, som fx en RSA-SHA1-PKCS1 signatur med en 2048 bit nøgle m/u CRT af en 1024 byte buffer m/u blinding. Kommentaren går på, at man i visse dele af OpenSSL har fokuseret mere på asm optimeringer end algoritmiske. Compilerne har jo også udviklet sig siden 1998 og er blevet væsentlig bedre til at generere kode. Dermed selvfølgelig ikke sagt, at man ikke kan hente noget med asm. Men det skal ses i sammenhæng med mange andre faktorer. Your mileage may vary.

22. april 2014 kl. 22:23
Ny open source SSL-løsning klar efter Heartbleed-skandalen: OpenBSD-folk lancerer LibreSSL

Ja, samt en masse andre implementeringer.

I forhold til PolarSSL, så fejler denne i andre sammenhænge - se fx "Using Frankencerts for Automated Adversarial Testing of Certificate Validation in SSL/TLS Implementations".

Faktum er at der til stadighed findes fejl i de forskellige implementeringer. Derfor er review og test et kritisk element i udviklingsprocessen.

22. april 2014 kl. 13:19
It-chefer skal ikke frygte døden …

Et relativt unuanceret indlæg, der over en bred kam sammenligner æbler med pærer. Hvad er bedst: Windows eller Linux? Det kommer an på...

Kan man også sammenligne madvarer på denne måde? Er Netto's discount produkter sammenlignelige med friske råvarer fra køkkenhaven tilberedt i ens eget serverrum^^^køkken? Det kommer vel an på...

Den store (og spændende!) udfordring i dag er, at finde det rette miks af egne løsninger og cloud løsninger i forhold til ens virksomhed. At tro at cloud løser alle udfordringer er naivt.

16. december 2013 kl. 22:31
NSA kortlægger internettet via servere i dansk datacenter

Er det ikke lige præcis derfor USA vedtog PATRIOT Act? Denne lov angiver bl.a. at udenlandske datterselskaber til amerikanske firmaer, som fx CSC DK, har pligt til at udlevere oplysninger til "nationens sikkerhed". Udenlandsk lov kommer så i anden rækkefølge - jeg antager USA ikke går så meget op i den danske persondatalovgivning.

25. november 2013 kl. 09:48
Opråb: Hvorfor bruger danske banker ikke nem og effektiv phishing-beskyttelse?

Der skal, som regel, mere end bare et par "enkelte DNS-ændringer" til.

DMARC består af SPF og DKIM. SPF kan konfigureres DNS, men det kan DKIM ikke. DKIM kræver at den (eller de) udgående mail servere påtrykker alle mails en digital signatur. Den offentlige nøgle distribueres via DNS. Og det er, desværre, ikke alle mail servere, der understøtter DKIM (nogle understøtter fx kun den gamle DomainKeys standard, andre slet ikke noget).

Hvis man i stedet bruger en cloud leverandør, som fx Google, så er det relativt nemt at implementere DMARC (NSA^^^Google passer forhåbentlig godt på den private nøgle). Hvis man bruger fx Office 365, så kan man kun implementere SPF.

Men en ting er at implementere DMARC, en anden ting er at få folk til at håndhæve reglerne (dvs. modtagerne skal også gøre brug af standarden)...

Men målet og gevinsten ved DMARC er vi naturligvis ikke uenige om :-)

8. november 2013 kl. 11:47
Efterretningstjenester bandlyser Lenovo-pc'er: De rene spionmaskiner

For at citere Peter Gutmann:

And while you're lying awake at night worrying whether the Men in Black have backdoored the CPU in your laptop, you're missing the fact that the software that's using the random numbers has 36 different buffer overflows, of which 27 are remote-exploitable, and the crypto uses an RSA exponent of 1 and AES-CTR with a fixed IV.

30. juli 2013 kl. 21:10
NSA overvåger telekommunikation i hele verden

Sætter lidt perspektiv på TDC's planer om at outsource til Huawei (uanset om Huawei lufter muligheden for et udviklingscenter i Danmark #salgsteknik).

9. juli 2013 kl. 09:25
Trods opdatering: Sikkerhedsfirma advarer stadig mod Java i browseren

For langt størstedelen af brugerne byder Java ikke på noget funktionalitet ud over NemID.

Der er sikkert heller ikke så mange som kører Secunia's Online Software Inspector (OSI), der som bekendt også kræver Java.

14. januar 2013 kl. 13:48
Den feudale IT-sikkerhed er på retur

Jeg er helt med på udfordringerne, men hvordan vejes dette op i forhold til fx lovgivningen mv.? Hvordan beskytter fx Roskilde Kommune personfølsomme oplysninger: er det helt op til brugerne? Og hvad vil der ske skulle noget "gå galt"?

Andre typer af virksomheder ligger under andre former for krav til compliance.

9. januar 2013 kl. 12:32
Netflix: Her er de sløveste danske internetudbydere

... 30 millioner skandinaviske Netflix-brugere ...

Imponerende antal nordiske brugere alt taget i betragtning? ;-)

20. december 2012 kl. 12:20
Ny trussel:Krypteringen i SSL/TSL-protokollen kan brydes på 10 minutter

Dette angreb er ikke rettet mod AES men mod block ciphers (herunder også fx DES og 3DES) i CBC mode - mere specifikt SSL protokollens brug af initialization vectors (IV). Da stream ciphers som fx RC4 typisk ikke benytter sig af initialization vectors / CBC, men bare benytter ren XOR, er de umiddelbart ikke berørt.

26. september 2011 kl. 21:09
Sikkerhedsekspert: Håbløst at basere NemID på Java

Sjovt nok benytter Secunia selv Java til deres Secunia Online Software Inspector (OSI).

15. juli 2011 kl. 10:53