Andrew Rump

Sikkerhedsforsker: »En false flag-teknik behøver ikke være perfekt for at være effektiv«

Kan ikke finde dem på nettet, men når redaktionen har dem, så er de ikke helt utilgængelige ;-)

10. december 2019 kl. 13:51
Danmark søger sjældnere indsigt hos Google: »Vi har også andre værktøjer«

De "Andre værktøjer" der tales om er den adgang FE har til NSAs totalovervågning, takket være Danmarks status som USAs velvillige vasalstat.

Er vi mere velvillige end andre velvillige - incl. USA selv, som også har en fortsat stigning i antallet af forespørgsler?

12. november 2019 kl. 10:58
It-kriminelle ringer fra din banks nummer og udgiver sig for at være din rådgiver

Protokollen bag SMS er "ældgammel" (stammer fra 1992 ifølge WikiPedia) - og det er nok i det lys du skal se den i, når du savner sikkerhed.

Det er ikke ensbetydende med at teknologien ikke kan opdateres og sikres bedre. Nu handler det ikke kun om SMS, men hele den underliggende mobil "protokol", der muliggør aflytning, omdirigering af SMS, m.m.m. med det rette udstyr. Det burde være blevet lukket forlængst!

9. oktober 2019 kl. 09:25
It-kriminelle ringer fra din banks nummer og udgiver sig for at være din rådgiver

Ligesom med SIM-swapping er jeg (stadig) rystet over at mobiltelefoninetværket er så åbent og usikkert - og at der tilsyneladende ikke bliver gjort noget ved det!?! SMS burde f.eks. være en sikker kommunikationsform, men er det (slet) ikke!

8. oktober 2019 kl. 10:47
Frederiksberg Kommune lækker persondata til 7.000 forkerte e-Boks-modtagere

Vil tro at e-boks blot stiller et API til rådighed hvor modtager er et CPR eller CVR-nummer, og e-boks er sikkert ret ligeglade med om indholdet i dokumentet stemmer over ens med modtager CPR/CVR.

Helt enig. Det er ikke første gang det sker - og det bliver heller ikke sidste. :-(

4. oktober 2019 kl. 14:09
Frederiksberg Kommune lækker persondata til 7.000 forkerte e-Boks-modtagere

Jeg troede faktisk - hvilket jeg kan se nu var naivt - at e-boks (også) var et system til at sikre at kun de rette borgere fik de data de skulle have og ikke bare et system, der skulle "sikre" de data de modtager.

4. oktober 2019 kl. 12:48
Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb.

Hvis browseren ikke er beskyttet mod et (zero-day) sikkerhedshul, så kan computeren overtages bare ved at følge et link, så det et successfuldt angreb!

29. september 2019 kl. 16:37
Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Og på den måde kommer vi aldrig videre.

Jo, men løsningen skal være den rigtige i stedet for bare endnu et patch: https://xkcd.com/927/

26. september 2019 kl. 11:58
Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet.

Helt enig, men alle usignerede mails, skal behandles som sådan - med en ildtang og alle URL'er må under ingen omstændigheder følges.

Skulle man lave om på det vil det være umådeligt svært for moster Gerda at sende et brev.

Moster Gerda skal selvfølgelig også kunne sende, men i denne situation vil hun aldrig sende noget, som er vigtigt, hvor en URL skal følges.

Jeg er helt på det rene med at kryptering og signering kan være rigtig godt, og bør bruges når det er påkrævet, på samme måde som man vil sende et anbefalet brev, men til udbredelse at almindelige ikke fortrolige informationer er det overkill, og det værste er at man risikere en Peter&Ulven effekt, hvor intet så vil blive taget alvorligt, eller man luller sig ind i en falsk sikkerhed.[quote]</p>
<p>Helt enig. Det er kun i denne situation, at sikkerheden skal strammes op.</p>
<p>[quote]de man (og det har jeg skrevet mange gange før, aner bare ikke hvordan man kan komme videre med det) ændre på hele postserver paradigmet, således at en postserver skulle være på et kvalificeret domæne, og al transport af post gik gennem et challenge-response system - jeg gentager lige:
...
Selvfølgelig kan dette ikke gøres fra dag til dag, og bør være parallelt i en overgangsperiode, men det er teknisk set meget lettere end at fedte med DKIM og DMARC, hvor man jo også på et tidspunkt bliver nødt til at trække en endelig streg i sandet hvis det rigtig skal virke.

Tanken er god, men den vil ikke fungere i en del situationer, hvorved den falder til jorden og DKIM &DMARC kan allerede implementeres i dag, med den eksisterende teknologi.

26. september 2019 kl. 11:12
Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer ud af ørene på dig.

:-D Jeg er i princippet ligeglad - hm, nej det er jeg ikke, men at stole på at hackere og andre laver stavefejl og andre fejl i phishing-mails er dybt amatør-agtigt - ja jeg bruger det ord igen, for det er så simpelt at beskytte sig i specielle situationer, som denne, hvor alle aktørerer er kendt.

26. september 2019 kl. 10:31
Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Jeg fatter ikke at phishing mails overhovedet er et problem i denne sammenhæng. Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.

26. september 2019 kl. 09:27
Myndigheder og virksomheder gik i phishing-fælden under CFCS-øvelse

Alle mails bør være signerede, så man er sikker på hvem afsenderen er. Alt andet er amatøragtigt - det er faktisk ret beskæmmende at det ikke er dagligdag for almindelige brugere i dagens verden. Vi stoler stadig på at de mails vi modtager, er fra dem, som det står af From-feltet.

23. september 2019 kl. 14:25
Virksomheder forudsiger kunders adfærd: »Drønfarligt« hvis forbrugerne ikke ved det

Det er Cambridge Analytica om igen og det bliver kun værre! Vi kan ikke indformere os ud af det. Selvom der var 100% åbenhed om hvilke oplysninger organisationer (virksomheder, ...) samler op om os, kan ingen overskue konsekvensen.

31. juli 2019 kl. 13:06
Justitsministeriet: Fjernelse af internet-indhold rejser grundlovsspørgsmål

Vi ser allerede misbruget med DNS-filtrering for at stoppe "terror". Det her vil være ikke bare starten på enden, men en "forstærkning" af den glidebane vi allerede er på vej ned af! STOP DET!

29. januar 2019 kl. 09:31
Chef for DKCert: Password på op til 64 tegn kan være nødvendigt

Den menneskelig faktor er altid den svageste, så kræves lange kodeord, vil det altid blive valgt nemme at huske og/eller blive lagt ind i (usikkert) sted, hvor de nemt kan kopieres fra. Brug 2-faktor. Så kan brugerens password (næsten) være lige så håbløst og genbrugt, som brugeren ønsker.

8. august 2018 kl. 11:33
Indehaver af @anders.dk bombarderet med yderst følsomme hovsa-mails

Hvis man er IT-kriminel er det guld eller Monero :-)

Jeg kunne bestille og overtage ejerskab af mange ting bare ved at have domænet, da de(n) tidligere brugere havde tilmeldt alt via domænet!

20. juli 2018 kl. 14:22
Indehaver af @anders.dk bombarderet med yderst følsomme hovsa-mails

Jeg ville gerne kunne oprette alle de email konti jeg havde lyst til, uden at den nye modtager skulle rode med mails til den tidligere ejer af mailadressen. Så da jeg overtog et domæne, som tidligere havde været aktiv, brugte jeg netop catch-all for at se om der stadig blev sendt mails til domænet. Det gjorder der i stor stil! Der kom mails fra gamle venner, nyhedsbreve, services, m.m.m. incl. fra DK-Hostmaster! De burde da vide, at domænet ikke længere var tilknyttet den tidligere bruger af domænet!?! Jeg afmeldte de mails jeg kunne og skrev venligt tilbage til de private mails jeg modtog, at de bedes fjerne adressen fra deres adressekartotek. Nogle blev ret sure over at jeg læste deres mails - det gjorde jeg ikke - jeg besvarede dem bare, da jeg vidste at jeg ikke burde få mails, da jeg ikke havde taget domænet i brug endnu.

20. juli 2018 kl. 13:39