Andrew Rump

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kan man få adgang til Jake Williams' slides?

Kan ikke finde dem på nettet, men når redaktionen har dem, så er de ikke helt utilgængelige ;-)

Re: "Andre værktøjer" = "USAs vasalstat"

De "Andre værktøjer" der tales om er den adgang FE har til NSAs totalovervågning, takket være Danmarks status som USAs velvillige vasalstat. Er vi mere velvillige end andre velvillige - incl. USA selv, som også har en fortsat stigning i antallet af forespørgsler?

Re: Det er dybt skræmmende!

Protokollen bag SMS er "ældgammel" (stammer fra 1992 ifølge WikiPedia) - og det er nok i det lys du skal se den i, når du savner sikkerhed. Det er ikke ensbetydende med at teknologien ikke kan opdateres og sikres bedre. Nu handler det ikke kun om SMS, men hele den underliggende...

Re: Det er dybt skræmmende!

Blokerer de fleste normale teleselskaber ikke for afsendelse, hvis din sender id ikke matcher dit nummer? Ikke så vidt jeg husker! Det er det skøre ved det hele!

Det er dybt skræmmende!

Ligesom med SIM-swapping er jeg (stadig) rystet over at mobiltelefoninetværket er så åbent og usikkert - og at der tilsyneladende ikke bliver gjort noget ved det!?! SMS burde f.eks. være en sikker kommunikationsform, men er det (slet) ikke!

Re: Ufatteligt at det kan ske

Vil tro at e-boks blot stiller et API til rådighed hvor modtager er et CPR eller CVR-nummer, og e-boks er sikkert ret ligeglade med om indholdet i dokumentet stemmer over ens med modtager CPR/CVR. Helt enig. Det er ikke første gang det sker - og det bliver heller ikke sidste. :-(

Ufatteligt at det kan ske

Jeg troede faktisk - hvilket jeg kan se nu var naivt - at e-boks (også) var et system til at sikre at kun de rette borgere fik de data de skulle have og ikke bare et system, der skulle "sikre" de data de modtager.

Re: Gik de nu i fælden?

Nu må man antage at det er organisationer der har styr på at deres klienter er opdaterede. Den antagelse er jeg bange for er meget optimistisk!
Kommentar til Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Re: Gik de nu i fælden?

Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb. Hvis browseren ikke er beskyttet mod et (zero-day) sikkerhedshul, så kan computeren overtages bare ved at følge et link, så det et successfuldt angreb!
Kommentar til Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Re: Det er dybt skræmmende!

Og på den måde kommer vi aldrig videre. Jo, men løsningen skal være den rigtige i stedet for bare endnu et patch: https://xkcd.com/927/
Kommentar til Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Re: Det er dybt skræmmende!

Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet. Helt enig, men alle usignerede mails, skal behandles som sådan - med en ildtang og alle URL'er må under ingen omstændigheder følges. Skulle man lave om på det...
Kommentar til Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Re: Det er dybt skræmmende!

Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer...
Kommentar til Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Det er dybt skræmmende!

Jeg fatter ikke at phishing mails overhovedet er et problem i denne sammenhæng. Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.
Kommentar til Myndigheder og virksomheder gik i phishing-fælden under CFCS-øvelse

Hvor hulen er sikkerheden henne?

Alle mails bør være signerede, så man er sikker på hvem afsenderen er. Alt andet er amatøragtigt - det er faktisk ret beskæmmende at det ikke er dagligdag for almindelige brugere i dagens verden. Vi stoler stadig på at de mails vi modtager, er fra dem, som det står af From-feltet.

Løbet er kørt

Det er Cambridge Analytica om igen og det bliver kun værre! Vi kan ikke indformere os ud af det. Selvom der var 100% åbenhed om hvilke oplysninger organisationer (virksomheder, ...) samler op om os, kan ingen overskue konsekvensen.

Re: Ude af kontrol....

Jeg har stadig ikke mødt nogen, der var med på tanken, så jeg har ikke undersøgt om ihavenothingtohide.com er ledig. Problemet er at menig dansker ikke giver sig tid til at tænke. PS: Den er ledig - for over $2000!

Vi er allerede ud på en glidebane og den skal stoppes nu!

Vi ser allerede misbruget med DNS-filtrering for at stoppe "terror". Det her vil være ikke bare starten på enden, men en "forstærkning" af den glidebane vi allerede er på vej ned af! STOP DET!
Kommentar til Chef for DKCert: Password på op til 64 tegn kan være nødvendigt

Brugernavn/password alene, er forældet teknologi

Den menneskelig faktor er altid den svageste, så kræves lange kodeord, vil det altid blive valgt nemme at huske og/eller blive lagt ind i (usikkert) sted, hvor de nemt kan kopieres fra. Brug 2-faktor. Så kan brugerens password (næsten) være lige så håbløst og genbrugt, som brugeren ønsker.

Re: At overtage gamle domæner er endnu værre!

Hvis man er IT-kriminel er det guld eller Monero :-) Jeg kunne bestille og overtage ejerskab af mange ting bare ved at have domænet, da de(n) tidligere brugere havde tilmeldt alt via domænet!

At overtage gamle domæner er endnu værre!

Jeg ville gerne kunne oprette alle de email konti jeg havde lyst til, uden at den nye modtager skulle rode med mails til den tidligere ejer af mailadressen. Så da jeg overtog et domæne, som tidligere havde været aktiv, brugte jeg netop catch-all for at se om der stadig blev sendt mails til domæne...