Kan ikke finde dem på nettet, men når redaktionen har dem, så er de ikke helt utilgængelige ;-)
De "Andre værktøjer" der tales om er den adgang FE har til NSAs totalovervågning, takket være Danmarks status som USAs velvillige vasalstat.
Er vi mere velvillige end andre velvillige - incl. USA selv, som også har en fortsat stigning i antallet af forespørgsler?
Protokollen bag SMS er "ældgammel" (stammer fra 1992 ifølge WikiPedia) - og det er nok i det lys du skal se den i, når du savner sikkerhed.
Det er ikke ensbetydende med at teknologien ikke kan opdateres og sikres bedre.
Nu handler det ikke kun om SMS, men hele den underliggende mobil "protokol", der muliggør aflytning, omdirigering af SMS, m.m.m. med det rette udstyr. Det burde være blevet lukket forlængst!
Blokerer de fleste normale teleselskaber ikke for afsendelse, hvis din sender id ikke matcher dit nummer?
Ikke så vidt jeg husker! Det er det skøre ved det hele!
Ligesom med SIM-swapping er jeg (stadig) rystet over at mobiltelefoninetværket er så åbent og usikkert - og at der tilsyneladende ikke bliver gjort noget ved det!?! SMS burde f.eks. være en sikker kommunikationsform, men er det (slet) ikke!
Helt enig. Det er ikke første gang det sker - og det bliver heller ikke sidste. :-(Vil tro at e-boks blot stiller et API til rådighed hvor modtager er et CPR eller CVR-nummer, og e-boks er sikkert ret ligeglade med om indholdet i dokumentet stemmer over ens med modtager CPR/CVR.
Jeg troede faktisk - hvilket jeg kan se nu var naivt - at e-boks (også) var et system til at sikre at kun de rette borgere fik de data de skulle have og ikke bare et system, der skulle "sikre" de data de modtager.
Nu må man antage at det er organisationer der har styr på at deres klienter er opdaterede.
Den antagelse er jeg bange for er meget optimistisk!
Hvis browseren ikke er beskyttet mod et (zero-day) sikkerhedshul, så kan computeren overtages bare ved at følge et link, så det et successfuldt angreb!Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb.
Og på den måde kommer vi aldrig videre.
Jo, men løsningen skal være den rigtige i stedet for bare endnu et patch: https://xkcd.com/927/
Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet.
Helt enig, men alle usignerede mails, skal behandles som sådan - med en ildtang og alle URL'er må under ingen omstændigheder følges.
Skulle man lave om på det vil det være umådeligt svært for moster Gerda at sende et brev.
Moster Gerda skal selvfølgelig også kunne sende, men i denne situation vil hun aldrig sende noget, som er vigtigt, hvor en URL skal følges.
Jeg er helt på det rene med at kryptering og signering kan være rigtig godt, og bør bruges når det er påkrævet, på samme måde som man vil sende et anbefalet brev, men til udbredelse at almindelige ikke fortrolige informationer er det overkill, og det værste er at man risikere en Peter&Ulven effekt, hvor intet så vil blive taget alvorligt, eller man luller sig ind i en falsk sikkerhed.[quote]</p>
<p>Helt enig. Det er kun i denne situation, at sikkerheden skal strammes op.</p>
<p>[quote]de man (og det har jeg skrevet mange gange før, aner bare ikke hvordan man kan komme videre med det) ændre på hele postserver paradigmet, således at en postserver skulle være på et kvalificeret domæne, og al transport af post gik gennem et challenge-response system - jeg gentager lige:
...
Selvfølgelig kan dette ikke gøres fra dag til dag, og bør være parallelt i en overgangsperiode, men det er teknisk set meget lettere end at fedte med DKIM og DMARC, hvor man jo også på et tidspunkt bliver nødt til at trække en endelig streg i sandet hvis det rigtig skal virke.
Tanken er god, men den vil ikke fungere i en del situationer, hvorved den falder til jorden og DKIM &DMARC kan allerede implementeres i dag, med den eksisterende teknologi.
Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer ud af ørene på dig.
:-D Jeg er i princippet ligeglad - hm, nej det er jeg ikke, men at stole på at hackere og andre laver stavefejl og andre fejl i phishing-mails er dybt amatør-agtigt - ja jeg bruger det ord igen, for det er så simpelt at beskytte sig i specielle situationer, som denne, hvor alle aktørerer er kendt.
Jeg fatter ikke at phishing mails overhovedet er et problem i denne sammenhæng. Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.
Alle mails bør være signerede, så man er sikker på hvem afsenderen er. Alt andet er amatøragtigt - det er faktisk ret beskæmmende at det ikke er dagligdag for almindelige brugere i dagens verden. Vi stoler stadig på at de mails vi modtager, er fra dem, som det står af From-feltet.
Det er Cambridge Analytica om igen og det bliver kun værre! Vi kan ikke indformere os ud af det. Selvom der var 100% åbenhed om hvilke oplysninger organisationer (virksomheder, ...) samler op om os, kan ingen overskue konsekvensen.
Problemet er at menig dansker ikke giver sig tid til at tænke.
PS: Den er ledig - for over $2000!
Vi ser allerede misbruget med DNS-filtrering for at stoppe "terror". Det her vil være ikke bare starten på enden, men en "forstærkning" af den glidebane vi allerede er på vej ned af! STOP DET!
Den menneskelig faktor er altid den svageste, så kræves lange kodeord, vil det altid blive valgt nemme at huske og/eller blive lagt ind i (usikkert) sted, hvor de nemt kan kopieres fra. Brug 2-faktor. Så kan brugerens password (næsten) være lige så håbløst og genbrugt, som brugeren ønsker.
Hvis man er IT-kriminel er det guld eller Monero :-)
Jeg kunne bestille og overtage ejerskab af mange ting bare ved at have domænet, da de(n) tidligere brugere havde tilmeldt alt via domænet!
Jeg ville gerne kunne oprette alle de email konti jeg havde lyst til, uden at den nye modtager skulle rode med mails til den tidligere ejer af mailadressen. Så da jeg overtog et domæne, som tidligere havde været aktiv, brugte jeg netop catch-all for at se om der stadig blev sendt mails til domænet. Det gjorder der i stor stil! Der kom mails fra gamle venner, nyhedsbreve, services, m.m.m. incl. fra DK-Hostmaster! De burde da vide, at domænet ikke længere var tilknyttet den tidligere bruger af domænet!?! Jeg afmeldte de mails jeg kunne og skrev venligt tilbage til de private mails jeg modtog, at de bedes fjerne adressen fra deres adressekartotek. Nogle blev ret sure over at jeg læste deres mails - det gjorde jeg ikke - jeg besvarede dem bare, da jeg vidste at jeg ikke burde få mails, da jeg ikke havde taget domænet i brug endnu.
Andrew Rump