Rasmus Larsen

Ukraines vicestatsminister i opråb til Microsoft og Sony: Luk ned for russisk gaming

Jeg ved ikke om man kan sige at Ukraine driver deres eget agenda. Hvis de gør er det vist er ret transparent agenda, eg. "vi kunne godt tænke os at der var ca. 2-300.000 færre Russiske soldater på vores jord". Jeg siger ikke at Ukraine er fri for egoistiske motiver, men jeg har svært ved at se det her som specielt ondsindet.

Men målet med det her er vist ret tydeligt. At gøre det klart for den menige russer at der sker noget udover det sædvanlige og prøve at få dem på gaden.

2. marts kl. 20:40
Firewalls virker, Zero Trust er pop

For såvidt vil jeg give dig ret i at Zero Trust hvad angår netværkssikkerhed ikke er noget nyt. Der er ikke noget nyt i det, sådan er det næsten hver gang en eller anden stakkel sætter et nyt ord på en løsning på et gammelt problem.

Men Zero Trust dækker jo et bredere begreb. Det er et forsøg på at gøre opmærksom på den sikkerhedskultur der er i mange, især større, firmaer hvor perimeteren bliver brugt til authentikering. Eg. hvor man har højere privilegier alene baseret på det subnet/vlan man kommer fra og det VLAN samtidig er åbent tilgængeligt via. RJ45 porte i væggen og/eller via. et wifi, der ikke er beskyttet af individuel authentikering.

Den slags setups har det, over tid, med at udvikle sig til et mareridt, hvor man ligger alle mulige overvågningstiltag ned over netværket (forward proxies mm.), fordi hvis man baserer sin sikkerhed på perimeter baseret adgangsstyring og den virksomhed man sidder i vokser, så ender man næsten altid med et uhåndterbart mareridt.

Og ja, ligesom andre moderne begreber som "Cloud" så er det gammel vin på nye flasker, men det er sådanset ligegyldigt, det faktum at folk/firmaer/leverandører har forstået pointen og faktisk gør det, giver vel termen en vis beretigelse?

25. oktober 2021 kl. 20:58
EU-lovgivning vil forbyde anonym domæne-registrering

https://www.namecheap.com/support/payment/bitcoin/

Og de er ikke de eneste...

Jeg ser det som et godt intiativ. Man kan sagtens publisere anonymt indhold uden at eje et domæne.

15. oktober 2021 kl. 13:14
Netværksfirma: Facebook-nedbrud skyldtes problemer med DNS

Problemet var routning, hvilket naturligt tager dns med i faldet, med det setup de har. Det er helt sikkert en design fejl af facebook at deres dns effektivt er afhængigt af et enkelt AS, men dns er stadig en detalje i det her udfald.

Hvis jeg hiver kablet ud af min maskine (og trækker kill-switchen til wifi'et), så vil jeg også få en ton dns fejl, hvor den virkelige fejl er mangel på en default gateway. At påstå at dns vil være andet end en detalje i det problem, er ihvertfald ikke noget der hjælper os videre med en løsning.

Der hvor jeg kan give dig ret er at Facebook nok bør kigge på deres eget dns design.

Engang imellem giver det mening at bruge andres, selvom man godt selv kan...

➜ dig +short amazon.com -t ns

pdns6.ultradns.co.uk.

ns1.p31.dynect.net.

pdns1.ultradns.net.

ns3.p31.dynect.net.

ns4.p31.dynect.net.

ns2.p31.dynect.net.

5. oktober 2021 kl. 12:57
Edge-nedbrud lagde mange danske og globale sites ned

Mjaah... Internettet er rigtigt nok designet decentralt, men at sige at CDN'er gør det mere centraliseret er kun delvist korrekt.

CDN'er er monokultur rent software mæssigt, så fejl i software kan let trække hele deres infrastruktur ned som det skete her, men ideen om at CDN'er gør det lettere at "bombe de 10 største CDN'ers datacentre", indikerer en grundlæggende misforståelse. De store CDN'er er ikke spredt ud over 10 punkter, de er spredt ud over mange hundrede punkter verden over.

Hvis du gerne vil ligge Internettet ned med konventionelle våben vil du sandsynligvis få mere ud af at kigge på Internet exchange points og angribe dem.

https://www.internetexchangemap.com/Eller måske landingspunkterne for undersøiske fiberkabler:https://www.submarinecablemap.com/

Du behøver ikke ramme så mange som du tror, før internettet som vi kender det holder op med at fungere, pga. overbelastning af de resterende punkter.

Hvis vi gerne vil have internettet tilbage i retning mod mindre monokultur ville jeg fokusere på flg. initiativer.

  • Bliv ved med at genere din ISP indtil de understøtter IPv6 og implementer IPv6 på alle de services du kan påvirke.
  • Brug de mindre CDN'er istedetfor de store CDN'er, så vi får flere mindre spillere istedet for noget få store.
9. juni 2021 kl. 10:19
Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne

Nu er jeg altid træt af at blive bragt i en situation hvor det kan lyde som om jeg forsvarer Nets og Verisign, men jeg ved ikke rigtigt hvorfra antagelsen om at manglen på DMARC har noget med dns udbyderen at gøre.

Det virker langt mere sandsynligt at NETS har svært ved at få tilføjet DKIM signering på alle udgående mailsendere, sikkert fordi de anvender en eller flere eksterne services der ikke understøtter det.

Og lige præcist når det gælder DNS servere har jeg ikke den store forståelse vedr. din kritik om at placere dataen i USA, eftersom alt data som udgangspunkt er offentligt og sikkert anycastet til alle verdens hjørner. Jeg ville aldrig selv foreslå verisign som leverandør af noget som helst, men det er nok den svageste kritik man kan komme med af det her system, hvad angår dns.

Lad os hellere fokusere på den reelle kritik man kan komme med, nemlig at man ikke har prioriteret det her tilstrækkeligt til at få fjernet de begrænsninger der er, så man kan få sikret sine kunder.

15. oktober 2019 kl. 08:26
Bloomberg-skribent: Tving Google til at dele hele selskabets indeks

Så okay, indexet har en vis værdi, det er resultatet af deres scraping arbejde. Men der er masser af andre firmaer der udbyder resultatet af scraping man kan tage dataen fra.

Værdien i Google er i højere grad hvad de gør med deres index, hvordan de præsenterer det, end indexet i sig selv.

Det eneste publiseringen af indexet ville gøre, er at reducere kompleksiteten/omkostningerne ved at komme ind i markedet en smule, det ville ikke ændre på de faktorer der har gjort dem dominerende.

16. juli 2019 kl. 10:55
Trods failover: Digitaliseringsstyrelsens systemer nede i timevis efter varmekollaps i datacenter

Nu er det altid farlig at gætte, men når jeg hører service navnet "NemLog-in", leder det mig hen på en service type der burde være designet aktiv-aktiv fra starten.

Hvis det virkelig bare er en, muligvis forkromet, authentikering eller authorization service, så er vi ovre i noget der bør kunne leve med "eventually consistent" og så ligger distribueret lige til højre benet.

12. juli 2019 kl. 13:00
IDA: To ud af tre danskere mener GDPR er en succes

Det der er sket med GDPR er at Europæiske IT virksomheder og til en vis grad også dem udenfor EU, er blevet tvunget til at gennemtænke deres forhold til den data de opbevarer.

I den forbindelse er mange nået frem til at den tidligere tilgang med at opbevare alt, uanset om man skal bruge det eller ej, ikke nødvendigvis er en fordel.

Dertil har GDPR indført nogen instrumenter til borgerne, der gør at de kan sikre at den bevidsthed ikke bare forsvinder imorgen igen, da diverse interesse organisationer nu har en hammer de kan slå dem med.

Om den hammer så viser sig at være tilstrækkelig er svær at sige, men om ikke andet virker GDPR til at være det bedste forsøg endnu, hvad angår at forsvare privatlivet i forhold til det private erhvervsliv.

Hvad angår det offentlige så virker de fortsat immune, min fornemmelse er at de fleste offentlige myndigheder stadig ikke rigtigt føler reglerne gælder for dem... Og de har, desværre, muligvis ret.

27. maj 2019 kl. 10:31
Microsoft patcher, så britiske myndigheds-domæner kan tilgås uden HTTPS

Mon ikke det der er sket, er at de har sat en HSTS header som de selv anbefaler her, uden at forstå konsekvenserne:

https://www.gov.uk/service-manual/technology/using-https

Det magiske her er "includeSubDomains; preload;". Det betyder at værdien kan bruges til alle subdomæner under gov.uk og at browserne gerne må distribuere den information.

Der er ingen tvivl om at det er en super god ide, men indstillinger giver det resultat de har fået her, hvis ikke alle gov.uk siden anvender TLS.

21. maj 2019 kl. 13:37
DNS-problemer lægger e-Boks ned

Gratisdns er fremragende, ikke fordi de nødvendigvist er umenneskeligt dygtige til at drive infrastruktur, men fordi de har tænkt deres infrastruktur igennem.

Hvis du bruger tid på at designe en DNS infrastruktur, så vil opslag imod den aldrig gå ned globalt (hvis vi ignorerer meteor scenarier). Der er/bør ikke være noget privat data i DNS, så det du publisher er offentligt, dvs. der er ingen spørgsmål om privatliv, dvs. en god dns infrastruktur bør distribueres mest muligt, både geografisk og netværks topologisk.

Der er masser af fremragende udbydere der gør det, Gratisdns, Dyn (hvor lidt jeg så end ønsker at fremhæve noget Oracle ejer), Amazon, Azure, Google, DNSimple, Ultradns, Cloudflare osv osv osv.

Eneste detalje jeg har at kritisere ved gratisdns er, at hvis du driver en DNS tjeneste så lad for alt i verden være med at hoste dine egne navneserver adresser på din egen infrastruktur, det er en virkelig dårlig ide.

25. april 2019 kl. 14:35
DNS-problemer lægger e-Boks ned

KMD har fejlet på det helt basale her.

To navneservere er ikke problemet, det kan være fint, især hvis de anvender anycast og serverne kan fint være inden for samme range, sålænge de ranges ligger på separate AS numre (Autonomous system, dvs. på netværk der routes separat)... Omend KMD nok burde gå efter mere end dobbelt netværks redundans.

Problemet her er om alle omstændigheder at en simpel routningsfejl på et system potentielt kan ligge hele platformen ned.

Hvis du driver noget der er oppetidskritisk, så lad være med at hoste DNS selv, medmindre du virkelig har styr på hvad du laver.

25. april 2019 kl. 13:23
Microsofts Azure vokser med skuffende 76 procent

Problemet er at selvom Microsoft har haft nogen imponerende væksttal, så er det stadig mindre end Amazon i masse med ca. en faktor 3.

Forventningen og håbet hos investorerne har givetvist været at de ville fortsætte med at vokse så hurtigt at de uundgåeligt vil overhale Amazon, det her kunne tyde på at Microsoft har et mætningspunkt, hvor væksten den ikke fortsætter med at være eksponentiel og det er givetvist det de reagerer på.

2. februar 2019 kl. 09:42
Danske internetudbydere er langt bagud med IPv6

Hvis man er 1000 kunder der benytter samme IPv4 adresse, så giver giver det en anonymitet da server ejeren ikke kan være sikker på af det hele tiden er den samme kunde der sidder bag en ipadresse

Måske, her går du udfra at din browser ikke bare holder forbindelsen åben, bemærk også at CGN typisk ikke er designet for anonymitet, så der er en god sandsynlighed for at det vil genbruge portnumrene til samme bruger.

Derudover kunne tjenesten jo tracke dig med...

  • Cookies.
  • Udfra tidsforsinkelsen på dit ur.
  • Browser fingerprinting (Hvilket er uhyggeligt præcist og næsten umuligt at forhindre som tingene er nu)
  • Netværks forsinkelse

Eller en af de mange andre teknikker.

NAT som et privatlivsargument, svarer cirka til at vi allesammen valgte at hedde det samme, fordi det ville gøre det sværere at spore os... Og ja, det er nok også rigtigt, men ulemperne ville være til at føle på og det er de også her.

2. november 2018 kl. 13:59
Danske internetudbydere er langt bagud med IPv6

Der er ingen decideret sikkerhed i NAT, der i sig selv har noget med NAT at gøre. Årsagen til at NAT opfattes som en sikkerhedsfaktor er at NAT næsten altid er implementeret ovenpå en stateful firewall, som helt sikkert er en sikkerhedsfaktor. Men jeg tror ikke der findes en consumer router idag der ikke er konfigureret med en stateful firewall der by default blokerer alt udefra (minus diverse undtagelser udbyderne i deres evige visdom måtte ønske).

Privatliv er selvfølgelig en faktor hvis man tildeler statiske ipv6 adresser, men impacten er umiddelbart begrænset...

Privatliv i forhold til danske myndigheder:

  • Umiddelbart ingen forskel, udbyderne har logningspligt.

Privatliv i forhold til Google/Facebook/osv.:

  • De kan muligvis linke noget opførsel sammen udfra ip, men ip'en er næppe en vigtig faktor for deres tracking.

For andre besøgsformer, hvor servicen ikke har dedikeret tracking foranstaltninger er der helt sikkert bedre tracking muligheder, men det er næppe der det store privacy problem her i 2018 ligger, derudover er der muligheder for at bruge flere adresser indenfor det tildelte ipv6 range, hvilket intet gør i forhold til at tracke husstanden, men gør at det ikke kan klistres på en enkelt bruger. Derudover er det heller ikke umiddelbart til at vide om en udbyder faktisk uddeler /128 bider, hvilket vil gøre det sværere at tracke.

IPv6 betyder ikke nødvendigvis "fast" ip, når det er sagt mener jeg både at /64 og fast ip bør være standarden, for end-user udbydere.

Er der nogen performancemæssige ændringer for slutbrugeren? Reelt, i dag.

Det er begrænset, men udstyr der understytter CGN (routere) er dyrere, byte for byte, end layer 3 switche (for ikke at snakke om layer 2 switche) og det er en pris der uundgåeligt ender hos brugerne. Derudover vil du ofte opleve af NAT udstyret står længere væk end din nærmeste fremskudte central. Det har intet at sige hvis du skal kommunikere med en google tjeneste eller facebook, men hvis to brugere faktisk ønsker at bruge internettet til det de gerne vil og kommunikere direkte, kan du risikere at din trafik bliver ledt en helt anden vej end den optimale.

Pris fordelen er selvfølgelig irrelevant lige nu, da alle skal have både ipv4 og ipv6, men på sigt kan det blive billigere.

Kan man forvente at IPv6 "bare virker" på ens hjemmeudstyr, hvis man slår det til på alle enheder i sit netværk, og slår IPv4 fra?
Er der en "nem" måde at skifte på, for slutbrugeren? (såfremt ISP'en understøtter det self.)

ISP'en kan uddele ipv6 adresser dynamisk. Og man "skifter" ikke, man kører begge dele parallelt de næste mange år. Men eftersom alle de store tjenester (Netflix/Google) for længst er skiftet er ipv6 allerede en betydelig del af den internationale trafik.

2. november 2018 kl. 09:01
En scammer taler ud: Det var os der stod bag Facebook-kampagnen

Som jeg husker det er 5-8 cifre i et kreditkort nummer for VISA udstedte kortnumre det samme som bankens identifier, ihvertfald for danske kort.

Så jeg er rimeligt sikker på at alle og enhver kan slå banken op udfra et dansk kreditkortnummer.

21. august 2018 kl. 09:19
Chrome vil markere alle HTTP-sider som usikre

Du er som jeg ser det galt på den, det her er netop præcist det samme som stop skiltene.

Hvis du kigger på hvad den gennemsnitlige bruger navigerer til, vil jeg undre mig hvis der ikke er https på 80-90%. Undtagelserne er typisk nyhedssider, firmasider og lignende.

Så analogien med stop skiltene er netop god: Når næsten alle de kryds du kører igennem ikke har et stop skilt og du så ligepludselig rammer et kryds der har et stop skilt, så overvejer du hvorfor skiltet er der og bruger måske lige et sekund eller to mere på at orientere dig.

Som jeg ser det er det her netop gennemtænkt fra Googles side, TLS er blevet så udbredt, billigt (gratis i mange tilfælde) og nemt, at det her netop vil motivere de sidste sites. Og mange brugere VIL straffe siderne, især ecommerce sider der kun krypterer deres checkout, vil blive straffet... Og de findes stadig.

10. februar 2018 kl. 08:41
Italien efterforsker Apple og Samsung for planlagt forældelse af smartphones

Clock frekvensen sænkes ikke som sådan for at bevare batterilevetiden, den sænkes for at sikre stabiliteten.

Problemet er at når et lithium batteri, eller de fleste andre batterityper, ældes så er det ikke kun kapaciteten der falder, det gør den spænding det kan levere også og i mange tilfælde kan batteriet så ikke levere tilstrækkelig effekt til at drive spids belastningen. I de tilfælde kan enheden blive ustabil, derfor er det nødvendigt at reducere spids forbruget.

19. januar 2018 kl. 22:10
Ny tysk internetlov møder hård kritik fra opposition

Jeg synes det er en lidt naiv tilgang til hvordan et retssystem virker og hvordan "folkedomstolen" rammer de her firmaer når et sagsanlæg sættes igang.

Problemet er at Facebook, Twitter osv, jo ikke bliver dømt efter deres egen definition af hvad "hate speech" er, de bliver dømt efter den definition som en arbitrær domstol i Tyskland vil definere som det.

Så når du som Facebook/Twitter/andet medie skal vurdere hvad du vil censurere, for det er Censur, uanset om du er enig i indholdet eller ej, så har du to valg:

1: Du kan holde dig til dine egne principper og forsvare dig imod hvem end der måtte komme og dermed risikere voldsomme økonomiske straffe.

2: Du kan censurere udfra hvad du tror andre måske kunne definere som "hate speech", hvilket helt naturligt bliver en meget bredere definition.

Med den her lov har de INGEN chance for at ramme en fornuftig balance, heller ikke selvom "hate speech" var præcist defineret.

9. januar 2018 kl. 08:46
Nets: Hjemmelavet NemID-klient kan krænke vores ophavsret

Selvfølgelig kan de ikke tage ansvar for klienten, men det kan de jo om alle omstændigheder ikke ligegyldigt hvad de gør.

Ligegyldigt hvordan NETS har bygget deres løsning er den jo stadig baseret på visse mindstekrav, eg. at jeg ikke sidder med en java debugger dybt inde i indvoldende af deres klient og suger løs.

Det de skal tage ansvar for er om deres server-side kode er i orden, det er det eneste de kan tage ansvar for og hvis nogen forestiller sig at NETS reelt er i en position hvor de kan tage ansvar for sikkerheden på NEM-ID klienten ligegyldigt hvordan den ekserkveres og hvem der har udviklet den, så er det måske der fejlen ligger.

13. marts 2014 kl. 16:53