René Pagh

Hackerangreb påvirker flere danske ejendomsmæglerkæder: Måtte lukke hjemmesider

Ejndomsmæglere ligger inde med flere hunredetusinde kopier af pas og kørekort.

Mon ikke det er det egentlige mål... Det med hjemmesiden er sikkert bare en afledning så salgschefen sidder og råber at der skal gøres noget NU da vi taber penge hvert sekund hjemmesiden er nede.

9. februar kl. 08:00
Efter flere uheldige episoder: Den danske vandsektor vil forebygge hacks med nyt samarbejde

Lige præcis her var der en unik mulighed for at virkelig gå i dybden med en god gennemarbejdet teknisk forklaring men i stedet er der meget volapyk som også nævnes ovenfor.

»Efter et skift i DNS Firewall kunne serveren pludselig også tilgås fra et sted til Kina. Det er et ret typisk eksempel. Man køber ny firewall, og tror så, at man kan spare abonnementet på automatisk opdatering. Det kan man ikke,«

Det giver ikke mening for mig...

16. august 2021 kl. 08:28
Bagmandspolitiet anholder to danskere for deling af 4000 tv-kanaler på nettet

Der må da alligevel skulle nogle abonomenter og lidt gear og noget båndbredde til at få det til at fungere i den skala.

Synd at noget som dette ikke kan købes lovligt til fornuftige penge... men vores planet er nok gået under inden de bliver enige om retighedder.

16. april 2021 kl. 13:44
XGS-PON - en tresporet motorvej i din forhave

Det er normen i dag at et spil fylder 50 - 75 GB og nogle spil er oppe på 250GB. Du kan være helt sikker på at der mindst downloades 3 - 4 spil per person på sådan en weekend.

Det er derfor ikke unormalt med brok over en 1 Gbit/s linje, de ved slet ikke hvor godt de har det... vi andre ventede nogle gange i dage på en download :-)

30. marts 2021 kl. 18:49
Støttepartier om fortsat masselogning: Regeringen har et “anderledes” syn på frihed

Jeg er måløs over at han ikke fik flettet børneporno ind i den skrivelse.. kun alle de andre omkring terror og national sikkerhed...

9. februar 2021 kl. 20:55
Ærgerlig justitsminister i samråd om ulovlig logning: Jeg ville allerhelst blive ved

Hvor er alle de andre medier, forsiderne burde være ryddet på alle landets aviser....

Det er nok sagens kerne, ingen skriver om det så vi køre bare videre...

14. januar 2021 kl. 22:17
Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

Måske der skulle lidt realisme ind i billedet...

Der er fornuft i at data ikke skal overføres til 3. lande hvor der er risiko for at data havner i hænderne på kriminelle, fordi en tilfældig supporter er ven med hackerjoe. Den risiko er typisk størst i lavtlønslande hvor en hurtig gevinst vinder over det langsigtede perspektiv.

Men at sidde og pive over, at ved at overføre data til amerikanske virksomheder er der risiko for at personfølsomme data vil havne hos amerikansk efterretningstjeneste... er der virkelig nogen der tror på at ved at indføre EU regler så havner data ikke der... Vi snakker et land der officielt bruger 720 milliarder dollars på militæret per år samt yderligere 300 milliarder dollars på efterretningstjeneste. (R&D data skal bare holdes inden for virksomhedens 4 vægge)

Hvis det virkeligt ikke skulle være muligt at købe en central, medarbejder der "kontrollere" de data, så må man jo bare gøre som i Danmark og sikre sig aftaler med stater og backbone providers så man får monteret lus på kablerne de rigtige steder. Det kunne jo også tænkes at en "EU-cloud konkurrent" fik lidt "opstarts kapital" til at udvide til det amerikanske marked.

Det vi virkelig skal bekymre os om er:

  • Data ikke ligger og flyder.
  • Virksomheder og det offentlige deler data til højre og venstre.
  • At der ikke bare opsamles data til højre og venstre.
  • At det ikke er lemfældighed der er den største risiko for persondata.

Men vigtigst af alt så er det uafhængighed, der er ingen garanti for at USA ikke laver en "Huawei" med Cloud services og det kan i princip lukke det meste af verden ned over night

1. januar 2021 kl. 13:51
Balladen om sikkerhed i NemID

Ud over alle de åbenlyse fejl der er i løsningen ville nu også være rart hvis man rent faktisk kunne se at det er en "NemID" boks man taster ind i... Nu hvor "alle" korttransaktioner skal godkendes med NemID og flere og flere hjemmesider kommer på "log ind med NemID hos os" er det blevet næsten umuligt at validere om det er en ægte loginside.

Jeg så gerne at det blev segmenteret lidt mere så jeg kunne gå ind på en portal og der logge ind med mit digitale id så jeg ikke skal side og gætte på om den her side nu faktisk er med i NemID samarbejdet.

Alt hvad der så er ud over det, må benytte en anden løsning som kunne være et certifikat genereret ud fra mit "hovedcertifikat" som jeg kan styre selv.

Man anbefaler ikke at bruge det samme password på alle hjemmesider, uanset hvor sikkert det er.... så hvorfor bruge det samme "certifikat"

25. december 2020 kl. 17:55
Forsker efter teledata-skandale: »Vi er nødt til ikke at se digitale politibeviser som objektive«

Så snart der er et menneske inde over, er der grundlag for fejl. Og teledata er for eksempel enormt præcise ned til enkelte sekunder. Derfor kan man foranlediges til at tro, de også er troværdige og objektive - men det er ikke altid rigtigt,« siger Nina Sunde.

Jeg tror at hun mener at når man modtager en logfil med et tidsstempel ned til nogle gange millisekunder er man mere tilbøjelig til at tro at data er korrekte end hvis der stod "du har lavet et opkald i onsdags ved 10tiden".

Der bliver derfor ikke sat spørgsmålstegn ved korrektheden i data, for de tænker ikke på at uret ikke går rigtigt, eller at teleselskaberne har genbrugt en mast et andet sted.

Det er jo kun os der er i branchen der ved hvor meget det sejler... som er superkritiske for alle IT/Teledata.

Jeg personligt tænker ikke over præcisionen af data i andre brancher med mindre data er helt skæve...

  • Når jeg tanker min bil, forventer jeg stander er kalibreret.
  • Når jeg handler, forventer jeg der er 2kg i mel posen hvis det er det der står på siden.
  • 5L i malingspanden.

Så man kan ikke altid klandre folk for ikke at undersøge indholdet (datakvaliteten) for kompetencen findes ikke hos de mennesker. jeg tror også at en sygeplejerske går ud fra der er det i pillerne der skal være, eller at der er 2ml morfin i flasken.

Det er derfor vigtigt at data kvalitetssikres inden de distribueres til "ikke IT fagpersoner"

14. december 2020 kl. 12:11
Så fik EU også nok: Kræver masterkeys til end-to-end krypto

Først må vi lige slå fast at næsten alt vi har set omkring teknologi de seneste år har indeholdt glidebaner eller udvidelser som langt går ud over det formål der oprindeligt var.

Det gør sig glædende uanset om det er:

  • Børnepornofilteret
  • APNG
  • Virksomheder der profilerer og kender dig bedre end du selv gør.
  • "anonyme" trivselsundersøgelser
  • FE sagen
  • Telelogning

Find selv på flere...

Jeg kan selvfølgelig kun tale for mig selv, men med den trackrecord vi har set, er jeg ikke intersseret i at man som individ/virksomhed ikke har mulighed for at beskytte sit privatliv. Det gælder uanset om jeg vil forhindre virksomheder i at tracke min færden eller vil kommunikere sikkert med hvem jeg lyster. (om det er EU eller Danmark der "beskytter" gør for mig ikke den store forskel)

Vi skal ikke længere tilbage end nogle måneder hvor Twiter "vist nok" havde for mange med adgang til deres admin værktøjer og en masse konti og private meddelser blev "lækket".

På den anden side modtog Facebook ca. 260.000 henvendelser med krav om udlevering af data i 2019, tænk hvad det tal vil blive hvis de kunne udlevere beskeder også. Det er godt nok mange myndigheder og mennesker man skal stole på for at den mængde kan behandles.

Sidst men ikke mindst er jeg glad for at det ikke blev vedtaget i starten af 90erne i Honkong at nøgler skal ligge hos en advokat, når man tager de sidste dages overgreb på "regeringen" med i tankerne, for jeg er helt sikkert en af den der ville have været på gaden.

12. november 2020 kl. 02:03
Sundhedsdatastyrelsen har slettet alle sendte mails fra coronakrisen

Det lugter meget af at en har rodet med auto archive policy og på den måde fået sat hak i delete old items...

Ud over det lugter det meget af at det er en cloud løsning hvor retension policy er sat til 14 dage og ikke 30 som er standard (man kan sætte den til aldrig at slette uden det koster ekstra) De fleste der anvender on premmise Exchange har ikke kompetancen eller værktøjerne til at både fuc... Exchange og Backup op på en gang på en så specifik måde.

Som en af dem der har været ude og være konsulent på mange O365 installationer (5-12.000 brugere) har den generelle holdning været "det er cloud vi behøver ikke backup" Det er næsten umuligt at overbevise dem om det selv om man henviser til problematikken og sager som denne. (selv sælger jeg aldrig en O365 uden der er en backup løsning)

1. oktober 2020 kl. 23:04
Valg af videokonferencesystem

Først og fremmest skal man starte med at identificere sit trusselsbillede, eller sagt på en anden måde hvem er det man er bange for der ser en over skulderen eller løber med data.

Først derefter kan man tage passende foranstaltninger for at sikre sig.

Selfhostet er det bedre...

Man skal huske på at når man selfhoster er man stadig nødt til at stole på softwaren, hardwaren og alle endpoints. Det er for det meste sådan at de systemer der er tale om her, er mindre nichesystemer med et begrænset antal udviklere, og måske også et begrænset budget, vi har set flere eksempler på at "virksomheder" har forsøgt at indsamle penge til enten pentest eller review. Ud over det, stiller det store krav til den "interne" IT-afdeling med at sikre at alt hele tiden er patchet og up-to-date.

Bliver det gjort 100% rigtigt, ja så er der ingen tvivl, det vil være den sikreste løsning og man har selv 100% kontrol.

Hvis vi tager udgangspunkt i MS Teams, så sidder der tusindvis af mennesker hele tiden og forsøger at prikke hul i systemet og som udgangspunkt er succesraten ikke særlig stor... Der ofres millioner på både fysisk og digital sikkerhed. Der overvåges på systemet 24/7.

Er det mere sikkert, det kommer an på hvor ærlig man er når man ser i spejlet... for hånden på hjertet, så har alle IT-afdelinger et eller flere skeletter i skabet.

Med hensyn til GDPR, så er det her mest et spørgsmål om hvordan man opsætter systemerne. Er det cloud eller selfhostet er udgangspunktet at det skal være så nemt som muligt ud af boksen... så her er der arbejde på begge sider inden man er GDPR compliant.

Hvis dem man er bange for ser med, er nogle af "de der tre bokstavs agenturer", så er det helt andre sikkerhedsforanstaltninger der skal diskuteres, her er der ingen forskel på om det er selfhosted eller i skyen. Her snakker vi lyddøde rum med airgaped netværk trukket i gennemsigtige kabelkanaler.

Jeg er ikke fortaler for det ene eller det andet, men mener klart at valget skal tages på så oplyst et grundlag som muligt, for nogle løsninger passer bare bedre...

God Weekend René

4. april 2020 kl. 14:33
Tillid til cloud = masseselvbedrag?

Anne-Marie Krogsbøll:

Misforstå mig nu ikke...

Vi er helt enige om at den total overvågning som efterhånden er ved at være på plads, og at alt lige fra en lille app developer til store multinationale selskaber og nu også staten vil have mest muligt indsigt i "alt" og måde det gøres på er at hvis du har noget imod det er du terrorist eller pædofil...

Men jeg tror faktisk ikke altid at de folk der "bestemmer" kan se den fulde konsekvens af indførslen af "system", "løsning" eller "overvågning x" og derfor burde de selvfølgelig lytte til brancher og eksperter på området.

Lad os tage et tænkt eksempel:

Expert 1: (leder af efterretningsvæsen) Vi er nødt til at have værktøj X for ellers springer der bomber i alle offentlige bygninger og ved hver landskamp på stadion, og der er sikkert også nogle pædofile der går fri...

Expert 2: (leder af IT-brancheforening) Dette vil være en total overvågning af alle Danskere, der vil være risiko for at data kan misbruges til identitetstyveri, afpresning og økonomisk ruin og fremtidens DDR -find selv på mere.

Hvis vi nu ser på konsekvensen af beslutningen, så har vi haft mange skandaler i IT-branchen med meget store konsekvenser for den enkelte, samt nogle store virksomheder hvor det har kostet en milliard eller 3. Men har det haft en direkte berøring af den der har taget beslutningen.... sikkert ikke noget der ikke kunne overleves. så når nu branchen kommer og siger om 2 år "vi advarede dig jo" så er der ingen der dvæler ved det mere en 2 -3 måneder. (se bare tele skandalen, vi følger den i branchen, men hvem interessere sig ellers rigtigt for det)

Ser vi nu på alternativ 2. Hvis der springer en bombe, lige meget om det kunne være forhindret eller ej... og efterretningschefen kommer og sider "vi advarede dig jo" så vil det blive tærsket gennem medier i årtier. (skyd efter benene, 9/11, krudttønnen etc.) og lur mig om der ikke også vil blive lavet dokumentarfilm fra nu og til dages ende.

Det er derfor let at tage den beslutning der har den mindste konsekvens nu og her, men som måske er den farligste på den lange bane...

Jeg tror at der er noget som vi er meget optaget af fordi vi kan se konsekvensen, men jeg tror ikke det er meget anderledes for andre brancher...

Der er sikkert en "fagperson" der har sagt:

  • Asbest det er altså farligt.
  • Vi kan ikke bare "fikse" 737 MAX sådan; den styrter ned.
  • Hvis vi bygger på den der måde, kommer der skimmelsvamp.
  • De bolte er ikke stærke nok til at holde den bro.
  • folk bliver afhængige af den medicin.
  • Millioner af mennesker vil blive syge hvis vi fusker med udledningerne.

Vi har jo også set at det ikke hjælper at lave lovgivning for det, den bliver bare tilsidesat (ulovlig logning).

Jeg tror at den nemmeste vej er at vi som IT fagpersoner tager et ansvar, og simpelthen begynder at lave løsninger som "holder vand" og at dem som står og underviser tager ansvar for at uddanne den næste generation til "privacy by design". Så kan det også være at de organisationer der kæmper kampen vil få flere tilhængere.

Jeg siger ikke det er den eneste vej, men jeg tror det er der hvor hver enkelt kan gøre den største forskel. For samfundet vil ikke interessere sig for det før det er for sent.

12. oktober 2019 kl. 12:10
Tillid til cloud = masseselvbedrag?

Skal vi ikke bare blive enige om at hvis man vil sikre data mod stater, agencies med 3 bokstaver eller lignende så har vi nok tabt på forhånd...

Jeg ved da godt at der sidder nogle mennesker rundt omkring og siger at deres servere og software er uden fejl og krypteret efter alle kunstens regler. Men faktum er at når du kommer op i en størrelse hvor data er interessante så er der så mange mennesker inde over at lige meget hvad skal der nok være en vej ind.

Som IT-konsulent gennem mange år har jeg været i utallige datacentre og serverrum i danske og udenlandske virksomheder. Jeg tror ikke der er et eneste sted hvor jeg ikke ville kunne have isat en USB-nøgle eller på anden måde kompromittere noget udstyr. Det er selvfølgelig ikke lige så nemt som at bare bede cloud provider X om data. Men så kunne man bare teste med en phishing mail, den går jo i gennem næsten hver gang...

Så er der også lige det lille problem, hvem laver dit hardware...

Jeg siger absolut ikke at dette ikke er et problem. Men mere at lad os kæmpe de kampe vi har en chance for at vinde, og sikre os mod at vores data ligger og flyder på åbne servere, og at myndigheder bruger plugins fra Google og Facebook, CD'ere der bliver sendt til kineserne, sundhedssystemer der er outsourcet, telesystemer der administreres fra østlande mm.

Kort sagt jeg kender til mange virksomheder hvor data er sikret 100 gange bedre ved at være hos en cloud provider, og ikke i et serverrum hvor man ikke ved hvad halvdelen af udstyret gør, men man tør ikke pille ved det for hvis nu... nå ja og patches det når vi nok.

Jeg er ikke sikker på at jeg kunne svare på spørgsmålet: Er du mest tryg ved at dine data er hos Microsoft / Amazon eller hos KMD / DXC (tidligere CSC).

Tillid; det har jeg ikke, men at plukke de lavest hængende frugter det er jeg stor tilhænger af...

12. oktober 2019 kl. 08:31
Regeringen vil indføre særskat for tech-giganter

Hvad er det der afholder de store virksomheder i at flytte ting in house (ved god der er nogen der gør det) for hvis alle vil gøre det for de sølle 5%, må det da være meget mere interessant at gå efter den avance der allerede i dag er hos underleverandørerne.

En underleverandør har jo separat bogholderi, rengøring, revisor, bygninger, kantineordning, maskiner og tusinde andre ting vi lige kan finde på…

Så hvis en underleverandør skal være rentabel, skal de vel have en bruttoavance på ca. 25% for at kunne opretholde driften (ved godt at lønninger er indeholdt her). Det svinger selvfølgelig meget afhængigt af om du er en produktionstung virksomhed, eller en ”broker” virksomhed.

9. september 2019 kl. 21:26
Nu er der en chip i dit Roskilde-armbånd: »Vi satser på, at folk stoler på, at vi ikke er skurke«

Udover adgangskontrol er de frivilliges mad- og drikkekuponer også knyttet til deres chip, så de kan betale for måltider med chiparmbåndet. Samtidigt har alle øvrige festivalgæster allerede nu mulighed for at tilknytte deres betalingskort via app’en RF Wallet, så de kan betale i boder med deres chiparmbånd i stedet for dankortet.

Vi har valgt ikke at kryptere den, så man kan godt kopiere den, hvis man har det rigtige udstyr. Det skyldes, at vi har ikke nogle data på den - kun chipnummeret, og der er ikke noget hemmeligt i det. Hvis vi på et tidspunkt begyndte at opbevare data på den, så er det klart, at vi ville kryptere dem,« siger Steen Bechmann Henningsen.

Jeg håber der mangler noget her... for ellers tror jeg det er mere lukrativt at kopiere armbånd end at "samle flasker"

3. juli 2019 kl. 09:50
iPhone-brugere får adgang til at sagsøge Apple for monopolmisbrug med App Store

Det var det jeg forsøgte at kommunikere, men betydningen er mindre da du ikke har en kostpris, men bare genere "bær" efter behov.

15. maj 2019 kl. 14:30
iPhone-brugere får adgang til at sagsøge Apple for monopolmisbrug med App Store

Hvis man sælger en digital vare som e-bøger, musik, streaming abonnementer mm. så tager Apple/Google også et cut på 30% det første år og 15% efterfølgende år.

Det er selvfølgelig lige meget hvis man sælger et virtuelt bær i et spil, så er det ok at andre stiller betalingsløsning og infrastruktur til rådighed, men det er noget andet med firmaer der skal betale for den vare de sælger.

Det betyder blandt andet at firmaer som Netflix stopper med at tilbyde den service og de fleste e-bogssælgere ikke kan konkurrere med Apple/Google da de selvfølgelig ikke skal levere 30% af omsætningen til sig selv.

Da Apple har lukket ”100%” for installation fra andre kilder, er resultatet en dårligere oplevelse for brugeren, da de skal ud i en browser for at købe abonnementer, bøger mm. Hvis man anvender Android, kan man installere en anden app store og på den måde undgå Google, eller man kan bede folk om at installere via en .apk fil som Fortnite gjorde, ikke at det på nogen måde er optimalt men hvis Valve ønskede det kunne de lave deres egen Steam for Android og på den måde ”udkonkurrere” Google.

Derfor bliver det spændende at se hvilke konsekvenser denne sag kommer til at have.

14. maj 2019 kl. 21:37
Ny CFCS-lov er nu lagt frem: Virksomheder kan blive underkastet tvungen overvågning af netværksdata

En lov som denne skal nok være med til at tiltrække højteknologiske virksomheder til Danmark...

Ud over det glæder jeg mig til det kommer frem at nedbrud XX skyldes at CFCS ikke lige havde taget højde for "julehandlen". Desværre som tingene er og bliver får virksomhederne vel bare en gag ordre.

27. marts 2019 kl. 23:18
Ny rapport om AI i det danske Sundhedsvæsen

Med alle de debatter og skandaler vi har læst gennem det sidste lange stykke tid, er det måske tid til at lave et "fagparti"

Det kunne så bestå af folk der har borgernes og dermed samfundets interesse i centrum:

Her er starten på en liste:

Eksperter i jernbane, IT, byggeri, grundlovsrettigheder, energi, økonomi, integration og find selv på flere...

Jeg tror faktisk at et sådant parti vil have gode muligheder for at blive valgt ind, og have mulighed for at sætte sig ud over de rød / blå problematikker der er.

Ville være rart med nogen som lytter lige så meget til eksperter og foreninger på området, som til store dyre konsulent rapporter.

Måske vi så ville kunne begynde at se langsigtede politikker, og ikke bare holder det til næste valg... fint så er det de vi gør...

26. januar 2018 kl. 09:35