Lars Larsson

Dansk firma finder to nye sårbarheder i IBM Notes

At finde sårbarheder i diverse virksomheders software er noget der sker meget tit i it sikkerhedsvirksomheder. De fleste er bare holdt op med at lave medie historier ud af det. Historier om fejl på klienter i diverse ikke udbredte løsninger kommer let til at overskygge den vigtige dækning af sikkerhed.
Sikkerhedsbranchen skal sørge for ikke at råbe for højt om alting - hvis budskaberne skal tages seriøst på ledelsesniveau. Og dette gælder i høj grad også snakken om GDPR,

22. marts 2018 kl. 15:10
Politiets Sikkerhetstjeneste: Russiske hackere står bag phishingangreb mod Norge

Heino - har du snakket med folk i Ukraine? Det lyder ikke sådan. Og hvis du har så må det være nogle af russerne der bor der. Jeg har ihvertfald flere Ukrainske kollegaer jeg snakker med dagligt og de kan bekræfte at det vi ser i medierne slet ikke fortæller alt om hvad Russerne rent faktisk gør. Og nej, det er ikke blot noget de har set på lokal tv. Den ene bor midt i kampzonen. Og så tænkte du at Kaspersky, som jo netop har gode forbindelser til Ruslands regering (mindre gode lige pt), ville udlevere deres kunde?

Nå det er sagt, så foregår der selvfølgelig masser af angreb fra USA og selv fra Norge. Så selvfølgelig er det ikke kun Rusland der er aktiv på cyberfronten.

Pointen er at hvis du i din verden vælger at tro at Rusland ikke står bag diverse episoder som der kan læses om i medierne, så vil du kunne finde masser a "neutrale" medier der bekræfter dig i det. Så held og lykke i den verden, der sker fantastiske ting.

8. februar 2017 kl. 08:34
Hvordan sikrer vi viftekortet?

Nemlig, det bliver rigtig godt.

2. september 2015 kl. 22:28
Hvordan sikrer vi viftekortet?

Der er jo forskel på at man på en optagelse kan se folk ansigt og give billederne videre til politiet - og så at man automatisk har alle navne på kunder der har handlet i butikken.

Datatilsynet? De aner da ikke hvad der sker rundt omkring i Danmark - og hvis de gør skriver de et bekymret brev.

2. september 2015 kl. 22:22
Hvordan sikrer vi viftekortet?

Kameraerne i butikkerne er ikke kun til at forhindre tyveri. Det er ganske imponerende overvågning - der kortlægger folks købsmønster. Hvor lang tid stopper folk ved slikken, går man lige forbi ugens tilbud osv. Så vidt jeg ved er det "anonymt" i Danmark - men som det ses mange steder er teknologien der kan genkende folk vha. realtime videofeed tilgængelig - så hvis man vil....

2. september 2015 kl. 21:40
Hvordan sikrer vi viftekortet?

Når vi snakker overvågning igennem luften, tror jeg såmænd ikke at NFC kortet er så nødvendigt. En mobil i lommen er i sig selv en rigtig god "informations spreder". Hvis vi er i butikker, er der massiv overvågning som med nuværende teknik godt kan genkende personer og følge dem igennem butikken.

2. september 2015 kl. 18:44
Hvordan sikrer vi viftekortet?

Den overordnet plan er at gøre kendskab til kortnummer/udløbs dato ligegyldigt. At kunne stjæle disse oplysniger nu er i princippet ikke et stort problem. Disse kan ikke bruges til at "lave" et nyt kort. Til e-handel behøves der normal også kontrolcifre, som ikke fremgår af den oplysning man kan læse igennem luften. Og i mange tilfælde yderligere validering i form af f.eks. 3D secure. Lige nu er der dog stadig en del lande udenfor europa som stadig modtager transaktioner baseret på kortnummer/udløb og der kan det selvfølgelig stadig misbruges. Men kortselskaber satser benhårdt på at eliminere disse også - og samtidig flytte væk fra de gamle magnetkort i USA. Derudover er der et større initiativ igang, hvor de fleste transaktioner skal foregå uden kortnummer, men med tokens genereret centralt. Således kigger vi ind i en nær fremtid, hvor disse oplysniger ikke er interesante. NFC standarden har for længst inkorporeret en beskyttelse mod man in the middle, som beskrevet i indlægget - altså en maksimal svartid, som er svært opnåelig hvis kommunikationen er igennem flere enheder. NFC chippen giver ikke et statisk nummer tilbage, således giver det ikke mening at "kopiere" indholdet af kortet og sende dette indhold senere til en kortlæser - det skal foregå online.

Når alt det er sagt, er det altid ubehageligt at vores dimser i lommen på afstand fortæller hvem vi er.

2. september 2015 kl. 13:56
Danske 4G LTE-netværk er middelmådige

Hvor mon TDC er i den undersøgelse? Vi er skiftet til TDC og har nogle helt ekstreme hastigheder. Typisk mindst 50 Mbit og ofte 80-110 mbit - det ville vel flytte danmark lidt længere op i listen.

16. marts 2015 kl. 13:02
It-virksomhed i Ukraine – et år med krig…

Jeg ægrer mig over at version2 stiller blogplads til rådighed for dem der åbenbart bare bruger pladsen til at promovere sin egen business - istedet for at give spændende erfarring videre til os læsere. Endnu engang er der ingen problemer i Ukraine - så send blot mere arbejde til Ukraine.

Sandsynligvis har Carstens firma formået at få leveret det projekter som de har lovet, indtil videre. Lad os også håbe at det fortsætter sådan. Men pointen er at der er en ekstrem høj risiko lige nu i Ukraine - også udenfor krigszonen. Dette ignoreres helt i det indlæg, men ud fra min kollegaer jeg dagligt arbejder med og som sidder i Ukraine kan jeg rapportere: Der er problemer i dagligdagen mellem pro russiske og Ukrainske medarbejdere, som tager konflikten med på arbejde Der blev lavet udrejseforbud for mænd, så de kan stå til rådighed for hæren Bank systemet virker knap nok Der er mangel på udenlandsk valuta, så det er vanskeligt at få penge ud af landet Der er en stor inflation, som gør det vanskelig for nogle grupper Landet er meget tæt på statsbankerot Der er massiv propaganda fra Russisk (TV), som også ses i Kiev. I den del er vesten fjender (og det gør jo samarbejdet lidt svære, når "vi" er fjenderne) Den nuværende regering balancerer på et knivæg og er på nogen måder handlingslammet Gas forsyning fra Rusland er usikker, især efter at Ukraine har afbrudt forbindelsen til Øst. Selvom det ser ud til at der er der er aftalt leverancer indtil udgangen af marts. Osv osv

Lad mig lige slutte med en lille historie fra min kollega der fortalte at det var super, fordi myndighederne havde lovet at lade være med at slukke for strømmen i julen!! Det har de ellers gjort løbende for at spare energi Han bor i Kiev, som jo er langt fra krigen - men er det 100% normale land?

3. marts 2015 kl. 09:43
Hvilken telefon vælger man i dag?

Min erfaring med Sony og glas: Yep, det er der jo. Og det kan gå istykker. Jeg tror ikke at man kan sige andet end dobbelt så meget glas, dobbelt så stor chance. Jeg har selv haft forskellige Sony'er de sidste par år, med glas på begge sidder. Der er ingen af dem der er smadret eller flækket. I forhold til Iphone 4, går glasset ikke helt ud til siden, men der er en lille ramme rundt om. Jeg ved ikke om det er derfor - for jeg har tabt min telefon mange gange på fliser og asfalt. Den nyeste Z3 har i alle hjørner en støddæmper, der skulle beskytte glasset når telefonen lander på kanten. Jeg formoder at det virker. I øvrigt har de gamle Z modeller haft et problem med at glasset med det samme kom til at se mere fedtet ud end andre glasmobiler (f.eks. end min gamle Nexus 4). Med Z3 (og Z2?) er det ikke noget problem længere.

..og så lige Google Maps: navigering osv er bedre på Android - en del faktisk.

1. december 2014 kl. 15:00
Hvilken telefon vælger man i dag?

Note er jo næsten ikke en telefon, rent størrelsesmæssigt. Men selvfølgelig er det da en mulighed også, hvis han vil have en stoor skærm. I forhold til mAh er det jo ikke kun batteriets kapacitet der tæller. En stor skærm og andre ting har også lidt at sige. I GSMarenas batteri test har Samsung note 3 75 timer, Sony Z3 compact har 101 time. Og Sony er den der ligger 2. øverst - overgået af Nokia 1520. Men det handler også om brugsmønster. Er det standbytid, mere se video eller browse internet som man gør. Det ændrer placeringen. Så GSM areana har en mulighed for at du kan ændre dit brugsmønster og se hvordan de telefoner klarer sig under det mønster http://www.gsmarena.com/battery-test.php3

1. december 2014 kl. 13:42
Hvilken telefon vælger man i dag?

Med dine krav er der kun en mulighed: Sony Z3 compact (eller fuldstørrelse, hvis du vil have en større skærm). Det er den eneste med laaang batteritid. Den kan så alt det du beder om - rigtig godt endda. Men det tror jeg nu at de fleste moderne telefoner kan. Jeg har selv 2-3 dage batteri på min sony med ret meget brug. Hvis du kun må vælge mellem dem på billedet ville jeg helt klart tage iphone 6.

1. december 2014 kl. 13:23
Malware-angreb på udenlandske hæveautomater rammer førende operatør i Danmark

Mange af de "gode ideer" til en bedre sikkerhedsstruktur har allerede været på markedet i mange år. Problemet er at der er så mange gamle, som man jo ikke bare lige kan ændre på.

24. oktober 2014 kl. 10:22
Hacket hæveautomat uddeler bundter af penge

Det er noget pjat at det ikke kan lade sig gøre i danmark. Automaterne er ikke beskyttet bedre her end så mange andre lande. Der kommer også til at ske denne slags angreb i danmark i fremtiden

10. oktober 2014 kl. 09:25
'Strikse' PCI-krav reddede ikke datasikkerhed hos Nets

Umiddelbart er det op til e-handelsbutikken at wrappe løsnigen ind på den rigtige måde. Det er ligegyldigt om det er e-pay eller andre. Mange tror at der er intet man som e-handelsbutik skal gøre, hvis man benytter en PCI compliant betalingsudbyder. Dette er ikke rigtigt, da PCI faktisk pålægger at butikker også har styr på deres del (men bliver ikke rigtig håndhævet i dk). Der er rigtig mange andre scenarier som også kan være problematisk i sammenhængen mellem en betalingsudbyder og en butik. I løbet af iår kommer der sandsynligvis en skærpelse på området i forhold til hvad de enkelte parter skal sikre - noget som sandsynligvis vil pålægge butikken at udvikle deres løsning således at man undgår de værste integrationsproblemer - f.eks. den nævnte. Det er ikke PCI SSC, men VISA som indskærper dette. I forhold til en hængelås kan man overveje den problemstilling i forhold til mobilapps. Prøv f.eks. at se mobilepay, eller alle andre som faktisk har en betalingsgateway bagi. Her er ingen hængelås, som brugeren kan se - heller ikke selvom det er indlejret html. Kun hvis app udvikleren har implementeret certificate pinning undgår man dette, men dette kan man ikke selv se som bruger. Så der må man bare krydse sine fingre.

13. maj 2014 kl. 13:18
Sikkerhedskaos for verdens hæveautomater: Kører stadig på Windows XP

Pengeautomaterne kører typisk ikke et særligt minimalt setup. De fleste jeg ser kører XP med alle services enabled. Generelt er det rædselsfuld sikkerhed på sådan nogle ATM og andre systemer på "lukket netværk" - netop fordi man syntes at man ikke behøver at prioritere sikkerheden pga. netværket. Mange kører ikke NAC eller andet så bare ved at koble sig på et netværkplug bag ved maskinen kan man ofte komme ind på det "lukket" netværk. Og det sker jo ofte at ATM'erne står standalone på offentlige steder hvor man netop kan komme til netværkskablet. Derudover er det også ganske problematisk for de mange der har fysisk adgang til ATM computeren at sikkerheden ikke er bedre. De kunne vel aldrig finde på at sætte en USB i maskinen - kunne de? Iøvrigt ser det ud til at Microsoft har valgt at fortsætte WindowsXP support et par år endnu - for det der vedrører Malware, som jo er det vigtigste i denne sammenhæng. Hvorfor så ikke bare opgradere til Win7? fordi at mange ATM kører på gammel hardware som overhovedet ikke kan trække win7 eller er suporteret. I den finansielle verden er de største tab fra it-kriminelle fra ATM'er. Selvom de fleste angreb skyldes mange forskellige former for skimming og trapping, så giver det jo en ide om at kriminelle vil overveje alle muligheder, inkl. selve pc'eren i ATM'en.

20. januar 2014 kl. 14:41
EU giver Microsoft bøde på 4,2 milliarder kroner for glemt browservalg

De fleste kommentarer herinde viser at de pågældende slet ikke har været computer bruger i den periode hvor Microsoft virkelig misbrugte deres monopol. Det lyder som om man bare kunne downloade en anden browser. Det kunne man ikke. Der var næsten kun Netscape og senere Opera. Og rigtig mange sider virkede ikke særligt godt i andet end ie. Dermed var det kun muligt at surfe på internettet med Windows. Og da næsten alle dermed brugte ie og Windows til at se websider blev siderne kun designet til og testet til ie. Microsoft sørgede for at at bundle website programmer til at lave "flotte" websites med blå office pakken. Disse programmer (blå. Frontpage) lavede ikke standard HTML kode. Men ie kunne forstå koden - ikke de andre. Microsoft supplerede med at lave information server og index server der generede forkert HTML. Igen så det underligt ud i alm browsere. Og sådan fortsatte det.

At sammenligne situationen med i dag giver ikke mening. Det var svært for almindelige brugere at installere en alt. Browser. Og med modem tog det 2-3 timer at downloade en ny - hvor man betalte par minut.

At arbejde i branchen dengang var et meget grimt syn. MS tværede alle ud på grimmeste vis. EU var nok lidt sent på den i forhold til hvornår det var værst. Men at myndigheder skrider ind kan være nødvendigt, og måske har vi kun disse alternative platforme og browsere pga. Indgriben.

Lars

8. marts 2013 kl. 17:05
En iPhone-ejers bekendelser: Sådan føles Nexus 4 og Android 4.2

Jeg hæfter mig ved at Henrik i artiklen skriver at det er værd at skifte fra IOS til Android. På hardwarefronten er Apples design nu stadig ekstra lækker, så hvis det tæller såeeh... Efter at have været med siden Android 1.6 og nu med en Nexus 4 må jeg også sige at Den telefon /det OS er altså også bare fantastisk. Det er første gang (dvs. ikke engang med 4.0) at Android bare funger så godt or flydende. For mange brugere fungerer det også fint lige ud af boksen, hvor Android tidligere krævede meget konfig eller ekstra apps. Jeg forstår slet ikke kommentaren omkring tastatur og ordbog. Uden at købe tastatur har man swype indbygget, som gør det så meget lettere og hurtigere at indtaste ord. Måske er det ikke swiftkey, men det fungerer supre godt. Og jeg forstår slet ikke kommentaren omkring ordbogen. Jeg bliver sindsyg af min Ipad der gang på gang foreslår de forkerte ord og som man tit ikke får "annuleret" ved at klikke på dem. Her er ordbogen markant bedre. Min kone der har Iphone har overvejet at skifte til Android bare forat får en ordentlig ordbog og swipe funktionalitet. At google tjenester er mere poleret på IOS har jeg ikke lagt mærke til - men jeg vil ikke afvise det. Men historisk har Google haft de nye cool ting i deres app på Android et godt stykke tid, før det er kommet på IOS. Google maps med navigation er et markant eksempel, men der er også andre. Og så forvandt Youtube da også lige på IOS en overgang. Man kan også vende det om at sige at det er stærkt at Google leverer deres "killer apps" i super kvalitet til konkurrenten. Det ville nok ikke ske den anden vej rundt.

Google Now er en af de ting, som lige nu kun er på Android. At anmdelderen kun har haft den på prøve gør at han nok ikke helt har lagt mærke til hvad det kan allerede nu. På min computer søgte jeg efter en virksomhed og læste på deres hjemmeside adressen (og ikke mere). Når jeg så ser Google Now, viser det mig lige vejen til adressen på et lille kort inkl. forventet køretid i nuværende trafik. Noget at bruge til: tjoee, faktisk. Og sådan er der flere brugbare oplysninger der bare diskret er der når de skal bruges. Derudover er der jo alternativet til SIRI som er markant stærkere end SIRI, men som jo ikke er så interesant i Danmark så længe det ikke er på dansk. Men det ser ud til at det snart kommer på dansk og så får Google Now lige noget af et boost.

Apple er dog markant stærkere i deres opdateringer. Jeg har købt en ny telefon for at få 4.2. Der står Apple brugere godt nok bedre, de får opdateringer lige hurtigt og gratis adgang til mange nye funktioner. Og hvis man tager alting samlet, kamera, skærm, hastighed, brugervenlighed osv. så tror jeg stadig Iphone5 er den bedste telefon. Men det er nok også sidste gang at det sker.

14. januar 2013 kl. 13:28