Henrik Hansen

Passwordet til deres update server var åbenbart: Solarwinds123 og lå offentligt tilgængeligt i et repository på Github i flere år.

https://www.theregister.com/2020/12/16/solarwinds_github_password/

Men wow hvor er de (altid) russiske hackere dog sofistikerede og hvor er der dog bare mange af dem.

Det værste man kan sige om Datatilsynet er, at de er stærkt underfinansierede af staten.

Desværre indeholder GDPR vidst ikke et ord om finansieringskravene til den uafhængige tilsynsmyndighed, kun en liste med nye arbejdsopgaver.

Two-man-rule, four-eyes-principle, etc.

Gode eksempler på at ordet: "bureaukrati" faktisk er et neutralt ord, selv om en del politikere og journalister prøver at give det en negativ slagside.

Bureaukrati på den rigtige måde, kan både være godt for retssamfundet og en hjælp til individet. Håber man stadigvæk kan lære den slags i folkeskolen i dagens Danmark.

Det er også bare nemme at dokumentere hvordan man som dataejer opbevarer sine GDPR-relevante persondata, når man ikke har en hel skov af dataleverandører og under-dataleverandører man skal holde styr på.

Hvis jeg beder et konsulentfirma konfigurere et cloud-setup, som de køber hos en af de store cloud-udbydere, som igen outsourcer administration, køling og strøm til jernet til et datacenter, og datacenteret har outsourcet overvågningen til Tata, Wipro eller Infosys - hvor mange meters kø hen til vasken er der så, hvis Sanjay i Hyderabad får adgang til mine kunders persondata?

Hvis Sanjay er et godt menneske og melder GDPR-bruddet til sin overordnede, vil jeg så nogen sinde få det at vide?

Det er også værd at huske på at alle værktøjerne som cloud-leverandørerne sælger i dyre domme, er baseret på Open Source.

Ved ikke om Anette Vainer selv kan konfigurere en Xen cloud fra bunden med xe og en shell, men tro det eller lad være, så er virtualisering og containere ikke sort magi længere, som vi små virksomheder behøver at betale store cloud-leverandører dyrt for at konfigurere for os.

Det tror jeg ikke ?

Og du har fuldstændigt ret. Det første større studie kan læses her:

https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2722574?guestAccessKey=c8d43986-1131-4af7-b3bc-a9f9415cd3b3

Konklusionen er klar. Du er næsten garanteret en hovedskade når du skvatter på et el-løbehjul uden brug af hjelm.

I rapporten er 936.110 ture med el-løbehjul blevet analyseret, hvilket medførte 271 dokumenterede skader (14,3 skade per 100.000 løbehjulsture). Halvdelen af skaderne var hovedskader, 15% af disse medførte hovedtraume.

Umiddelbart tænker jeg at: 1) en gennemsnitlig cykeltur er længere end en gennemsnitlig løbhjulstur, 2) Københavnerne kører mere end 936.110 cykelture pr. dag, frem og tilbage til arbejde, indkøb osv. og 3), det medfører slet ikke noget der ligner 271 hospitals- eller lægebesøg om dagen, selv om de fleste cykler uden hjelm.

Men måske tager jeg fejl...

Sæt dog en trykfølsom 16:9 4K HD skærm, med en RaspberryPi-størrelse enhed på højkant i stemmeboksen, og print stemmesedlen dér.

Hvis det du krydser af på skærmen som vælger, er nøjagtigt det samme som bliver printet ud på papir-stemmesedlen, kan enhver stemmeberettiget nemt checke om der snydes eller er fejl i den del af valghandlingen. Desuden kan krydset kan ikke sættes forkert som med kuglepennen og stemmesedlen kan maskinlæses bag efter.

De valgforordnede skal der efter:

1. Lave et slut-print af hver af maskinerne i stemmeboksen
2. Maskinaflæse stemmesedlerne
3. Sammenligne de to resultater
4. Foretage en manuel optælling ved den mindste difference

Det siger sig selve enheden ikke skal, eller behøver, at være i nærheden af noget som helst netværk, hverken før, under eller efter valgdagen.

Stemmesedlerne behandles her efter på normal vis.

Så hvad vægter højest ? GDPR eller lov om tv-overvågning ?

Art. 6 GDPR Lawfulness of processing</p>
<p>(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Man kan vel roligt sige at en bank har en både en legitim interesse (GDPR) og lovmæssig tilladelse (dansk lov om tv-overvågning) til at foretage Tv-overvågning af egne facader, ikke? TV-overvågningsudstyr er ikke gratis og bankerne gør det jo ikke for underholdningens skyld. Jeg kan derfor slet ikke se nogen konfilkt mellem GDPR og den danske lovgivning.

Problemet opstår vel først i det øjeblik banken ikke overholder GDPRs kapitel 3 (artikel 12-23) vedr. den registreredes utrolig mange rettigheder?

Det er Digitaliseringsstyrelsens indtryk, at myndighederne arbejder seriøst og målrettet med implementeringen af ISO 27001.

Og det er mit indtryk at myndighedernes kontor- digitaliserings- og IT-chefer arbejder seriøst og målrettet på at overbevise Digitaliseringsstyrelsen om, at de er i fuld gang med at implementere ISO 27001.

Jeg har sgu aldrig været på, set eller hørt om et offentligt kontor, hvor ledelsen havde stillet ISO 2700x standarderne til rådighed for medarbejderne, hverken i papir eller digital form.

Hvad snakker i om? De koster jo penge..?

Umiddelbart må der være mere behov for denne lovgivning til at checke indbyggerne i 29xx postnumrene nord for København, når de ikke ønsker at betale skat i Danmark, fordi de: "bor alligevel det meste af året i lejligheden i Monaco"?

Og ikke mindst burde vores politikere offentliggøre deres forbrug en gang om året, så vi kan få afsløret dem som snyder med diæter og rejsefradrag, så folket kan holde dem langt fra en stol i folketinget, på rådhusene og i diverse bestyrelser.

Disse mennesker er dog sjældent i kontakt med Udbetaling Danmark.

1. Derfor kommer din næste smartphone til at køre Windows Phone
2. Derfor er Silverlight fremtidens interaktive streaming-platform
3. Derfor vil XPS-dokumenter snart udkonkurerre PDF-formatet
4. Derfor skal du bygge din næste virksomhed på Windows Small Business Server
5. Derfor vil Microsoft InfoPath altid være en integreret del af Officepakken
6. Derfor er Windows CE fremtidens embedded OS
7. Derfor er Orchard fremtidens open source CMS
8. Derfor er MSN Messenger verdens bedste Messaging App.
9. Derfor er dine kritiske forretningsdata sikret i Access/Jet
10. Derfor er der Windows Home Server på din næste NAS
11. Derfor er Zune og WMA-formatet fremtidens musikplatform
12. Derfor skal dit næste website skrives i Word
13. Derfor skal dit næste website udvikles i Microsoft Frontpage
14. Derfor skal dit næste website udvikles med Expression Web
15. Derfor skal dit næste website udvikles med WebMatrix
16. Derfor kommer Groove streaming service til at udfordre Spotify
17. Derfor vil The Microsoft Network erstatte Internettet
18. Derfor er IronRuby fremtidens open source Rails-platform
19. Derfor er Visual Studio Team Rooms det bedste samarbejds-værktøj for dine udviklere.
20. Derfor er Microsoft Bob din nye personlige assistent
21. Derfor er Sharepoint-udviklere de lykkeligste i verden
22. Derfor er Atlas fremtidens web-framework for web-applikationer
23. Derfor er Visual Source Safe det bedste VCS på markedet
24. Derfor bliver Yammer den næste folkekære sociale medie
25. Derfor kommer Bing til at give Google kamp til stregen

Generelt tvungen password-udskiftning på it-udstyr

Selv Microsoft har opdaget at det er væsentligt mere sikkert at gennemtvinge 2FA og en høj password-kompleksitet, end at tvinge brugerne til at skifte passwords hver 2. uge:

Microsoft Recommends Non-Expiring Passwordshttps://practical365.com/security/microsoft-recommending-non-expiring-passwords-to-office-365-customers/

Off-topic, men alligevel: Jeg sad tilfældigvis ved siden af en, tydeligvis ledende, Total-medarbejder på flyet fra Paris, lige efter deres køb af Mærsk Olie og Gas. Under hele flyveturen fra Charles de Gaulle til København sad vedkommende og redigerede en PowerPoint, med to-be organisationsdiagrammer og lister over hvor, og hvor mange medarbejdere der skulle fyres i den gamle Mærsk-organisation. For mig personligt foralte denne oplevelse siger alt om den reelle sikkerhedskultur, og det skulle ikke undre mig hvis han var lokaladministrator på sin ThinkPad.

Det lykkedes for os at sende data fra mit private hjem over datahubben til den estiske pendant, ES-feed, så vi kunne se mit årsforbrug af el fra Estland. Omvendt fik vi også hentet estisk forbrugsdata ind i Seas NVE’s app Watts i Danmark

Er der nogen her på v2 der kender til en god løsning på problemet omkring den uendelige kryptografisk sikrede kæde af informationer, som ikke må gå tabt eller kunne ændres, og GDPRs arktikel 17 der sikrer retten til at blive glemt?

Her tænker jeg på den Estiske forbruger, som ikke længere ønsker at optræde i Energinets blockchain jf GDPRs artikel 17. Umiddelbart kan den estiske forbrugers personhenførbare-oplysninger ikke engang anonymiseres, sådan som blockchains normalt er skruet sammen.

Denne side er akkurat lige så gammel som en Palm V , men er lidt nemmere at støve op her 19 år senere.

https://bullshitbingo.net/

Det viser sig at man har fundet det nødvendigt at ræse ned af gågaden for at sætte efter en butikstyv. En butikstyv...…

Jeg erindrer at samtlige mine klassekammerater i 1990'ernes Frederiksberg, der havde arbejde i en Irma, Netto og Fakta, havde historier om tyve der var blevet opdaget, pågrebet og tilbageholdt i butikken. Politiet bad bare den butiksansvarlige om at få et navn og adresse og der efter lade butikstyven gå...

Danmarks Radio og en række andre prominente organisationer...

I DRs komplette mangel på egen-innovation skulle micro:bit konceptet selvfølgelig også kopieres rub og stub fra BBC. Nu mangler vi bare DR også modtager årets innovationspris for endnu en gang copy/paste fra BBC.

Der er min påstand at DRs ledelse og store dele af medarbejderstaben altid har anset BBC for at være deres helt store forbillede og i årtier har de kopieret alt lige licens, pejlevogne og prøvebilleder til organisation, koncepter og programflade i deres egen mangel på nytænkning og helt, helt uden skam i livet.

At DR derfor skulle sætte spørgsmålstegn ved hvor vidt BBC's micro:bit nu overhovedet er det rette undervisningsværktøj til at inspirere danske børn i 11-12 års alderen til at programmere, før der kastes millioner efter dette statsfinansierede copy/paste projekt, svarer lidt til at spørge den romersk-katolske kirke om de ikke lige kunne undersøge hvor vidt det var muligt at finde en bedre religion til danskerne end katolicismen som den dikteres fra vatikanstaten den dag i dag, da vi har hørt og set at der også findes andre religioner end den romersk-katolske, ude i den store verden.

Det er hvad der går under betegnelsen Data protection by design and by default i GDPR, og det er der vidst ikke noget nyt i ud over sanktionsmulighederne:

https://gdpr-info.eu/art-25-gdpr/

Enig, men applikationens livslængde er blot en faktor af mange.

Jeg mener at en langt vigtigere faktor for offentlige IT-projekter er, at det både er nemt og muligt at finde andre leverandører, der både kan og vil overtage projekter programmeret i div. uortodokse programmeringssprog.

Jeg er selv kæmpe fan af både Clojure og Rich Hickey, men jeg ville da aldrig anbefale mine kunder at implementere udviklingsprojekter i Clojure, indtil Clojure bliver et mere mainstream programmeringssprog!?!

Hvor mange Clojure-programmører kan Visma, NNIT, Tieto, Trifork, KMD , DXC og de andre standard SKI-leverandører skaffe, hvis min kunde ikke gider have mig som leverandør på deres projekt længere?

Dette er faktisk ikke en kritik rettet mod Nine - for de har sådan set bare gjort, hvad konsulentfirmaer gør, altid har gjort og hele tiden har levet af. Regnskab 2.0 ser også ud til at være et meget velfungerende system.

Hvad Erhvervsstyrelsen der imod har gang i, fatter jeg ikke en brik af.

Hvad skal det offentlige Danmark med endeløse SKI-indkøbsaftaler, standardiserede platforme hos Statens IT, og hvorfor bruger Digitaliseringsstyrelsen mandeår på at udvikle guides og retningslinjer for offentlig IT, når en Digitaliserings- eller IT-chef hos Erhversstyrelsen bare kan vælge at kortslutte hele baduljen, i sit eget lille prestigeprojekt?

Du kommer heller ikke til at kunne finde en Soekris i hverken Elgiganten. Power eller Bilka lige foreløbigt:

April 24, 2017

Due to declining sales, limited resources available to design new products, and increased competition from Asia, Soekris Engineering, Inc. has suspended operations in the USA as of today.

It has been our pleasure to serve our customers over the last 16 years. We are proud that we provided reliable, low-power communications computers Made in the USA to many markets worldwide.

Thank you for your business.

So long and thanks for all the fish...

Må jeg ikke bede dig komme med fakta når du påstår at skyen ikke er den bedste løsning?

Fakta er, at hvis man søger på Google efter fx.: "vm escape bug" eller "vm vulnerability" er der 100.000 vis af seriøse hits. Der går altså ikke mere end et par måneder mellem en eller anden pwn2own deltager har fundet et par huller i Xen, Hyper-V, ESXi, OpenStack, VirtualBox eller whatever. Til alt held bliver de fleste VM-huller released som "responsible disclosures" der giver cloud leverandørerne tid til at patche deres systemer... men hvad med dem der ikke gør, og hele den undergrunds-industri der sælger til "APT" segmentet?

Hvilke succesfulde angreb på de store cloud leverandører kender du til, og hvordan forholder det tal sig i forhold til ikke-cloud, som jo ligesom er alternativet?

Nu er de store cloud-leverandører jo helt vilde med at fortælle offentligheden om hvilke succesfulde angreb de har været udsat for. Den eneste reelle mulighed offentligheden har for at gennemskue de succesfulde angreb på de store cloud-leverandører er at kigge ned af lister som denne:

https://en.wikipedia.org/wiki/List_of_data_breaches

...og så lige overveje om den ramte virksomhed er stor-forbrugere af cloud-løsninger, eller måske ligefrem er et datterselskab af en teknologi-virksomhed, som leverer cloud-løsninger.

Hmmm.... bum bum bum....

3 milliarder Yahoo-konti... de er leverandør af egen OpenStack cloud. 150 millioner konti lækket fra Under Armour, de er vidst AWS-kunder. 143 millioner konti lækket fra Equifax... dem har Cloudera en kundecase på. 57 millioner Uber-profiler... lå i deres hjemmebyggede UberCloud. 152 millioner Adobe kunder... mon ikke de lå i Creative Cloud? 145 millioner eBay kunder... de har selv bygget en OpenStack cloud. etc...

Så er der hele historien om at hvis dine data er interessante for USA's nationale sikkerhed, så har samtlige amerikanske cloud-leverandører bare at udlevere, lige meget hvor data befinder sig i verden, no questions asked, også kendt som Microsoft's irske problem...

https://xkcd.com/538/

Efter min egen mening er teknologien bag cloudløsninger fantastisk, og den store hemmelighed som leverandørerne holder for sig selv er, at 95% er deres løsninger er bygget på Open Source teknologier, som enhver idiot kan downloade og installere, og som faktisk er rimelig nemt at komme i gang med.

Jeg er fuldstændig enig i at skyen er den bedste løsning anno 2018, så længe vi taler min egen sky, og ikke disse ubegribelige forsøg på at outsource ansvaret for egen data til div. amerikanske konglomerater.