Ulrik Rasmussen

Da it-ansat fik fyresedlen gik der ikke længe før alle systemer på fabrikken gik i sort

I et notat fra DOJ (https://www.justice.gov/usao-wdtx/pr/former-el-paso-based-production-company-employee-sentenced-federal-prison-computer) står der:

Because of the intrusion, 300 employees in the production and shipping factory were unable to work for nearly three hours before the decision was made to send them home for the rest of the shift. The distribution center was not able to ship any of their products and customers could not place orders online. The IT Managing Director also had to hire a third party IT staff to assist with setting up a new application server for the company. The company continued to suffer direct and indirect losses because of the intrusion into its computer server in the ensuing days and weeks, as they had to reconstruct files, and fulfill production and customer services issues.

Jeg vil samtidig erklære mig enig i at dette er luddoven clickbait-journalistik af værste skuffe, og det lugter lidt af at der sidder en sommerferieramt redaktion som prøver at maksimere antallet af reklamevisninger ved at lede folk hen på nogle gamle artikler. For pokker, artiklen fortæller ikke engang hvilket land manden kommer fra!

Er det ikke lidt under lavmålet, Version2?

26. juli 2017 kl. 08:36
Stort tyveri for mere end 200 millioner kroner af fremstormende kryptovaluta

Jævnfør ovenstående kommentar, så bør følgende sætning i artiklen nok fjernes eller omskrives, da den på misvisende måde antyder at der var tale om tyveri af nøglefiler:

En kryptovaluta består i en kryptografisk værdi, som skal lagres på én eller anden måde. Det er almindeligt at lagre den som en fil, og mange har denne fil liggende hos en udbyder, som også tilbyder systemer til at betale med valutaen. Det betyder imidlertid også, at filen kan stjæles.

21. juli 2017 kl. 10:15
Stort tyveri for mere end 200 millioner kroner af fremstormende kryptovaluta

Der er ikke tale om at nogle hackere har stjålet private nøgler hos en udbyder, men derimod at de har fundet en fejl i en såkaldt "smart contract" som er et distribueret program der køres på hele Ethereum-netværket, og som her var anvendt til at indkode reglerne for et koncept der bliver kaldt "Multi-Signature Wallets" (se https://github.com/paritytech/parity/wiki/Accounts,-Wallets,-Vaults).

Fejlen bestod i at disse regler tillod at enhver kunne tømme en sådan wallet. Ifølge en diskussion på Hacker News (https://news.ycombinator.com/item?id=14807779) skyldtes fejlen at en metode der skulle have været erklæret "private" ved en fejl var erklæret "public". Top-kommentaren i den tråd indeholder i øvrigt en interessant gennemgang af tvivlsomme designbeslutninger i Solidity (det sprog som mange Ethereum-kontrakter er skrevet i) som let kunne føre til lignende fejl.

Bemærk i øvrigt at fejl i smart contracts ikke bare sådan lige kan patches, da koden jo netop (med vilje) ikke kører på en central server, men derimod på hele netværket, hvilket også betyder at bytekoden er tilgængelig for alle.

21. juli 2017 kl. 09:59
Dataforsyningsstyrelsen dropper kodeord i klartekst efter kritisk fokus

"kodeord", "bekræft password" og "adgangskode styrke" - er lidt skuffet over at de ikke også når at bruge "løsen" :)

26. juni 2017 kl. 16:34
Internettets håndtering af bogstaver gør browsere sårbare over for snydedomæner

Interessant, det var jeg faktisk ikke klar over! Det bevirker jo at phishing-angreb med falske e-boks domæner er blevet gjort meget lettere efter at NETS har valgt at overgå til et .com domæne.

18. april 2017 kl. 14:44
Internettets håndtering af bogstaver gør browsere sårbare over for snydedomæner

Både "xn---boks-ywe.com" og "xn---boks-ywe.dk" er ifølge whois.net ledige (Punycode-udgaver af "е-boks").

Bruger du Firefox kan det anbefales at slå "network.IDN_show_punycode" til i about:config

18. april 2017 kl. 13:34
Telmore-autentifikation: Send de første tre tegn af dit kodeord i klartekst

Sikkerhedsmæssigt tror jeg ikke at der vil være den store fidus ved at gemme et separat 3-tegns hash, da der ikke er mere end 16.581.375 teoretiske muligheder (255^3), og langt færre i praksis. Man er på den anden side lidt ekstra beskyttet hvis saltet ikke bliver lækket sammen med databasen.

14. februar 2017 kl. 08:20
Programmør: Dårlig software slår folk ihjel

Men er det nu virkelig også det? Ligegyldigt hvilken profession du tilhører, så er det vel meget sundt at stille sig selv etiske spørgsmål om hvilke kunder man vælger sig. Hvis man ikke selv ville have det godt med at udføre de handlinger som kunden bruger ens produkt til, så synes jeg klart at man har et etisk ansvar.

I det her tilfælde har han jo (formodentlig) været med til indirekte at forårsage at en ung kvinde har mistet livet. Hvad ville der være sket hvis han i stedet havde nægtet at tage jobbet, og måske endda efterfølgende havde rejst opmærksomhed om virksomheden?

22. november 2016 kl. 18:10
Anonymous hackergruppe offentliggør OL-guldvinder Pernille Blumes dopingprøver

Kan man ikke lave en ny klasse til de para-olympiske lege for folk uden synligt handicap (eks Astma), og å holde det almindelige OL fri for syge mennesker på præstationsfremmende medikamenter ?</p>
<p>Jeg tror alle at præstationsastma. Hvis jeg spurter 400 meter har jeg også svært ved at få vejret.

Jeg tror man skal passe på med at hoppe til den slags konklusioner. Der er altså ret mange der har astma som vitterligt har brug for at tage forebyggende medicin, men som ellers kan konkurrere på lige fod med andre. De bør ikke mistænkeliggøres bare fordi nogle vælger at misbruge den samme medicin.

Jeg har selv allergi- og anstrengelsesudløst astma, men når jeg tager forebyggende medicin (formoterol) kan jeg præstere på lige fod med ikke-astmatikere. Jeg deltager samtidig i sportsstævner, og har også været udsat for en dopingtest (uden problemer). Min sportsgren har så vidt jeg ved ikke rigtig noget handicap-forbund, så med dit forslag ville jeg bare ikke kunne konkurrere.

Reglerne for astma-medicin er nødt til at være pragmatiske i den forstand at det meste ikke kræver godkendelse så længe at man har en lægeerklæring og holder sig indenfor en terapeutisk dose som generelt ikke vil have en præstationsfremmende effekt. Hvis WADA har godkendt brugen af medicinen må vi som udgangspunkt gå ud fra at der er en god grund til det, inden vi begynder at mistænkeliggøre alle sportsudøvere med astma.

15. september 2016 kl. 12:41
Browserbaserede CRM- og CMS-systemer bombarderes med it-angreb

Jeg kan ikke rigtig regne ud hvad tallene i denne artikel betyder.

Den største stigning i angreb ses i finanssektoren, hvor antallet af angreb er steget fra 31 til 82 procent siden 2015

Hvad menes der her? 82 procent ud af hvad?

15. september 2016 kl. 07:57
Hardware til 100 kroner kan manipulere med amerikanske stemmemaskiner

Det vigtigste ved vores valgprocess er at folk stoler på resultatet og at valget er hemmeligt. Der må ikke være nogen del af valgprocessen som folk opfatter som "sort magi"

Det er en rigtig god pointe, og også en af grundende til at jeg som udgangspunkt er modstander af nogle af de seneste blockchain-baserede forslag til transparente afstemninger, som f.eks. Follow My Vote

Projektets mål er som sådan meget sympatisk, men deres video illustrerer egentlig ganske fint hvad der er galt med fremgangsmåden:

Leveraging blockchain technology in combination with elliptic curve cryptography, we've broken open the ballot box to allow everyone to count the votes.

Selv hvis dette system viser sig at være vandtæt, så har det stadig det grundlæggende demokratiske problem, at det kun er en lille teknisk elite der kan forstå hvorfor systemet er sikkert.

11. august 2016 kl. 17:44
Hardware til 100 kroner kan manipulere med amerikanske stemmemaskiner

Løsningen her er at droppe digitale løsninger og gå tilbage til papirvalg. Fordelen er, at processen er gennemsigtig og kan forstås af alle. Denise Merill siger det ganske godt selv i videoen (selvom hun faktisk taler for valgmaskiner):

Our system is as secure as we can possibly make it.

Men det er jo tydeligvis ikke godt nok. Det virker lidt komisk at hun fortsætter med at sige, at idéen om et nationalt hack af valget er tosset, fordi "der ikke findes et [fælles] nationalt system". Det lyder som om at hun tror at man ikke kan koordinere et nationalt angreb bare fordi der er mere end ét system at hacke, hvilket er lidt bekymrende.

Der er forresten ved at gå sport i at hacke valgmaskiner i de datalogiske institutter rundt om i USA.

11. august 2016 kl. 10:26
Amerikansk internetudbyder vil give kunderne rabat mod at kunne videresælge data

Rabatten er vel bare spin over udmeldingen "vi sælger din data medmindre du hoster op og betaler beskyttelsespenge".

Comcast er generelt et rigtigt godt skrækeksempel på hvor galt det kan gå når internetudbydere får frit spil, og ikke bliver tilstrækkeligt reguleret. Hvis du laver infrastruktur, så må du IKKE have nogle forretningsinteresser i det konkrete indhold der bliver fragtet.

4. august 2016 kl. 09:30
Bitcoin-kurs styrtdykker efter hackere stjæler for 430 millioner kroner

Wikipedia[1] siger at beløbet fra GTR svarer til £49 millioner i dag, eller ca. DKK 432 millioner. Så hvis Wikipedia er korrekt er det stort set det samme beløb.

[1] https://en.wikipedia.org/wiki/Great_Train_Robbery_(1963)

3. august 2016 kl. 12:01
Mistanke: Over 100 ondsindede noder spionerer på brugere på Tor

Husk lige at en "node" er noget man bruger i musik-notation. Den korrekte oversættelse af "node" er "knude".

28. juli 2016 kl. 10:44
Uber - begyndelsen til enden - eller blot enden på begyndelsen?

Hvorfor lade det være op til forbrugeren at sikre kvaliteten, når nu vi har en masse regulering der gerne skulle sikre at alle disse punkter bliver overholdt? Som forbruger vil jeg gerne undgå at skulle beskæftige mig med den slags nonsens, og bare kunne sætte mig ind i en vogn med vished om at den er underlagt nogle fornuftige regler.

Specielt sidste punkt om SKAT: Det bør da aldrig være op til forbrugeren om vognmanden skal have let ved at snyde i skat. Hvorfor er det pludselig bedre at vi alle skal løbe rundt og være bussemænd over for hinanden?

21. juli 2016 kl. 13:54
Uber - begyndelsen til enden - eller blot enden på begyndelsen?

Derudover har sådan en peer-to-peer løsning vel også præcis de samme problemer som Uber mht. forsikring af arbejdstagere, kontrol af bilsikkerhed, mangel på skilte, osv.

Forbrugerbeskyttelse bliver også erstattet af rating-systemer, hvor det nu er den enkelte forbruger der skal tage ansvar for at sikre at ydelsen er i orden.

21. juli 2016 kl. 11:17
Du bør checke fil-integriteten på din webserver

Ah, det er lige gået op for mig at vi muligvis taler forbi hinanden fordi jeg har misforstået hensigten med kontrollen. Jeg forstod på artiklen at man var interesseret i at detektere hvornår nogen har udnyttet en svaghed til at ændre en PHP-fil, og derigennem fået adgang til systemet. Altså at angriberen ikke på anden vis først havde fået adgang og derigennem kunne slå forskellige sikkerhedstjek i fortolkeren fra.

Mit forslag vil naturligvis ikke give nogen mening hvis angriberen allerede har fået fuld adgang.

17. juni 2016 kl. 11:24
Du bør checke fil-integriteten på din webserver

Ja hvorfor ikke? Hmm. Måske fordi fortolkeren ligger på webserveren?

Jeg er ikke sikker på hvordan det skulle være en hindring? Du signerer alle dine filer med en privat nøgle inden du lægger dem op på serveren. Fortolkeren konfigureres til kun at eksekvere kode som er signeret med den pågældende nøgle. Da den private nøgle ikke ligger på serveren kan angriberen ikke producere signeret kode.

17. juni 2016 kl. 11:15
Du bør checke fil-integriteten på din webserver

Det virker altså lidt som en inkompetent lappeløsning det her.

»En eller to linjer, og fra et forensic standpunkt, så er det ofte for omkostningstungt at gennemgå tusindvis af linjer for at finde en eller to linjer.«

Diff?

"Uanset hvor ofte fil-integriteten bliver checket, så er giver det ikke en 100 pct. sikkerhed i forhold til at opdage fifleri, påpeger Kuhlee."

Altså, helt ærligt, hvorfor ikke bare signere alle filer med en private nøgle der ikke ligger på serveren, og få fortolkeren til at verificere den hver gang den læser koden fra disken? En grænse på max 12 timer hvor din server har eksekveret arbitrær kode er altså ikke en særlig overbevisende sikkerhedsgaranti.

Derudover burde ingen af de processer der har med omverdenen at gøre have skriverettigheder til din kildekode alligevel.

17. juni 2016 kl. 07:47