Martin L. R.

Google hugger Android over i to dele

Kan man så kalde Qualcomm for.. klodsmajor? :)

21. maj 2017 kl. 14:53
Fire udvalgte domæner får særlig sikring mod NemID-phishing

Det var jo præcist det man bad om, tak for det :)

31. marts 2017 kl. 22:58
Fire udvalgte domæner får særlig sikring mod NemID-phishing

Lidt off-topic, men du skulle tilfældigvis ikke have samlet en liste over store spillere som pt. ikke har DMARC?

30. marts 2017 kl. 22:03
Fire udvalgte domæner får særlig sikring mod NemID-phishing

Jeg kan ikke lade være med at bemærke, at DMARC omtales som "særlig beskyttelse" - nej, det burde være standard.. kom nu ind i kampen :)

Positivt er det trods alt at de nu endeligt får fingeren ud.. så mangler vi bare alle de andre :)

30. marts 2017 kl. 20:50
Bankbranche vil have fut på DMARC-udbredelse i Danmark

Så er det bare en skam, at det det har taget så længe med at få det sparket i gang, når man tænker på hvor ekstremt simpelt det er at sætte op og administrere.

Det er måske derfor de pakker det ind under "eureka"-undskyldningen med at "vi har erfaret at det hverken er komplekst eller enormt dyrt" når det burde have været sat op for lang tid siden.

Jeg vil ikke mene at banker kan bruge undskyldningen om at det er for dyrt at sætte op i det her tilfælde :)

Desværre er der jo stadig rigtigt mange (store) aktørere som stadig ikke virker synderligt interesseret i at få det problem løst én gang for alle - måske fordi den svindel der bliver begået i deres navn ikke direkte berører deres pengetanke og de dermed ikke har den korrekte.. motivation :)

Så idéen om at lave en dato hvor det simpelthen bare skal være implementeret, lyder for mig som en god idé. Det burde egentligt laves på globalt plan, selv om vi godt ved at det ikke ville kunne lade sig gøre. Men konsekvensen for dem som ikke er interesseret i at implementere det må jo så være at deres mails ikke længere når modtageren - hvis det var tilfældet ville du hurtigt se disse firmaer få fingeren ud :)

29. marts 2017 kl. 23:22
Politistaten Danmark ruller ensidigt spin udover alt

For bare år tilbage sad man alene tilbage som med sin sølvpapirshat hver gang man ytrede sig omkring disse ting.

Men med de sidste års mange leaks, takket være whistleblowers, har vi jo set hvordan de ting som "de tossede konspirationsteoretikere" sagde, rent faktisk har fundet sted dagligt. Det var bestemt ikke overdrivelser, da det har jo vist sig at korruption, tilsidesættelse af lovgivningen m.m. jo er kotyme - så længe det gavner de rigtige personer/organisationer, naturligvis.

Og som sagen med PET og SKAT (og faktisk alle andre sager), så er der aldrig konsekvenser der enten resulterer i fyringer af ledelsen, sigtelser eller andre former for ændringer (dette gælder jo egentlig for alle afdelinger der har med det offentlige at gøre, men nu handler denne artikel jo ikke om det). Tværtimod finder man bare omveje, hvad enten det er andre smuthuller eller simpelthen bare lovliggør det hidtil ulovlige hvis man ikke lige føler sig så kreativ den uge..

Så når man tænker på det, så er din idé vel egentlig ikke helt så skør endda.. :)

Det triste er, at man som teknisk kompetent nærmest antager at så snart det gælder det offentlige, at ens første antaglese er at "her fusker de nok også".. Man bliver jo desværre gjort opmærksom på grove overtrædelser ret ofte, selv på områder man endda ikke vidste eksisterede.

9. oktober 2016 kl. 23:16
WhatsApp og Facebooks dataeventyr kan få konsekvenser i Tyskland

Siden hvornår er det blevet normalt for folk at være så naive?

WhatsApp kostede i sin tid $1 dollar eller tilsvarende for sin region, netop med begrundelsen at det holder servicen kørende og fri for reklamer.

Facebook køber så WhatsApp for $22 milliarder dollars og få måneder senere gør de servicen gratis at anvende, altså fjerner de den meget beskedne sum af $1 pr. år.

  • Hvorfor? Fordi på trods af den sølle sum af $1, så betyder det at enkelte personer ikke bliver kunde. Man får flere kunder hvis ens produkt er gratis - målet er altså at kunne maksimere mængden af data som de kan tjene penge på.

Senere igen ser vi at Facebook nu tilbyder end-to-end kryptering så kun dem der er i samtalen kan tilgå beskederne.

  • Hvorfor? Kunne det tænkes at være samme grundlag som oven over; at folk ville vælge netop WhatsApp fordi end-to-end kryptering er det nye buzzword? Jeps, mere data, nammenam.

Altså har Facebook nu både gjort servicen gratis at bruge ved at fjerne den eksisterende indtægtsmulighed og samtidigt afskåret sig fra at kunne tilgå brugernes samtaler - til den nætte sum af $22 mia, dollars. Det lyder da som en fantastisk handel de har gjort der!

Her er det åbenbart at de fleste er absurd naive; tror folk virkeligt at Facebook, et firma der har data-mining og reklamer som primære indtjeningsgrundlag, virkeligt vil kaste $22 mia. dollars efter et produkt, fjerne den meget beskedne indtægtsmulighed der holdte WhatsApp kørende og så samtidig vil lukke sig selv ude fra brugernes kommunikation i form af end-to-end kryptering?

Kort sagt; tror folk at Facebook bare smider de penge ud af vinduet og giver alle sådan en service fordi.. de er venlige?

Hvorfor tror folk at Facebook købte Oculus, dem der laver Rift VR-brillen? Det var guld og grønne skove i starten og Oculus var ude og love en masse ting såsom at der ikke gik "Facebook" i det hele:http://time.com/38366/here-are-7-promises-oculus-has-made-after-getting-bought-by-facebook/

Bummelum, så var tiden til at Oculus Rift blev sendt på gaden og sammen med det kom der opdaterede Terms of Service:https://gizmodo.com/there-are-some-super-shady-things-in-oculus-rifts-terms-1768678169..og sjovt nok har Facebook nu tilladelse til at gøre præcist hvad de vil, samle alt den info de vil og markedsføre det. En VR brille der viser hvad du reagerer på og hvordan du reagerer på indhold er jo ikke ligefrem dårligt.

Nu kan det godt være jeg lyder kedelig, kynisk og alt muligt andet, men jeg er egentlig ret træt af at folk brokker sig til højre og venstre over sådan noget her - når det sker for sent, vel at mærke. Man skal ikke være raketforsker for at kunne forudsige dette. Private selskaber handler om at tjene penge, og især hvis man er børsnoteret og har investore så er der forventninger som skal opnås.

Så når man ser et stort firma opkøbte et andet, så er det naturligvis for at tjene penge. Ofte skal sådanne handler godkendes før de kan foretages, og bliver de det så er det altså for sent at komme bagefter og række fingeren i vejret. (jojo, denne gang er det over landegrænser, men det er princippet i det - man ved det vil ske) Hvad Facebook/andre firmaer lover af guld og grønne skove i perioden omkring et opkøb er irrellevant.. det er ikke bindende og betyder intet og bliver ændret så snart tiden er til det.

22. september 2016 kl. 23:59
Du bør checke fil-integriteten på din webserver

Hvis man nu vil forsøge sig med dette på sin Linux-server, er der så nogen her, der har erfaringer med værktøjer til dette?

Jeg har før benyttet mig af CSF på både debian og centos og CSF har denne funktion, og mange andre. Hvis det kun er file monitoring man er interesseret i, så er CSF nok lige en smule overkill :-)

http://configserver.com/cp/csf.html

19. juni 2016 kl. 21:49
Microsoft klar med sin egen FreeBSD

Men efter lidt eftertanke, håber jeg bare det ikke det påvirker FreeBSD-Classic negativt , at der kommer en FreeBSD-MS.

Det bliver nok ikke så voldsomt som artiklens overskrift kunne få det til at lyde.

Med al sandsynlighed sørger de bare for at deres kernel config er sat op til at spille problemfrit på Azure, og muligvis tilføjer noget dokumentation, hvis de skal være frække.

De begynder næppe at customize meget mere end det.

Edit: Flot, at jeg ikke lige læste de to kommentare ovenfor som forklarer det.. nuvel :)

12. juni 2016 kl. 00:39
TDC suger folks selvvalgte wifi-kodeord ud af routere og gemmer dem i klartekst

Fibia kan slå TDC på det punk!

Fibia vælger også at skrive at de ikke gider sikre kommunikationen med SSL.. super flot.

Jeg har kendskab til en leverandør af infrastruktur til antenneforeninger som benytter en standard konfiguration der gør samtlige af deres kunders trådløse netværk usikre. Jeg har oplyst både leverandøren samt min egen udbyder (som benytter den omtalte leverandør) om dette, men det preller af og jeg fik indtrykket af at det var mere en ubelejlighed at jeg gjorde dem opmærksom på det.

Tilgengæld har jeg gratis wifi i det meste af byen og diverse andre steder i landet, eftersom de ikke gider gøre noget ved det :P

Det er efterhånden ved at være træls at det ikke har nogen konsekvenser når der sløses med sikkerheden på denne måde. Gør man dem opmærksomme på problemerne så risikerer man at få en politisag på nakken, som vi jo desværre har hørt historier om allerede..

10. juni 2016 kl. 11:43
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Er ikke sikker på jeg forstår hvad du mener? Hvis du forsøger at køre det på en virtuel maskine til eksamen vil det blive opdaget og anset for at være imod reglerne.

Det jeg mente var i henhold til supporten af linux, som ifølge deres egen dokumentation ikke klarlægger fulgt ud i hvor høj grad deres software er understøttet på diverse linux distributioner. Det jeg så siger er, at her vil det være en oplagt mulighed for en linux bruger, at virtualisere Windows med dertilhørende Office-pakke og whatever man nu skal bruge, og så simpelthen bare køre hele eksamenen på den virtuelle maskine. På min laptop kører jeg Arch Linux, men har en VM med Windows 10 til de få tilfælde hvor jeg absolut skal benytte mig af Windows (typisk i forbindelse med Office-pakken). Derfor burde det ikke automatisk diskvalificere dig fra eksamen men kun fortælle en administrator om at her burde de måske lige tjekke de andre data parametre. Hvordan det konkret foregår med Exam Monitor vides ikke, da koden jo ikke er tilgængelig.

Naturligvis, sådan som du fremlægger det, hvor en studerende bare opsætter en VM, kører Exam Monitor og så bare tabber tilbage til sit normale OS og snyder på livet løs, er jo problematisk - men nu har jeg forhåbentligt forklaret mit synspunkt en smule bedre :)

9. juni 2016 kl. 23:06
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Der var her krav om at ikke engang onedrive måtte være tilgængeligt( køre som nogen art af baggrundsprocess) hvilket den gør som standard i bla. windows 10.

..og mig bekendt (bruger ikke Windows, så er ikke 100% sikker) kan OneDrive ikke slås fra, hvis man bruger en Microsoft Account, uden at grave dybere i systemet.

9. juni 2016 kl. 22:57
Mark Zuckerbergs Twitter-konto hacket

Plus han har lavet 19 tweets siden 2009.

Det ville vel også sende forkerte signaler hvis hans primære plat form ikke var hans egen? :)

9. juni 2016 kl. 14:14
London: Sygehuselæger får nu hjælp af Google machine learning

Super smart - inden længe vil Google påminde dig om at slette din browserhistorik før du stiller træskoene..

Det må være træls at få et Google Now card med "Vi anslår at du har 1 måned tilbage at leve i" :-/

9. juni 2016 kl. 13:51
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Komme med en computer der er renset for alt det man ikke ønsker at værten skal se. Og så total-rense den efterfølgende.

..eller køre virtualisering og så bare slettet skidtet bagefter.

De siger godt nok at deres program kontrollerer om det kører i virtualiseret tilstand, men det alene ser jeg næppe som noget grundlag for at være et problem.

9. juni 2016 kl. 13:42
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

At der bliver gemt screenshots etc under selve eksamen mener jeg ikke er noget principielt problem, så længe eleverne er informeret om det.

Enig. Screenshots viser ikke andet end en eksamensvagt og andre personer kan se ved bare at gå forbi dig. Problemet er tilgengæld alt den anden information der logges, uden egentlig at kunne dokumentere hvorfor det er nødvendigt; deres website siger "fordi vi tror det hjælper". At det hele gemmes i op til 5 år er jo bare.. elendigt.

9. juni 2016 kl. 13:39
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Til gengæld lader der ikke til at være nogen oplagt måde at terminere det på - intet vindue er overlevet, og der er intet ikon i applet-baren eller lignende.

Jeg har lige testet det på min Arch maskine, og her var et konstant vindue fra programmet som ike kunne flyttes. Ellers kan du vel bare slå programmet ihjel med killall, kill eller hvad du nu ellers foretrækker at bruge :)

9. juni 2016 kl. 13:35
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Næ, og det kan du lige så fint læse hvis du checker info siden for Exam Monitor, der understøttes Windows, Mac og Linux.

Men hvis du så læser systemkravene som de linker til i deres FAQ, så er linux ikke nævnt overhovedet.

Dernæst er vi jo ude i at "linux" ikke er beskrivende overhovedet. Den kedelige svada, som desværre er nødvendig: linux er en kerne og intet andet.

Hver distribution er forskellig, har forskellige værktøjer og endda forskellige konfigurationer af selve linux kernen. Skal man være besværlig (og det skal man jo :P) kan du jo sige at understøtter man "linux" uden yderligere forklaring, så er det i overensstemmelse med GNU og den kernel config som kommer fra https://www.kernel.org/ hvad enten det er mainline, stable, lts eller next.

Not all kernels are born equal.. #AllKernelsMatter ...

10. juni 2016 kl. 16:26
SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

Hvorfor er sådan et program ikke open source? Et universitet har vel interesse (eller burde have det) i åbenhed og gennemsigtighed. Taget i betragtning hvor invasivt sådan et program egentligt er (det logger i princippet alt, forklaret nedenfor), hvor vigtigt det er for overhovedet at kunne være med til eksamen (uden at benytte sig af programmet kan man ikke deltage i eksamen) samt hvilken type institution det kommer fra, burde det vel være naturligt med fuld åbenhed fra start.

Dokumentationen på deres hjemmeside er ikke videre fantastisk heller. Sproget er gebrokken engelsk mere end ét sted og deres "dokumentation" er langt fra fyldestgørende.

F.eks. nævnes der der under "How" at Linux er understøttet (og vi ved jo alle at "Linux" er et umbrella term som burde begraves da det ikke er andet end kernen. Skal man være tvær (og det skal man jo :P), så er Android og ChromeOS (baseret på Gentoo) jo også "Linux", men disse er næppe understøttet selv om man vælger at sige at "Linux" er understøttet), men scroller man ned til deres FAQ for at finde de egentlige systemkrav så er Linux ikke nævnt overhovedet.

Med tanke på det som programmet logger; skal det have fulde rettigheder til systemet? Jeg har ikke mulighed for at teste det i Windows eller OSX, så jeg kan ikke udtale mig om det popper op og beder om udvidede rettigheder, men jeg kunne snildt forestille mig et scenarie hvor manglende rettigheder og forskellige systemopsætninger (specielt på "Linux") vil kunne blokere for nogle af deres tiltag - vil det logge en masse fejl som så vil blive fortolket som forsøg på at snyde? ..vil denne tvivl komme den studerende til gode, da jeg finder det tvivlsomt at det vil kunne bevises at bare fordi funktioner i programmet ikke virker, at det så direkte kan linkes til snyd. Hvis programmet skal have administrator rettigheder kaster man al elementær forståelse for sikkerhed ud af vinduet. Dernæst er det jo problematisk at det kræver Java som jo efterhånden er anerkendt som værende et af de største og mest udbredte sikkerhedshuller nogensinde.

"This means that any exchange of information with other persons during exam is likely to be logged." Altså bunder deres grundlag for denne overvågning ud i "vi tror det hjælper". Ønskede man kun at se hvad der foregik på skærmen ville screenshot være nok, og det kunne i min optik (ud fra et sikkerhedsperspektiv) være ok, da det som er vist på screenshots ikke er anderledes end det som andre studerende og eksamensvagter kan se på ens skærm. Problematikken kommer når man logger alt muligt andet, uden egentligt at dokumentere hvad det er og hvorfor man gør det. "Vi tror" er ikke et fyldestgørende svar.

"Exam Monitor only monitors files and processes that are active on the computer. Content in the file system is not monitored, if it is not opened during the exam." Oversat til praksis betyder det at programmet overvåger filer og andre processer som er aktive mens Exam Monitor køres. Dog påstår de at der ikke aktivt søges efter bestemte filer/data (f.eks. søges der ikke efter "SådanSnyderManTilEksamen.pdf") For de fleste lyder det vel også fint nok, men deres definition af "aktive filer og processer" er problematisk da de ikke ønsker at dokumentere deres dokumentation. I princippet kan alle filer der får ændret f.eks. atime eller mtime på Linux vurderes som "aktive", da en ændring af disse betyder at filen er blevet tilgået på den ene eller den anden måde. Det kan være at brugeren specifikt åbner en fil, eller bare at en tilfældig systemproces (f.eks. indeksering, antivirus osv.) automatisk og helt urelateret til eksamen, scanner filen. Så i princippet må man vel antage at de logger den information også, da de ikke ønsker at gå mere i dybden med deres dokumentation.

"Data will be automatically deleted after 6 months." ..men i deres FAQ står der "The data is kept for up to 5 years, and then deleted." - forklaringen for den modsigende information er jo nok hvordan de forskellige universiteter gør det, men det er stadig problematisk med modsigende modsigende på samme side.

"You must login to access reports from Exam Monitor." ..altså kan udefrakommende ikke se hvad der logges eller ikke logges.

"The client detect whether it runs in a virtualized environment." For det første er det ret ironisk når man tænker på at det er Java :) Men hvorfor er dette relevant at vide om Exam Monitor køres i et virtuelt område (tænk KVM, LXC, OpenVZ, Xen, VMware, Hyper-V m.m.) Umiddelbart kan jeg kun komme i tanke om at det er for at sikre at man ikke køre Exam Monitor i en virtuel maskine mens man snyder på hosten. Løsningen på dette har de vel i form af screenshots som tages med tilfældige intervaller som vil fange dette. Egentligt vil jeg mene at det kunne være noget positivt, da det virker tvetydigt om f.eks. Linux er understøttet eller ej - her kunne det være oplagt at køre hele eksamen i en VM.

"Communication between the client and server is encrypted." Da de kun nævner at kommunikationen mellem klient og server er krypteret på man vel antage at selve dataen (som jo potentielt indeholder ret private informationer som beskrevet ovenfor) ikke er krypteret. Det er jo næsten pinligt at organisationer påstår at sikkerheden er i top hvis bare kommunikationen er sikker mellem klienten og serveren. Data er ikke nødvendigvis sikker bare fordi der anvendes SSL; det er nærmere falsk sikkerhed.

Der må være en bedre metode til at sikre eksamenerne på end dette, for denne type overdrevet overvågning gavner ingen. Som sagt kan jeg det accepteres at der tages screenshots, da det jo ikke overstiger mere end hvad en forbipasserende kan se - det problematiske er når man logger alt med grundlaget "vi tror det virker" uden at dokumentere det.

9. juni 2016 kl. 13:16