Anders Lorensen

Hardware og oppetids-krav forsinker regioners Windows-opdateringer

Kravet lyder helt præcist "Klienter skal anvende det nyeste operativsystem" Og det er ikke opfyldt.

Vi er enige om at Windows 10 sagtens kunne opfylde alle de andre krav. Hvis man ikke mener det er vigtigt at man anvender det nyeste operativ system, skal man ikke sætte kravet. Og hvis man sætter kravet, og begrunder det med sikkerhed, så skal man fandeme også håndhæve det, specielt et sted som sygehusvæsnet hvor (manglen på) sikkerhed kan koste menneskeliv.

2. oktober kl. 22:43
Hardware og oppetids-krav forsinker regioners Windows-opdateringer

Lidt sørgeligt at den artikkel ikke er krydret lidt med de tekniske minimumskrav der er til netop operativ systemet fra nytår af.https://sikkerdigital.dk/myndighed/tekniske-tiltag/tekniske-minimumskrav/tekniske-minimumskrav-2023Her forskrives der at det er et minimums KRAV at køre nyeste version af operativ systemet. Og det krav opfylder Windows 10 ikke. Som jeg ser det, planlægger det meste, hvis ikke hele vores sundhedsvæsen at overtræde disse regler...

Kunne være fint med en opfølgende artikkel herom.

29. september kl. 19:46
Ny it-bommert hos Rigspolitiet: Sletter 27 millioner filer fra straffesager ved en fejl

Hvordan kan udvidelsen af 1 server slette både backup og offline backup af selvsamme server?

Det lyder ikke som en menneskelig fejl eller enkeltstående hændelse, men som en total fejlet backup strategi / backup procedure.

1. august kl. 10:00
Microsoft-kunde ramt af historiens måske største DDoS-angreb

"a throughput of 3.47 terabits per second". Hvordan blev det til "målte det 3,47 terabyte per sekund."

En så graverende fejl må ikke ske i et IT medie, hvis vi skal fortsætte med at tro på hvad vi læser herinde.

1. februar kl. 19:02
Derfor har vi brug for statsautorisation for IT-sikkerhed

Hvorfor har T-Hansens IT revision ikke fanget dette? De har jo en statsautorisation....

Jeg har stadig ikke mødt nogen kompetent IT revisor der faktisk har spurgt ind til noget relavant i forhold til en virksomheds overlevelsesevne hvis de bliver ramt af nedbrud, bugs, hacking m.v.

Hvordan undgår vi at en IT-autorisation bliver udviklet som et "pc kørekort" hvor man underviser i at sætte folk BCC i email masseudsendelser. (altså niveauet for DJØF'er)

IT branchen dækker meget bredt, og det bliver svært at lave et pensum som dækker hele branchen uden at det bliver uoverskueligt stort, vil jeg mene. Og Pensum vil flytte sig hele tiden, i takt med teknologisk udvikling - i modsætning til de fleste andre typer autorisationer derude.

Men dermed ikke sagt at man ikke skal forsøge! Kan man evt. dele det op, så man laver flere mindre autorisationer og kan få det til at virke med et eller andet krav om at den skal fornyes hvert x antal år - så vil jeg helt sikkert mene det vil være en god ting at få indført.

Og når vi nu er igang - kunne man så ikke indføre en IT-Politiker autorisation. - Uden den må man ikke lave politik om IT eller stemme for lovgivning om IT?

16. november 2021 kl. 12:53
Australien vil straffe cyberkriminelle endnu hårdere - men virksomheder må ikke betale løsesum til hackere

Tænk hvis de i stedet lovgav om krav til en obligatorisk offline/air-gapped backup.

13. oktober 2021 kl. 12:42
Statsretter og Menneskeretter

CfSC burde have lov at exploit of slukke/disable all services som ikke er patchet inden for 24 timer

Får jeg så en regning hvis jeg har sat en honeypot op, som de har spildt en eftermiddag på at forsøge at hacke?

Og når jeg politianmelder hacket, hvem sender politiet så regningen til for den tid de har spildt på efterforskningen?

Nej. CFCS skal måske have lov til at lukke folks internet forbindelser, eller filterer trafikken på dem. Gerne med et gebyr/bøde for mangelfuld sikkerhed, for at få genåbnet forbindelsen, så hr og fru Jensen og den lokale tømremester får et incitament til at stramme op på sikkerheden. Men at hacke andre folks devices er kun dumt og giver et hav af afledte problemer.

15. april 2021 kl. 15:32
Vigtig Schrems II-afgørelse i Frankrig: Blåstempler omstridt AWS-garanti

Så du tror at AWS per default har lokal admin brugere på alle hosted VMer....

Er det ikke underordnet? AWS kan snapshotte VM'ens ram og læse krypteringsnøglen direkte derfra.

Hvis AWS bruges til andet en dum storage, så har AWS adgang til krypteringsnøglen, og dermed data.

9. april 2021 kl. 08:28
Dansk Erhverv: Virksomheder følger ikke cookie-reglerne

vi ser stadig, at samtykke forsøges indhentet ved at skrive, at kunden giver samtykke ved at klikke videre ind på siden. Det er i strid med reglerne,« skriver Dansk Erhverv.

Fra Dansk erhvervs egen startside:

Der anvendes cookies til at forbedre din oplevelse af websitet. Du accepterer ved at navigere videre.

Så klinger det lidt hult, at de påpeger at andre ikke følger reglerne...

21. januar 2021 kl. 13:24
Single use domæner til officiel information fra det offentlige

Det er vel ligegyldigt om det hedder coronaprover.dk, coronaprover.borger.dk, coronaprover.stat.dk eller coronaprover.gov.dk - det er alt sammen nye domainer/sub-domainer. Der skal vel stadigvæk sættes det samme op fra bunden af i forhold til f.eks. email.

Man skal lave det som borger.dk/coronaprover eller lign, så man kommer ud over domain problematikken....

5. november 2020 kl. 15:56
Brænd de offentlige udbud ned og start forfra

Det jeg har oplevet med offentlige udbud er at de er så fyldt med fejl at de ofte er håbløs ubrugelige.

Jeg har selv oplevet hvordan SKI 02.22 er direkte ubrugeligt grundet antallet af fejl fra SKI's side, på specielt enheder.

Hvad gør man når man byder på f.eks. hostning af emails, og SKI vil have prisen i mb (millibit? Megabit? Megabytes? Mebibytes? - juridisk står der millibit, men de mener nok Mebibytes, hvis jeg bruger min sunde fornuft, andre vil mene Megabytes) Samtlige leverandører på SKI 02.22 aftalen har antaget forskellige ting, for det eneste sikre er at udbudet ikke mener det de skriver. Og med f.eks. en forskel på ca. 11% om der menes MB eller MiB, resultere i at man aldrig får en skarp pris. Og det er iøvrigt noget vi ser RIGTIG meget af, disse 11%-fejl i form af GB kontra GiB og TB kontra TiB. Det er som om folk der laver udbud slet ikke kender og forstår SI-enheder.

Det er endnu værer når man kommer over i "oprettelsesgebyrer" for hosting af en VM. - Her skriver SKI udbudet 1 sted at det er per VM, og et andet sted, en engangsting uanset antal VM'er. - Resultatet er at nogen udbydere koster flere 100 mio mere end andre på en 4 årig aftale afhængig af hvad man antager at SKI mener. - Kort sagt priserne er afgivet med forskellige antagelser, og dermed ubrugelige.

Så jeg er helt enig. Måden udbud kører på, med korte deadlines, elendigt udbudsmatriale, stakkede spørgefrister, dur bare ikke. Der skal en stor ændring til, hvis det skal give et resultat, som kan ses på bundlinjen.

1. november 2019 kl. 22:37
Skal STARTTLS være et krav for følsomme email

Er kryptering af emails i transit ikke bare falsk trykhed?

Min erfaring med Randers kommune og deres borgere, har fortalt mig at kryptering i transit ikke hjælper en flyvende fis. Folk skriver forkert så ofte, at vi på ingen måde må opfordre folk til at sende noget som helst følsomt på email.

Hvis Folk for den opfattelse at emails er sikre, hvis alt er krypteret i transit, gør vi sikkerheden dårligere.

22. august 2019 kl. 21:07
Lectio stiller 130.000 opgaver til rådighed for forskere uden at informere gymnasier eller elever

Er disse opgaver ikke omfattet af ophavsret? Det er jo et værk produceret af en person. Eller er der særlige regler når det er en eksamensopgave?

Hvis det er et værk, er der vel også et brud på ophavsretten, hvis eleven ikke har givet lov til at kopiere det.

8. juli 2019 kl. 11:54
Interxion-direktør erkender: Mystisk kollaps i datacenter har ført til »seriøse« kontraktbrud

RCA'en indeholder en væstentlig detalje som artiklen ikke nævner:

Overvågningen får rigtig mange alarmer omkring mangel på tryk da bryddet kommer. - Hertil 1 enkelt af typen "vand på gulvet alarm". Overvågningsfolkene stessede af alle alarmerne, og får ikke prioriteret denne "vand på gulvet alarm" - Hvilket betyder man ikke får "bypassed" bruddet, og ikke for lukket for at vandet fosser ud. - Havde man bare fået reageret på denne alarm med det samme, havde der nok aldrig været et SLA brud, og katastrofen havde været undgået.

Så kort sagt, der skete 2 fejl, en fejl på en slange og en menneskelig fejl.

5. juli 2019 kl. 09:12
Region H fremhæver GDPR-ugyldig sondring mellem 'at se' patientdata og placering af data

De to regioner kan give navngivne medarbejdere hos Epic mulighed for at se patientdata, men data ligger i Danmark i de to regioners datacentre og ejes af Region Hovedstaden og Region Sjælland. Data ligger ikke i USA,«

Data ligger i USA jf. domstolene. I 2008 blev Tele2 dømt til at lave censur på The Pirate Bay. En af begrundelserne var at data blev opbevaret hos internet udbyderen. - Det lå nemlig i noget cache når pakkerne susede igennem en router i et par nanosekunder. I 2010 stadsfæstede højesteret dette.

Her er tale om at data reelt ligger i noget grafikram på et grafikkort i USA når de navngivene medarbejdere kigger i systemet - i adskillige sekunder op til flere minutter. - Det er svært at argumentere for at det så ikke ligger i USA, hvis vi skal kunne tage højesterets ord for gode vare.

25. juni 2019 kl. 14:45
Hackere låser 10.000 pc'er i Baltimore i ugevis: Bystyre nægter at betale løsesum

Fordi hackerne ikke bliver betalt, er hele systemet stadig offline, og nu må det genopbygges fra bunden.

Det er godt nok en dårlig formulering. - Og yderst forkert i min verden. Den forsøger jo at sende et budskab om at det er en god ide at betale!

Systemet er offline fordi der ikke var styr på sikkerheden inden hackeren kom ind. Systemet er offline fordi der ikke var en (god) plan for hvad man gør i den situation.

Systemet er ikke offline fordi man ikke har betalt en løsesum, som ikke vil fixe de grundlæggende problemer. Betalte de, var en anden hacker inde imorgen og lægge det hele ned igen. (hvis det da ikke er samme hacker) - Han har jo nu et incitament til at angribe - dels ved han der ikke er styr på sikkerheden, dels ved han at de glædeligt betaler.

22. maj 2019 kl. 12:25
Kina vil forbyde krypto-mining

Det går nok ikke helt i nul, for der er jo stadig dem der kører det enten fordi de anser strømmen fra deres forældre eller arbejdsgiver som 'gratis' blot fordi de ikke selv betaler for det.

Når mængden af minere falder ned til et niveau hvor det er trivielt at lave et hostile takeover ved at have over 50% af regnekraften i netværket, giver det slet ikke mening at lave transaktioner på netværket.

Så et par nørders "centralvarmeanlæg baseret på antminere" vil ikke være nok til at holde det kørende.

10. april 2019 kl. 21:02
Stort nyt it-system til håndtering af kontanthjælp er nu tre år forsinket

Tænk, hvad vi kunne have fået af velfærd for de penge.....

Det er vel netop derfor at ting som Borgerløn giver mening.

Så er spørgsmålet bare om man husker at få den slags med ind i "business casen" i de forsøg med borgerløn der har været rundt omkring.

28. februar 2019 kl. 12:35
Dataetiker efter ANPG-sag: Uholdbart at jurister ikke ved mere om teknologi

så er det jo ikke raketfysisk at designe et system som løbende overskriver gamle records med nye de nye records, således at genskabelse kun vanskeligt lader sig gøre. Og da slet ikke, hvis der vælges en SSD-lignende løsning til lagring.

Det er netop raket videnskab. - Det har du selv lige bevist med din udtagelse. For på en SSD som du forslår, bliver data ikke slettet når du overskriver en sektor. - For sektoren blev skrevet et helt andet sted på SSD'en, da den er "virtualiseret" inden i SSD'en, for at sørge for at alle sektorer bliver slidt lige meget på SSD'en.

Og er vi over i at data ligger på et SAN attached storage system med automatisk tiering, kan data ligge endnu flere steder, under flytning af data rundt imellem tiers, hvor det ikke overskrives på den gamle tier.

Ja, det er ikke nemt at genskabe data fra hardwaren, uden at pille ved firmware eller fysisk adgang til udstyret. Men det er ikke "Slettet"

Ligesom udfordringer i Filsystemer med sletning, så er der også udfordringer i hardwaren. Det er på ingen måde trivielt at slette noget nu til dags!

23. november 2018 kl. 10:20
Måling: Danskernes tillid til offentlig databehandling rykker sig ikke en tomme

...den samme undersøgelse, hvor resultatet var delt op imellem it-kyndige og it-ukyndige.

Jeg tror det ville være en øjenåbner for de fleste. For mit indtryk er at det meste af IT brancen tæt på ingen tillid har til det offentlige. Fordi vi ser i dagligdagen hvordan IT sikkerhed bliver nedprioriteret. Fordi vi ser artikkel på artikkel i pressen på misbrug af data i det offentlige. (DAMD, trivselsmåling etc.) Fordi vi ser hvordan et datatilsyn bliver nedprioriteret år efter år. Etc, etc.

9. oktober 2018 kl. 11:46