Sidsel Jensen

Den nye cyber-strategi er en ommer

Jeg kunne godt tænke mig at vi vendte debatten her til at folk kom med nogle konkrete bud på hvilke emner og initiativer, som de GERNE så at den nye nationale cybersikkerheds strategi skulle indholde - altså positivlisten.

Hvilke af de 34 hovedtiltag skal ud og hvad skal ind istedet for?

Strategien kan læses her: https://fm.dk/media/25359/national-strategi-for-cyber-og-informationssikkerhed_web-a.pdf

21. december 2021 kl. 12:50
Kære Rejsekort(et)...

I løbet af sommeren var der strømafbrydelse på hovedbanen og samtlige rejsekortsstandere var ikke funktionsdygtige. Folk rendte op og ned af samtlige perroner for at se om de kunne finde bare én stander der virkede.

Hvad gør man så? Man går ind i Check Udvej for at checke korrekt ud - men ak nej - det kan man så ikke for der var endnu ikke gået 15 minutter fra jeg var steget af S-toget. Så i løbet af dagen kunne jeg så prøve igen og derefter få checket korrekt ud - latterligt system!

Den anden gang jeg stod og skulle bruge Check Udvej, havde jeg glemt en check-ud på kortet, på hjemvejen - hvorefter jeg registrer det manglende check-ud samme aften. Næste dag da jeg checker ind, brokker standeren sig over manglende Check-ud - for min registering i Check Udvej var SELVFØLGELIG ikke syncet ind i systemet endnu - ergo bøde for manglende check ud. Kæmpe suk! Og ca. 2 mdr. senere får jeg mail fra Check Udvej at de ikke har kunne matche min rejse med nogen uafsluttet rejse - det er skisme flot.

Lige nu bruger jeg min cykel til og fra arbejde - så slipper jeg for alt det pjat.

18. september 2021 kl. 22:09
Rabalderstræde

Er vi ikke "bare" ude i en klassisk omgang "ransomware-as-a-service"?

https://www.varonis.com/blog/darkside-ransomware/

Er spørgsmålet ikke bl.a. hvordan det efterhånden ser ud med energisektoren herhjemme i Dannevang? Sidder der en række NIS-ansvarlige og er moderat bekymrede?

10. maj 2021 kl. 23:47
DIGST om manglende mail-beskyttelse i staten: »Vi forventer, at myndighederne vil tage hånd om opgaven«

Kunne journalisterne på Version2 ikke kontakte nogle af de instanser som endnu ikke har fået indført DMARC og spørge dem, hvad det er der blokerer for udrulningen? Det kunne være interessant at få et indblik i.

11. august 2020 kl. 11:56
BIMI up Scotty

Jeg tror det skib er sejlet for længe siden - i forhold til at begrænse DMARC til transaktions domæner og da det pt. er bedste sikring mod spoofing, så er det et værktøj vi er nød til at sprede ud - indtil vi har noget bedre at tilbyde i værktøjskassen.

ARC løser problemet i forhold til mailinglister og det fungerer rigtigt fint. Det kan du læse mere om her: http://arc-spec.org/ - at der så er nogen der er så fjollede, så de nøjes med at sætte SPF og DMARC op og glemmer DKIM i stakken og derved får forwards til at fejle, det må de selv rode med.

Mener du seriøst at det kun er Yahoo!/AOL e-mail addresser der bliver misbrugt? Det er en illusion jeg gerne vil bringe dig ud af - alle de andre store udbydere har præcis samme problem. Så længe en service er gratis, er der nogen der vil misbruge den.

DMARC kan ikke stå alene - men effektiv det er den. Google anbefaler bla. DMARC for bedre deliverability i forhold til nyhedsbreve (https://support.google.com/mail/answer/81126?hl=en#authentication), så de ikke ender i spam-folderen.

D. 1. juli skulle staten være færdig med at implementere de tekniske minimumkrav for statslige myndigheder i Danmark der bl.a. inkluderer DMARC - meeeeen der er vist et par stykker der ikke helt er nået i mål endnu...(ref. https://dmarc.dk/).

24. juli 2020 kl. 16:33
Over 300.000 har downloadet “smittestop”

Så eh - 300.000 / 5.8 mio * 100 giver ca. 5.17% dækning indtil videre ? Det kan jo ikke bruges til noget....

22. juni 2020 kl. 11:34
Skal vi have en Corona app?

Der er desværre for mange politikere, som er fuldstændigt forblændet af teknologi og tror at de med teknologi kan hoppe over hvor gærdet er lavest - det er trist - med alm. sund fornuft kommer man langt :-)

Se også Wireds artikel om samme emne: https://www.wired.com/story/health-officials-no-thanks-contact-tracing-tech/

Jeg savner at nogen kigger kritisk på hullerne i den plan og selve datagrundlaget. Kan I huske ham her: https://www.wired.com/story/99-phones-fake-google-maps-traffic-jam/ - det var "kun" 99 telefoner - hvormeget fake data tror I man kunne generere tilsvarende med en contact tracing app? Jeg tænker en trækvogn forbi Nørreport i myldretid eller Islands Brygge en solskinsdag....

12. maj 2020 kl. 11:01
Partier vil droppe Netcompanys corona-app til fordel for Apple og Google

Viste udbredelsen af Covid-19 ikke med al tydelighed at med de bevægelsesmønstre vi har idag, så giver det ikke mening at tænke i en national app, som kun viser smittesporing i Danmark. Det bør da som minimum være et Europæisk initiativ?

Men helt ærligt - er det overhovedet nødvendigt med en app? Jeg stiller mig DYBT kritisk overfor hele projektet. Hvormange af jer ville bruge den og hvorfor? Hvad med jeres bedsteforældre UDEN smartphones, som bliver smittet på plejehjemmene? Hvad med vores børn, der nu går i skole, men som ikke har NemID - skal vi som forældre så lave registreringer på deres vegne? Hvad hvis de ikke viser nogen symptomer? Bliver datagrundlaget baseret på resultatet af test-strategien - eller er det meningen at folk selv skal registrere? Eller hvad med den klassiske - man løber tør for strøm på telefonen mens man er ude?

Så hvis man nu skaffer 1000 smart phones og registrer app'en til forskellige folk og lægger dem i en indkøbsvogn og lige går en tur langs havnekanten specielt Islands Brygge eller en tur i den lokale Meny? - hvormeget falsk data kan man så generere? Eller at vi begynder at lade telefonen ligger derhjemme, når vi lige skal over og handle? Man kan da være 100% sikker på at overvågning af denne type, får folk til at ændre adfærd - vi ved bare ikke hvordan endnu.

Ej - undskyld - jeg er sgu nok blevet lidt arbejdsskadet af at sidde og kigge på Covid-abuse det sidste lange stykke tid. Ligenu virker det bare IGEN, som om man er anelse teknologi-blind. :-(

2. maj 2020 kl. 12:38
Stort DDoS-angreb på UniLogin: »Børne- og Undervisningsministeriet gør alt for at afværge«

Mine tanke med at slå UniLogin fra - var blot at hvis det virkede med NemID, så kunne man få det til at virke for ca. halvdelen af brugerne, nemlig alle skolelærerer/ansatte + forældre - det ville sandsynlivis også lette problemet med UniLogin en anelse - altså under selve Ddos angrebet, da en hel masse brugere forsøger igen og igen at komme ind - og dermed får man "thundering herd" effekten oveni.

Som det er lige nu bliver man sendt til broker.unilogin.dk eller noget i den dur hvor man så vælger NemID.

Nå - men idag virker det heldigvis. :-)

Hvis man har tid vil jeg anbefale at man sætter sig og ser en gammel USENIX keynote fra 2015 hvor Mickey Dickerson fortæller historien om skabelsen af U.S. Digital Service og 18F (https://18f.gsa.gov/) og hvordan de fixede login-servicen for healthcare.gov - det er en supergod talk: https://www.usenix.org/conference/lisa15/conference-program/presentation/dickerson - og en fantastisk historie fra "the tech trenches"

20. marts 2020 kl. 11:42
Stort DDoS-angreb på UniLogin: »Børne- og Undervisningsministeriet gør alt for at afværge«

Så det de siger er, at de ikke har ordentlig Ddos mitigering på kanten af deres netværk? Det lyder som en meget kortsigtet løsning at smide mere serverkapacitet efter problemet... mon de ved at botnet til ddos angreb kan lejes timevis?

Mon UniLogin betegnes som kritisk infrastruktur? Når man nu har lavet en dejlig centraliseret løsning?....

Og kunne de for pokker da ikke bare slå det fra så f.eks. Aula kørte direkte med NemID i sådan et tilfælde som dette? Hmmprff

19. marts 2020 kl. 14:30
Linus Thorvalds om ZFS-modul i Linux-kernen: »Jeg vil ikke vedligeholde det«

Som altid har Torvalds fantastisk timing - for OpenZFS projektet er for et års tiden siden (eller mere - kan ikke huske præcist hvornår) skiftet fra at bruge FreeBSD på deres reference installation til at bruge Linux. Performance mæssigt er kerne-modulet væsentligt bedre en den halv-hjertede FUSE-implementering.

Den anden del af denne diskussion, som slet ikke er nævnt i artiklen ovenfor handler selvfølgelig om at Torvalds bakker op om btrfs filsystemet - som overhovedet ikke er lige så stabilt i produktion som ZFS[1] og at ZFS eksisterede flere år før btrfs. Jeg kan ikke lade være med at tænke at der også er lidt "Rønnebærerne er sure" over diskussionen.

Arstechnica har en lidt bedre artikel (mindre overfladisk) om emnet end The Register - den kan læses her: https://arstechnica.com/gadgets/2020/01/linus-torvalds-zfs-statements-arent-right-heres-the-straight-dope/

Facebook har udviklet en ny komprimerings algoritme der hedder ZSTD (https://facebook.github.io/zstd/) som ser utroligt lovende ud performance-mæssigt. Den har Allan Jude implementeret support for i OpenZFS - hvis man virkelig vil nørde igennem kan jeg anbefale hans BSDCan foredrag (https://www.youtube.com/watch?v=7N6lMi6g5UU) fra 2018.

Så når Torvalds går ud og proklamerer: "Don't use ZFS" - så vil jeg give Arstechnica artiklen ret - han taler om noget han overhovedet ikke har styr på. Der er masser af liv i OpenZFS projektet. Licens-betingelserne er kun en lille del af det fulde billede.

[1] Ja - jeg har set btrfs sprænge i luften i produktion på meget mere spektakulære måder end jeg nogensinde har set ZFS gøre det. Hvis du bruger btrfs på din developer-maskiner er det sikkert fint...

16. januar 2020 kl. 13:34
Grønlands regering vil indføre digital valghandling

Der er åbenbart nogle grønlandske politikere der skal have deres skolepenge tilbage - for de har tydeligvis ikke hørt efter i timen.

For interesserede er denne artikel udemærket - Valgsikkerhed 101: https://www.politico.com/news/magazine/2019/12/26/did-russia-really-hack-2016-election-088171

og vi ved jo alle at Grønland er geopolitisk interessant for mange - "What could possibly go wrong?" ;-)

15. januar 2020 kl. 11:26
Ny test: Udvalgte artikler på Version2 kræver login

Jeg synes det er rigtigt ærgeligt at I går den vej.

Den paywall der kommer op på flere og flere skrevne medier betyder at jeg er begyndt at vælge de medier fra - det betyder at jeg f.eks. ikke læser Berlingske i samme grad som tidligere - for de "gratis" artikler er ikke særligt spændende. Tilgengæld læser jeg mere på dr.dk og på f.eks. The Guardian. Ligenu har i faktisk en fordel i forhold til CW.

I vil sandsynlivis se et væsentligt drop i antal views...(men det forventer i vel også?) Hvad er success-kriteriet - flere logins?

En af de funktioner, som jeg er rigtig glad for på Zetland er muligheden for at dele en artikel frit og kvit - vil I lave den mulighed, så den kan deles udenom evt. login?

13. december 2019 kl. 13:32
Skandinavisk skandale: Telia Danmark lader alle lytte med på telefonsvareren

Man kan jo kun håbe på at dette sætter skub i Telco'erne til at få indført SHAKEN/STIR ASAP: http://nymag.com/intelligencer/2018/05/how-to-stop-spam-robocalls-with-stir-shaken.html

Det ligner mest en telefon udgave a klient certifikater...

Man kan iøvrigt læse mere her (desværre paywalled :-() : https://www.digi.no/artikler/mobilhack-skandalen-vokser-mer-enn-7-millioner-abonnenter-berort-i-norge-sverige-og-danmark/480388

4. december 2019 kl. 15:54
Fremtidens mailstandarder - opdateret

Hej Morten

Dit .dk domæne er DNSSEC signet nu - sammen med alle de andre .dk domæner vi havde. Det kan ses her: https://stats.dk-hostmaster.dk/domains/dnssec_domains/daily

Mht. 2FA er desværre fortsat på todo listen :-( Jeg ved det - det er skidt - i behøver ikke fortælle mig det :-(

13. november 2019 kl. 21:00
Københavns Politi vil bruge ansigtsgenkendelse

https://edition.cnn.com/2019/09/12/tech/california-body-cam-facial-recognition-ban/index.html

Balancen er altså tippet helt til den forkerte side i Danmark omkring overvågning - og jeg er virkelig meget i tvivl om hvad der skal til for at få alm. folk til at vågne op og ikke bare nikke ja til de her forslag. Det er en meget sørgelig udvikling hvor vi giver køb på basale rettigheder. :-(

25. oktober 2019 kl. 11:18
Husstandens sidste Soekris

Hey phk

Har du kigget på om Turris projektet har noget du kan bruge istedet for? https://www.turris.cz/en/

18. oktober 2019 kl. 11:15
Mette mod rov

Man er meget velkommen til at sende nomineringer til året Big Brother Award til https://www.bigbrotheraward.dk/#nominer - vi har allerede fået en del nomineringer af både Regeringen og Mette Frederiksen for dagens annoncering. Vi modtager nomineringer frem til d. 18. oktober.

Kriteriet for at vinde prisen er, at man skal være ”den person eller organisation, der har gjort mest for at udbrede overvågning og indskrænke danske borgeres privatliv de(t) seneste år.”

Til spørgsmålet om forslaget er for vidtgående kan man bare svare: Velkommen til Oceania.....

9. oktober 2019 kl. 18:51
Flash er ude og DMARC er inde: 20 sikkerhedskrav rammer de statslige myndigheder
  1. Det er minimumsliste...

De skriver selv på https://sikkerdigital.dk/myndighed/tekniske-tiltag/tekniske-minimumskrav/: "For størstedelen af myndighederne vil en lang række af kravene allerede være helt eller delvist opfyldt."

  1. Hvem sidder i styregruppen?

"Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi, herunder Finansministeriet, Forsvarsministeriet, Justitsministeriet, Transport- og Boligministeriet, Erhvervsministeriet, Sundheds- og Ældreministeriet samt Klima- Energi og Forsyningsministeriet."

  1. Hvor er den tilsvarende liste for kommuner (ikke statslige organisationer?)

  2. Hvorfor er IPv6 f.eks. ikke på listen?

2. oktober 2019 kl. 13:48
Richard Stallman træder tilbage fra FSF og MIT

Du forholder dig overhovedet ikke til de udtalelser pigen som har været udsat for sex trafficking fortæller om forholdende på Epsteins ø og at Minsky var "mangeårig-gæst" på øen. Hvis man vil have lidt mere kontekst kan jeg anbefale at læse https://www.rollingstone.com/culture/culture-features/jeffrey-epstein-sex-trafficking-names-whos-who-873321/ - Jeg synes måske det lidt mere intressant at lytte til hende end til Stallmanns creepy forsvar for en mangeårig-kollega.

Læg dertil Stallmanns mildest talt bizzare tidligere udtalelser om pædofili: http://stallman.org/archives/2012-nov-feb.html#04_January_2013_%28Pedophilia%29 og https://www.stallman.org/archives/2006-may-aug.html#05%20June%202006%20%28Dutch%20paedophiles%20form%20political%20party%29

Læs så: https://medium.com/@selamie/remove-richard-stallman-fec6ec210794 og https://medium.com/@selamie/remove-richard-stallman-appendix-a-a7e41e784f88

Hvad jeg ikke forstår er hvorfor hulan MIT har ventet SÅ LÆNGE med rent faktisk at gøre noget? Det her har været "the straw that broke the camel's back". Nu kunne MIT ikke sidde det overhørig længere. Man kæmper for at få flere kvinder ind i STEM og samtidig har du et universitet der emmer af "Old boys club". Var det i 2019 faktisk ikke på tide at nogen satte foden ned og sagde: STOP!

Jeg er af den klare overbevisning at det er et godt træk af Free Software Foundation at finde sig en ny bestyrelsesformand helst en inklusiv en af slagsen.

men ja - selvfølgelig skal vi passe på at man ikke tager citater ude af kontekst.

19. september 2019 kl. 12:05