Hans-Christian Mose Jehg

Reflektioner om at stole på hardware

Man kunne også overveje at se på (future) Shakti M-Class Libre SoC i en EOMA68 form faktor...

M-Class EOMA68 http://rhombus-tech.net/riscv/shakti/m_class/EOMA68 http://rhombus-tech.net/Shatki http://rise.cse.iitm.ac.in/shakti.html

Det forlyder at projektet er rimeligt på vej... :-O

HC

5. januar 2018 kl. 14:22
Apple tilbagekalder defekte strømforsyninger fra de sidste 12 år

...men Apple har dog ikke specificeret nærmere, hvilken type hændelser der er tale (om?).

Fra http://www.apple.com/support/ac-wallplug-adapter/

Apple has determined that, in very rare cases, the two prong Apple AC wall plug adapters designed for use in Continental Europe, Australia, New Zealand, Korea, Argentina and Brazil may break and create a risk of electrical shock if touched.

HC

29. januar 2016 kl. 08:58
Udviklere: Vi kunne selv fikse GitHub-problemer, hvis det ellers var open source

@Peter Brinch

Hej Peter. Kan du nævne en eller to ting som du ikke synes om ved GitLab? - altså ud over at det minder mindre on github...

Jeg skal til at installere en ny git server, så hvis du ved noget... :-)

HC

21. januar 2016 kl. 10:20
Statens digitaliseringschef: Privacy-interesserede bør bekymre sig om Facebook - ikke NemID

»I forhold til it-sikkerhed og privacy er det ikke i det hjørne, jeg synes, man skal være bekymret. Der kan være mange andre dele. For eksempel Facebooks omgang med mine oplysninger – der burde man måske som privat forbruger være mere opmærksom i forhold til at gå op i, om nøglerne til NemID bliver opbevaret centralt.«

Hvis an forestiller sig at befinde sig i et område hvor der er både udbredt pest og kolera.

Er det mon korrekt forstået at Hr. Lars Frelle-Petersen mener at, fordi der i området findes pest, så behøver vi (som privat forbruger) ikke at bekymre os om kolera?

HC

11. august 2014 kl. 10:57
Krypto-professor: Obfuskering kan stoppe falske NemID JS-klienter

Tjo, det kan vel nok holde de værste oppertunister væk, men er det mon dem der er problemet, eller er det de organisationer der har budget til at udføre et rimeligt angreb man skal beskytte imod?

Er sikkerheden mon baseret på at det er den "rigtige" kode der benyttes, eller er der mon et basalt problem med protokollen og virkemåden.

Hvor i systemet mon sikkerheden findes?

"Man håber så, at hvis programmet er obfuskeret, så kan en angriber ikke finde frem til nøglen og lave sin egen version"

Man håber at der ikke er nogen der kan lave sin egen version. Man prøver at undgå andre versioner af appletten, ... hmmmm

5. juni 2014 kl. 11:08
NemID-pilfinger kritiserer test af NemID uden Java: 1 megabyte obfuskeret kode

Mens dem der skal vedligeholde og rette i det, får langt sværere ved at rette selv simple problemer.

Nej, det er ikke tilfældet. Rettelser og andet vedligehold gør de naturligvis på den ikke obfuskerede version - ... Ja det antager jeg i hvert fald :-)

De kan til gengæld få sværere ved at fejlfinde (incl. på "obfuskerings softwaren") på den kode som brugerne kører...

4. juni 2014 kl. 10:59
Smugkig på lukket test: Se en demo af NemID JavaScript her

De idealister som tror at "fri kildetekst" automatisk betyder at 4 millioner danskere gennemgår source for fejl har ikke hørt om Heartbleed buggen.

  1. Mener du at INGEN havde opdaget HeartBleed fejlen før den kom frem, eller mener du at alle de store firmaer som har brugt OpenSSL havde brugt ressourcer på at forstå eller lave review koden og bare lod det passere fordi de mente at det ikke var vigtigt?

  2. Mener du at de selvsamme firmaer ville have lavet bedre kode review hvis det var deres egen kode de havde brugt?

  3. Såfremt de havde lavet kode review, ville de så have forstået problemet og rettet det uden at sige noget om det til omverdenen (måske for at undgå at firmaets renommé skulle lide skade) og dermed efterlade mange mange servere potentielt ubeskyttet i meget lang tid, eller mener du at de ville informere om problemet (og dermed måske sænke firmaets værdi) så verden potentielt kunne blive et sikrere sted at bo?

  4. Jeg tror da ikke at nogen, i hvert fald ikke undertegnede, har skrevet at 4 millioner danskere automatisk ville gennemgå source koden. Det kræver sådan set bare et enkelt ansvarligt individ der gør det... Mon ikke der findes bare een ansvarlig person derude?

  5. Hvis der er fejl i koden, vil du så helst satse på at et af de store firmaer der har benyttet sig af OpenSSL afsætter midler til og har så god forståelse for sikkerheden at de kunne finde fejlen, eller vil du helst satse på at der er bare een ansvarlig person derude som kigger koden igennem og finder fejlen før eller siden.

Nå, nok om det :-)

4. juni 2014 kl. 09:22
Smugkig på lukket test: Se en demo af NemID JavaScript her

og det synes jeg sådan set er fornuftigt. Nets bør i min mening ikke være underlagt at det skal være nemt at finde fejl for fremmede, tværtimod. Så længe det er nemt for dem selv.

@Morten

  1. Mener du at det at man holder de værste opportunister væk bidrager til reel sikkerhed i systemet?

  2. Mener du at sikkerheden i et, for Danmark, kritisk system, skal være baseret på at teenagehackere har svært ved at læse koden ?

  3. Foretrækker du ikke at løsningen skal være baseret på et system hvor alle ved hvordan man gør, men ingen kan gøre det fordi det kræver flere computer ressourcer end der vil findes på jorden inden for de næste mange mange år?

4. juni 2014 kl. 09:03
Smugkig på lukket test: Se en demo af NemID JavaScript her

...eksempelvis for at forhindre kriminelle i at finde og udnytte sikkerhedshuller i softwaren.

Mon det nu ikke var bedre at lade koden være i klartekst så vi kan finde og luse ud i nogen af de der sikkerhedshuller der måske/måske ikke findes i koden?

Danmark er en nation bestående af dygtige mennesker med et højt uddannelses niveau, og der er givetvis masser af frivillige at tage af, så mon ikke det var en mulighed?

  1. Har man mon ikke lært at security through obscurity ikke virker?

..og at det ikke forhindrer en beslutsom black hat/organisation i at knække sikkerheden. Det kan allerhøjest holde de værste oppertunistiske mindreårige hackere væk(selvom nogen af dem er rigtigt dygtige).

  1. Man mener måske at dette stykke kritiske kode indeholder fejl som selv en amatør hacker kan finde? (selvom nogen af dem er rigtigt dygtige)

I tilgift kan obfuskering måske endda hjælpe til at fjerne vildledende* variabelnavne og efterlade algoritmen synlig så man, i nogen tilfælde, lettere kan finde fejl. Man kunne således argumentere for at man bør lave sikkerheds audit på klartekst versionen såvel som en obfuskeret version.

I det ovenstående skal "vildledende" forstås som noget som får en til at tro at koden gør noget andet end den gør.

:-)

HC

4. juni 2014 kl. 08:10
Nets om Java-problemer: Vi har måske ikke testet godt nok

Ubuntu
Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Aha-oplevelse, joo ... men betyder det mon at den version af java (sikkert icedtea) du benytter har de samme sikkerhedsproblemer som den gamle version af Oracles Java havde...

HC, der selv bruger linux - dog ikke Ubuntu - rigtigt mange steder...

17. oktober 2013 kl. 09:06
Nets om Java-problemer: Vi har måske ikke testet godt nok

Vi har måske ikke testet godt nok
.... men der kommer en rigtig god løsning i morgen!

Hvis man læser artiklens overskrift må det da være:

.... men der kommer MÅSKE en MÅSKE rigtig god løsning MÅSKE i morgen!

På den anden side:

Artiklens overskrift er: "Nets om Java-problemer: Vi har måske ikke testet godt nok"

...Men nede i teksten står der:

Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok. [altså ikke noget måske]

Hvad har Nets egentligt sagt, eller ikke sagt?

17. oktober 2013 kl. 09:01
Java-opdatering blokerer NemID

Når vi har med et udviklingshus af Nets' størrelse, der arbejder på så kritiske systemer som NemID, så er det simpelthen for ringe, at man ikke tester bedre.

Det er vist endnu mere kritisk at den software de har lavet tilsyneladende ikke er skrevet på en måde som er sikker i dens arkitektur... for hvis den var det ville det her jo slet ikke være et problem? Det ser jo ud til at man lavet usikker kode som kun virkede på grund af en usikkerhed i Java... Det burde da ikke forekomme i en sikkerhedskritisk applikation....

Hvad mener I?

PS: Java er på ingen måde perfekt, og bør naturligvis hele tiden forbedres og holdes opdateret til den sidste nye version.

16. oktober 2013 kl. 12:30
Java-opdatering blokerer NemID

Kære journalist

"Java-opdatering blokerer NemID" -> "Sikkerhedshul i NemID umuliggør login"

Kan vi ikke ændre headeren på denne artikel så det ikke ser ud som om det er Javas skyld at det ikke virker?

16. oktober 2013 kl. 12:24
Nets om Java-problemer: Vi har måske ikke testet godt nok

Kære(host host) NemID

Jeg informere jer hermed, helt uden at kræve betaling, om det problem i tilsyneladende slås med:

I Dialogen: "Do you want to run this application?" står der:

This application [Det er altså NemID's application der er tale om] will be blocked in a future security update because the JAR file manifest does not contain the Permissions attribute. Please contact the publisher for more information.

I yderligere info står der:

Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742. . Missing Application-Library-Allowable-Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677

Men måske var det bedre at applikationen KUNNE køre i en sandbox uden privilegier... Det ville måske også løse dette problem ..og måske øge brugerens sikkerhed ..og måske gøre det nemmere for NemID at undgå sådan nogen fadæser.

:-) (host host)

16. oktober 2013 kl. 12:15
Ny Raspberry Pi: Så meget computer får du for 25 dollars

@Michael Eriksen:

Jeg havde ikke høje forventninger til ydelsen, men det kom dog bag på mig at den er fire-fem minutter om at boote.

Jeg har installeret Arch Linux med systemd i stedet for sysinitV.

Den (Raspi B V1) booter til prompt på 12 sekunder - så tager grafik og medicenter jo selvfølgelig tid derfra

HC

7. februar 2013 kl. 14:55
Raspberry Pi - den booter ... oftest :-)

Min ankom igår, nu skal den så bare ha tilføjet wifi og et netkort og køre router/firewall til privaten. Så må vi se hvordan den klarer det.

Jeg har testet min med hensyn til dit genstarts halløj. Jeg har ikke det beskrevne problem. Efter afbrydelse af strøm i ca 1 sekund så genstarter den fint.

Der har været nævnt noget om timing på visse SD kort, måske er problemet der.

Har du den forbundet til en powered hub? Hvis du har så kommer der 5V ind igennem usb stikkene som måske bringer maskinen i en udefineret tilstand, al den stund at der vist ikke er noget avanceret power on/reset system.

HC

15. maj 2012 kl. 11:10
Google vil ændre TCP-protokollen for at få hurtigere internet

Joo, noget lignende kunne Kermit i 1981 og ZModem i 1986.

Kan nogen foreslå tidligere protokoller der benyttede lignende teknikker?

HC

30. januar 2012 kl. 15:21
Næste version af Ubuntu Server kører på ARM-processorer

Når nu man taler om Ubuntu på Arm, så bør man lige nævne denne her, som dog ikke er til salg endnu:

http://www.raspberrypi.org/

700MHz ARM11 processor 128MB RAM USB 2.0 port Card reader 1080p HDMI video out

Pris 25€ eller 35€ med Ethernet on board

Hmmm, jeg ser lige at:

"What Linux distros will be supported at launch? Debian, Fedora and ArchLinux will be supported from the start. We hope to see support from other distros later. We will be selling SD cards with the distros preloaded. (Sept 4 2011 – originally, this FAQ suggested that Ubuntu would be supported. Because of issues with newer releases of Ubuntu and the ARM processor we are using, Ubuntu can’t commit to support Raspberry Pi at the moment.)"

Nå, altså til en start uden Ubuntu, men mon ikke det kommer ret hurtigt...

Måske Ingeniøren eller Version2 har lyst til at skrive lidt om Hindbær?

HC

11. oktober 2011 kl. 13:41
Sådan hacker man en valgcomputer - og lærer den at spille skak

@Esben

Og hvem fremstiller den hash af koden? Er det den originale software eller Black Hat softwaren? Og hvad tror du den viser hvis Black Hats har haft fat i den? Og forhindrer det at valgdata er blevet manipuleret bare fordi den originale kode kører mens den valgtilforordnede kigger? :-)

Trusted computing er svært!

Læs foreksempel "Security Engineering: A Guide to Building Dependable Distributed Systems" http://www.amazon.com/Security-Engineering-Building-Dependable-Distributed/dp/0471389226 Det er interssant læsning.

Er der andre der har gode bud på gode bøger om emnet?

HC

Iøvrigt så er den gal på profil siderne på Version2. Tabben "Min profil" Viser "Mine emner", Tabben "Mine Emner" viser ingen ting og tabben "Mit Version2" viser tilsyneladende mine Emner"...

30. september 2011 kl. 13:06