Der er klart en mangel på dygtige specialister indenfor for specifikke områder. Men den største udfordring er faktisk, at IT folk generelt ikke følger best-practice og anbefalinger - som alle leverandører mv. løbende frigiver og opdaterer. Så det er ikke fordi viden ikke findes, den bruges bare ...

Og jeg troede ellers at CFCS var tilsynsmyndighed på området...

Der har vist sneget sig et par faktuelle fejl ind i denne artikel. Så vidt jeg ved, så er det fx helt frivilligt at deltage i testen.

Et første skridt kunne være automatisering af konsulent rapporter. Min vurdering er, at der er en rigtig god business case i at erstatte rapporter fra McKinsey & Company med AI, Big Data samt ikke mindst http://www.itu.dk/people/sestoft/center.html: Omstillingspotentiale: Hvis man justerer...

Der er en del deltajer omkring DNB's godkendelse og forbehold, som i ikke har fået med. Det er lidt mere kompliceret end som så.

Ville være super hvis i generelt kunne linke til jeres kilder.

Ja, det er ikke så mærkeligt man kan opnå det, for et bibliotek som OpenSSL er det jo netop vigtigt, at operationer tager samme tid uafhængigt af, hvad fx din nøgle er. Da det ellers åbner mulighed for timing-attacks. Tiderne er skam helt sammenlignelige, som fx en RSA-SHA1-PKCS1 signatur ...

Ja, samt en masse andre implementeringer. I forhold til PolarSSL, så fejler denne i andre sammenhænge - se fx "Using Frankencerts for Automated Adversarial Testing of Certificate Validation in SSL/TLS Implementations". Faktum er at der til stadighed findes fejl i de forskellige...

Et relativt unuanceret indlæg, der over en bred kam sammenligner æbler med pærer. Hvad er bedst: Windows eller Linux? Det kommer an på... Kan man også sammenligne madvarer på denne måde? Er Netto's discount produkter sammenlignelige med friske råvarer fra køkkenhaven tilberedt i ens eget serverr...

Er det ikke lige præcis derfor USA vedtog PATRIOT Act? Denne lov angiver bl.a. at udenlandske datterselskaber til amerikanske firmaer, som fx CSC DK, har pligt til at udlevere oplysninger til "nationens sikkerhed". Udenlandsk lov kommer så i anden rækkefølge - jeg antager USA ikke går så...

Der skal, som regel, mere end bare et par "enkelte DNS-ændringer" til. DMARC består af SPF og DKIM. SPF kan konfigureres DNS, men det kan DKIM ikke. DKIM kræver at den (eller de) udgående mail servere påtrykker alle mails en digital signatur. Den offentlige nøgle distribueres via DNS. Og...

For at citere Peter Gutmann: And while you're lying awake at night worrying whether the Men in Black have backdoored the CPU in your laptop, you're missing the fact that the software that's using the random numbers has 36 different buffer overflows, of which 27 are remote-exploitable, and the cr...

Sætter lidt perspektiv på TDC's planer om at outsource til Huawei (uanset om Huawei lufter muligheden for et udviklingscenter i Danmark #salgsteknik).

For langt størstedelen af brugerne byder Java ikke på noget funktionalitet ud over NemID. Der er sikkert heller ikke så mange som kører Secunia's Online Software Inspector (OSI), der som bekendt også kræver Java.

Jeg er helt med på udfordringerne, men hvordan vejes dette op i forhold til fx lovgivningen mv.? Hvordan beskytter fx Roskilde Kommune personfølsomme oplysninger: er det helt op til brugerne? Og hvad vil der ske skulle noget "gå galt"? Andre typer af virksomheder ligger under andre...

... 30 millioner skandinaviske Netflix-brugere ... Imponerende antal nordiske brugere alt taget i betragtning? ;-)

Dette angreb er ikke rettet mod AES men mod block ciphers (herunder også fx DES og 3DES) i CBC mode - mere specifikt SSL protokollens brug af initialization vectors (IV). Da stream ciphers som fx RC4 typisk ikke benytter sig af initialization vectors / CBC, men bare benytter ren XOR, er de umidde...

Sjovt nok benytter Secunia selv Java til deres Secunia Online Software Inspector (OSI).

"Invincibility lies in the defence; the possibility of victory in the attack." - Sun Tzu

Gad vide om det også omfatter Siemens' efterhånden ret omtalte SCADA systemer - hvem sagde Stuxnet? :-)