Der er klart en mangel på dygtige specialister indenfor for specifikke områder.
Men den største udfordring er faktisk, at IT folk generelt ikke følger best-practice og anbefalinger - som alle leverandører mv. løbende frigiver og opdaterer. Så det er ikke fordi viden ikke findes, den bruges bare ...
Et første skridt kunne være automatisering af konsulent rapporter. Min vurdering er, at der er en rigtig god business case i at erstatte rapporter fra McKinsey & Company med AI, Big Data samt ikke mindst http://www.itu.dk/people/sestoft/center.html:
Omstillingspotentiale: Hvis man justerer...
Ja, det er ikke så mærkeligt man kan opnå det, for et bibliotek som OpenSSL er det jo netop vigtigt, at operationer tager samme tid uafhængigt af, hvad fx din nøgle er.
Da det ellers åbner mulighed for timing-attacks.
Tiderne er skam helt sammenlignelige, som fx en RSA-SHA1-PKCS1 signatur ...
Ja, samt en masse andre implementeringer.
I forhold til PolarSSL, så fejler denne i andre sammenhænge - se fx "Using Frankencerts for Automated Adversarial Testing of Certificate Validation in SSL/TLS Implementations".
Faktum er at der til stadighed findes fejl i de forskellige...
Et relativt unuanceret indlæg, der over en bred kam sammenligner æbler med pærer. Hvad er bedst: Windows eller Linux? Det kommer an på...
Kan man også sammenligne madvarer på denne måde? Er Netto's discount produkter sammenlignelige med friske råvarer fra køkkenhaven tilberedt i ens eget serverr...
Er det ikke lige præcis derfor USA vedtog PATRIOT Act? Denne lov angiver bl.a. at udenlandske datterselskaber til amerikanske firmaer, som fx CSC DK, har pligt til at udlevere oplysninger til "nationens sikkerhed". Udenlandsk lov kommer så i anden rækkefølge - jeg antager USA ikke går så...
Der skal, som regel, mere end bare et par "enkelte DNS-ændringer" til.
DMARC består af SPF og DKIM. SPF kan konfigureres DNS, men det kan DKIM ikke. DKIM kræver at den (eller de) udgående mail servere påtrykker alle mails en digital signatur. Den offentlige nøgle distribueres via DNS. Og...
For at citere Peter Gutmann:
And while you're lying awake at night worrying whether the Men in Black have backdoored the CPU in your laptop, you're missing the fact that the software that's using the random numbers has 36 different buffer overflows, of which 27 are remote-exploitable, and the cr...
For langt størstedelen af brugerne byder Java ikke på noget funktionalitet ud over NemID.
Der er sikkert heller ikke så mange som kører Secunia's Online Software Inspector (OSI), der som bekendt også kræver Java.
Jeg er helt med på udfordringerne, men hvordan vejes dette op i forhold til fx lovgivningen mv.? Hvordan beskytter fx Roskilde Kommune personfølsomme oplysninger: er det helt op til brugerne? Og hvad vil der ske skulle noget "gå galt"?
Andre typer af virksomheder ligger under andre...
Dette angreb er ikke rettet mod AES men mod block ciphers (herunder også fx DES og 3DES) i CBC mode - mere specifikt SSL protokollens brug af initialization vectors (IV). Da stream ciphers som fx RC4 typisk ikke benytter sig af initialization vectors / CBC, men bare benytter ren XOR, er de umidde...
Kommentarer
Både og
Tilsyn
Om testen
Automatisering af konsulent rapporter
DNB
Sikkerhedsrapport
Re: Hastighed er ikke sikkerhed
Re: PolarSSL
Unuanceret
PATRIOT Act
Enkelte DNS-ændringer...
Re: tophemmelige netværk
Perspektiv
For langt størstedelen af
Lovgivning mv.
Imponerende antal nordiske brugere
Re: Skræmmende
Secunia Online Software Inspector (OSI)
Gammel visdom
SCADA