Jens Christian Hillerup

Hackersagen dag 9 - CSC-vidne: Sårbarheder i mainframen havde patch måneder før hullet blev lukket

Sig mig, jeg mindes et vidne fra dansk politi, som under ed fastholdt, at der var tale om en ukendt sårbarhed. Nu er jeg ikke advokat, men ville det ikke regnes for at være falsk vidneudsagn?

25. september 2014 kl. 15:30
Rejsekort trækker i land på app-løfte

Jamen så er det jo citat-tid igen.</p>
<p>"Gratis, betyder bare at der er nogen andre der betaler".

Tjah, man kunne jo begynde med at se på hvor mange penge, der kunne spares ved ikke at skulle holde milliarddyre billetteringssystemer i live, samt at forestå lønninger til kontrollører mv.

De har gjort det i Tallinn, med en stigning i offentlig bytransport på 12,6% og en mindskning af bybilisme på 15%.

Selvfølgelig skal privatbilisme også kunne lade sig gøre for folk, der ikke er bosat i de store byområder, men det er altså ikke et argument for ikke at se på hvad nultaksering egentlig ville koste, hvis man samtidigt kunne frigøre sig af omkostningerne til at holde hele billetsystemet i live i de store byer. Jeg ved ikke om kalkylen giver mening, men det fungerer tilsyneladende i Tallinn.

4. april 2014 kl. 09:00
Bekymret for overvågning? Google krypterer webmail bedst

Der står ikke noget om hvorvidt de krypterer mailsne, der ligger på disken. De krypterer trafikken mellem brugeren og interfacet og mellem SMTP-servere. Der er forskel, for de har ingen indflydelse på hvad fx PRISM-programmet kan få fat i.

25. juni 2013 kl. 15:14
Er SSLUG død?

Er det ikke et sundhedstegn, at communityet ikke længere behøver en decideret brugergruppe for at varetage vores interesser. Mission accomplished: vi har slet og ret ikke brug for SSLUG længere.

23. juni 2013 kl. 18:01
Kodeord: Det svageste led

Hvis man gemmer sin salt i databasen, så kunne man (næsten) lige så godt gemme kodeordene uden salt, hvis man bruger en af de "normal" hash-algoritmer.

Det passer ikke. Hvis man ikke gemmer saltet, så kan man ikke verificere passwordet. Og det er ingen risiko at alle og enhver kender saltet, da dets eneste formål er at vinde over angreb som code books (i mindre grad fordi de sjældent er hukommelsesmæssigt "feasible") og rainbow tables. Det beskytter ikke mod brute force-angreb.

Men du har ret i at en H(salt + password)-model er mindre sikkert end hvis man fx vælger en key derivation function som PBKDF2, bcrypt eller scrypt. Men sikkerheden kommer i, at det er lynhurtigt at udregne det første, mens det tager faktor flere tusind længere at udregne en PBKDF2. Denne faktor er negligibel når man bare skal tjekke ét password, men det bliver noget sværere at tjekke millionvis af passwordkandidater i et brute-force-angreb.

18. juni 2013 kl. 09:20
Aktivist finder ubeskyttede FTP-servere hos CSC

Som udgangspunkt fylder krypterede versioner af en fil det samme som filen selv, med visse afrundinger til block sizes mv. afhængigt af cipher og mode of operation. Men det fylder ikke signifikant mere.

Hvis du gerne vil skjule hvor meget filen fylder, står det dig frit for at "padde" den med skrald eller nuller før kryptering og så kassere paddingen efter dekryptering.

13. juni 2013 kl. 12:15
Aktivist finder ubeskyttede FTP-servere hos CSC

Svarer lige på mit eget indlæg med lidt empiri. På en helt almindelig ca. et halvt år gammel laptop krypterer jeg 1GB på 7 sekunder. Det giver en båndbredde på ca. 1.4Gbps, som i ret sjældne tilfælde ender som flaskehalsen når man skal flytte filer over et netværk.

  1. ➜ ~ du -hs random.bin
  2. 1,1G random.bin
  3.  
  4. ➜ ~ time openssl enc -in random.bin -out /dev/null -aes-128-cbc -K <lange> -iv <værdier>
  5. 7,07s user
  6. 0,70s system

12. juni 2013 kl. 11:38
Aktivist finder ubeskyttede FTP-servere hos CSC

En hurtig note til din første kommentar om overhead: Kryptering gør ikke dine overførsler langsommere, med mindre du har en overordentligt langsom CPU. Der er i dag ingen grund til ikke at bruge kryptering så ofte som muligt, især ikke når det er præcist lige så let at bruge SFTP som FTP. Hvis folk kun krypterer vigtige/hemmelige/suspekte ting, så røber de for meget information allerede dér.

12. juni 2013 kl. 11:23
CPR-data – som en åben (telefon)bog

Man kan lave det Kickstarter-style og først offentliggøre det når antallet af kampagnetilmeldte er over en vis margen.

10. juni 2013 kl. 18:14
NemID uden Java nærmer sig

Ja, men den slags angreb kommer jo an på en kompromitteret klient og/eller server? "Mit" angreb kræver bare at angriberen kontrollerer en router mellem brugeren og NemID. (Og det kan man ARP spoofe sig til at være.)

Anyway, der er også andre problemer ved at køre sit krypto i JavaScript. Fx bliver XSS-huller meget mere effektive fordi nøglemateriale uafværgeligt ligger i en variabel et sted. Private members er muligt at lave, men det er overloading af vilkårlige JavaScript-funktioner også, så jeg spår det bliver svært at holde XSS-baserede angreb fra døren.

Særligt grælt bliver det hvis disse XSS-exploits er residente i en database (stored XSS); så vil man-in-the-middle-angreb kunne ske på stor skala.

29. april 2013 kl. 17:14
NemID uden Java nærmer sig

Krypto implementeret i Javascript er ikke en god ide endnu. Problemet her er at man bruger noget der er "svagt" sikkert til at implementere noget, der ellers skulle være "stærkt" sikkert.

Sagen er, at klienten er tvunget til at stole på den server, som serverer scriptet, og det kan man ikke rigtigt med gældende web-teknologier. For en angriber med adgang til et rogue certifikat for NemID vil man kunne anvende et man-in-the-middle-angreb til at serve ondsindet JavaScript, som brugeren uden at ane uråd kommer til at køre.

Med det ondsindede JS vil angriberen kunne "modellere virkeligheden" hvad angår NemID-implementeringen, og fx lave endnu et man-in-the-middle-angreb hvor brugeren tror den autenticerer adgang til borger.dk, men hvor det faktisk er angriberen, der forsøger at komme ind på vedkommendes netbank.

NemIDs afhængighed af Java er ikke dets største problem; det er broken på arkitekturniveau.

29. april 2013 kl. 16:19
2 udviklere fyret efter fræk vits på Python-konference

Hvorfor er det nødvendigt at skulle sige til de idioter, at de skal klappe i?

Kan man ikke have en fair forventning om at folk, som får deres konference betalt af deres arbejdspladser, opfører sig lidt mindre karlekammeragtigt?

Hendes pointe er jo netop dét. Altså at man -- "jaja" -- kan tage hver enkelt hændelse for sig, men det forslår sig jo som en skrædder i helvede! Det handler jo ikke om at hun ikke "kan tage en joke". Det handler om at hun taler op omkring problemet om den gennemgribende kasernestemning, der hersker på tech-konferencer mv.

Jeg tror i øvrigt heller ikke at hendes mål var at få nogen smidt ud fra PyCon -- endsige fyret -- og hvis-hun-bare-havde-..-så-var-dette-ikke-sket-argumentet gør ikke andet end at fjerne fokus på det egentlige problem: idioterne bag hende.

Vi har simpelthen ikke råd til at have en branche, hvor "folk, der ikke kan lide lugten i bageriet" bare kan skride. Vi gør aktivt vores branche mindre attraktiv at arbejde i for alle ved at insistere på at fremmedgøre halvdelen af verdens befolkning.

31. marts 2013 kl. 10:13
Linus Torvalds: Stik Gnome 3 op et vist sted

Undskyld mit franske, men hvad rager det os hvad Linus Torvalds foretrækker af software?

7. august 2011 kl. 11:38
Rejsekortet er ren Marx Brothers...

... men der er en rimelig serviceforringelse i at bruge disse, idet man ikke optjener nogen form for rabat med disse. Det svarer til at købe enkeltbilletter til alle sine rejser. Turister kan i dag købe klippekort, der alligevel giver en anselig rabat. Hvordan er det ikke en serviceforringelse?

Jeg håber, at jeg i denne tråd kan få forklaret hvordan jeg har misforstået det system.

19. marts 2011 kl. 20:14
Poul-Henning Kamp vs Lenovo - se hele retssagens forløb her

Er vi sikre på at de bruger et SLIC certifikat? Kunne de ikke lige så godt bruge den TPM chip, som efterhånden findes på alle nyere bundkort?

13. oktober 2010 kl. 10:52
Google lancerer GPS-navigation i Danmark med Android

Så længe man forstår at man ikke er Googles kunde, men deres produkt, så er det jo kun folks egen dum(dristig?)hed, der sætter grænser for hvor meget man har lyst til at dele med dem.

9. juni 2010 kl. 14:42
Google ignorerer 1.200 danske protester: Ingen udsigt til betaling i Android Market

Jeg synes det virker noget blåøjet at tro, at man udnytter telefonens fulde potentiale med kun de apps, man får "med i æsken." Hvem har sagt, at man ikke kan lave noget mere brugbart end pruttelyde og flashlight apps?

Nu smider jeg lige nogle ideer ud: Hvad fx med en Shazam! app, hvor man kan sætte sin telefon op imod højttaleren når en sang spiller, og derefter får information om sangen. Hvad med en augmented reality-app, der viser hvor den nærmeste hæveautomat er, udfra det billede du tager af vejen lige nu. Hvad med en god task manager til Android OS? Hvad med en bedre file manager? Hvad med en Spotify-klient (det findes, den koster $9)? Hvad med EasyTether, der gør det såresimpelt at "tethere" til sin bærbare?

Bare fordi mange af de gratis apps bærer præg af at være førstegangsprojekter for en aspirerende smartphone-udvikler, behøver det ikke betyde at alle apps er noget lort. Du ejer en Android-telefon. Det er tide til at du får udnyttet dens fulde potentiale.

6. maj 2010 kl. 12:05
Du ved du er en geek når... (#N+1)

Skal du så ikke være med i labitat.dk :-)

29. april 2010 kl. 09:42
Open Source Days: Tak fra coord

Hvis indlægget har vakt din interesse for RepRap-projektet, kan man se mere på RepRap.org, herunder præcist hvad man skal bruge for at bygge sin helt egen. Derudover er der et meget aktivt community, hvor såvel RepRap-softwaren som -maskinen bliver hacket, endevendt, forbedret og delt, samt et sted hvor 3D-modeller er 'free som i freedom': thingiverse.com. Det er meget interessant, og helt sikkert et besøg værd!

8. marts 2010 kl. 01:17
Retsmøde i sagen mod Lenovo

Du kan også regne med min tilstedeværelse. God vind!

6. januar 2010 kl. 15:35