Svend Bjerrum Jensen

Ny undersøgelse: 612 danske webservere har ikke lukket Heartbleed-hullet

Som brugere af version2.dk kan vi heldigvis glæde os over, at der her er styr på sikkerheden. Her skal vi ikke risikere noget ved at sende vores password m.m. over en https-forbindelse med et måske usikkert ssl-bibliotek. Her logger vi nemlig ind via en alm. ukrypteret standard http. (såvidt jeg lige kan se, ret mig endelig, hvis jeg tager fejl)

22. april 2014 kl. 00:12
EU-dom: Stater kan tvinge ISPer til at blokere rettighedskrænkende indhold

Svend siger, at det er dobbeltmoralsk for en, der påberåber sig ophavsrettigheder, at DNS-blokere sider, fordi de "dokumentfalsker" den oprindelige side. Jeg påpeger, med henvisning til Straffeloven, at der ikke er tale om dokumentfalsk.

Ang. dokumentfalsk, så vil jeg gerne vi tager Stk. 3 med, når vi citerer loven.

§ 171.
Stk. 3. Et dokument er falsk, når det ikke hidrører fra den angivne udsteder, eller der er givet det et indhold, som ikke hidrører fra denne.

Vi er blevet belært af de kloge sikkerhedseksperter, at vi skal kigge på URL'en øverst i browsere, når vi vil være sikker på, at vi er på den rigtige hjemmeside.

Når man ved at snyde med DNS får sin egen hjemmeside til af fremstå i brugerens browser med den oprindelige hjemmesides URL, så giver hjemmesiden sig ud for at stamme fra den oprindelige udgivers domæne. Derfor mener jeg godt, at man kan sige at hjemmesiden er falsk.

Hvis man oven i købet henviser til et andet sted, hvor brugeren kan købe det produkt, han oprindeligt søgte, så har man brugt den oprindelige udgivers navn til at berige sig selv eller sine venner med.

Jeg tror så ikke at ISP, vil blive dømt for dokumentfalsk, hvis det er fogedretten, der har pålagt dem at blokere hjemmesiden og ISP siger, at det er måden man gør det på.

Jeg tror heller ikke, at nogen vil blive dømt for at misbruge den oprindelige hjemmesides navn for egen vindings skyld. Det jo er "de slemme drenges" rettighed man krænker, og de vil næppe slæbe nogen i retten hvis værker de har "pirat"-kopieret. Jeg mener dog godt, at man kan kalde det dobbeltmoralsk, når rettighedsforkæmpere misbruger "de slemme drenges" navn.

Hvis nogen snød med DNS sådan at, når man tastede " www.rettighedsalliancen.dk " i adressefeltet, kom ind på en hjemmeside, som var lavet af aktivister fra piratpartiet, så tro jeg til gengæld, at det vil være strafbart.

DNS har ingen retsvirkning. Det er derfor hverken strafbart ellers dobbeltmoralsk at sende falske svarpakker ud.

Selv om det måske ikke har retsvirkning, så antages det af mange for værende umoralsk bevidst at give falsk svar alias at lyve.

29. marts 2014 kl. 01:17
EU-dom: Stater kan tvinge ISPer til at blokere rettighedskrænkende indhold

Den almindeligste form for blokering af hjemmesider, DNS-blokering, udføres ofte vha. dokumentfalskning, hvor en falsk side udgiver sig for at være den søgte. Det har "rettighedsforkæmperne" det tilsyneladende fint med. Det er sågar set, at de har "overtalt" ISP'er til at henvise til venners konkurrerende hjemmeside direkte på den falske side.

28. marts 2014 kl. 17:01
Danske virksomheder plages af spionage

Spøg til side.. Når man se på hvor mange spørgsmål, der er blevet stillet ved Huawei, kan man undre sig over, at man bruger udstyr fra dem. Har selv set flere og flere Huawei dongles brugt til arbejdscomputere, som indeholder sensitive materialer.

Jeg har set endnu flere bruge et Microsoft styresystem på en arbejdscomputer. Microsoft ved vi samarbejder med NSA.

Med Huawei er det ind til videre kun udkommenterede beskyldninger. Og da beskyldningerne primært kommer fra NSA, så kan problemet måske også bare være, at Huawei besværliggør NSA's arbejde.

21. marts 2014 kl. 17:14
12 måneders efterforskning slut: 4 mænd og 2 drenge sigtes for DDoS-angreb mod 3F

Som jeg lige husker debatten, så har nogen af de sigtede har indrømmet, at de har medvirket til DDoS af 3f.dk, men til gengæld hårdnakket benægtet også at have angrebet mit3f.dk.

3F indrømmede da også, at de selv havde taget mit3f.dk af nettet af frygt for at den også ville blive lagt ned, da de oplevede at mit3f.dk også blev angrebet.

Nu er det jo heller ikke sikkert, at mit3f.dk er dimensioneret til 50000+ samtidige brugere. Det ville jo faktisk være noget overkill, hvis den normalt kun bliver udsat for at 30000 er på 5 min hver over nogle dage. Der er nok sjældent over 1000 samtidige normale brugere på.

Så det kan jo faktisk være, at det var nyheden om at 3f.dk var lagt ned, som fik en masse journalister, version2-brugere, 3f-medlemmer, 3f-ansatte og en masse andre nysgerrige til at tjekke om mit3f.dk også var nede. Disse unormalt mange besøgende, hvoraf langt de fleste ikke logger ind, kan jo godt ligne et mindre DDoS-angreb.

10. december 2013 kl. 00:45
Slut med iPhones til Tysklands top-politikere

Er det ikke de samme politikere, ...

Nej, det er ikke de samme politikere. Det er den danske regering, der synes, at kun kriminelle skal frygte overvågning. Og Helle Thorning bruger så vidt jeg ved heller ikke selv krypteret telefon.

Den tyske regering kalder overvågningen en krænkelse af menneskerettighederne, og de så sikkert også gerne, hvis det var muligt for almindelige mennesker at bruge krypteret telefoni. Den tyske regering gav også for år tilbage økonomisk støtte til GPG.

23. november 2013 kl. 00:17
Advarsel: phishing emails fra e-boks

Man må vel som minimum kunne forvente, at e-mail fra e-boks var signeret med en gyldig digital signatur? ;-)

Det samme gælder for skat, banker og andre, som er i risiko for at blive misbrugt til phishing.

1. november 2013 kl. 07:56
Thorning: Ingen mistanke om USA-overvågning af Danmark

Hvis nu Helle i USA er blevet præsenteret for belastende afskrifter af hendes private telefonsamtaler, så har hun vel ingen grund til at "tro", at hun bliver overvåget. Og hvis nu hun samtidig har fået at vide, at de kunne havne i Løkkes inbox, hvis hun ikke tog hjem til Danmark, og fik lukket debatten om NSA overvågning. Hvis nu, det var sådan det hang sammen, så var hendes udtalelser lettere at forstå. Men det er selvfølgelig ikke det, som er tilfældet, og så må Helle "tro" vel bare bygge på, at hun ikke er lige så stor en terrorist som Merkel. Eller måske bare ikke lige så vigtig en person i USAs øjne som Merkel.

24. oktober 2013 kl. 22:40
Nets i dansk-norsk paralleldans: NemID og BankID skifter begge fra Java til Javascript

Om man bruger Java, Javascript eller noget helt 3. ændrer ikke på det grundliggende designproblem, at man skal indtaste kodeordet til sin private nøgle på en hjemmeside, og dermed give web-programøren adgang til sin private nøgle. Det betyder jo, at man kun bør bruge nemid på hjemmesider, hvor man kan stole 100% på web-programøren, og hvor man samtidig er 100% sikker på, at siden ikke er overtaget af andre. Det forrykte er, at man ikke benytter sig af eksisterende standarder for brug af kryptering. Der er vel næppe nogen pc-, eller smartphone-platform, hvortil der ikke allerede findes værktøjer til håndtering af private og offentlige nøgler. Så vi behøver faktisk ikke selv at opfinde en dyb tallerken, for at kunne bruge digitale signaturer i Danmark. Det findes allerede på markedet. Man burde jo bare kunne møde op i sit pengeinstitut, eller på borgerservice, og så få signeret sin offentlige nøgle.

11. oktober 2013 kl. 22:42
Softwarepatent-modstander: Gør dine venner og familie klar til folkeafstemning

@Louise:

Mht. dokumentation om, at patenter fremmer innovation, så skal vi blot se på udviklingen f.eks. indenfor Skype

Kan du uddybe, hvordan patenter har fremmet innovationen i forbindelse med Skype?

Hvilken innovation er kommet til verden vha. patent?

Er det udviklingen af Skype, der er foregået ved, at de har siddet og læst andres patenter, og har købt licens til at implementere andres opfindelser i Skype?

Er det Skype, der har udtaget patenter, som andre har brugt i deres software, f.eks. til at lave software, som kan kommunikere med Skype?

Har Skype brugt patenter til at forhindre andre i at udvikle deres egen software, som kunne komme til at konkurrere med Skype?

Eller er det fordi, at det fremmer innovationen, at Skype er blevet anklaget for, at det software de selv har udviklet, krænker andres patenter?

Venligt uddyb dit Skype-eksempel for os udenforstående, der ikke lige er klar over, hvorfor det er et så indlysende godt eksempel.

18. august 2013 kl. 23:33
Politiet: Unge fatter ikke alvoren ved it-kriminalitet

Antag at nogen har en lagerbygning, hvor andre ved lov er tvungen til, at lade deres kostbare ejendele opbevare på eget ansvar.

På hoveddøren sidder en fin hængelås, så alle kan se, at der er styr på sikkerheden, og ved stien til baggården står et skilt, der siger "Adgang forbudt". Hver gang nogen spørger til om bagdøren også er låst, er svaret: "Vores sikkerhed er god nok! Desuden udtaler vi os af sikkerhedshensyn ikke om, hvorvidt vi overhovedet har en bagdør".

En af "tvangskunderne" føler sig utryg ved denne sikkerhedsudmelding, og en sen aften lister han sig ind i baggården, finder en ulåst bagdør, og går ind. Her kan han konstatere, at der er fri adgang til hans egne og andres private ejendele. Han sætter en seddel op på indersiden af vinduet mod gaden med teksten: "Lageret låser ikke bagdøren".

Næste dag melder lageret indbrudet til politiet, der ved hjælp af en grafolog finder frem til manden. Manden kommer i fængsel, og skiltet ved stien til baggården får tilføjet underteksten:"Overtrædelse straffes med fængsel", så alle kan se, at sikkerheden er forbedret. Bagdøren forbliver ulåst.

Bagefter har folk travlt med at sige, at han burde have informeret lageret om usikkerheden i stedet for at begå kriminalitet. Han burde jo vide, at det var forbudt at gå forbi skiltet.

Problemet er, at han ikke ved, at der var en bagdør, før han kommer ind i baggården. Og han ved ikke at døren er ulåst, før han tager fat i håndtaget. Og han ved ikke, at døren giver adgang til de private ejendele, før han går ind, og ser det.

Hvem er egentlig helten og hvem er skurken?

Og hvad hvis lageret er elektronisk, og på det offentliges vegne opbevarer vores personfølsomme data?

11. juli 2013 kl. 22:25
Dankort-systemet fejlede i timevis efter opdatering

Jeg forstår ikke, hvorfor et sådant system ikke er delt i 2 eller flere parallelle systemer. Således at man kan opdatere forskudt med f.eks. 24 timer, og dermed altid køre med halv kapacitet, hvis noget går galt.

4. juli 2013 kl. 19:11
Sådan bliver NemID brygget på Javascript til web og mobil

Det undrer mig, hvordan man sikrer sig mod at en (måske hacket) hjemmeside logger brugernes nemid-password. Den forhadte java-applet er i det mindste signeret af Nets DanID, så man ved, at det kun er dem, man giver sit password. Er der nogen mulighed for at sikre sig mod et javascript, uden at skulle nærlæse kildekoden hver gang? Et af de store problemer med nemid er i mine øjne, at de bryder med regel nr. 1 for digital signatur, der siger, at du aldrig må indtaste dit password på en hjemmeside. Det problem løses ikke ved at skifte programmeringssprog.

30. juni 2013 kl. 16:18
Udviklere finder hul i DSB 1: Kommer gratis på nettet

DSB slukker for WiFi signalet når/hvis toget kommer vest for Langå station - så det er KUN hovedstrækningen de tilbyder internet på.

Det er nu ikke altid de husker at slukke for WIFI, når der ikke er internetforbindelse. Jeg har flere gange stået på banegården i Herning og oplevet, at min telefon har forbundet sig til WIFI i et tog på en anden perron. Jeg har 1 gang kørt med DSB1'st, og derfor kan telefonen huske deres netværk. Da Herning ligger et godt stykke vest for Langå mister jeg så bare internetforbindelsen, når det sker. ;-)

20. juni 2013 kl. 00:18
NSA bagdøre i Open Source ?

/* 3c503.c: A shared-memory NS8390 ethernet driver for linux. / /Written 1992-94 by Donald Becker.

Copyright 1993 United States Government as represented by the
Director, National Security Agency.  This software may be used and
distributed according to the terms of the GNU General Public License,
incorporated herein by reference.
18. juni 2013 kl. 19:28
Apple sætter politi på venteliste til dekryptering af beslaglagte iPhones

"Personligt kan jeg nu godt lide tanken om at ingen har nogle ekstra nøgler til min hovedør,"

Vil et firma som Ruko være i stand til at fremskaffe en ekstra nøgle til en hoveddøren, hvis politiet stod med en dommerkendelse og et serienummer? De kan næppe, hvis man selv har kodet låsen om, med mindre de har en supermasternøgle, der kan gå ind og låse låsen op på et andet niveau.

Jeg tror også mest på den med, at Apple har en master nøgle.

14. maj 2013 kl. 07:36