Jens Krabbe

Vi skal ikke have e-valg i Danmark – papirvalg er den bedste løsning

Hvorfor skal vi have straks-resultater? Til hvilken pris? Risikoen for mistillid til valghandlingen er større end nul, og derfor meget dyr, når den opstår (der vil altid være trolle, der vil forsøge at skabe mistillid).

23. august kl. 07:11
Ekspert om WPA2-sårbarhed: »Himlen er ikke ved at falde ned, men...«

Kevin Beaumont skriver påhttps://doublepulsar.com/regarding-krack-attacks-wpa2-flaw-bf1caa7ec7a0

Regarding Krack Attacks — WPA2 flawSo there’s a new Wi-Fi attack. In the media it is being presented as a flaw in WPA protocol which isn’t fixable. This isn’t true. Before we all burn the house down, however, and declare security problems not fixable, let’s get to some important things for organisations:

  • It is patchable, both client and server (Wi-Fi) side.

  • Linux patches are available now. Linux distributions should have it very shortly.

  • The attack realistically doesn’t work against Windows or iOS devices. The Group vuln is there, but it’s not near enough to actually do anything of interest.

  • There is currently no publicly available code out there to attack this in the real world — you would need an incredibly high skill set and to be at the Wi-Fi base station to attack this.

  • Android is the issue, which is why the research paper concentrates on it. The issue with Android is people largely don’t patch.

17. oktober 2017 kl. 09:14
KMD's systemer i udu: e-Boks er nede

"KMD er i tæt dialog med vores tekniske samarbejdspartnere på området" - men ikke med de berørte brugere. KMD kunne i det mindste sende en mail til brugernes e-boks ...

7. august 2017 kl. 17:16
Styrelse om Google Analytics: Vi ved godt, der er etiske problemstillinger

Hos Sundhedsstyrelsen bliver Google Analytics brugt, til at undersøge hvilke søgeord, brugerne anvender for bedre at tilbyde indhold, oplyser styrelsen i et skriftligt svar til Version2.

Sundhedsstyrelsens primære funktion er vel ikke at optimere tilbudet af indhold frem for at passe på brugernes personhenførbare oplysninger?

26. april 2017 kl. 20:24
Ansatte i kommune kigger i borgernes persondata uden gyldig grund

Den løsning (4% af ansattes løn) skal nok afholde en del fra at sløse med deres opslag. Derudover løser den netop det hul i persondataloven, som bøderne ellers ikke kunne dække, da det er borernes egne penge, der i sidste ende kommer til at betale. Men det kræver så, at politiet bliver involveret i hver sag, så interne konflikter ikke kan blive til falske anklager om sløseri.

6. april 2017 kl. 21:41
Giv mig flere kvindelige rollemodeller

Jeg læste med stor fornøjelse "Countdown to Zero Day" om stuxnet, og først bagefter fandt jeg ud af, at forfatteren Kim Zetter er kvinde.

Et eksempel på mandlig bias, er hvordan Margaret Hamilton, lead Apollo flight software engineer, ikke er nævnt i udsendelsen om Moon Machines - episode 3 om navigationssystemet.

Det berømte billede, hvor hun står med hele den printede stak af navigationssystemet er med i udsendelsen (29:29), men hendes navn bliver ikke nævnt i den forbindelse. Hun optræder også i baggrunden i nogle af filmsekvenserne, men uden at blive nævnt overhovedet.

9. februar 2017 kl. 23:05
KMD i ny modvind: Region Syddanmark ophæver it-kontrakt til over 100 millioner kr.

...hvis man indførte borgerløn?

26. januar 2017 kl. 07:14
Pubcrawl: Forskere beregner korteste vej mellem 24.727 britiske værtshuse

... i gennemsnit. Er det nok til at gå rusen ud, hvis man kun drikker tynde øl?

Det tager vel 15 minutter at bunde en pint, og 25 minutter at gå den gennemsnitlige afstand mellem pubberne, så 40 minutter per pint.

Med 8 timers søvn har man 16 timer til at gå og drikke i. Det giver 24 pints på en dag i gennemsnit - i London væsentlig flere og Wales en del færre.

Men 1030 dage senere kan med sætte kryds på sin bucket list ud for punktet med at besøge alle pubber i det britiske kongerige.

Cheers!

24. januar 2017 kl. 10:42
Kommune sender 298 cpr-numre ud med aktindsigt til almindelig borger

Det er aldrig den enkelte medarbejder der dummer sig. Mennesker begår fejl, det har de altid gjort og de vil altid fortsætte.

Ja, men der er måske behov for at finde en anordning til at at motivere de enkelte medarbejdere udefra til at arbejde for at undgå at dumme sig. Det kan være en kombination af økonomiske sanktioner og suspendering (ingen grund til at smide intern viden ud med badevandet).

EU persondataforordningen specificerer bøder op til 4% af virksomhedens globale omsætning. Den motivation virker fint for private virksomheder, selvom jeg savner en mere direkte konsekvens for de implicerede personer for at motivere dem yderligere til at råbe højt, når de er vidne til letfældig omgang med personhenførbare data.

Det er derimod myndigheden der ikke har tilstrækkeligt med foranstaltninger for at undgå at sådan noget sker. Når én fejl hos én medarbejder kan gøre dette, vil det ske igen og igen.

EU persondataforordningen kræver at alle virksomheder og institutioner, der behandler og/eller opbevarer personhenførbare data skal have en Data Protection Officer tilknyttet, der netop kan tage sig af at implementere de nødvendige foranstaltninger: Processer, uddannelse, sikkerhed og adgang.

12. januar 2017 kl. 17:06
Kommune sender 298 cpr-numre ud med aktindsigt til almindelig borger

At neutralisere CPR nummeret (i øvrigt en god idé - det kan ikke gå for hurtigt), vil ikke fjerne risici for at personhenførbare data lækkes uforvarende.

Der skal en ny sikkerhedskultur til, hvor processer sikre, at flere checker inden noget sendes uden for murerne, hvor en Data Protection Officer ser på både arbejdsgange, uddannelse af personale og adgang til data.

12. januar 2017 kl. 16:56
To it-sikkerhedsprofessionelle idømt fængsel for hacking af SF og Radikale

Øh...hvorfor? Har politikere ikke ret til privatliv som os andre? Jo!

Helt enig: Vi har alle ret til et privatliv. Jeg er meget utilfreds med at loven blev vedtaget, for jeg mener, at det er en glidebane, hvor vores ret til privatliv bliver udhulet.

Men utilfreds giver ikke automatisk ret til at overtræde andre dele af loven, uanset hvor sympatisk, man synes, at det de to gjorde, var.

Det er en balancegang mellem opretholdelse af retssamfundet og det nødvendige oprør mod magthavernes magtmisbrug.

Jeg håber ikke, at vi får brug for at gøre fysisk oprør, før magthaverne indser, at det ikke er i samfundets interesse at overvåge os alle.

20. november 2016 kl. 22:11
Ny persondataforordning: Virksomheder har langt igen for at blive klar

De små og mange af de mellemstore virksomheder har hverken ressourcer eller midler til at efterleve EU´s omfattende krav. Alligevel trues de med bøder og sanktioner, der med sikkerhed vil medføre kokurs.

Hvis en virksomhed vil opbevare, behandle og tjene penge på mine personoplysninger, skal de også kunne gøre det forsvarligt, og det er uanset hvor mange ansatte eller hvor stor omsætning virksomheden har. Hvis ikke der er råderum i en virksomhed til at gøre dette i fuld forsvarlighed, må virksomheden finde en anden måde at tjene penge på - det bliver ikke med mine personoplysninger.

Det er samme slags krav, der sættes til fabrikanter af biler, medicin og medicinsk udstyr, legetøj, mad, osv.: De er også ansvarlige for, at deres produkter lever op til minimumskrav om sikkerhed, og de skal også kunne dokumentere, at de lever op til det.

Bliver mine personoplysninger misbrugt, kommer det til at påvirke mit liv markant: Får jeg en madforgiftning, sluger min baby en dims, får jeg uvirksom medicin, eller accelererer min bil pludseligt, vil det også påvirke mit liv markant.

Derfor er ovenstående klagesang på vegne af små og mellemstore virksomheder irrelevant.

Der er meget få genveje til god sikkerhed for personoplysninger, så hvis man som virksomhed ikke kan gøre det forsvarligt, må man helt undlade at opbevare, behandle, eller tjene penge på dem.

Det gælder også offentlige instanser. Men det er måske ikke ideelt at uddele store bøder til offentlige instanser, for det bliver i sidste ende borgerne selv, der kommer til at betale for, at deres egne data bliver lækket eller misbrugt – eller så bliver konsekvensen at servicen forringes.

Derfor er det en udfordring at stille offentlige institutioner til ansvar for manglende omhu. Man kunne overveje at holde de ansvarlige personer i de offentlige institutioner personligt ansvarlige, men så vil man nok hurtigt få svært ved at besætte de stillinger.

Man kunne outsource al offentlig behandling af personoplysninger, så en privat virksomhed kommer til at stå med ansvaret (hvilket bestemt ikke er en fremmed tanke), men ønsker vi egentlig det?

I det hele taget savnes der en god model for, hvordan offentlige institutioner og deres medarbejdere kan stilles til ansvar for uagtsomhed i deres virke. Nogen der har et bud?

4. maj 2016 kl. 09:17
Pind om skrottet lognings-lov: Vi er ikke i tvivl om, at det ville virke

http://www.smbc-comics.com/index.php?id=4041

"But, if they have nothing stupid to say, then they have nothing to fear."

18. marts 2016 kl. 18:56
Hvem kæmper Apple for?

Dan Guido (@dguido) har skrevet en grundig gennemgang af, hvordan sikkerheden er bygget op i en iPhone :https://blog.trailofbits.com/2016/02/17/apple-can-comply-with-the-fbi-court-order/

Kim Zetter (@KimZetter), som er forfatter til den fantastiske bog "Countdown To Zero Day" om Stuxnet, har skrevet om de politiske aspekter og implikationer ved sagen:http://bit.ly/1Wu9Rte

Tilsammen underbygger og udbygger de to tekster mange af de argumenter, der allerede har været fremført i denne diskussion.

18. februar 2016 kl. 22:48
Det findes to typer spaghettikode. Den ene kan være umulig at rydde op i

Løsning søger Problem

Ikke for at afspore den interessante diskussion om samtidprogrammering og lignende herover, men følger man digi.no-linket i artiklen, kommer man til en stort set enslydende artikel, hvor de norske IT-professionelle fremhæver samme bekymringer. Den artikel er tilsyneladende også bare en slet skjult salgsannonce for http://www.bitreactive.com/ skrevet af Erlend Tangeraas Lygre.

På den baggrund synes jeg, at artiklen her af Henning Mølsteder et tyndt stykke journalistik.

7. februar 2016 kl. 20:09
»Du kan næsten putte alt ind under Internet of Things lige nu«

Her er et mere skræmmende eksempel på tilføjet features, der ikke er helt gennemtænkt med hensyn til sikkerhed:

http://www.wired.com/2015/07/hackers-can-disable-sniper-rifleor-change-target/

Gad vide hvad det næste er, der ukritisk bliver koblet på internettet?

29. juli 2015 kl. 15:58
»Du kan næsten putte alt ind under Internet of Things lige nu«

IT-branchen mangler et opgør med "fordi vi kan" mentaliteten.

Ja og nej.

Det overrasker tit, hvordan systemer bliver brugt til andre formål og på andre måder, end kravstillerne, kunderne, arkitekterne og udviklerne havde forestillet sig det, så derfor er der ofte resonoment i at følge "fordi vi kan" mentaliteten - især når vi taler om uudforskede teknologier. Det kunne jo være, at det var smart at pacemakeren kunne sende emails, selvom ingen læger havde forestillet sig, at det kunne bruges til noget fornuftigt.

Derfor er det også fint, at IoT lige nu er en tåge af muligheder i stedet for en fastlagt standard. Som mange skriver, så lad os se, hvad det konkret kan bruges til, før vi tager stilling til det.

Helt enig i at sikkerhed må være #1 prioritet og bygges ind som en integreret del af IoT fra starten, men også tænkes rigtigt igennem, så man kan nemt kan skifte sikkerhedsteknologien ud på eksisterende kørende systemer uden at skulle stoppe produktionen og sammenhængen i netværket for at skifte paradigme.

27. juli 2015 kl. 19:15
Hvor råddent er IT i politiet ?

Stråler og kemikalier er meget mere håndgribelige og umiddelbart forståelige, mens IT er noget stort og komplekst, med uoverskuelige og uigennemskuelige konsekvenser for både samfund og borgere. Men det kan spare penge og effektivitet er et positivt ladet ord, så det køber de offentlige forvaltere gerne noget mere af og de færreste borgere har hverken kompetence eller overskud til at sætte sig ind det.

Erfaringerne fra tidligere IT katastrofer skræmmer ikke, for dem, der tager beslutningerne nu, vil enten ikke huske, eller så var de ikke ved magten dengang. Direktørerne for leverandørerne er heller ikke bange for at underbyde, for de er garanteret et 7-cifret beløb uanset udfaldet. Borgerne har som sædvanligt ikke meget at skulle have sagt.

Ikke engang Se&Hør sagen eller offentliggørelse af deres CPR-numre fik politikerne til at indse, at vi alle er udsatte. Det er derfor svært at se, hvad der skal få de IT-inkompetente folkevalgte til at prioritere dette område.

Eneste udvej, jeg kan komme på, er at gøre det nedefra: Crowdfunde Open Source tiltag, der de fakto ændrer på hvordan IT implementeres i vores samfund. Vi har allerede set eksempler på hvordan Rejsekortet og NemID kan gøres bedre gennem privat og ubetalt udvikling. Med lidt mere målrettet støtte kan vi komme meget længere for næsten ingen penge - og helt undgå bonusser til direktørerne for de store IT leverandører. Men den største gevinst vil være bedre offentlig IT.

19. juni 2015 kl. 23:52