Daniel Gertsen

Hacker udstiller eklatant dårlig sikkerhed i BMW-app brugt til 2,2 mio. biler

Det vil være naivt at tro at det system ikke har generel adgang til databussen.</p>
<p>Moderne biler kan automatisk holde afstand, de kan skifte bane og de kan parkere selv. Det betyder at computeren har fuld kontrol over alt, inklusiv mulighed for at styre. Man kan godt forestille sig en teenager sider derhjemme, og pludselig overtager fuld kontrol med din bil, og begynder at køre med den som var i med i Grand Theft Auto.</p>
<p>Det var måske på tide at myndigheder begynder at stille krav til sikkerheden.

Jeg siger også at jeg håber det er read-only adgang. Ikke at jeg nødvendigvis er overbevist om det.

Når det er sagt, så rent principielt er det ikke sikkert, at bare fordi bilen selv kan holde afstand til forankørende, så er der også skriveadgang til bremse-systemet alle steder fra. Afstands systemet kunne vel tænkes at være autonomt eller i det mindste krypteret.

Det ser dog ud til at producenterne har sovet lidt i timen her. Det kommer bare bag på mig, for så snart de åbnede op for fjern-opdatering, internet-adgang og apps, burde alle alarm-klokker have ringet hos producenten, i forhold til hvilken gigantisk uoverskuelig katastrofe det kunne være, hvis man kunne få uautoriseret adgang til kritiske systemer som fx hastighedskontrol, bremser og andet sikkerhedsudstyr.

Potentielt kunne en eller anden jo lave et stykke diskret malware, der installerer sig selv i hundredtusindvis af biler, og så pludselig samtidig, verden over, slår bremsen fra, og træder speederen i bund. Det ville slå mange tusinde ihjel, og forsage for milliarder i skade. Ikke mindst hvis servo-styring og airbags også blev slået fra, bare som prikken over i'et.

Det er et tænkt scenarie, men hvis det kan lade sig gøre at få fjernadgang til systemet hjemme fra sine forældres kælder en skummel aften, så er det bestemt ikke utænkeligt at en eller anden beslutter sig for at gøre det. Bare fordi de kan.

31. januar 2015 kl. 18:28
Kommuner halter stadig med at levere digital post

Og det er nok kun toppen af isbjerget du har set - det ender med at blive en katastrofe med store sociale og samfundsøkonomiske tab til følge.

Jeg tror at staten og kommunerne har indført digital post, for at kunne "sortere" de svageste ældre fra - simpelthen fordi en del af dem dør hurtigere grundet ingen eller ringere behandling.

De bidrager jo ikke nævneværdigt til fælleskassen længere, så hvorfor tage hensyn til dem?

//Bitter sarkasme kan forekomme herover...

30. januar 2015 kl. 14:10
Kommuner halter stadig med at levere digital post

Jeg synes det er forkasteligt, at kritiske ting som indkaldelse til behandling på sygehus, nu sendes digitalt, og kun digitalt.

Nogle ting er bare for vigtige til at man kan satse blindt på at borgeren er i stand til at tjekke sin e-boks dagligt, hvis overhovedet.

Eksempelvis hjalp jeg for nylig en ældre bekendt med at logge ind i hendes e-Boks. Da vi kom ind, fandt vi 3 indkaldelser til CT-scanning på Odense Universitetshospital, som hun alle var udeblevet til, fordi hun aldrig havde set indkaldelsen.

Ingen havde reageret på hendes udeblivelse på anden måde end at indkalde hende til en ny, en måned senere. Ingen ringede. Ingen skrev et brev. Ingenting.

Hun gik faktisk og var bekymret over at det tog så lang tid at få en scanning, der var ret vigtig for hende. Men hun havde ingen anelse om at indkaldelsen kunne være i e-boksen.

Resultatet er at hendes sygdom nu er forværret, og i sidste ende ender det ikke blot med at koste hende, men det ender med at koste samfundet, fordi hun nu nok vil kræve yderligere behandling, end hvis hun havde modtaget den første indkaldelse.

Vi må bare se i øjnene at der ér folk der ikke egner sig til at modtage vigtige ting på e-Boks.

Om 20-30 år, når de nuværende midaldrende borgere når pensionsalderen og højere, kan det lettere forsvares, fordi vi er vant til teknologi på et helt andet niveau.

Men ikke nu. Det er for hurtigt for de svageste af de ældre.

30. januar 2015 kl. 13:54
Hacker udstiller eklatant dårlig sikkerhed i BMW-app brugt til 2,2 mio. biler

Hvis de ikke har styr på sikkerheden i en App. som kan låse bilen op, kan man så regne med at sikkerheden er i orden for at ændre firmwaren for bilen uden fysisk tilstedeværelse? endda helt uden at ejeren bemærker det...

Man må håbe at de har ændret alt kommunikation til at være krypteret nu, således at man ikke vil kunne fjernopdatere firmware fremover.

Vi ved reelt heller ikke om dén del allerede var sikker nok, eftersom det ikke er mit indtryk at firmwareudskiftning var en del af hacket/testen.

Men ja, en god pointe. For hvis firmware kan ændres af uvedkomne, uden ejeren af bilen kan vide det, kan det potentielt blive ret farligt.

30. januar 2015 kl. 13:46
Dansk startup lancerer app, der lader blinde låne dine øjne

Når man registrere sin interesse i en Android version, får man ingen bekræftelsesmail.

Jeg modtog min mail under to sekunder efter tilmelding.

Det er MailChimp, det plejer at fungere helt som det skal. Kan det tænkes du har tastet forkert mail adresse mon? Det kan jo ske for selv den bedste.

12. januar 2015 kl. 18:11
15 år efter Y2K: Omfattende jagt på datofejl gav smertefrit nytår

Dermed vil det virke indtil datoer 100 år efter den første postering, hvisket nok er efter 2060 for de fleste databaser. :-)

Det er allerede i 2038 :-)

http://en.wikipedia.org/wiki/Year_2038_problem

Der begynder tidsstempler der tæller sekunder, at overskride 32-bit integer grænsen på 2.147.483.647

Og det har som sådan intet med diverse databasers alder at gøre. Og problemet kan i princippet opstå allerede i dag, hvis du eksempelvis har mulighed for at vælge en fremtidig leveringsdato i en webshop, og vælger en dato i år 2039.

7. januar 2015 kl. 13:24
Microsoft nye robotvagter ligner noget fra Star Wars

Jeg synes de ligner en Dalek fra Dr. Who mere end R2-D2 fra Star Wars :-)

21. november 2014 kl. 21:22
Ung iværksætter: »Man mister gejsten. Det æder bare en startup op indefra«

Mig bekendt har publicwhip.org.uk og Parliament Parser Project eksisteret siden 2003?

Selve produktet, samt om det eksisterede i forvejen eller ej, finder jeg irrelevant.

Det er historien om hvordan ejerskabet ikke var fordelt, jeg finder interessant.

Det kunne i den sammenhæng lige så godt have været et forsøg på en ny Gmail eller Facebook, for det er ikke produktet det drejer sig om.

Og ja, det er en typisk problemstilling for førstegangs opstartere - jeg er selv faldet i en lignende situation engang.

17. november 2014 kl. 11:44
Hovedløse hævnere: Tekniske problemer plager nyt Assassin's Creed-spil

Spilproducenterne har haft held til at få kunderne lullet ind i en overbevisning om, at det er en god ide at forudbestille spillene. Dette på trods af de mange eksempler på halvbagte produkter, der er langet over disken i det sidste årti. Man skal ikke have det store kommercielle kørekort for at indse, at producenternes incitament for at øge testindsatsen dermed er stort set ikke-eksisterende. Når kunderne villigt betaler for et produkt af ukendt kvalitet, ja så skulle man da være et skarn, hvis man ville udhule egen profit ved at bruge flere penge på noget så usexet som test.

Enig, det er en stor del af problemet.

Måske de burde gøre mere ud af at lave en demo-version af spillene - noget der var meget udbredt "i gamle dage", og bruge DEM som beta-versioner.

Hvis de udryddede alle de store fejl fra demoen før den endelig version blev frigivet, ville måske 90 % af de alvorlige fejl være væk.

Men du har nok ret... det koster penge, og derfor sker det ikke. Mange udgiver demo'er stadig, men ignorerer totalt feedback derfra.

16. november 2014 kl. 12:24
Hovedløse hævnere: Tekniske problemer plager nyt Assassin's Creed-spil

Når man udgav et spil "I gamle dage", var den version der blev frigivet, den version der var. Punktum.

Derfor skulle spillene testes igen og igen og igen før de blev frigivet.

Nu virker det som om at mange udgivere blot tager en hurtig beta-omgang, og så frigiver spillet, for at lade køberne agere beta-testere, fordi det er blevet så let at rette fejl efterfølgende.

Bestemt ikke en forbedring i min bog.

Det er selvfølgelig fint at kunne løse fejl efterfølgende, men det burde være en æressag at der ikke er grove fejl i de spil der bliver udgivet.

Ps. Og et lille prik til artiklens teaser-tekst: Man kan ikke udgive et spil før alle bugs er fixet - der vil altid være bugs... det er bare et spørgsmål om at de bugs der er tilbage, ikke er ødelæggende eller tydelige. Det skal helst være den slags små uskyldige bugs, der ofte ender med faktisk at være sjove og underholdende :-)

Pps. Jeg er glad for at jeg ikke er spiludvikler, når man tager kompleksiteten og størrelsen af moderne spilverdener i betragtning.

15. november 2014 kl. 21:03
Googles termostater afsløret med gabende sikkerhedshul

Er jeg forresten den eneste, der når jeg læser "gabende sikkerhedshul" i overskriften, forventer et sikkerhedshul der er bare LIDT mere sårbart, end at det kræver fysisk adgang til enheden for at udnytte det?

For i så fald, er jeg ret sikker på at omkring 80-95 % af samtlige pc'er, Smart-TV'er, Routere, Blu-Ray afspillere, spillekonsoller osv. har "gabende sikkerhedshuller" lige nu.

12. august 2014 kl. 21:19
Googles termostater afsløret med gabende sikkerhedshul

Det er ret tåbeligt det er. Hvis først en "angriber" har fysisk adgang til enheder placeret i dit hjem, så har du et alvorligt problem, uanset hvilke enheder der er.

Enig. Hvis først angriber har fysisk adgang, har du et problem.

Jeg tror dog at problemet her er, hvis eksempelvis en stor virksomhed (en lufthavn fx) har termostater rundt omkring, som besøgende udefra kan komme til, uden det vækker stort opsigt.

Læren må være at holde den slags udstyr på et lukket "utility" VLAN, så det er afskåret fra vigtige data.

Det er dog en god måde at gøre det på, uanset. Og det ved jeg da at mange (de fleste?) virksomheder allerede gør, når det gælder useriøst/eksternt udstyr - eksempelvis hvis man sætter en infoskærm op, der blot viser nyheder fra TV2 News eller lignende - så skærer man det væk fra resten af virksomhedens netværk.

Det har jeg da i hvert fald altid gjort. Og det gælder da også hjemme i privaten - min indbrudsalarm's boks har adgang til internettet via wifi ja, men har ikke adgang til noget andet.

Det samme gælder måleren på min elmåler, der dog er tilsluttet via kabel, men stadig på separat VLAN.

12. august 2014 kl. 15:37
Tatovering til at låse mobilen op får høvl af anmelder

Vi kan godt blive enige om at disse "tatoveringer" ikke er den bedste måde at bruge NFC tags på.

Men derfor finder jeg det lidt overilet at afskrive hele konceptet som "en fuldstændig ligegyldig feature der forsøger at være smart bare for at være smart". Det er ikke perfekt, nej, men netop derfor er der plads til store forbedringer og dermed stort potentiale fremadrettet.

4. august 2014 kl. 22:02
Tatovering til at låse mobilen op får høvl af anmelder

Det her er bare endnu et eksempel på en fuldstændig ligegyldig feature der forsøger at være smart bare for at være smart.

Der var engang folk der sagde det samme om RFID kontra magnet-kort eller chip-kort til alarm-systemer.

Ikke desto mindre viste det sig at være ret smart, da først børnesygdommene var overstået.

Ligesom folk engang mente at det var overflødigt og bloated at have en medie afspiller indbygget i Windows. Igen viser det sig nu ret praktisk. Ikke nødvendigvis optimalt, men dog praktisk.

4. august 2014 kl. 11:13
Tatovering til at låse mobilen op får høvl af anmelder

Hvis disse "tatoveringer" er tilpas billige, kunne de bruges til at klistre på fx tastaturet på arbejdet, på natbordet eller andre steder, så man let kunne låse telefonen op når man er i nærheden.

Når de ikke udsættes for sved og vand, burde de vel kunne holde i årevis?

29. juli 2014 kl. 13:38
Google har blokeret email på bud fra Goldman Sachs

Hvis jeg sender en e-mail til en gmail adresse ved en fejl, kan jeg da glemme alt om hverken at få den blokeret eller slettet.

Når den er sendt er den sendt. Sådan er det.

For os almindelige dødelige, i hvert fald.

Og jeg mener at reglerne burde være ens for alle.

Hvis Goldman Sachs vil have flere muligheder end os andre, bør de skabe dem selv.

Eksempelvis ved at sende et link til mailens indhold i stedet for - på den måde ville de kunne fjerne det indhold der linkes til, før modtageren åbner det.

Problem solved.

Hvis det virkelig er så fortrolige oplysninger, så burde de beholde det i et miljø de kontrollerer.

E-mail ér bare ikke et sikkert medie.

12. juli 2014 kl. 14:41
Efter fiasko: Yousee kæmper med relancering af åbne hotspots

Hvem betaler strømmen. ? Jeg slukker alt når jeg ikke er hjemme / sover. Kald mig nærig men der er rigtig meget at hente ved at slukke apparater men ikke brugt.

Du kan da stadig slukke for routeren, når du ikke er hjemme?

Jeg ved ikke hvor meget ekstra strøm en router bruger, ved at have wifi aktiveret, i forhold til ikke at have det aktiveret. Men mit gæt er at det ekstra strømforbrug, hvis det overhovedet kan måles, er omkring en 10'er om året eller mindre.

Ps. Jeg gætter på at alle herinde allerede ved det, men jeg vil lige nævne det igen for en sikkerheds skyld: Man kan afmelde Wifi Spot hos YouSee - også præventivt før de går i gang. Det foregår her: http://yousee.dk/Wifi/WiFiAfmeld.aspx

13. juni 2014 kl. 15:20
Efter fiasko: Yousee kæmper med relancering af åbne hotspots

Hvorfor gør de det? Hvad skal det gøre godt for?

Mon ikke at ca. 9 ud af 10 ikke kender til dette produkt, selv et år efter det kommer i drift igen. ...og at ca. 9 ud af 10 af de få der kender til det, vil være fuldstændig ligeglad med det. ...og at ca. 9 ud af 10 af de resterende aldrig vil bruge det.

Jeg tror det er højt sat, hvis 1000 kunder kommer til at gøre brug af dette, til andet end blot at se om det virker en enkelt gang for sjov.

Så hvorfor udsætte så mange kunder for den sikkerhedsrisiko det nu engang altid vil være? Hvorfor tilføre yderligere forstyrrelser i luften, i form af ekstra wifi netværk, der ellers ikke ville være der, fordi folk ofte foretrækker deres egen router ved siden af? Hvorfor belaste folks i forvejen belastede netværk, og derved levere et dårligere produkt til kunderne?

Hvorfor hvorfor hvorfor?

Jeg kan ikke finde nogen positive svar.

12. juni 2014 kl. 22:16