Stig Johansen

Finansministeriet: Hver tredje statslige it-system risikerer nedbrud og hackerangreb

Hvem siger at mission critical systemer skal væer tilgængelige fra I*nettet? Hvis man gør det, er det da en 'Epic failure'.

30. januar 2017 kl. 09:11
Finansministeriet: Hver tredje statslige it-system risikerer nedbrud og hackerangreb

Du har helt ret - taler af erfaring.

Der er jo slet ikke tale om et eftersyn, men selvrapporterede data: Kasseeftersynets resultater er baseret på oplysninger fra en spørgeskemaundersø- gelse på alle ministerområder, interviews med udvalgte myndigheder samt opfølgende workshops. Resultaterne er således baseret på myndighedernes selvrapporterede data og vurderinger og er derfor behæftet med en vis usikkerhed.

30. januar 2017 kl. 09:08
Ny komprimeringsalgoritme gør Chrome-browseren endnu hurtigere

Jeg tror ikke rigtig jeg forstår det her. Det er fint nok at udvikle en ny slags komprimering, men komprimering foregår jo serverside, så det forudsætter implementering på serverne før det er relevant.

Dekomprimering, f.eks. deflate (som er gzip uden header og trailer) koster næsten ingen ressourcer i forhold til komprimering (serverside).

Man kan med fordel indføre en cache, der håndterer 'for-zippede' data, eksempelvis Varnish.

20. januar 2016 kl. 16:26
Folketinget ramt af fjerde DDoS-angreb på en måned - kan stadig ikke blokere det

Ifølge artiklen: "»Hvem der ligger bag serverne, er der ingen der ved,« siger han." Det kommer vi aldrig til at vide, da det naturligvis er skjult. Jeg har lavet en redegørelse for tilstanden på i*net her:http://wopr.float4you.com/storm.monitor/rationale.aspDen er nok svært forståelig, men beskriver hvor, og hvordan mange ting foregår.

19. januar 2016 kl. 15:30
Folketinget ramt af fjerde DDoS-angreb på en måned - kan stadig ikke blokere det

Ja, og dermed hindrer man fejlsøgning. Prøv lige at beskrive forskellen mellem Ping og ICMP eller det modsatte. Hilsen the ol' man

19. januar 2016 kl. 15:22
Opfordring til læserne: Hvor mangler der API’er?

Jeg synes bare jeg vil nævne, at jeg selv var med til at tage initiativ (videnskabsministeriet) til at etable en 'data dictionary' med XML-schema definitioer, endpoints osv, men den løb lidt ud i sandet, da ingen rigtig havde den fornødne faglige dybde. Ja, suk, 30 mio i kloakken p ISB-projektet... Desværre, men jeg gjorde mit bedste, men blandt ........ kæmper............ Hilsen The ol' man

29. december 2015 kl. 23:27
Folketinget ramt af tredje DDoS-angreb på en uge

Hvis du har en halv times tid en dag skal jeg gerne komme forbi og fortælle dig om hvorledes et par strategiske cache-servere, f.eks Open Source softwaren Varnish som jeg har skrevet, kan løse det problem for dig, uden at du mister nogen form eller grad af kontrol med din web-server.

Jeg holder med dig - det er den bedste løsning. At spærre for udenlandske IP adresser er IKKE ok. Sidste år var jeg en tur i Thailand, og kan jo slet slet ikke være rigtigt at man ikke kan komme i kontakt med danske hjemmesider når man er i udlandet. Ok - jeg skulle ikke bruge ft - men tænk hvis trenden skulle udbredes - tsk.. tsk...

20. december 2015 kl. 20:30
Folketinget lagt ned af »helt ekstremt lille« DDoS-angreb, der kan laves af en mini-computer

RJE/SNA/X.21/X.25 osv.osv</p>
<p>Nogen som kan give en kort forklaring på, hvad dette er?

Ja - kort. RJE er Remote Job Entry (IIRC), og var den protokol der blev brugt dengang vi, som verdens første nation, indførte papirløse obligationer. Dengang var det faste linier op mod VP (Værdipapircentralen).

SNA var (er?) IBM's protokol, som kunne køre over forskellige medier, herunder faste linier. 3270 er nok den mest kendte, for det var protokollen for terminaler, afløser for BSC, som var ustabil.

Senere kom LU 6.2, senere kendt som APPC og APPN, som vi brugte i (ca 88), hvor vi implementerede (near) real time online børshandel. Dermed blev de fysiske børskrejlere afskaffet, og monopolet for fondsbørsvekselere ophævet.

X.21 var/er i princippet en fast linie, bortset fra den blev kolbet til og af efter forbrug.

X.25 er i princippet en slags opkald, hvor man brugte - lad os kalde en slags telefonnummer.

Den brugte vi som bæremedie fra Grønlandsfly til SMART, som kørte reservationssystemer - herunder SAS.

He - kommer i tanke om jeg lavede noget fejlsøgning i den forbindelse nede ved Tele Grønland, og turnaround for en pakke var ca. 160 ms (eller var det mere). Her skal huskes at dengang kørte det via sattelit, og ikke kabler.

Som storkunde - dengang, var vi de første i Danmark, der fik IP p HP udstyr, endda før HP selv i DK. Teknikeren vr lidt misundelig, og lidt på dybt vand, da det var den første, og dermed uprøvede, installation i DK.

I forhold til læserne skal vi huske at det var ikke PC'ere vi snakker om, men 'rigtigt jern'.

'Dengang' havde alle deres propritære protokoller, IBM havde RJE/BSC/SNA, HP brugte RS232/RS422 og DS3000 for maskine til maskine kommunikatin og herover PTOP (Program TO Program)

Been there done that.

Med venlig hisen The ol' man

17. december 2015 kl. 21:22
Folketinget lagt ned af »helt ekstremt lille« DDoS-angreb, der kan laves af en mini-computer

At spore ophavsmænd er nok nærmst umuligt. Der er jo ikke tale om at man bruger sine egne computere, men uskyldige (inficerede) maskiner p inettet. Jeg lavede, samen med en kammerat, en dybdegående analyse af tilstanden, og adfærd på inettet. Det er en del år siden, men den er beskrevet her:http://wopr.float4you.com/storm.monitor/rationale.aspHer nakker jeg kun om hvordan man får malware, men hvis man kigger godt efter, ser man at disse metoder også kan bruges til DDoS angreb via uskyldige servere. Hilsen The ol' man

15. december 2015 kl. 18:07
Folketinget lagt ned af »helt ekstremt lille« DDoS-angreb, der kan laves af en mini-computer

'Dengang' i 1980, da jeg startede i HP og oplært i Silicon valley, var minicoputer en anelse diffust. IBM kaldte deres for mainframe, og HP kaldte deres for minicomputer. Det var fordi IBM ville være nden største inden for mainframe, og HP arbejdede på at blive stor inden for minicomputere. Ydelsesmæssigt var der ikke den store forskel, det var ren marketing strategi. Og nej - IP (TCP/UDP) vat slet ikke på banen, detv var RJE/SNA/X.21/X.25 osv.osv Hilen The ol' man

15. december 2015 kl. 18:01
Dansker anholdt i stor international aktion mod hackerforum

Ja, som sagt, så eksisterer denne subkultur, og det vil den nok blive ved med. Måske vil folk en dag tage ansvar for egne servere, så vi kan blive fri for det l*rt. Men det varer nok længe-

17. juli 2015 kl. 17:27
Varnish: I still aten't dead

Du var nu ikke den første med det forslag,

Jeg påstår heller ikke jeg var den første. Husker bare at jeg havde noget svinsk hurtigt kørende på Linux/NPTL, som dengang kunne spawne 250.000 threds/sek OG havde implementeret 'for-zippet' cache. Jeg er ikke ude på nogle P*k målinger - vækker blot nogle minder. Hilsen 'the ol' man'

1. marts 2015 kl. 19:06
Britisk politi sætter en stopper for udbredt botnet

Ja - der er vel ikke så meget nyt i det. Sådan ser 'verden' ud:http://wopr.float4you.com/storm.monitor/Lærer man det nogensinde? Hilsen 'the ol' man'

1. marts 2015 kl. 18:50
Varnish: I still aten't dead

Jeg har ikke fulgt med i de sidste mange år, men når jeg ser denne:

if (cache_param->http_gzip_support && req->obj->gziped &&
!RFC2616_Req_Gzip(req->http))

, betyder det så at du har fået implementere 'for-zippet' cache, som jeg forslog dig dengang? PS: dengang skulle man også kigge på 'deflate', som egenlig kun var gzip uden herdere - er den stadig aktuel. Bare lige en kommentar fra 'the ol' man'.

1. marts 2015 kl. 13:45
Sådan blev kommuner udsat for ransomware-angreb

Stack overflow er i det mindste noget sludder i denne sammenhaeng. Et stack overflow (stakoverloeb) vil paa en moderne (ca. aar 1988 eller nyere) maskine udloese en page fault (sidefejl), som enten bare vil faa stakken til at vokse, eller afbryde programmet, hvilket er relativt harmloest (DoS).

Kære Jacob. Det var ordkløveri, eller udvanding eller hvad du kalder det. FØR din tid hed det stack overflow eller buffer overrun, just that - no hard feelings. Men nu har jeg arbejdet med (stack machines(HP)) siden '80 så...

26. januar 2015 kl. 20:48
Sådan blev kommuner udsat for ransomware-angreb

Det er ikke det rette sted at diskutere, da alle 'ved bedre'. Jeg har ikke energi til at diskutere med 'bedrevidende' folk. Slut herfra da det er umuligt at lsve en objektiv diskussion. MVH 'the ol' man'.

24. januar 2015 kl. 17:57
Sådan blev kommuner udsat for ransomware-angreb

Der vil jeg saa, om jeg saa for penge for det eller ej, paastaa at Bromium rent faktisk virker mod zero-days. Det er et relativt nyt produkt, og det kraever en moden IT-organisation at koere det, men det virker. Det siger jeg ikke for at saelge produktet, jeg er ikke saelger og tror faktisk ikke det kan koebes i Danmark, men for at understrege at det antivirus som folk betaler for i dag, paa ingen maade er state of the art, og at der findes loesninger paa det problem som kommunerne har oplevet i dag.

Respekt for et (for en gangs skyld) seriøst indlæg - selvom vi ikke er enige.

Der hvor du tager fejl, er hvis du tror der findes 'anti-ting' der kan finde zero-days exploits.

'Svinene' er faktisk meget intelligente, og alt dette malware er ligesom fygesne - det mindste hul og de skal nok finde vej.

Nu har jeg så angrebet servere (altså analyse), som jo er roden til alt ondt, og set i det virkelige liv hvilke angrebsvektore der bliver brugt. Du vil blive chokeret hvis du undersøger det.

Men DISCLAIMER: Man kan ikke fremprovokere en 'honeypot', så min viden er baseret på Hr. Rune Jensen's hjemmeside som på en eller anden måde tiltrak bot'er osv.. som fluepapir. Ikke een eneste dag uden angrebsforsøg (blind attack's), så jo en spændende tid som også Rune husker. Hvis du (eller andre) er interesserede i at vide hvorcan malware udbreder sig på servere, har jeg lagt nogle billeder og playbacks ud på min hjemmeside. Kig under:

  • http://wopr.float4you.com/xoomer/wopr.xoomer.playbacks.aspHer har jeg genskabt den brugeroplevelse som man oplevede det - dvs. alt er fra det virkelige liv - bortset fra endpointet, som er et lille hjemmestrikket program. I det virkelige liv ville man blive inficeret med malware.
  • http://wopr.float4you.com/xoomer/wopr.xoomer.pictures.aspDet er blot screendumps, da jeg ikke gad lave flere eksempler, men viser hvad brugerne var udsat for. Metodikken er den samme for alle med multiple layers som beskrevet her:http://wopr.float4you.com/storm.monitor/rationale.aspSom nævnt har hr. Rune Jensen lagt 'data' til, så han skal også have credit for sin medvirken, selvom han måske ikke er lige så teknisk stærk. Uden hans side (og utallige angrebsforsøg) havde jeg aldrig fået den dybdegående viden om 'internettets tilstand'. Og hr. Jacob - vi har til dels samme holdning. Jeg er heller ikke interesseret i at score penge, men at hjælpe til at aflive alt det der skrammel. Det kan du se ved selvsyn, da min hjemmeside er fuldstændig anonym, og indeholder kun hjælp til selvhjælp. Live long and prosper. Hilsen 'the ol' man'
24. januar 2015 kl. 13:50
Sådan blev kommuner udsat for ransomware-angreb

Fra artiklen:

Både Nordfyns og Gribskov kommune har haft adskillige anti-virusløsninger på plads. Både via en ekstern leverandør, der har scannet mails, og så har der været et lokalt anti-virusprogram i drift også. Men intet af det har altså hjulpet.

»Og så vil jeg nok skifte antivirus-leverandør. Jeg har indberettet det til vores spam- og antivirus leverandør ude i byen, at der nok er noget, de skal se på,« siger han.

Tag nu og find en malware og upload til virustotal.com, så vil du opdage:

  • Der er 55 produkter der undersøger.
  • Hvis du er 'front mover', vil du opdage at i nogle tilfælde er det produkt a der kender den, men ikke produkt b. Andre tilfælde er det omvendt. Budskabet er, at hvis der er tale om zero day exploit, er der INGEN anti-'ting' der hjælper, da det kræver opdagelse med efterfølgende udvikling af fingerprint, og til sidst implementering. Der er selvsagt inerti i den process, og det er netop det 'de' udnytter. Det siger jo sig selv af alt malware er 'short lived'. Så afslutningvis hjælper det intet at klandre din(e) leverandør(er), da de i sagen natur intet kan gøre. Du kan få et hint: 'NETVÆRKSDREV' - bruger man virkelig det i dagens Danmark..?? Det gjorde vi i '80-erne, men jeg ville nok vælge en anden (og mere sikker) infrastruktur. Med venlig hilden 'the ol' man'
22. januar 2015 kl. 23:09
Sådan blev kommuner udsat for ransomware-angreb

Iøvrigt var det jo netop dine analyser af de angreb dengang, som for alvor gjorde mig interesseret i det her sikkerhed. Er man én gang ramt af Storm, så kæmper man selvfølgelig tilbage, he.

Ja det var en spændende tid, nærmest som en krimi, hvor vi gennem - vistnok - flere år 'vogtede' som en høg over vore logfiler. Ok - det var nok mest mig, men du lagde materiale til. Det har jo givet en afgrundsdyb viden om opbygningen af bot net, angrebsvektorer og ikke mindst den uhyggelige snedighed der bliver lagt for dagen. Jeg kan nævne mange ting, men et par af de mest snediger er:

  • 'namogofer', der blot prober for sårbarhed, og registrerer det. Efterfølgende udnyttes denne sårbarhed til diverse bot/spam/osv - UDEN det kan spores (i std logfiler).
  • 'One time only' - vil jeg kalde det. Her er der tale om ændring af rewrite rules i .htaccess, så første visitor får malware, næste en mere eller mindre uskyldig side, og efterfølgende en 200 OK. For statan det er snedigt, for det forhindrer enhver efterforskning efterfølgende. Hvis der findes nogle læsere der ved noget om tingene, så opsnappede jeg 'tingene' ved at have en proxytrace på inden 1. opslag. En sjov tid var det, Rune, og jeg ville ønske andre kunne opleve det samme, men vores tilfælde var et 'lucky punch', som ikke umiddelbart kan replikeres. Bortset fra det, så var det referer spam som triggerede vort projekt. Hvis du vil tænke tilbage, har jeg - startet på at lægge tingene ud igen på et subdomæne til en side jeg skal bruge på den lange bane:http://wopr.float4you.com/Der er lidt hårdt kodede reference der mangler ændringer, men ellers.. Og jo, de services jeg havde kørende på min hjemmestrikkede (Linux) server, kommer ikke til at køre mere. Hyggeligt at 'snakke' med dig igen, men forvent ikke jeg vender tilbage, da jeg ikke 'gider' debatere her. Det var kun denne ene gang fordi jeg så dit navn. Kan du hygge dig og - live long and prosper. Hilsen 'the ol' man'
22. januar 2015 kl. 22:49
Sådan blev kommuner udsat for ransomware-angreb

Først - det er ikke 'buffer overflow', men stack overflow der bliver udnyttet. Dernæst hvis man snakker zero day exploit, så er man ikke bedst fordi man (måske) er den første der opdager den (aktuelle). Da jeg (og en kammerat) høstede og analyserede 1000-vis af angrebsforsøg, uploadede jeg dem til virustotal, og mange - desværre formange - var ukendte på upload tidspunktet. Til dem der ikke ved hvad jeg snakker om:https://www.virustotal.com/Så der er de lavpraktiske ting, hvor jeg kommer til at tænke på foråret 2004. Her startede malware via '.zip'-filer, og det gjorde at de IT-afdelingerne ukritisk spærrede for vedhæftede '.zip' filer - vel og mærket uden at give besked til hverken afsender eller modtager. Uheldigvis var det præcist på sidste frist for aflevering af materiale fra Accenture til FESD udbudet (hos KL), hvilket var helt oppe at ringe, da der var dagbøder for for sen aflevering. Jeg har tavshedspligt, men nu er der gået så lang tid, så det er vel ok. Budskabet er: TÆNK i stedet for ukritisk at spærre for 'alting' - det kunne måske være vigigt. Hilsen 'The 'ol man' PS: Rune Jensen ved måske hvem jeg er, men 'long time no see....'

22. januar 2015 kl. 21:11