Bo Normann Jensen

Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

For at eksemplet i artiklen skal virke, skal bash være oversat med "--enable-net-redirections" Bash i tidligere Ubuntu'er, var af sikkerheds hensyn oversat uden net redirections.

25. september 2014 kl. 17:50
Giv mig et sted at stå...

Vi leder vel efter mere end det? Kan du stole på at der ikke foregår noget i hardware/skjult kode, som for eksempel piller ved tilfældigheden af input til krypteringsnøgler? Debian SSH fejlen viste hvor lidt der skulle til.

Det er nok bedre at lave et tilfældigt tal udfra en modulus af en "tilfældig/arbitrær" P1 udsendelse. Vælg eventuelt en udsendelse med en uligevæglig vært.

Deterministiske generatorer, er sværere at skabe tillid til.

13. december 2013 kl. 20:13
Giv mig et sted at stå...

Hvordan har du tænkt dig at sørge for det? Du nævnte noget om signeret trafik, men hvis din boks kan signere sin "ønskede" trafik, så kan din boks, når den er kompromiteret vel også signere sin uønskede trafik?

Boksen kan vel nøjes med at kigge efter 'signatur' på udgående traffik. Hvis signaturen ikke findes, lukkes pakken/framet ikke igennem.
Hvis boksen er opbygges med simpel logik, er den svær at kompromittere.

På PC hardwaren, er der ikke tale om et 'dybt' inficeret system. Der er tale om standard hardware med et sikret operativ system. Der var som sagt tale om, at man ikke kunne stole på om komponenter på main board m.v. havde indbygget funktionalitet der muliggjorde udadgående kommunikation.

I den sikrede kerne/netværks stak, indsættes signaturen i pakkerne. Problemet er jo at opnå kontrol, uden at stole på hardware.

13. december 2013 kl. 19:33
Giv mig et sted at stå...

Det er præcis det blogindlægget handler om: Hvad skal der til for at lave en eller anden computer man faktisk kan stole på.

Ja, så det er ikke off-topic :-)

.. men pointen er, at den omtalte boks ikke behøver, at være en computer.

Den skal blot forhindre uønsket netværks traffik.

Men mindre funktionalitet vil mulighederne for at finde egnet hardware være større. Tidligere var CRC checks lavet i simpel TTL logik. Så det kan vel lade sig gøre at putte genkendelige information i ethernet frames der muliggør filtrering.

13. december 2013 kl. 17:02
Giv mig et sted at stå...

og så er vi tilbage til start, er vi ikke ? :-)

..nej. Boksen skal kun skal gøre denne ene ting.

Det må gøre det muligt at finde anvendelig hardware.

Formålet skulle være, at kunne anvende en standard PC med mere funktionalitet.

13. december 2013 kl. 14:52
Giv mig et sted at stå...

Eller, hvis man kan kryptere/signere al nettraffik i operativsystemet.

Derefter kan en ekstern boks baseret på 'trusted' hardware dekryptere/validere og blokere anden traffik.

Det reducerer nok båndbredden, men gør standard hardware anvendelig.

13. december 2013 kl. 14:13
Hackere kamouflerer digitalt bankrøveri med DDoS-angreb

'Stolen' oversættes ikke til 'Røvet'. Der er forskel, også på strafferammen.

21. august 2013 kl. 13:03
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Så kompliceret behøves det ikke at være.

F.eks:

Digital aflæsning af et valgkort, kan gøres meget pålideligt, hvis der er en mekanisme der begrænser/guider vælgeren når valgkortet udfyldes.

Det kunne være så simpelt som en gennemsigtig plade med udskæringer til de afkrydsbare områder på valgkort.

Der kunne eventuelt benyttes et stempel, der passede i udskæringen hvis dette kunne gøre aflæsningen mere pålidelig.

Stemplet kunne også være et engangs stempel der blev udleveret med valgkortet.

En lille knap ved hver udskæring kunne oplæse hvad der står på valgseddelen.

Som kontrol, for de synshandikappede, kan en scanner i boksen yderligere aflæse valgseddelen og oplæse valget.

Scanneren der blev brugt i boksen, kan efterfølgende benyttes til lokal optælling.

Kan disse tiltag ikke udføres med den eksisterende lovgivning?

Pointen er, at først bør det eksisterende system forbedres indenfor de nuværende rammer.

Når der derefter laves en business-case for et e-valg, vil ~alle kunne se at det er en dårlig ide.

18. februar 2013 kl. 18:21
480.000 danske internetjomfruer kan ikke længere undslippe nettet

Kan man eventuelt politianmelde dem for afpresning?

26. november 2012 kl. 22:30
UNIX-haj-Fu

Men i tilfældet med to på hinanden følgende TABS eller LF vil conv=swab ikke virke. EBCDIC -> ASCII vil konvertere 0x09 -> 0x8d og 0x0a -> 0x8e.

<Script> #!/bin/bash echo -ne "0123456789\n\t\t\t " > diskdatsim.txt echo -ne "Raw :" od -t x1 diskdatsim.txt dd if=diskdatsim.txt of=ascii_dump.txt conv=ascii echo -ne "Ascii:" od -t x1 ascii_dump.txt dd if=diskdatsim.txt of=swap_dump.txt conv=swab echo -ne "Swap :" od -t x1 swap_dump.txt </Script> Raw :0000000 30 31 32 33 34 35 36 37 38 39 0a 09 09 09 20 20 0000020 20 20 20 20 20 20 0000026 0+1 records in 0+1 records out 22 bytes (22 B) copied, 5.7184e-05 s, 385 kB/s Ascii:0000000 90 91 16 93 94 95 96 04 98 99 8e 8d 8d 8d 80 80 0000020 80 80 80 80 80 80 0000026 0+1 records in 0+1 records out 22 bytes (22 B) copied, 5.6859e-05 s, 387 kB/s Swap :0000000 31 30 33 32 35 34 37 36 39 38 09 0a 09 09 20 20 0000020 20 20 20 20 20 20 0000026
17. februar 2012 kl. 09:38
UNIX-haj-Fu

Lav to dumps med dd hvor der benyttes forskellig conversion. dd if=/dev/hd of=/dev/lp conv=ascii dd if=/dev/hd of=/dev/lp Sammenlign de to dumps for at finde hvor TABS og LF er konverteret af printer driveren.

16. februar 2012 kl. 21:11
Libreoffice beder om økonomisk hjælp for 375.000 kroner

Det havde jeg ikke regnet med, at Jesper kunne finde på.

100 euro fra mig - nu har jeg det meget bedre.

23. februar 2011 kl. 22:00
NemID-hader udstiller elendig phishingbeskyttelse

Ups. Jeg kom til at give dig et -

Det var et uheld.

15. december 2010 kl. 21:29
PS3 Move - endelig gør Sony noget rigtigt...

.. rimelig dårligt USB kamera

Men USB kameraet virker under Linux ( Ubuntu 10.10 beta ) ( uden ekstra driver installation).

Det kører USB 2.0, 640x320 30 fps.

Der er noget støj i billedet, selvfølgelig specielt ved dæmpet belysning.

Der er indbygget mikrofon. 4 styk står der på bagsiden. Det skal nok passe for den optræder som: "Sony Playstaion Eye Digital Surround 4.0 (IEC958)" under lyd kilder. ( Sound Preferences/ Input ).

Så køb bare to starter kits, så har du to move controllere. Du har dermed fået et ekstra Web kamera for lige over 200 Kr.

(Starter kit i El-giganten 444,- Kr. Move controller alene 230,- Kr, )

lsusb: Bus 001 Device 006: ID 1415:2000 Nam Tai E&E Products Ltd. or OmniVision Technologies, Inc. Sony Playstation Eye.

16. september 2010 kl. 22:15
En tvivlsom forretningsmodel

Webaviserne bliver opdateret hele tiden – eller en gang i timen – mens den papirbaserede avis er forældet når den kommer ud.

Ja, f.eks er nye forsknings resultater, der er resultatet af flere års forskning forældede dagen efter de er bragt i avisen.

Men man kunne også betragte nyheder som noget man ikke har hørt før, istedet for at sætte udløbdato på.

Du hørte det her først.

14. september 2010 kl. 10:12
Kommune dropper Microsoft og hopper i skyen: 'Openoffice er et unødvendigt mellemled'

Måske er du også selv med til at trække debatten skæv.

I det ene øjeblik er problemet personhenførbarhed og det næste er problemet profilering af internetaktivitet. Google, nutidens store data misbruger er hovedaktør.

Men træd lige et skridt tilbage.

[b]1) Skole vil gøre elever sporbare på internettet.[/b]

[b]2) Elevers regneark og stile skal bruges til målrettet marketing.[/b]

[b]Ad personførbarhed)[/b]

Google er god til at knytte informationerne sammen på internettet. Fra en gmail konto er tilkytningen til din facebook-profil hurtigt konstateret. Men du melder dig selv ind og det er en personlig sag.

I elevernes tilfælde, behøver der ikke være tale om en personlig konto. Min arbejds e-mail konto betragter jeg for eksempel ikke som en personlig identifikation. Jeg benytter f.eks ikke længere mine e-mail konti fra tidligere ansættelser. Måske har nye medarbejdere med samme initialer endda overtaget dem.

Hvis eleverne ligeledes er repræsenteret med et skole-elevnummer-klasse { f.eks. engbergsakademi-42-9b@gmail.com ) er personhenførbarheden kun aktuel i et år.

Således oprettes profilerne ved skoleårets afslutning og nye oprettes (eller de tidligere genanvendes af nye elever).

Det behøver ikke være andet end et kontorprogram i skyen. ( Med bedre udsigt end fra et vindue ).

[b]Ad profilering)[/b]

Profileringen er en helt anden sag. Selvfølgelig er sælgere interesseret i at kortlægge hvordan køberne reagerer på reklamerne. Marketing er Googles indtægtskilde og måske endda deres primære fag. Marketing er rettet mod mennesker. Ergo forsker de i menneskelig adfærd. Ud af Googles mange aktiviteter er dette den primære.

Sammenlignet med adfærd på nettet iøvrigt - hvor interessant er elevernes opgaver egentlig i marketings sammenhæng?

Hvis nu et analyse institut ringede rundt og chikanerede folk med nogle spørgsmål om hvad for nogle dokumenter de lagde i skyen - er mængden at interessant statistik i den sammenhæng så ikke kommet for dagens lys?

[b]Summa summarum )[/b]

At dirigere kritik mod Google istedet for mekanismerne er i bedste fald at købe tid. Bliver Google tvunget på retræte, fylder andre pladsen ud.

Jeg tror at Google gennem deres tilbud på internettet ønsker at skabe en tilkytning til brugere. De holder derved andre spillere ude af markedet og kan bevare deres position indenfor søgning/annoncering.

Gør MS ikke det samme: Messenger, Hotmail, Yahoo, .. ?

Jeg tror ikke, at der er nogen direkte sammenhæng mellem google apps og kortlægningen af internet aktiviteter.

Måske er kortlægningen af aktivitet på Google Apps udelukkende med henblik på at forbedre denne.

For måske handler det ( for Google ) også om at få folk til at have brug for Google på internettet.

5. september 2010 kl. 01:26
CSC sender IE6-aben videre: Sundhedsstyrelsen har fået, hvad de bad om

Hvad gør man hvis man er lidt træt af sit it system og gerne vil arbejde med nyere værktøjer. Motiverne kunne også være andre - men det er ikke så relevant.

En opgradering har omkostninger og måske er der ikke plads budgettet.

Hvis opgraderingen ikke har nogen egentlig begrundelse er det svært at skaffe financiering af den.

Hvis man har det problem, kan man nok finde en løsning ved at læse artiklen her.

4. september 2010 kl. 15:26
Hvem hacker min maskine?

Det gør jeg - på forhånd undskyld.

Med en fredags nyhed:

I dag har Ubuntu frigivet beta versionen af 10.10. Det var ellers planen at alpha 4 skulle komme.

http://www.phoronix.com/scan.php?page=news_item&px=ODU2NA

Har iøvrigt med interesse fulgt tråden.

Tak for logwatch og denyhost informationen, som jeg straks installerede. Rkhunter kendte jeg, men kørte den straks og fandt at min ssh havde åben for login som root! Pinligt ( men det er Ubuntu standard :-( ).

3. september 2010 kl. 14:22
CSC sender IE6-aben videre: Sundhedsstyrelsen har fået, hvad de bad om

Men der sker faktisk noget - det er lige nu forventningen, at Region Sjælland har opgraderet til IE7 inden udgangen af denne måned.

.. alle it sikkerheds forhold er således undersøgt, må man så formode?

Hvor er disse ressourcer ikke anvendt på at checke Firefox eller begge.

"abe modvilje" eller økonomisk strategi?

Det her handler vist slet ikke om it.

3. september 2010 kl. 13:29
CSC sender IE6-aben videre: Sundhedsstyrelsen har fået, hvad de bad om

Supplement med Firefox er ikke umiddelbart en realistisk løsning, da sikkerheden i alle IT-forhold skal chekkes, hvis Firefox introduceres - et kæmpearbejde i sig selv.

.. hold nu op! Den må du længere ud på landet med.

3. september 2010 kl. 13:07