Henrik Pedersen

Kamstrups el-målere har 20 nøgler til både kryptering og rollebaseret adgangsstyring

AES-128 er symmetrisk kryptering

Det ved jeg godt, men du kan have asymmetrisk nøgleudveksling..

4. maj 2018 kl. 12:08
Borgerindsigt er en bombe under dansk videoovervågning

Problemet med kameraer er at de i stigende grad bruges til at indrette butikker og optimere salgsprocessen. Jeg ved det fordi jeg i mit tidligere firma var med til at sælge sådanne løsninger.

Blandt andet de her kameraer (med 2 linser for 3D) til at tælle og tracke mennesker er ved at få fart på til især små erhvervsdrivende.

http://www.footfallcam.com

Jeg har egentlig ikke noget imod FootFallcam som dørtæller, eller løsningen hvor de heatmapper en butik. OK! Men når der gemmes video og funktionen til tracking af WiFi Beacons slås til, og folk pludselig linkes til betaling ved kassen, så er jeg ved at blive lidt pissed.

Idag laver jeg software til ejendsomadministration og her er der ikke meget plads til analyse og kunderne elsker GDPR og datasikkerhed. Lige noget for mig... :)

4. maj 2018 kl. 11:12
Kamstrups el-målere har 20 nøgler til både kryptering og rollebaseret adgangsstyring

Jeg har læst artiklen et par gange og jeg kan ikke helt få det til at gå op...

Vi har 20 nøgler - OK, lidt voldsomt, men 20 nøgler med forskellige adgangsniveauer, det lugter lidt af PKI...

Men så er der unikke nøgler til hver måler når teknikeren er i marken? Ok... Så 20 nøgler pr. måler eller 1. nøgle pr. måler pr. tekniker? Eh...

Og så læser jeg artiklen for tredje gang og bemærker AES-128-GCM men der står ikke noget om asymmetri i nøgleparrene... OK.

Håber det er 20 unikke nøgle pr. måler og der ikke er en eneste symmetrisk "master key" nogle steder - For så begynder det at blive sjovt at åbne en gammel el-måler. Selv hvis den havde tamper-switches med batteri-backup, holdte nøglerne i RAM og generelt opførte sig som en Dankort terminal, så ville det stadig være en sårbarhed over for en fremmed statsmagt som de selv er inde på er et reelt trusselsbillede!

Der ud over: Hvis der er symmetriske masterkeys i systemet, så håber jeg de som minimum er opbevaret stærkt hashed.. Men igen, så kan man jo glemme sin elregning mens man sidder med hardwaren fysisk.

TL;DR - Der står intet om asymetriske master keys. Håber jeg godt nok de anvender ELLER symmetriske pr. boks nøgler, igennem alle 20 styks...

3. maj 2018 kl. 14:30
Dansk open source-system skal beskytte biblioteks-pc'er mod lyssky besøgende

Så render jeg rundt med den her!https://www.theregister.co.uk/2015/10/14/sneaky_220v_usb_fries_laptops/

Og nej "du kan smadre den hvis du vil" argumenter holder ikke, den der er diskret. Nogle mennesker vil bare skabe kaos.

Uanset hvad, så åbner det for flere angrebsvinkler at have åbne porte. De har den helt rigtige tilgang her ved at låse ALT inde. Som minimum kan jeg forestille mig at man sætter en "officiel" USB forlænger I der kloner data til og fra USB porten. Der kommer rigtig mange mennesker igennem på sådan nogle maskiner i løbert af en dag, og de er den perfekte målgruppe, for folk der bruger bibliotekscomputere er næppe IT sagkyndige. :)

16. november 2017 kl. 16:14
Eksperter og organisationer: Magert budget-boost til Datatilsynet efterlader virksomheder i vakuum

Jeg foreslår et rent win-win scenarie for statskassen og alle os andre.

Datatilsynet skal kunne udstede bøder, gerne store bøder. De skal gå til statskassen. Samtidigt skal datatilsynet have flere penge til at finde data-syndere og udstede bøder.

Eneste tilfælde hvor jeg går ind for flere bøder, for ellers fatter de erhvervsdrivende de ikke (og jeg er selv med 2 firmaer nu).

6. september 2017 kl. 16:53
Topdanmark benytter software-robotter: »Forretningen skal ikke bare YOLO’e derudad«

For mig afdækker TopDanmark da et enormt kulturproblem for mig og andre udviklere som gør jeg aldrig ville søge i retning af dem. Hvorfor vil man overhovedet overveje at indføre noget som helst der hedder IT uden at vende det med IT afdelingen?

"Vi kan godt selv." - Det er ****** ikke jeres job, og hvad sker der for den attitude? Det er ikke et spørgsmål om fagforeninger og arbejdsfordeling, men at de næsten lyder overraskede over at softwareudviklere er bedre til at programmere end sælgere, og at man burde have haft dem med fra starten. Og så har de tilmed ædt de udefrakommende sælgeres materiale rådt uden at spørge deres interne udviklere om det her nu også er for godt til at være sandt......

Det lugter LANGT væk af en IT afdeling som er stuvet væk i kælderen og man helst ikke rører ved, ved mindre der skal effektiviseres (nedskæres) eller råbes over noget med en oppetidspolitik.... Føj for den lede.

3. september 2017 kl. 14:10
Ubuntu kan nu hentes gennem Windows Store

Pt. er vi i Embrace fasen hvor Linux og venner lukkes helhjertet ind i Microsofts lukkede land.

Næste gang kommer der muligheder for at forretningen kan køre OpenSource tools under Linux og med native bindings til .NET og MS-SQL Enterprise løsninger - Endda med Microsoft support! Det er den hellige gral, det bedste af begge verdener!

Her fra kan I så selv fortsætte... Nej, Microsoft dræber ikke OpenSource, men vi skal nok se dem forsøge at låse OpenSource kunder fast i deres licenshelvede alligevel. :')

11. juli 2017 kl. 20:12
Dansk netshop gemmer billedfiler af kunders pas i fem år

Jeg har stukket Proshop en e-mail omkring hvordan de kan løse det her, og komme i compliance med data-lovgivningen og stadig beholde deres data omkring folk. Jeg har givet dem en komplet løsning, helt gratis, lige til at implementere for en hver IT-mand med en mellemlang uddannelse. Selvfølgelig er der faldgruber når det gælder sikkerhed, men det kan i hvert fald kun blive bedre end den model de beskriver her.

Anyway, vi har stået i præcis samme situation med en kunde, som Proshop står i nu.

Vores kunde udlejede biler, og ville gerne gemme kopi af billed ID i tilfælde af misbrug/tyveri/folk der løber for regningen. De havde en løsning hvor de gemte folks pas / kørekort DIREKTE i en Magento upload folder... AUCH! Det bad vi dem ærligt talt om at stoppe med øjeblikkeligt, og så skulle vi nok vise dem hvordan det skulle gøres....

Løsningen vi har implementeret er baseret på public-key kryptografi, og helt kortfattet bruger vi en privat og en offentlig nøgle, hvor kunden har gemt den private nøgle på et krypteret USB stik i et pengeskab, og den offentlige nøgle så ligger på serveren.

Serveren modtager brugernes billeder som normalt, men krypterer dem straks med en tilfældig 256 bit nøgle, og gemmer dem så i databasen. Nøglen krypteres med den offentlige nøgle og ligges i databasen ved siden af billedet.

Nu kan hverken brugere, administratorer, udviklere, hackere eller nogle andre få fat i billedet. :)

Hvis kunden får en svindelsag ind, har vi bygget dem et lille bitte isoleret system, hvor på de kan indlæse deres private nøgle, og et krypteret billede, og så få vist det originale billed ID igen. Dette system kører ikke på samme server, eller samme domæne eller samme login for den sags skyld, og nøglen gemmes ikke, og billederne som genereres outputtes direkte til browseren, endten som download eller som JPG.

Hvis der er nogle af jer kloge hoveder her inde som kan skyde den implementering ned er I velkomne, for så vil jeg straks få rettet vores system for kunden, uden beregning for kunden. Jeg ved godt at vi har en masse forudsætninger, som f.eks. at den private nøgle forbliver privat (derfor nøglerotation), og at serveren ikke hackes og billedet stjæles ved upload (så har man større problemer anyway), at kryptering ikke er autentificering (derfor HMAC med shared secret for et vidst niveau af manipulations-modstandsdygtighed) og at RSA-4096 bit nøgler ikke kan brydes i den nærmeste fremtid... Men så er din banks SSL også fucked...

Det bedste er altid at gemme SÅ LIDT data som muligt, men i tilfælde som disse hvor man er nødt til at have billed ID "on file", synes jeg en public-key model med offline privat nøgle er fantastisk.

10. juli 2017 kl. 17:46
Udvikler af lægesystem afviser påstand om SQL-injection: »Det kan alle komme og sige«

Et andet kritikpunkt, som optræder i rapporten, er, at passwords og brugernavne optræder i klar tekst i de cookies, som lagres på computeren.</p>
<p>Her skriver Torben Andersen i rapporten, at »når en bruger logger ind, gemmes brugernavn samt ukrypteret password i Cookies, hvilket kan føre til kompromittering af loginoplysninger igennem et Man-In-The-Middle angreb på netværket eller via XSS-sårbarheder.«</p>
<p>Heller ikke denne påstand kan Jens Christian Lauritzen genkende.</p>
<p>»Jeg har meget svært ved at forestille mig, at det skulle være sandt,« siger han.</p>
<p>»I det hele taget har vi ikke kunne finde tegn på, at de postulater, som er blevet fremlagt, skulle være sande.«

Lad den lige synke ind. De kan ikke logge ind på deres egen hjemmeside og bruge Chrome dev tools til at checke efter. Han "forestiller sig" det ikke er sandt, han ved ikke... Det er bare rent bullshit de lukker ud... Hold nu op.

Det værste er at han overgår i "højt sprog":

»I det hele taget har vi ikke kunne finde tegn på, at de postulater, som er blevet fremlagt, skulle være sande.«

For at snakke uden om noget der er SÅ simpelt at tjekke, at en 1. års Webintegrator kan gøre det med hjælp fra en Youtube video om hacking for begyndere... Hvis påstanden virkelig var usand, og de havde tjekket, så havde de haft beviser og kunnet sige med sikkerhed det ikke fandt sted. Suk.

3. maj 2017 kl. 06:39
Molbonetværk

Ja det er jo lidt svært at få nogen til at betale mere for Internet, end hvad husene har af værdi. Men det er heldigvis ikke alle steder at det er sådan.</p>
<p>Fik du undersøgt Internet mulighederne inden du købte hus. Vil personligt, og det tror jeg at jeg deler med de fleste, ikke bosætte mig et sted uden mulighed for en anstændig Internetforbindelse, både med hensyn til pris og hastighed.</p>
<p>Hvis ikke så ,har du jo købt katten i sækken. Der er ikke mange moderne familier med børn i dag, som vil tænke på at købe et hus uden ordentligt net.
Du ligger sandsynligvis også fra langt fra en central til at få en fornuftig ADSL, men det vil jeg dog forsøge. Flatrate har mere værdi, end et eller mobilprodukt, selv med mange GB vil de typisk være brugt på 2 til 3 dage. Hvis man har et forbrugsmønster som vi heldige med fiber har.

Jeg kan ikke lade være med at finde din kommentar en lille smule nedladende og fordomsfuld.. Jeg har været med til at finansiere et hus til mine forældre som gerne vil bo på Lolland. Jeg har selv adgang til solid fiber inde i Nykøbing Falster, så jeg klarer mig.

ADSL kan man bare glemme, men vi ser omtrent 25-30 Mbit ned, og 10-15 Mbit up over 3's netværk med 4G, og ping tiden er acceptabel. Ud af de 200GB data vi har pr. måned ligges der typisk på 120-180 GB brugt, trods der foregår lidt streaming og hentning.

Hvad jeg har hørt fra lokalområdet er det ikke internetforbindelsen som forhindrer afsættelsen af husene, men derimod det at der ikke er mulighed for ordentligt offentlig transport til børnene, og skolerne i lokalområdet er elendige. Det har skam været med i overvejelserne af forældrenes huskøb, som i øvrigt er en 1/10 af prisen af det ville have været andre steder. :')

24. april 2017 kl. 14:18
Molbonetværk

30/10 MBit med frit forbrug til 319 kroner pr. måned.

Det er ikke nogen dårlig idé, men jeg vil godt lige have gravet lidt i hvor pålideligt det er og hvad latency jeg kan forvente.

Kan sagtens få tilslutning fra de lokale til sådan et setup.

24. april 2017 kl. 14:12
Molbonetværk

Som I nok kan se gik det dårligt med at få Fibia hjemme ved de gamle.http://www.fibia.dk/privat/subsites/fiberbyer/radsted/

De lokale ildsjæle kæmpede en brag kamp, og et par af os sluttede os endda på erhvervsfiber for at tælle 4x. Men den gamle "det virker jo" mentalitet der hærger Lolland-Falster fik jo totalt ødelagt det projekt.

Så vi kører videre på en dobbelt-antennes 4G forbindelse. Den er sådan set fin nok, men irriterer mig grænseløst at den er forbrugsbegrænset... Det fuldstændig smadrer jo idéen ved at kunne streame UHD NetFlix og lignende...

Jeg går ud ikke ud fra nogle af Jer kender en 1TB 4G forbindelse eller lignende?

24. april 2017 kl. 10:05
Politi vil konfiskere Bitcoins i narkosag

Slightly unrelated, men en bitcoin transaction kræver nok strøm til at forsyne 3,17 Amerikanske husstande i et døgn. https://twitter.com/robertcottrell/status/839806610860044288

12. marts 2017 kl. 11:48
BEC - Bankernes EDB Central - ramt af angreb med ransomware

Men vil nogle forklare mig hvordan det her kan lade sig gøre i 2017? Det kan godt være jeg er farvet af at være i IT branchen, men det er et seriøst ikke-sarkastisk spørgsmål..

Hvordan kan folk klikke på EXE filer? Hvordan kan de klikke på "Kør makro" i Excel/Work filer?

Jeg ved der er zero-day exploits, men hvis man lige graver lidt dybere er det næsten aldrig dem... Det er det helt simple som folk ofte falder for.

Så hvad sker der? Skal man ud i at gøre det til fyringsgrundlag med plancher brændt fast på folks øjenlåg til når de sover?

24. februar 2017 kl. 21:23
Uenighed om hvorvidt cyberskills skal på skoleskemaet

Lærerne kommer jo aldrig up to speed til at undervise i selv simpel hacking.

Så er vi ude i overdrevet dyre konsulenter eller "fagpakker" med færdige "værktøjer", som bliver lagt på hylden på samme måde som vi aldrig fik lov at lege med solcelle-bilen i Fysiklokalet..

22. februar 2017 kl. 11:41
Ny teknik hjælper politi med at finde borgere, der er faret vild

Hvis jeg har dataforbindelse og en smartphone med GPS så kan jeg sgu da åbne kort funktionen....

Undskyld min fredags-spydighed, men hvor mange imbecile svenskere er der med en smartphone? Kan de så finde ud af at åbne deres SMS applikation?

For at blive ekstra grov fristes man til at sige det måske er at gå lidt for langt for at modarbejde Darwin.. Men det er selvfølgelig fint nok hvis det virker for dem. :)

10. februar 2017 kl. 15:33
Hysterisk eller nødvendigt? USA vil gøre det til et krav at indrejsende afgiver Facebook-logins

Det gør "vi" allerede. For længe siden, allerede ved "split din computer ad mens du ikke ser hvad de laver" og "Du ikke giver dine passwords er mistænkeligt" delene som kom for år tilbage.

Jeg nægter at rejse til USA og så kan det godt være jeg ikke får "oplevet verden", men jeg støtter simpelthen ikke det show. Der er mange andre spændende rejsedestinationer som ikke er så fuldstændig sindsyge omkring hvad de kræver adgang til. Det er et bevidst valg og jeg rejser efterhånden en del, og jeg tror endda det på nogle punkter har skadet min karriere en smule ikke at ville til USA... Jeg har overvejet muligheden for at rejse uden en bærbar, og købe en ny i landet, men nu er det også blevet en rent principiel sag.

Det de har gang i, er SS's våde drøm....

9. februar 2017 kl. 11:49
Sikkerhed i et IoT-hjem kan afhjælpes af en helt ny slags router

Som bare ikke virker på IoT devices, fordi de ikke har adgang til selve enheden, og en hver "ondsindet" kommunikation desuden nok er smart nok til at pinne sine nøgler/certifikater, enten via hardcoding, eget "scheme" eller almindelig cert pinning. Ellers ville de sikkert sælge "løsninger" til producenter/consumers i form af egne hardware patches... Som probably ville bricke devicen.

Din humor er dog ikke tabt på mig trods mit seriøse svar. :)

5. januar 2017 kl. 16:03
Sikkerhed i et IoT-hjem kan afhjælpes af en helt ny slags router
  1. Hvad erfaring har Norton med hardware sikkerhedsprodukter? De laver Antivirus, men er de dygtige nok til at lave en router? Stoler mere på hardware fra Cisco eller egen opensource baseret router, end på den her black box.

  2. Og af samme karakter som det problem der rammer NSA's overvågning. Alt trafik er idag krypteret, mere eller mindre, især hvis man har nået at skjule (malware). De kan kigge på IP adresser og domænerne, og det er omtrent det. Det er selvfølgelig også noget, men DPI hjælper ikke meget mod SSL eller "hjemmerullet" kryptering.

Som jeg ser det kan de ikke meget mere end at sælge mig en dyr uprøvet boks af hardware der egentlig ikke tilbyder mig meget mere end at holde øje med nogle kendte hostnames / IP adresser og advare/blackliste, samt måske kigge på lidt traffic patterns. Det er da også bedre end en TDC router der sender dine egne Wifi kodeord i klartekst til dem, men det er stadig langt fra en gylden kugle til at løse alle verdens problemer med IoT.

Jeg forstår ikke argumentet med det er svært at sikre IoT pga. processorkraft. Dedikeret kryptohardware er bestemt muligt. Rent teknisk set er en esp8266 jo i stand til at udføre (relativt stærk) kryptografi når den kobler sig til WPA2 netværk, så hvorfor kan anden hardware ikke gøre det i "daglig brug"? (Hint: Det kan det godt). Problemet er nærmere manglende opdateringer og ligeglade producenter...

4. januar 2017 kl. 21:10
Datalog efter amerikansk fintælling: Mine bachelor-studerende kunne have hacket vores valg

Det skal digitaliseres!

Måske vi kunne skrive vores NemID nøglekort nr. på hver stemmeseddel og et telefonnr., og så kan de ringe os op og bede om den relevante nøgle fra papkortet til at tjekke det virkelig er os?

Vi kunne samtidigt køble stemmerne til CVR og se hvem der stemmer på parti'er der er lidt for nytænkende. Og de som ikke stemte må jo være terrorister!

Godt nytår folkens. ;)

30. december 2016 kl. 11:19