Michael Christensen

Kommentarer

Manglende test

Det er rystende, jeg gentager lige, at applikationer kan komme i søen uden at være testet for OWASP top 10 fejl. Det er ganske enkelt uprofessionelt, at et system, der håndterer data om børn, på vegne af en offentlig myndighed ikke er testet. De fejl er ikke rocket science at finde. SQLi og XSS e...

Re: »De her programmer bruges i

Som Henrik Kramshøj nævner, så er der en række værktøjer, der er meget nyttige ifm. forensics - herunder http://sleuthkit.org/, som findes på Backtrack. Ja, som oftest vil du kunne producere en fornuftig kopi, med mindre, at der er ændret i elementer som firmware eller lignende, så du blokeres. D...
Kommentar til Hackersagen dag 8: Strid om krypteret container

Genbrug af passwords

Man kan også tænke sig, at man har gaflet nogle passwords på disken i klar tekst - og så har satset på, at de er genbrugt. Det ville være en approach, jeg ville kunne finde på. Men ja - for Windows' vedkommende, så kan dvalefilen indeholde ukrypterede passwords, som de forskellige...
Kommentar til Programmer installeret på hacker-computer efter konfiskering

Det er mod god procedure

Det er mod enhver god procedure at skrive på den originale disk, der skal bruges som bevismateriale. Der burde være gode muligheder for at bevare original disken uberørt. Det er godt nok uphill....
Kommentar til Endnu en amerikansk butikskæde indrømmer kreditkort-lækage

Åbent hus

Jeg mindes stadig et besøg i et større varehus her i landet for ca. 1 år siden. Her lå der en 4 ports switch med to ledige porte ved næsten alle kasserne. Den ene var brugt til dankort terminalen og den anden til kassen. Det tredje og fjerde kunne du selv "disponere" over. Bagsiden vendte...

Re: Der lyttes efter...og rapporten nytter

Ja, de søger en medarbejder - ikke en sikkerhedschef. Det er selvfølgelig en start, men der skal nok mere pondus til, hvis medarbejderen skal have den fornødne gennemslagskraft. Hvis medarbejderen refererer til den chef, der skal have noget "udført", så kan krav til sikkerheden hurtigt...

Lidt lige som NemID....

...., der ikke var sikret mod DDoS angreb i udgangspunktet. http://www.version2.dk/artikel/it-ordfoerere-dybt-chokerende-nets-ikke-h...

Wall of shame

Jeg er umiddelbart indifferent omkring konsekvenser og sanktioner, men noget skal der være. Om det så skal være en "wall of shame", hvor man hænger virksomheder og institutioner ud. Private virksomheder kan man lade være med at handle med, men hvad med de offentlige syndere. Kommuner,...

Ja tak til krav.

I 2012 deltog jeg i et Business Continuity Manager kursus med en instruktør fra Seattle. Hun fortalte, at i visse områder af USA var modne IT-sikkerheds- og business continuity programmer en konkurrence parameter. En række store virksomheder vil helst ikke handle med firmaer, der ikke har styr på...
Kommentar til S vil dække Kolding med gratis wifi-adgang

Wifi en kommunal kerneopgave??

Nej det synes jeg ikke det er. Vil folk have wifi, så må de anskaffe det selv - just my 2 cents. Er der ikke også noget med at kommunerne ikke må konkurrere med private firmaer. I dette tilfælde vil det nok koste nogle abonnementer hos de private, hvis det bliver rullet ud.
Kommentar til "Dum" app bruges til at sprede israelske bombeadvarsler

Måske er der mål at gå efter.

Today, 192 rockets were fired towards Israel. 141 of them hit Israel, and an additional 44 were intercepted by Iron Dome. http://en.wikipedia.org/wiki/List_of_Palestinian_rocket_attacks_on_Israe... Hvis nu tyske militante hældte et par hundrede raketter ind over grænsen, hvor hurtigt vil I regne...

Stille undren omkring FTP

Noget af det, der undrer mig er, at forholdet omkring FTP serveren ikke er afdækket i en periodisk test. En FTP server er i min optik noget, der bør overvåges med ganske korte mellemrum.
Kommentar til PCI-standarden som Nets er underlagt giver falsk sikkerhed

Faren ved PCI...

... er vel, at det er den certificering, og den alene, du bliver målt på. Er du compliant eller ej. Hvis man ensidigt fra ledelsen fokuserer på PCI, så kan man forledes til at glemme, at der er andre ting indenfor Informationsikkerhed, der bør tages højde for. ISO2700x for eksempel. Det er lidt...

Man kunne jo også kigge på lidt EU stof

COMMISSION REGULATION (EU) No 611/2013, Official Journal of the European Union, L 173/2. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002... Jeg er faktisk ikke klar over, hvorvidt det falder for retsforbeholdet, men der er faktisk nogle udmærkede takter i dette. Datatils...
Kommentar til Se og Hør-kilde sigtet

Ny lovgivning kunne ønkes

I lov om finansiel virksomhed er der jo nogle straframmer, som kunne komme i spil her, men når man tænker på at Finanstilsynet ikke har været på besøg i 4 år....
Kommentar til Nets er utroværdige

Ny slagsang til Nets

Under min gennemlæsning af artiklen og kommentarerne kom jeg til at tænke på denne gamle Disney sang - Stol på mig: https://www.youtube.com/watch?v=Xh15DXpKMvQ ;-)
Kommentar til Nets er utroværdige

Tynd forklaring

Det er ganske enkelt jordens tyndeste forklaring. Du kan ikke udlicitere ansvar. Det er stadigvæk Nets's ansvar at sikrer sig mod en rouge medarbejder ved en underleverandør. Jeg er glad for, at det ikke er min stol, der står, hvor ansvaret placeres. Den må være ret varm. /Michael
Kommentar til Regeringen skærer i Datatilsynets budget

Re: 100% fejlrate?

Er du uenig med hende, så vil jeg mene, at du er på rette vej....
Kommentar til Regeringen skærer i Datatilsynets budget

Det giver ikke nogen mening i min optik

Det var ikke for godt i forvejen - bliver det bedre efter? Næppe!
Kommentar til Idag fest, imorgen IT-sikkerhed...

Separation of duty ved IBM

Hvis det omkring lækken er sandt så vil jeg blot udtale: This is NOT their finest hour....! :-/ ... og så er der arbejde at gøre for nogle....