Morten Wegelbye Nissen

Blog: Lenovo computere har indbygget bagdør

Kommer an på hvordan den kode der bliver kørt kommer ind.

30. juni 2016 kl. 16:39
Blog: Lenovo computere har indbygget bagdør

Der er kun en ting der vil hjælpe.

Lad være med at bruge maskinen - punktum.

Tråden her er begyndt at have et fokus på at det er en remote exploit - det er det ikke. Det er en *exploit.

30. juni 2016 kl. 14:40
Blog: Lenovo computere har indbygget bagdør

Jeg tør ikke sige om hullet kan exploites remote uden om operativsystemet, eller om man er nødt til at bryde den vej ind (eller via HW-access) første gang, men er man først inde den vej, er operativsystemet sat helt uden for indflydelse.

Men af det vi har set i artiklen er der ikke noget der indikere at det skulle være tilfældet - men omvendt er det heller ikke afdækket om der ligget noget i en netkortchip der reagere på noget magisk data. (Hvilket ikke ville undre mig set i lyset af hvor åbenlys koden er)

30. juni 2016 kl. 11:56
Blog: Lenovo computere har indbygget bagdør

Jeg når ikke PHK til over hudtykkelsen på undersiden af hans fod i forståelsen af artiklen. Men det jeg fik ud af det er:

Man kan på en Lenovo bede firmwaren om at kører noget maskinekode som kan ligge hvor som helst. Det vil helt og aldeles omgå enhver sikkerhedsmekanisme der måtte ligge i softwaren der kører på maskinen - der er intet vi kan gøre mod det, uden en ny firmware. Umiddelbart skal man have adgang til maskinen enten fysisk eller via et andet hul.

Koden ser helt klart ud til at det er meningen at det skal fungere sådan - sådan helt åbenlyst og ikke noget der kan gå igennem et review unden noget siger wtf.

30. juni 2016 kl. 11:40
5 myter om virtualisering

Vil jeg stille mig skeptisk overfor.

Jeg kan ikke forstille mig andet end at der nok skal vise sige nogle fejl i enten hw eller sw der gøre at Dr. Evil fra en virtuel maskine kan bryde og og komme til at kører på host maskinen og derigennem alt hvad hjertet ønsker.

Jeg ved godt at forskellige sælgere og konsulenter mener det er sikkert nok og at man bare kan lave et virtuelt net osv. osv. Men jeg kan ikke se hvorfor leverandørne af de forskellige løsninger ikke skulle have en sikkerhedsfejl eller to gemt rundt omkring.

Men hvad med punkt 6 :) Jeg hører stadig fra enkelte at specielt en database server typsk performer bedre på dedikeret hardware, har du en holdning til det?

29. juni 2016 kl. 14:34
Udvikler: Drop de alt for lange navne!

Navngivning og off by 1 fejl har altid været de tre sværeste problemer.

17. juni 2016 kl. 20:59
NemID skal kunne brute-forces

Det er klart.

Jeg var ikke klar over at nemid havde det som anvendelsesområde.

Jeg troede at nemid kun var en metode til at lave login.

22. maj 2016 kl. 08:17
NemID skal kunne brute-forces

Hvis myndighederne skal have adgang til noget der på en eller anden måse er beskyttet af nemid, så vil de vel bare aktivere glemt kode og tabt papkort funktionen.

21. maj 2016 kl. 20:57
Rigspolitiet: Her er fire eksempler på, at sessionslogning faktisk virker

Forklare hvordan sessionslogging kan (evt hjælpe med) stedbestemme en mobiltelefon.

(Blev lige så medrevet at jeg ikke fik læst artiklen færdig inden jeg skrev - min Pointe blev afdækket senere)

20. april 2016 kl. 07:37
Kryptografi vi kan leve (og dø) med

Jeg mener at man bør gå den modsatte vej og begrænse politiets adgang til især tele- og internetoplysninger, for jeg tror der er mange borgere som ikke er klar over at det ikke kræver dommerkendelse til f.eks. ”pingning” af en mobiltelefon eller udlevering af IP-oplysninger - herunder hvad de oplysninger kan bruges til!.

Hvad er emnet her: 1 Kan der laves et system som kan betragtes som sikkert, men give myndighederne mulighed for at tvinge sig adgang med nødvendig godkendelse? (Jeg skriver ikke ubetinget sikkert i kryptografisk forstand) 2 Er det for nemt med de nuværende regler for politiet at finde oplysninger om borgerne uden at blande en anden magtfaktor ind i det?

Jeg mener ikke at nogen overhovedet har snakket om at det skal være administrativt nemmere for nogen som helst at få adgang til noget som helst.

14. april 2016 kl. 15:55
Kryptografi vi kan leve (og dø) med

Kom nu ind i kampen lidt positivt - her er en række problemer vi skal finde de bedste løsninger på.</p>
<p>Jeg vil tro, at det er blevet sagt en del gange ifm. projekter som f.eks. IC4 og EFI. :-)

Yep, under det de agile vil kalde retrospektiv.

Hvis nu vi skal gøre beskrive den [rigtige|bedste|mindst dårlige] løsning, inden vi har set den forkerte - så er det typisk ikke helt så nemt.

Per nuværende siger vi "Vi vil have vores elektroniske privatliv" og politikkerne opfatter det som "De vil have deres napster i fred"

13. april 2016 kl. 13:42
Kryptografi vi kan leve (og dø) med

Du har kun set en delmængde af de tekniske udfordringer.

Kan du så ikke bare nævne et par af de meget vigtige.

Et lille hint: Megen sikkerhed baserer sig på, at nøgler ikke forlader "systemet". Du forudsætter, at de gør, og dermed umuliggjort den form for sikkerhed.

Det rigtige hint er: Nogen nøgler forlader aldrig systemet. Eks. den/de private nøgler andre nøgler transporteres under. Du ved lige så godt som mig, at det sker i mange systemer.

Et andet teknisk problem: Kan vi sikre at, i forbindelse med utilsigtigt læk[0] at alle nøgler bliver udskiftet.

Interessant diskussion. Men det er sådan set ikke (tilsat et "kun", efter behag) det, som bekymrer mig, for en svaghed spørger ikke om dommerkendelse - den kan (mis-)bruges af alle.

Det er delvist et teknisk problem men også et regulerings problem. Folk kan tvinge sig adgang på mange måder, det ved vi alle.

Misbrug opstår. typisk[1] når enkelte personer har adgang til for meget. Eks. hvis man har adgang til kreditkort+transaktioner og kreditkort+kontaktoplysninger på ejer.

Kom nu ind i kampen lidt positivt - her er en række problemer vi skal finde de bedste løsninger på.

[0] som for alt i verdenen skal undgåes, og de ansvarlige skal kastes for løver, slåes med aviser, og deres postkasse sprænges.

[1] ikke kun

13. april 2016 kl. 10:16
Kryptografi vi kan leve (og dø) med

Det er ret fint at du skiller retslige interesser og kommercielle interesser fra hinanden - det er den nuance der ofte mangler når fronterne trækkes op hvilket har medført at der er langt imellem indlæg hvor man forsøger at lave et kompromis.

Hvis det skal koges ned til teknik, som er vores fagområde, er spørgsmålene vel egentlige:

Kan man opbevare andres nøgler eller dele heraf sikkert? Kan vi transporterer disse data sikkert?

De retslige og etiske problematikker som der er en tendens til at IT folk blander ind i debatten er lige så meget vores fagområde som kryptografi er de politikkers, vi ikke mener der har evnerne, fagområde.

Min pointe er lidt, hvis vi ikke har tillid til retssystemet og at systemet dybest set vil os det bedste - så er der et andet problem vi skal have løst. (Mere sollys, udskiftning på toppen eller noget helt tredje)

Og husk: Bare fordi at teknologien ikke introducere nye problemer gør ikke at politikkerne ikke skal forsøge at løse dem - tværtimod.

13. april 2016 kl. 07:31
Malware-sms på rigtig dansk blander sig med legitime Post Danmark-beskeder

Imponerende hvor mange gange man kan lave den samme fejl. Teknologi er åbenbart kun for grntlrmens.

4. april 2016 kl. 23:39
Apple vil have FBI til at hacke dem - igen

En af os tager fejl - men hvis du læser 2. paragraf på

https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute

Apple har naturligvis ret til at prøve det ved retten - jeg mener ikke det er ulovligt eller noget. Der er deres argumentation jeg ikke bryder mig om.

Og jeg syntes heller ikke det er pænt at de fleste støtter dem i at stå op mod systemet.

4. april 2016 kl. 19:10
Apple vil have FBI til at hacke dem - igen

Man bør efter min opfattelse ikke kunne kræve at private aktører fremadrettet ødelægger deres forretning. Hvis det nu var dig som politiet ville have hjælpe med noget som kostede dig 20 op til 50 % af omsætningen, fordi dine kunder frygter at du nu fremadrettet hjælper politiet med at aflytte dine kunder, synes du så det er rimeligt?

Nu er det stadig domstollen - og hvis du retter ovenstående til så er mit svar: Ja! Jeg ville overveje min forretnings eksistens hvis bare 5 % af mine kunde ville være bange for en domstols indblanding.

Der er kæmpe forskel på en undersøgelse hvor en domstol er indblandet mod en tilfældig politimyndighed overvåger masserne - og det er min pointe her.

Husk, Apple har aldrig sagt at det ikke var teknisk muligt - hvilket jeg ville have haft respekt for.

4. april 2016 kl. 12:23
Apple vil have FBI til at hacke dem - igen

Jo, naturligvis skal FBI overholde loven. Mener også kun jeg skrev jeg godt kan forstå hvis de var sure. Jeg var i øvrigt ikke klar over at der er en oplysningspligt i forhold til sikkerhedshuller. (Kan dog huske nogen sager hvor folk er kommet i klemme fordi de har fundet et hul) Men at der kan være nogen rimelighed i et nægte at hjælpe med adgang i denne sag for at beskytte ens kommercielle interesse er mig en gåde.

Forskellige efterretninger har nogle skodsager hvor det meste af it industrien siger "det bør ikke ske uden dommerkendelse" hvilket jeg er meget enig i.

Men for mig kortslutter det så i denne her sag.

3. april 2016 kl. 21:19
Apple vil have FBI til at hacke dem - igen

at når apple ikke ville hjælpe en myndighed med en dommerkendelse i hånden - så vil FBI da helt sikkert give apple en udførlig guide i hvordan de kunne åbne den.

-Jeg kan godt forstå hvis FBI er lidt sure i den her sag.

3. april 2016 kl. 09:15
VNC roulette

efter 2 minutter på den side har jeg fundet en win2k3 og en winxp maskine - sidst men ikke mindst - min helt egen nye gratis streamings tjeneste.

Umiddelbart syntes jeg problemet er så banalt at omtalen ikke bør blive til mere end en fakta boks i komputer for alle.

Hvad fa'en kan vi gøre? Skal der ikke lov til?

28. marts 2016 kl. 14:03