Senest kommenterede indhold

Af Aslak Stage 
Re: Lovgivende magt?

Problemet er vel at det er embedsapparattet, som laver lovudkastene på baggrund af politikernes ønsker og efter at de er blevet vedtaget, som det skal jf. magtens tredeling, så er det embedsapparattet (styrelser, departementer m.fl.) som laver fortolkningen af hvordan tingene så gøres. Og der er magtens tredeling stadig overholdt.

Og der svigter politikerne!!! De overlader det alt for ofte til embedsapparattet at være selvstyrende og enerådige.

Hvorfor er jeg ikke helt sikker på. Desværre tror jeg at politikerne for ofte er bange for at virke dumme og også at have for klare holdninger.(For tænk nu hvis man kunne holde dem op på det:-)

Og herudover tror jeg desværre også at politikerne og djøfferiet(embedsstanden, særligt chefniveauet) selv er blevet fanget af deres egen vrøvlesnak om at tingene er meget komplekse og at plebs(alm. mennesker) ikke forstår hvad der foregår.

Og derfor er der ingen af parterne som tager ansvar og det hele kører bare derudad uden omtanke for konsekvens og menneskelige omkostninger.

Det er jo for det fælles bedste, må vi jo forstå og ellers er vi jo bare sådan nogen, som ikke vil fremskridtet!!! (Ironi!!)

Af Mogens Lysemose 
10 timer til go live og ugeskemaet er ubrugeligt

Der er nu 10 timer til Aulas go live. 350mio kroner senere kan websiden ikke engang vise et brugbart ugeskema for os forældre:

https://drive.google.com/file/d/115JDQmdHslRuMMuqQUsfIl3xv0n0JoHe/view?u...

Af Martin Jensen 
Vinklen...

Jeg synes den mere spændene vinkel er, at nogen bevidst sætter en server på en offentlig IP, eller forwarder en ellers intern port ufiltreret fra internet ind til en server, og derefter, yderligere, sætter Dockers uautentificerede og uautoriserede management port, til at lytte fra alle adresser frem for localhost. Det kræver vidst en særlig certificering.

Nyheden burde slet ikke nævne docker, for uanset hvilket produkt nogen gør det ved på internet, så vil der komme en lignende historie.

Det lyder jo i øvrigt som noget CSC har lavet for politiet.

Af Hans Nielsen 
Send fluks den ene milliard til mig

Send fluks den ene milliard til mig.

De "gode" foreslag kunne jeg også godt have formidlet Der manger meget mere, hvis man virkeligt ville have øget sikkerheden. Som valg af browser, og blokereing af Flash, (meget) java, og add blocker.

3part programmer/reklamer banner som indsamler oplysninger, er jo også en stor kilde til virus og malware.
Her kunne et direkte ansvar også økonomisk til hjemmeside for skader fra malware og virus, fra 3 parts være en løsning.

Selv om man ikke får manget for penge idag, så lyder det som vi til nu, har fået særdeles lidt for pengene.

Hvis jeg skulle have følt vi have fået meget for pengene, så skulle de have lavet en gratis eller hjulpen med udviklingen af andre gratis, GPL/FOSS udviklet password husker, som de evt kunne testet for sikkerheds huller og oversatte til Dansk, samt hjælpe med vedligeholdelse. Til brug på Apple, Linux, Windows og Andriod.

Så kunne de samtidigt med anbefalinger, også anbefale bruge af, eller henvise til det specifikke program.

Hvis der var en milliard til overs, så kunne de til rettet den så den virker med (nye) løsninger fra Eboks og NEMID.

Samt lave den sådan, at man meget meget nemt kunne anmelde, SPAM, Virus, Forsøg på svindel, Ulovelig sider. Så fik de også noget mere data, så de måske kunne værer mere aktiv, hvis der var større angreb på vej. Eller de kunne hurtigere efterforske eller lukke angreb ned.

PS. Er det kun mig der synes at V2, genbruger artikler. Forstået på den måde. At når en artikkel er forsvundet fra overskiften, fordi den er blevet "gamel". Så kommer der en næsten eneslyden ny artikkel, med samme emne og indhold.
I stedet for at "oppe" indhold og artikler. Så skulle man måske lave noget længere og bedre artikler, omkring de vigtigste ting. Også i stedet ændre hvordan ting og kommentare bliver vis. Så vigtige længere artikler, som bliver læst og kommenteret meget, får længere levetid.
Indtil det sker. Så genbruger jeg også komentare.

Af Gert Madsen 
Re: Australien

Første løsning er nok urealistisk på den korte bane i Danmark da det kræver at teleselskaberne får adgang til nationelle registre.


Hvorfor egentlig ?
Det grundlæggende problem er jo at telefonsælgeren ikke beder om at se legitimation - ikke at det vrimler med folk, der viser falsk ID.
Det burde selvfølgelig ikke være nødvendigt at gøre andet end at indskærpe den regel.
Men man kan da have en registrering af pas/kørekort nummer, for at "hjælpe" på sælgerens hukommelse.

Af Mads Hjorth 
Og min soekris kører endnu!

Hej Poul-Henning,

Det er en værre historie med Søren fra Snoldelev og hans små grønne kasser, men den er vigtig og burde udgives i bogform... vi må finde en der kan den slags.

Måske vil det glæde dig, at du engang hjalp mig med at få bootet min 5501 så jeg kunne få en FreeBSD på. Den kører endnu og har blandet været med til at spærre for YouTube i mit hjem, da jeg blev lidt træt af ulovlige reklamer på mit børns foretrukne legetøj...

Men i dag - 20 år senere - er jeg mindre bekymret for firmwaren i Intels lakridser (skal vist lige have patchet nogle Ethernetkort), og mere bekymkret for indsamlingen af data hos private aktører.

Da jeg ville kommentere her, var der lige en ny login tjeneste... som gerne lige ville vide lidt mere om mig... og jeg kendte ikke lige lige mit password, for måske var det blevet erstattet da jeg fik en prøveperiode som medlem af en fagforening...

Jeg tror den store trussel nærmere er størrelsen af virksomheder. Det er meget svært for mig at se adskillelsen mellem en fagforening, et mediehus og et forum hvor vi frit kan diskutere udviklingen og anvendelse af regnemaskiner.

Og ja, PHK... du har gættet rigtigt ;-)

Vi skal have holdt det møde og startet den lokal afdeling. Du vælger tid og sted og jeg kommer med resten!

Af Morten Hertz 
Re: Skærmbeskyttelsen reflekterer ultralyd?

Hvis telefonen har registreret det oprindelige fingeraftryk korrekt, så skulle skærmen jo netop formidle et 'forkert' fingeraftryk selv om det var den 'rigtige' person som prøvede. Og så ville den jo netop ikke låse op?

Medmindre skærmbeskyttelsen monteres før fingeraftrykket aflæses første gang, selvfølgeligt. Og det er vist det, der er tilfældet her:

With the screen on, Lisa set up her right thumb print to access the phone but later used her left, which unlocked it.

(Fra The Sun)

Af Morten Hertz 
Re: Skærmbeskyttelsen reflekterer ultralyd?

Hvis skærmbeskytteren betyder at det er dens overflade og ikke fingeren som aflæses, vil det være umuligt at indlægge et fingeraftryk, da den nødvendige variation ikke opnås.

Er du sikker på, at aflæseralgoritmen specifikt er kodet med en minimumsvariation? En max. variation er selvfølgeligt nødvendig, men lur mig om ikke identiske “fingeraftryk” gladeligt accepteres.

Af Steen Secher Schmidt 
Fedt på skærmcoveret?

Måske skærmcoveret er mere modtageligt for fedt end skærmen, så det er aftryk fra tidligere fingre, der sidder tilbage og giver et tilstrækkeligt match?

Af John Foley 
Re: Bravo

Fin præcisering, Ditlev Petersen, tak for det. Min pointe er, at der med digitaliseringen og den store trang til dataindhentning, er der gennemført/gennemføres en registrering af alle, herunder samkøring af data om befolkningen. Det muliggør udpegning af enkeltpersoner i en hidtil uset detaljeret grad, og er "second to none", i forhold til f.eks Stasitiden eller det kinesiske regimes overvågning af dets borgere. En registrering, der også i en dansk kontekst ville kunne misbruges politisk, til forfølgelse af andeledes tænkende, hvilket historien desværre har flere eksempler på, og som nu med teknologien og digitaliseringen er muliggjort og gennemføres meget mere effektivt og på ingen tid.
Derfor bør samfundets kontrolinstanser gøres meget mere effektive og gives vidtgående beføjelser til at sikre at muligheden for misbrug minimeres. Det er ikke tilstrækkeligt med en GDPR instans som Datatilsynet eller Tilsynet med Efterretningstjenesterne(TET).

Af Ivan Skytte Jørgensen 
Re: Raspberry Pi?

>Jeg forstår din kommentar som at du mener at alle managed switches har sikkerhedsfejl.

Ja, det mener jeg er en meget fornuftig null-hypotese, ser du grund til at tro andet ?


Vi ved at der findes mindst een switch med sikkerhedsproblemer, men at derfra antage at alle switche har sikkerhedsproblemer er et stort spring. Vi mangler data. Her ville de være rart hvis f.eks. C't kom på banen og testede 100 switches med tysk grundighed.

I den aktuelle sammenhæng er det dog helt nede i bunden af "managed switch" segmentet vi bevæger os: Chips bygget til at håndtere LAN siden af en skod-billig CPE.


Ah, den slags switches. Der må jeg erklære mig enig - jeg har ikke en disse tillid til dem. De har næppe en MAC-tabel pr. VLAN, så MAC-spoofing kan nemt omgå VLAN-segmenteringen, og guderne må vide om de håndterer broadcasts korrekt.

Af Ivan Skytte Jørgensen 
Re: Raspberry Pi?

Hvis du køber en switch fra en af de store leverandører, så er "tab af goodwill" ved sikkerhedsproblemer signifikant og volumen kan bære markante udviklingsomkostninger.


Jeg er stort set enig. De store leverandører har dog også råd til spindoctors. Jeg var ved at skrive at man også skal se på om levenradøren primært laver netværksudstyr eller om det blot er en mindre del af forretningen, men jo mere jeg tænker på Ciscos FeatureritisOS vs. Dells <whatever>, jo mindre sikker er jeg på at de er en vigtig faktor.

Af Baldur Norddahl 
Re: Raspberry Pi?

Gør det :-)

Og en tracert hjælper ikke på det. Eller et DNS opsalg, også port scan.

Men du mener at tilgang til jeres switch er på samme fysik netværk, men der bruges et andet IP segment til adm. ?

Men vil da mene at evnen til at pinge den nærmet port, er en uundværlige hælp i fejlretning og daglige brug, og at gemme switchen ikke hjælper meget.

Jeg fortæller bare hvordan vores (Gigabit) netværk fungerer. Forestil dig at der en slags VPN fra slutkunden til den router der aggerer "default gateway". Du kan godt pinge vores router men du kan ikke pinge de mange switche ind imellem. De har simpelthen ikke en IP adresse.

Der er en masse udstyr som er managed men som ikke har en IP adresse på det offentlige internet og hellere ikke ude hos kunderne. Kundens fibermodem, GPON access switchen som er i centralenden af kundens fiberforbindelse, core switche som transporterer trafikken fra access switch og afleverer det til BNG routeren. Alt det er meget svært at angribe fordi du end ikke kan adressere udstyret.

Det er ikke nødvendigvis helt umuligt. Selvom en core switch ikke gør andet end at transportere VPN trafik fra port 1 til port 2, så behandler den stadig en smule information. CRC genberegnes, TTL korrigeres og diverse længde felter kunne være en vej til at angribe med korrupt data. Men det er svært idet det er så lidt den faktisk gør med pakken, andet end at kopiere den fra port 1 til port 2.

Hvordan manager vi så udstyret? Du kan forestille dig at det foregår på et andet VLAN selvom det ikke er helt korrekt. Vi har opbygget et net der ikke er forbundet til Internet. Selvom intet udstyr på dette net er tilgængeligt fra Internet, så kan det stadig lave VPN forbindelser mellem en slutkunde, som er på internet, og en BNG router, der også er på internet.

Der er mange grunde til at opbygge nettet på denne måde. Men en af de vigtige er at vi ikke stoler på udstyret og på denne måde er angrebsfladen mindst mulig. Det er ligemeget at noget af udstyret kører med en gammel hullet SSH implementation for der er ingen der kan komme i kontakt med SSH porten. Det er bedre end en firewall.

Med hensyn til fejlretning, så er det rigtigt at kunderne ikke har mulighed for at se hvor i vores net, der eventuelt sker et pakketab eller et loop. Vi kan selv lave den fejlsøgning da vi har adgang til det bagvedliggende net, så det er en ikke begræsning for udbyderen. Der er i øvrigt mange transportnet der bruger MPLS, eller en anden tunnelteknologi, så en traceroute fortæller ofte kun en lille del af historien.

Af Henrik Eriksen 
Re: Skærmbeskyttelsen reflekterer ultralyd?

Mon ikke bare skærmbeskyttelsen reflekterer ultralyd, sådan at det er indersiden af skærmbeskyttelsen, der bliver aflæst hver gang, i stedet for fingeraftrykket?

Det var også min tanke, selv om Torben Rune har et godt argument imod det.
Hvis telefonen har registreret det oprindelige fingeraftryk korrekt, så skulle skærmen jo netop formidle et 'forkert' fingeraftryk selv om det var den 'rigtige' person som prøvede. Og så ville den jo netop ikke låse op?
Alternativet, at den også låser op for et evt. ulæseligt fingeraftryk, det er ikke noget der sker ved en fejl. Det skal man programmere sig ud af, og så er det jo gjort med vilje - hvilket er rent gak!

Af Michael Cederberg 
Re: Raspberry Pi?

Så nej, jeg stoler simpelthen ikke på at alle pakker kommer igennem CPU'en, for jeg har set det modsatte ske for mange gange.

Og det er en velbegrundet frygt. Men hvis man bruger en rigtig switch på bagsiden af en dual-NIC firewall, så vil firmwaren i NIC'en på wan siden af din firewall være det mest oplagte mål. Som Bardur skriver så er det rigtigt svært at være kreativ på bagsiden hvis man kommer udefra. Men selvfølgeligt: Hvis du også skal beskytte mod indefrakommende angreb så er det en anden sag.

Af Niels Danielsen 
Re: Raspberry Pi?

Jeg synes at det er en lidt for billig kommentar. Jeg forstår din kommentar som at du mener at alle managed switches har sikkerhedsfejl. Jeg savner en kildeangivelse. Bevisbyrden ligger på dine bane.

Det er meget få firmaer som har musklerne til at udvikle og vedligeholde deres eget OS.
De fleste anvender Linux, eller xBSD, og nogle få anvender QNX, eller VxWorks..
Ifølge nedenstående liste anvender Cisco QNX i nogle af deres produkter. Listen er ikke correkt mht. om noget er et selvstændig OS, eller afledt af open source OS. F.eks. er VYOS baseret på linux påsmurt et tykt lag GitHub.
https://packetpushers.net/virtual-toolbox/list-network-operating-systems/

Du vil vel ikke påstå at der ikke er CVE'er i Linux, BSD, eller QNX?.
Se dette eksempel fra BSD hvor der er et problem i netværks stakken som gør at en router vil kunne rammes udefra, også selvom den ikke har exponeret management GUI (Den største sikkerheds risiko)
https://www.cvedetails.com/cve/CVE-2019-5597/

Jeg har dag en Ubiquiti Router med EdgeOS.
Før den havde jeg en kort overgang en OpenWRT med performance problemer, og software der ikke blev vedligeholdt til det pågældende chipset.
Jeg havde så valget mellem PC Hardware og f.eks. pfSence, eller en færdig router.
Jeg valgte Ubiquiti pga. det lavere strømforbrug end PC hardware.
EdgeOS er baseret på VYOS/Vyatta som igen bruger Linux + GitHub.
https://wiki.vyos.net/wiki/Vyatta

Men jeg er afhængig af at Ubiquiti fortsætter med at udgive patches.
Det er de desværre ikke særlig hurtig til...

Ang. EdgeOS og CVE'er
Jeg køre v1.10.10 som er det latest and gratest https://www.ui.com/download/#!edgemax

Ifølge https://www.cvedetails.com/version-list/12765/44469/1/Ubnt-Edgeos.html er der ikke fundet nogle problemer siden v1.9.1

Men der er installeret version 1.19.0 (nyeste 1.31.0) af BusyBox som har 5 sårbarheder. https://www.cvedetails.com/vulnerability-list/vendor_id-4282/product_id-...

bash --version
GNU bash, version 4.2.37(1)-release (mips-unknown-linux-gnu)
Her er der måske 9 sårbarheder.
https://www.cvedetails.com/version/112321/GNU-Bash-4.2.html

Python 2.7.3
Her er der 15 sårbarheder.
https://www.cvedetails.com/version/132982/Python-Python-2.7.3.html

OpenSSH_6.6.1p1 Debian-4~bpo70+1, OpenSSL 1.0.1t 3 May 2016
Her er der 5 sårbarheder.
https://www.cvedetails.com/version/188831/Openbsd-Openssh-6.6.html

lighttpd/1.4.35 (ssl) - a light and fast webserver
Her er der 1 sårbarhed.
https://www.cvedetails.com/version/183598/Lighttpd-Lighttpd-1.4.35.html

Jeg har ikke modet til at cross Compilere til MIPS64..
Skulle nok have valgt en PC arkitektur til routeren..

Det gjorde jeg til min NasBox, det har ikke været problem fri.
CPU'en døde pga. den famøse Intel Atom Time Bomb... (Fik nyt MB på garanti)
Og FreeNAS er langt bagefter den FreeBSD distribution de er baseret på.
I øjeblikket er der 16 unpatched CVE'er på mit system, selvom jeg køre nyeste stable release 11.2
Om 2 uger stopper FreeBSD supporten for 11.2, det betyder at jeg ikke engang kan patche mine jails, hvoraf 2 har forbindelse til internettet. (De er idag helt opdaterede og har ingen CVE'er jfr. pkg audit)
Det er selvfølgelig ikke muligt at have en nyere OS version af jail, end af host.

Af Poul-Henning Kamp 
Re: Raspberry Pi?

Jeg synes at det er en lidt for billig kommentar. Jeg forstår din kommentar som at du mener at alle managed switches har sikkerhedsfejl.

Ja, det mener jeg er en meget fornuftig null-hypotese, ser du grund til at tro andet ?

Cisco har f.eks haft 3 IOS CVE'er om måneden i 2019

I den aktuelle sammenhæng er det dog helt nede i bunden af "managed switch" segmentet vi bevæger os: Chips bygget til at håndtere LAN siden af en skod-billig CPE.

Alle de chips af den klasse jeg har haft den manglende fornøjelse at kæmpe med, kunne bringes i broadcast mode med passende pakketrafik,
hvis de da ikke livefrem var det som power-up default.

Dertil kommer de mere subtile fejl, som f.eks altid at overskrive MAC tabellen når de ser bestemte typer broadcast pakker, uden at holde styr på VLAN situationen.

Så nej, jeg stoler simpelthen ikke på at alle pakker kommer igennem CPU'en, for jeg har set det modsatte ske for mange gange.

Af Hans Nielsen 
Re: Raspberry Pi?

Kunderne kan end ikke pinge switchene. Det mindsker angrebsfladen væsentligt.


Gør det :-)

Og en tracert hjælper ikke på det. Eller et DNS opsalg, også port scan.

Men du mener at tilgang til jeres switch er på samme fysik netværk, men der bruges et andet IP segment til adm. ?

Men vil da mene at evnen til at pinge den nærmet port, er en uundværlige hælp i fejlretning og daglige brug, og at gemme switchen ikke hjælper meget.

Hvis man virkeligt er nervøs for den, så skal man skifte til Switch, som man sætter op, så de kun bliver man. fra en separat seriel/usd port

Pilfinger samt fysisk adgang til netværk. skal også være i orden. Altså aflåst, evt med alarm og video overvågning.
.
I det dagligt synes jeg det værste, fyske problem på større netværk, er at nogle tager deres "egne" routere eller switche med, som kan begynde at argere DNS på net, eller der bliver pillet i den fysik kabling. Hvis vi taler steder som som skoler eller kontorfælesskaber.

Af Hans Nielsen 
Re: Australien

Samtidigt får man email og SMS bekræftelse ved enhver ændring så man hurtigt kan reagere hvis der er lavet uautoriserede ændringer.


Meget hurtigt ?
Hvis du er ude at køre, eller har lagt telefonen fra dig. ER du så sikkert på, at du på 2-10 minuter, kan få lukket eller ændret alle dine vigtige konti,
Du får jo ingen SMS, hvis kortet er ændret, og er du sikkert på at ser alle din mail.

Det er derfor at SIM kortet er så vigtigt, det er for de fleste en af hovednøglener, til hel ens digitale liv.

Af Ditlev Petersen 
Re: Bravo

Husk på, at det var en politisk beslutning, under 2. verdenskrig, at man pålagde politiet at udlevere alle registreeede informationer om jøder og andre, herunder venstreorienterede politiske personer til Hitlers Gestapo, hvilket politiet gjorde velvilligt og meget effektivt, så de registrerede danskere kunne sættes i koncentartionslejre og mange dø i gaskamrene i konsekvens heraf.


Politiets register over kommunister blev ganske rigtigt "lånt" til tyskerne. Med død og lidelser til følge for mange af de registrerede. Men et jøderegister havde man ikke. Tyskerne benyttede så det næstbedste (så vidt jeg ved), ministerialbogen hos Mosaisk Troessamfund (fødsler, dødsfald, ægteskaber).

Det var ikke en politisk beslutning at udlevere kommunist-registret til tyskerne, det skete helt uofficielt. Men det var en politisk beslutning at dansk politi skulle foretage arrestationerne af kommunisterne. Og at man skulle arrestere mange flere end dem, der stod på den tyske liste. Og forresten også at dem, der sad i Horserød i dansk "varetægt" skulle udleveres i stedet for at slippe dem løs, som man faktisk havde lovet. Dette løfte gjorde, at fangerne havde stor ulyst til at flygte, da man ikke ville bringe myndighederne i unødige vanskeligheder.

Holland havde vist et "jøderegister", et felt i deres folkeregister på hulkort. Det er sikkert grunden til, at man ikke eller nødig registrerer trosforhold i mange lande. Men man er jo stadig nødt til at have et "medlemsregister" i et trossamfund.

Af Baldur Norddahl 
Re: Raspberry Pi?

"Vis mig en managed switch uden CVE'er og jeg skal vise dig en managed switch ingen har undersøgt ordentligt endnu."

Min erfaring er at hvis du kan firewalle layer 3 adgang helt væk, så er det ikke så sandsynligt at du kan finde en angrebsvektor. Og dem du finder er mere sandsynligt af denial of service typen end noget der giver dig utilsigtet adgang.

Eksempelvis i vores netværk bliver kundernes trafik transporteret i layer 2 tunneler på et MPLS netværk. Kunderne kan end ikke pinge switchene. Det mindsker angrebsfladen væsentligt.

Af Hans Nielsen 
Send fluks den ene milliard til mig.

Send fluks den ene milliard til mig.

De "gode" foreslag kunne jeg også godt have formidlet Der manger meget mere, hvis man virkeligt ville have øget sikkerheden. Som valg af browser, og blokereing af Flash, (meget) java, og add blocker.

3part programmer/reklamer banner som indsamler oplysninger, er jo også en stor kilde til virus og malware.
Her kunne et direkte ansvar også økonomisk til hjemmeside for skader fra malware og virus, fra 3 parts være en løsning.

Selv om man ikke får manget for penge idag, så lyder det som vi til nu, har fået særdeles lidt for pengene.

Hvis jeg skulle have følt vi have fået meget for pengene, så skulle de have lavet en gratis eller hjulpen med udviklingen af andre gratis, GPL/FOSS udviklet password husker, som de evt kunne testet for sikkerheds huller og oversatte til Dansk, samt hjælpe med vedligeholdelse. Til brug på Apple, Linux, Windows og Andriod.

Så kunne de samtidigt med anbefalinger, også anbefale bruge af, eller henvise til det specifikke program.

Hvis der var en milliard til overs, så kunne de til rettet den så den virker med (nye) løsninger fra Eboks og NEMID.

Samt lave den sådan, at man meget meget nemt kunne anmelde, SPAM, Virus, Forsøg på svindel, Ulovelig sider. Så fik de også noget mere data, så de måske kunne værer mere aktiv, hvis der var større angreb på vej. Eller de kunne hurtigere efterforske eller lukke angreb ned.

Af Torben Rune 
Re: Skærmbeskyttelsen reflekterer ultralyd?

Mon ikke bare skærmbeskyttelsen reflekterer ultralyd, sådan at det er indersiden af skærmbeskyttelsen, der bliver aflæst hver gang, i stedet for fingeraftrykket?

Når man indlægger fingeraftryk kræver Samsung (og formodentlig også andre), at der tages en række forskellige aftryk af den samme finger. Det sikrer at genkendelse kan ske, selv om fingeren holdes i forskellige vinkler.
Hvis skærmbeskytteren betyder at det er dens overflade og ikke fingeren som aflæses, vil det være umuligt at indlægge et fingeraftryk, da den nødvendige variation ikke opnås.

Af Michael Cederberg 
Re: Raspberry Pi?

De meste kendte managed switches er nok dem der bliver solgt mange af. Hvis der bliver solgt mange af dem, så bliver de lavet af et større firma, formodentlig med primær fokus på næste 3 mdrs bundlinje. Vi ved circa hvordan arbejdsmiljøet såan et sted kan være, når fokus er på bundlinjen, dele af firmwaren at købt udefra, eller bliver outsourcet, og den vigtigste nye feature i den næste switch er at få de blå lysdioder til at blinke.

Hvis du køber en switch fra en af de store leverandører, så er "tab af goodwill" ved sikkerhedsproblemer signifikant og volumen kan bære markante udviklingsomkostninger.

Problemet er nærmere at det er closed source. Indenfor virksomheden er der sandsynligvis relativt få der kigger på en given stump source for at lede efter sikkerhedsproblemer. Der er grund til at tro kræfter udenfor virksomheden vil være villige til at investere betydelige ressourcer i at finde huller og at disse enten vil kunne reverse engineere koden/hardware eller på anden vis vil få fat i sourcen. Vi ser dette ifbm. mobiltelefoner. Der er ingen grund til at tro at det samme ikke skulle være tilfældet for switche.

Desværre er man reelt i samme situation hvis man køber en computer med Wifi. Highperformance drivers er altid closed source. Og en ethernet NIC har også en del embedded software ... closed source software som ingen reviewer. Det er i dag ikke muligt at købe en moderne computer eller netværkskomponent uden store mængder embedded closed source.

Heldigvis kræver ovenstående betydelige ressourcer. Dem der bruger tid og penge på at lede efter fejl i reverse engineeret kode eller kode der er tilvejebragt med alternative metoder, de vil ikke lægge dette ud sådan at tilfældige teenagere kan bruge det til at hacke skolen. Det er heller ikke noget der bliver brugt på må og få til masseovervågning. Det er det ganske enkelt for værdifuldt til. I mine øjne skal man lave noget der tiltrækker opmærksomhed fra efterretningstjenester eller meget store organisationer før det er værd at bekymre sig over.

Af Michael Poulsen 
Australien

Her i Australien hvor jeg bor bruger teleselskaberne 1 af 2 varianter ved enhver ændring, såsom udlevering af SIM kort, ændring af abonnement, adresseændring m.v. Samtidigt får man email og SMS bekræftelse ved enhver ændring så man hurtigt kan reagere hvis der er lavet uautoriserede ændringer. Det gælder uanset om man gør det online eller i en butik.

  • Pas eller kørekort nummer.
  • Selvvalgt PIN kode ved abonnementsoprettelsen.

Første løsning er nok urealistisk på den korte bane i Danmark da det kræver at teleselskaberne får adgang til nationelle registre.

NemID er en dårlig løsning. eBoks ligeså, da de forhindrer ting som køb og aktivering af en ny mobil i butikken hvis ens mobil er stjålet.

Af Kjeld Flarup Christensen 
Re: NEMID

NemID vil IMHO være en god mellemvej, da det eneste andet alternativ er at sende skitet til folks folkeregisteradresse, dvs. vente op imod 20 måneder på postdk...


Det vil kræve en ændring i produktionen af SIM kort, men man kan blot udlevere et SIM kort uden PIN og PUK kode påtrykket. De koder sender man med E-Boks.

Man kunne også lave et system, hvor selve aktiveringen sker med NemID.

Begge dele vil kræve ændringer af IT systemerne, men ikke så gennemgribende igen.

Dvs. jeg får stjålet min telefon. Så går jeg ned i butikken for at få et nyt SIM-kort og køber en ny telefon. For at udlevere SIM-kortet kræver butikken at jeg logger på med NemID, hvilket er meget nemt, jeg skal bare swipe til højre på min NemID-app... som ligger på den stjålne telefon.


Så går du ind på nemid.nu og melder dit nøglekort stjålet og får et nyt. Bare too bad du er uden telefon i et par dage så. Eller måske du opdager at du lever bedre uden :-D

Af Ivan Skytte Jørgensen 
Re: Raspberry Pi?

"Vis mig en managed switch uden CVE'er og jeg skal vise dig en managed switch ingen har undersøgt ordentligt endnu."

Jeg synes at det er en lidt for billig kommentar. Jeg forstår din kommentar som at du mener at alle managed switches har sikkerhedsfejl. Jeg savner en kildeangivelse. Bevisbyrden ligger på dine bane.

Overvej dette:
De meste kendte managed switches er nok dem der bliver solgt mange af. Hvis der bliver solgt mange af dem, så bliver de lavet af et større firma, formodentlig med primær fokus på næste 3 mdrs bundlinje. Vi ved circa hvordan arbejdsmiljøet såan et sted kan være, når fokus er på bundlinjen, dele af firmwaren at købt udefra, eller bliver outsourcet, og den vigtigste nye feature i den næste switch er at få de blå lysdioder til at blinke.
Hvis der er findes en samvittighedsfuld udvikler med fokus på korrekt opførsel, sikkerhed, standardoverholdelse mm, så er det næppe i sådan et miljø man kan finde ham. Så man skal kigge på managed switches som ikke er så alment kendte, og så får man, som du hentyder, problemet at der ingen CVEer er, så man ved ikke om nogen har kigget på dem med sikkerhedsbrillerne på. Så når man står med en mindre kendt switch i hånden så ved man ikke om firmwaren er lavet af en klaphat-udvikler eller en omhyggelig udvikler. Så man skal gætte det ud fra andre faktorer (Har de sat deres navn på eller er det no-name? Passer manualen? Ligner det en rebrandet billig dims?).

Min hypotese er at der findes fejlfri managed switches, men at man næppe finder dem blandt de meste udbredte.

Af Poul-Henning Kamp 
IT Company Rank
maximize minimize