Netsikkerhed

[BjarneModerator Super Nova]

Det er også Dankortsystemet, som skulle tages i brug kort efter, at Christian Rovsing A/S
gik konkurs i 1984. Dankortet kørte de første 10 år på en Rovsing maskine:
http://www.datamuseum.dk/wiki/Christian_Rovsing_A/S
Læs CR bladet kernen, nr 20, marts 1983.
https://da.wikipedia.org/wiki/Christian_Rovsing_(virksomhed)
I 1972 udvikler firmaet sin første egenudviklede computer, CRP, og i 1975 kommer anden generation CR80s, der er en minicomputer. Denne sælges i 500 stk. I januar 1981 er man klar med en tredje generations minicomputer CR80M, der bl.a. kan konfigureres med flere CPU‘er
og flere enheder kan sættes sammen og dermed give større regnekraft.
Denne computer bliver i de følgende år en fast del af de it-løsninger
firmaet leverer. Bl.a. blev Dankortsystemet i januar 1985 udviklet til
at køre på en CR80-installation. Christian Rovsing A/S blev, uden
konkurrenter, valgt af PKK (i dag Nets)
til at udvikle det nye Dankortsystem, men desværre gik firmaet konkurs 4
måneder før systemet skulle gå i luften. Dog flyttede medarbejderne der
arbejdede på systemet alle reservedele over til PKK, mens PKK
garanterede medarbejdernes løn, så systemet kunne gå i luften som
planlagt. Systemet med CR80 kørte i 10 år før det blev udskiftet med en
IBM installation.

[allan_dystrupDeltager Nova]

Ak ja, gamle minder… — Jeg startede min datalogkarriere som software ingeniør hos CR. Vi udviklede et tekstbehandlingssystem til landets kommuner, og det kørte på Rovsings egne 8- og 16-bit mikrodatamater, bundet sammen via eget ” X-net” netværk. Jeg skrev printerdrivere i assembler og maskinkode, og højniveau software i C og compiled Basic…

Vores løsninger var på flere måder mere avanceret, end hvad Microsoft og andre kunne levere dengang, — flerkolonne tekst med fuld copy/paste og ombrydning, integreret dagsorden med fildeling i netværk og på multiuser concurrent CPM (hvor næsten alle andre kørte fladt DOS).. etc etc.

Det var Klondyke, og der var guld i jorden!

Those were the days, my friend…

AllanAllan_Dystrup2017-06-29 14:48:26

[lindhardDeltager Super Nova]

Og vi andre programmerede i maskinkode på en VIC 20 med et ramlager på 3.5 KB. 🙂 (Ja, der står KB…)

Man kunne komme langt med Poke, Peek og lidt omhu.

---

mvh
Lars

[BjarneModerator Super Nova]

Tilbage til NotPetya=GoldenEye. Anvendelsen af SMBv1 var kun røgslør.
Den kom ind via opdatering af obligatorisk skattesoftware i Ukraine og
spredte sig sig på store firmaers VPN-lokalnet. Det var måske ikke et
uheld. Man ville måske straffe firmaerne for at handle med Ukraine.
Det viser, at det er farligt med kæmpestore lokalnet.
https://www.version2.dk/artikel/notpetya-ser-ud-at-have-spredt-sig-ukraine-via-vpn-1077968
Alt tyder lige nu på, at det opsigtsvækkende cyberangreb med malwaren
NotPetya er startet i Ukraine og har spredt sig via VPN-forbindelser hos
globale virksomheder som Mærsk, Merck, FedEx og WPP til kontorer i
andre lande, heriblandt Danmark.
Dermed er det også sandsynligt, at de store globale virksomheder, som er
blevet ramt, og alle har kontorer i Ukraine, også har benyttet
softwaren. Malwaren kan således være kommet ind på en Windows-pc hos den
ukrainske afdeling.
Samtidig er den i stand til at stjæle identitetsoplysninger i
hukommelsen på den inficerede Windows-maskine. Disse oplysninger bliver
brugt til at forsøge at tilgå andre enheder på netværket, og hvis det
lykkes, kan ormen sprede sig.
Det er altså muligt for en organisation at blive ramt, selvom
sikkerhedshullet, som Wannacry også udnyttede, er lukket med den
opdatering, Microsoft frigav i marts.
Det er således også muligt for NotPetya at sprede sig til andre
afdelinger af en global virksomhed, hvis der eksempelvis er en
VPN-forbindelse mellem lokalnetværket i den ukrainske afdeling og
hovedsædet.

[RudiDeltager Neutron star]

Lindhard wrote: Og vi andre programmerede i maskinkode på en VIC 20 med et ramlager på 3.5 KB. 🙂 (Ja, der står KB…)

Man kunne komme langt med Poke, Peek og lidt omhu.

Slå dig løs her Lars

https://www.mdawson.net/vic20chrome/vic20.php

/Rudi B. Rasmussen

[dennis.torsten Main Sequence]

Lindhard wrote: Og vi andre programmerede i maskinkode på en VIC 20 med et ramlager på 3.5 KB. 🙂 (Ja, der står KB…)

Man kunne komme langt med Poke, Peek og lidt omhu.

Ja, min første var en Amiga 2000, købt brugt af Harald, for det latterlige beløb af 3500 kr. Han gav selv 25000 kr. for ny.

2 harddiske på hver 10 MB. og dobbelt RAM, på hver 1 MB. og dobbelt diskdrev. Det var noget der rykkede !

PC’en var til grin, -i forhold til, i alt fald grafisk !

PS. Jeg har den sgu endnu !

Dennis torsten2017-06-30 13:07:48

[BjarneModerator Super Nova]

Jeg har længe haft lyst til at installere en statistik-plugin til WordPres,
men jeg turde ikke på grund af faren for SQL Injection.
Jeg læser nu, at at nogen har fundet netop denne sårbarhed i WP Statistics,
som blev rettet for 2 dage siden. Jeg har derfor forsøgsvis installeret den.
https://thehackernews.com/2017/06/wordpress-hacking-sql-injection.html
Discovered by Sucuri team, WordPress plugin WP Statistics
is vulnerable to
SQL Injection flaw that allows a remote attacker, with
at least a subscriber account,
to steal sensitive information from the
website’s database and possibly gain
unauthorized access to websites.

[BjarneModerator Super Nova]

Kaspersky Lab gør opmærksom på, at
A majority of the top 1 million websites earn an “F” letter grade when
it comes to adopting
defensive security technology that protect visitors
from XSS vulnerabilities,
man-in-the-middle attacks, and cookie
hijacking.

The failing grades come from a comprehensive
analysis published this week by the Mozilla Foundation using its Mozilla Observatory tool.
According to a scan of Alexa ranked top 1 million websites, a paltry
0.013 percent of sites
received an “A+” grade compared to 93.45 percent
earning an “F”.
Ja, 93.45 % fik dumpekarakter “F” og kun 0.013 % fik “A+”.
https://threatpost.com/majority-of-sites-fail-mozillas-comprehensive-security-review/126646/

The Observatory tool, launched last year, tests
websites and grades their defensive posture
based on 13
security-related features ranging from the use of encryption (HTTPS),
exposure to
XSS attacks based on the use of X-XSS-Protection (XXSSP) and
use of Public Key Pinning which
prevents a site’s use of fraudulent
certificates.

BjarneT2017-07-01 22:26:43

[BjarneModerator Super Nova]

Skandale! Jeg har testet min hjemmeside med Mozillas OBSERVATORY:
https://observatory.mozilla.org/analyze.html?host=kosmologi.eu
Jeg bliver kun bedømt til “A-“. Den er gal med Content Security Policy (CSP).
Nu kan den problematiske CSP skyldes WordPress.
Dette skal undersøges nøjere.

[BjarneModerator Super Nova]

Dette problem er mere kompliceret end som så. Jeg tog forslaget til CSP fra en blog om WordPress.
Problemet er ‘unsafe-inline’. Denne option er sat for min apache server.
Jeg har lavet flere tests ved at fjerne ‘unsafe-inline’. WordPress virker faktiskt for en almindelig bruger,
men administration af kontrolcentret virker ikke ligesom statistik-plugin heller ikke virker.
Jeg kan ikke umiddelbart se nogen udvej til at få et ‘A+’.

[BjarneModerator Super Nova]

Jeg har testet wordpres.com med observatory.mozilla.org:
https://observatory.mozilla.org/analyze.html?host=wordpress.com

WordPress får selv karakteren ‘C’!

[BjarneModerator Super Nova]

Poul-Henning Kamp har skrevet et vigtigt indlæg med titlen:

Jo, vi skal tænke IT og sikkerhed på en ny måde

https://www.version2.dk/blog/jo-vi-skal-taenke-it-paa-ny-maade-1078042

Han mener i virkeligheden fra den gode gamle metode fra før dot-com perioden,

hvor alle de regerende kandidater i samfundsfag er uddannet.

Disse kandidater opfatter sig selv som garant for, at samfundet ikke bliver udnyttet

af nørdede faglige typer med et fagligt kendskab til IT-systemer. De føler sig absolut ikke

trygge ved at blive bedømt af andre faggrupper, som det f.eks sker, når et fly styrter ned.

De kræver en bedømmelse af en af deres egne, en dommer, når noget går galt.

[BjarneModerator Super Nova]

Må jeg introducere Scott Helme, som er foredragsholder og skriver en blog om sikkerhed:
https://scotthelme.co.uk
Den får selvfølgelig karakteren ‘A+’ af Mozilla.
Helme har også lavet en hjemmeside, som tester for security headers:
https://securityheaders.io
Han indeler resultaterne i
Hall of Fame (A+ og A)
Hall of Shame (F)

[BjarneModerator Super Nova]

Jeg har fundet en meget nyttig hjemmeside til, hvordan man sikrer de forskellige
Web-servere mod angreb.

Some physicists 28 years ago needed a way to easily share experimental data and
thus the web was born. This was generally considered to be a good move.
Unfortunately, everything physicists touch — from trigonometry to the
strong nuclear force — eventually becomes weaponized and so too has the
Hypertext Transfer Protocol.

What can be attacked must be defended, and since tradition requires all security
features to be a bolted-on afterthought, things… got a little complicated.

This article explains what secure headers are and how to implement these headers
in Rails, Django, Express.js, Go, Nginx, Apache and Varnish.

https://blog.appcanary.com/2017/http-security-headers.html

Det er forbløffende, hvor opfindsomme angriberne er blevet.

Jeg har på visse punkter strammet op på min server på kosmologi.eu.

BjarneT2017-07-04 10:28:55

[BjarneModerator Super Nova]

Den slappe sikkerhed bliver stadig udfordret. Den seneste udfordring er
Adwind RAT Returns!
https://thehackernews.com/2017/07/adwind-rat-malware.html

[Forfatter]

Indlæg