Netsikkerhed

[BjarneModerator Super Nova]

Jeg er blevet klogere. Det har altid undret mig, hvorfor EDB er faldet ud af sproget
til fordel for IT. EDB beskriver fint, hvordan data behandles af et program på en
elektronisk komputer i stedet for med blyant og papir. Informationsteknologi henviser
derimod til teknologien bag fabrikation af udstyr til EDB.
Hvorfor er der sket dette skred, og hvornår er det sket. Jeg har derfor slået ordene op.
EDB er fra 1959 og indførtes for at adskille computerbehandling og en analog
eller manuel behandling. Information technology blev indført som en betegnelse
for teknologien bag produkter til elektronisk databehandling.
Skredet er for mig lige gådefuldt, indtil jeg fik en åbenbaring ved at læse Freeman Dysons
bog om livets oprindelse. Dyson vil gerne argumentere for en dobbelt oprindelse for
den levende celle. Han sammenligner cellen med en von Neumann automat (modellen for
alle nutidens computere, hvis man ser bort fra en “non-von” = kvantekomputer).
En von Neuman automat består af software og hardware. For Dyson er cellekernens DNA/RNA
software og og cellekernes stofskifte er hardware. Dyson argumenterer for, at hardware altid
kommer før software (celler med stofskifte kom før gener med DNA).
EDB (software) er logisk forskellig fra IT (hardware).
Hvorfor beskriver man så kryptografi som IT, når det helt klart er EDB?
Så er vi tilbage ved IBMs introduktion af den personlige computer i 1981.
Ideen var, at den kunne anvendes som et pædagogisk værktøj til at
oplære direktøren om funktionen af IBMs datacenter nede i kælderen.
Den kom til at virke alt for godt på flere generationer af ledere, samt
hele befolkningen. EDB blev identisk med teknologien bag PCens
udvikling under internettets introduktion til masserne.
Overgangen fra anvendelse af EDB til “det der IT” fandt sted i årtiet
1990-2000. Sprogets anvendelse af ord bestemmes af flertallets anvendelse.
Uvidenhed om EDB i den offentlige ledelse har medført den ene skandale
efter den anden. Resultatet er et avanceret spil sorteper om skylden.
Der er måske tegn på, at Statens-IT er ved at forstå de finere sproglige detaljer.
http://statens-it.dk/
Man ser faktisk billeder af servere, ikke PCer.
Men jeg er måske naiv. securityheaders.io giver grade D (1 over F):
X-Frame-Options tells the browser whether you want to allow your site to be framed or not.
og det har de ikke noget imod. Og så er det ikke en krypteret forbindelse.
observatory.mozilla.org er uenig:
Grade F:
Content Security Policy (CSP) header not implemented
HTTP Public Key Pinning (HPKP) header can’t be implemented without https (optional)
HTTP Strict Transport Security (HSTS) header cannot be set for sites not available over https
Does not redirect to an https site
X-Frame-Options (XFO) header cannot be recognized

Staten har åbenbart ikke noget at skjule (mantraet for dem, som anvender det der IT).

BjarneT2017-07-16 11:46:54

[Bjørn SandåkerDeltager Neutron star]

Angående ransomware – I tillæg til hvad Bjarne T allerede har nævnt af preventive tiltag man kan gøre selv, vil jeg anbefale Acronis TrueImage (1), der enkelt genopretter en disk fra backup hvis man bliver rammet (2).

OBS: man behøver ikke at re-installere Windows efter en restore av Image. Alt bliver genoprettet slik det var da man tog backupen, inkluderet Windows. Man kan selvfølgeligt også kun restore en enkelt fil, hvis det er behovet.

Acronis TrueImage koster fra $35-60 men det er uden tvivl verdt det.

1: https://www.acronis.com/en-us/lp/personal/computer-backup/

2: https://www.acronis.com/en-us/ransomware-protection/Bjørn Sandåker2017-07-19 08:14:15

Mvh,
Bjørn

[BjarneModerator Super Nova]

Linux SambaCry på NAS devices:
https://thehackernews.com/2017/07/linux-malware-sambacry.html
Jeg har nu opdateret firmware på min NAS, men den var vist allerede blevet
opdateret for 3 uger siden.

[BjarneModerator Super Nova]

Vi får efterhånden fjernet spoofing fra email, men “Det er legende let at ringe og sms’e på vegne af andre”:
https://www.version2.dk/artikel/paerelet-at-sende-snyde-smser-lave-falske-opkald-dybt-problematisk-1078484
Der er åbentbart et stort pres for at beholde denne “nyttige” facilitet. Teleselskaberne flokkes om
håndvasken. Man vil meget gerne hjælpe kunden med at opklare, hvem hvem der spoofer.
Altså, hvis kunden kan finde ud af spoofingen. Og så anvender man SMS til 2. faktor login.

“Telefoni er i høj grad baseret på en række protokoller kendt under betegnelsen SS7.
Disse protokoller er grundlæggende set designet ud fra et
verdensbillede hvor nationale teleselskaber havde monopol inden for
deres geografiske område.”
“Desuden er der nogle at de usikre elementer i SS7 der med tiden er
ophøjet til rigtige ønskværdige features. For eksempel muligheden for at
kunne manipulere med Caller-ID, derfor er det ikke lige til at lukke
for denne mulighed.”

SS7 lyder som et misilsystem fra 80’erne. Det virker vel efterhånden også på samme måde.

[BjarneModerator Super Nova]

Bad Code Library Triggers Devil’s Ivy Vulnerability in Millions of IoT Devices
https://threatpost.com/bad-code-library-triggers-devils-ivy-vulnerability-in-millions-of-iot-devices/126913/
It is important to remember that code reuse is vulnerability reuse…

[BjarneModerator Super Nova]

iRobots nyeste robotstøvsuger tager billeder og sender via Wi-Fi et detaljeret
kort hjem ti IRobot, som forbeholder sig ret til at sælge det videre.
https://thehackernews.com/2017/07/irobot-roomba-vacuums.html
iRobot was founded in 1990 by Rodney Brooks, Colin Angle and
Helen Greiner after working in MIT‘s Artificial Intelligence Lab.
https://en.wikipedia.org/wiki/IRobot
iRobot er selvfølgelig afledt af I, Robot, der er titlen på en novellesamling
af Isaac Asimov (er uddannet biokemiker) fra 1950.
https://en.wikipedia.org/wiki/I,_Robot
Titlen var forlagets ide mod Asimovs ønske, idet Otto Binder allerede i 1939
havde skrevet en novelle med samme navn.
https://en.wikipedia.org/wiki/Otto_Binder
Nu, da DJØF’erne har brændt fingrene på Det der IT, har de kastet sig over
AI, som de forstår endnu mindre af, som et eksempel på Disruptive Inovation:
Disruptive innovation is a term in the field of business administration which refers to an innovation
that creates a new market and value network
and eventually disrupts an existing market and value network,
displacing established market leading firms, products, and alliances.
The term was defined and first analyzed by the American scholar Clayton M. Christensen and his
collaborators beginning in 1995, and has been called the most influential business idea of the
early 21st century.
https://en.wikipedia.org/wiki/Disruptive_innovation

[astrojensenDeltager Neutron star]

iRobots nyeste robotstøvsuger tager billeder og sender via Wi-Fi et detaljeret

kort hjem ti IRobot, som forbeholder sig ret til at sælge det videre.

Det er jo komplet vanvittigt! Hvis folk virkelig køber sådan én, så har de dælme ikke meget at flytte rundt med på øverste etage. Aldrig skal jeg have sådan én i mit hjem!

Thomas, BornholmAstrojensen2017-07-27 13:15:38

[BjarneModerator Super Nova]

Velkommen til Google-generationen. Statsministerens disruption-kommission er
i virkeligheden inspireret af dot-com-generationen (ideerne er fra 1995).
Den nye Google-generation har først nu opdaget ideerne i forbindelse
med anvendelsen af AI på Big-data. Man kan slet ikke holde fingrene fra
kagedåsen.
Google-generationen har vænnet sig til, at alt er gratis, og hvad skader det, at Google
og andre anvender alle private billeder og alle locations: Jeg har jo ikke noget at skjule.

[BjarneModerator Super Nova]

Når vi er ved AI, så har der de seneste 20 år været en voksende bekymring
ved kunstig generel intelligens og i særdeleshed superintelligens.
Da jeg kan forstå, at ting helst skal forekomme på video, har jeg fundet to foredrag af
Martin Rees og Max Tegmark (som begge arbejder med mørkt stof og strukturdannelse).
https://www.ted.com/talks/martin_rees_asks_is_this_our_final_century
https://www.youtube.com/watch?v=GzCvlFRISIM
existential risk from artificial general intelligence
https://en.wikipedia.org/wiki/Existential_risk_from_artificial_general_intelligence

[BjarneModerator Super Nova]

Martin Rees har også en kommentar til Brexit og “ had enough of experts“:
https://theconversation.com/aliens-very-strange-universes-and-brexit-martin-rees-qanda-75277

[BjarneModerator Super Nova]

Når man skriver om AI, kan man ikke komme uden om Judea Pearls kausale diagrammer.
Han fik i 2012 Turringprisen:

For his achievements, the Association for Computing Machinery,
the world’s largest educational
and scientific computing society,
recently named Pearl the winner of the 2011 A.M. Turing Award,
often
considered computer science’s equivalent to the Nobel Prize. Pearl
developed the theoretical
foundations for reasoning under uncertain
conditions as well as the graphical methods and symbolic
calculus that
enable machines to reason about actions and observations and to assess
cause-effect
relationships.

Pearl’s work is the foundation for Google searches, credit card fraud
detection systems and automated
speech recognition systems. Even IBM’s
Watson, the computer that triumphed over some of the best
players on
“Jeopardy”, owes its superior reasoning power to Pearl’s concepts.
http://newsroom.ucla.edu/stories/judea-pearl-s-impact-on-artificial-231213

Jeg købte hans bog: CAUSALITY: Models, Reasoning, and Inference
for et par år siden, men jeg har desværre ikke fået den læst.

For the future, Pearl said he hopes “artificial intelligence will evolve
in a way that will enable us to
understand ourselves better, because
the ability to emulate is crucial for the understanding.
When we learn
to build robots that struggle with emotions and questions of
responsibility and
morality, we will be able to understand the
architecture of those attributes in ourselves.”

Jeg er sikker på, at anvendelsen disse metoder på “Big Data” kan blive meget nyttig,
men jeg frygter statskundskanbskandidaternes totale naivitet, når de smider alle
disse data på internettet uden den sikkerhedsmæssige omtanke.
Dette gøres ikke ved bare at forbyde misbrug med jura.

[BjarneModerator Super Nova]

Å-nej! Staten har 9263 IT-systemer, som ikke kan snakke sammen.
Det er den totale menneskeliggørelse af nogle stakkels IT-systemer,
som ikke kan finde et rum, hvor de over en kop kaffe kan snakke sammen.
Der er i realiteten tale over nogle databaser, som absolut ikke skal “snakke” sammen.
Det er et menneske, som slår op i dasabasen. Problemet er, at der er for mange databaser.
Man skal sammenflette nogle af databaserne, det man i gamle dage kaldte en samkørsel.
Det var en styg ting, noget man skulle undgå, da man endnu huskede besættelsen.
Men det er næppe realistisk nødvendigt med over 9000 databaser.
Problemet med EFI var, såvidt jeg ved, at man forsøgte at få 2 databaser til at “snakke” sammen.
Snakke betød i denne forbindelse to samtidige opslag/ændringer i de 2 databaser.
Dette virker fint, hvis der kun er 1 bruger, som anvender de 2 databaser.
Men det virkede ikke, hvis der var 1000 brugere, som ændrede i begge databaser
på samme tid. En database sørger internt for, at ændringer for forskellige personer
er synkroniserede. Tiderne blev forskellige i de 2 systemer.

[BjarneModerator Super Nova]

Positive Technologies
Positive Research is one of the largest information security research centers in Europe.
More than 250 world-class experts in protection of SCADA, ERP, web apps, and bank and
telecom systems perform research, pentests, and threat/vulnerability analysis.
Positive Technologies har fundet ud af, hvordan
Disabling Intel ME 11 via undocumented mode:
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Fakta om Intel Management Engine(IME)

En del af Intel Active Management Technology-pakken.
Er en individuel kerne i processoren med egen kode, timer og intern bus.
Har egen MAC-adresse og internetadgang.
Kan tænde og slukke computeren, læse alle åbne filer, tracke keyboard- og mouse-input og tage skærmbilleder.
Bevist usikker og brugt til at få systemadgang i maj 2017.

De skriver om opdagelsen:
Our team of Positive Technologies researchers has delved deep into the internal architecture of Intel
Management Engine (ME) 11, revealing a mechanism that can disable Intel ME after hardware is
initialized and the main processor starts. In this article, we describe how we discovered this undocumented mode and how it is connected with the U.S. government’s
High Assurance Platform (HAP) program.

Intel har følgende kommentar til opdagelsen:
Mark/Maxim,
In response to requests from customers with specialized requirements we sometimes explore the
modification or disabling of certain features. In this case, the modifications were made at the request
of equipment manufacturers in support of their customer’s evaluation of the US government’s “High
Assurance Platform” program. These modifications underwent a limited validation cycle and are not
an officially supported configuration.

Den amerikanske regering har altså sikret sig, at deres Intel-maskiner ikke kan overvåges
af IME helt uden om styresystemet. Hvad men den danske regerings Intel-maskiner?
For slet ikke at tale om vore private Intel-maskiner?

[BjarneModerator Super Nova]

IME problematikken var kun teoretist indtil maj måned dette år,
hvor en sårbarhed blev afsløret. At denne er ekstrem alvorlig kan man læse her:
https://www.ssh.com/vulnerability/intel-amt/
Every IT administrator should read this page or otherwise familiarize themselves with
the vulnerability and how to address it. Home users and non-IT, non-security folks can
mostly ignore this. However, some high-end laptops and desktops are also affected and
we will be posting information here as it becomes available.

Any server based on Intel processors manufactured since 2009 includes AMT (though the vulerability
apparently only started shipping in 2011). In practice, this means all Intel processor based servers
and lots of other equipment, such as firewalls, security appliances, key management vaults
(such as HSM), and digital telephone networks.

One is left wondering if Intel only released the vulnerability now because it had leaked and port
scans for it had escalated in a way that forced its hand. This kind of vulnerability is extremely
valuable for intelligence and cyberwarfare operations, and various conspiracy theories abound.
In any case, if it is true that Intel has known of the vulnerability for years, then it can only be
considered an intentional backdoor.

Man kan jo selv læse listen over kendte modeller, som kan angribes.
Det er jo en katastrofe.

[BjarneModerator Super Nova]

Det er på høje tid, at opfindsomheden ikke anvendes til at bryde ind i gamle
Samsung telefoner for at foretage opkald til numre på telefonlisten, men
i stedet anvendes til at finde sikkerhedshuller i telefonerne.
Samsung har netop åbnet et “Bug Bounty” program med en ret stor præmie.
https://thehackernews.com/2017/09/samsung-bug-bounty-program.html

[Forfatter]

Indlæg