pthorsheim

-Night- skrev (3 timer siden):

DNSSEC er heller ikke kryptering av DNS kun signering og validering av oppslaget. skal en ha kryptering på DoH/DoT tas i bruk.

Veldig få offentlig i Norge i dag har DNSSEC aktivert på sine tjenester. 

Jobber hardt for å få flere til å ta i bruk DNSSEC. Anbefalt av EU, Digitaliseringsdirektoratet og NSM. Brukes av bl.a. NSM og Datatilsynet, burde jo være grunn god nok. Microsoft har det "rett rundt hjørnet" nå for O365 / mail. 

nai1sirk skrev (1 time siden):

Først og fremst, IT sikkerhet handler ikke om å vurdere risiko ved å si "Ingen gidder vel å hacke på denne måten"

 

Greit, innhold er kryptert, men metadata er ikke, og alle vet at ingen er interessert i metadata! Dette er like dust som å si at Datalagringsdirektivet var OK, fordi det var kun metadata.

Faren med å gå ut på denne måten er at flere følger i samme fotspor, åpner opp gjestenett uten å ha samme funksjonalitet på plass, som jeg regner med Choice har.,

UX er vel ikke et stort argument i 2021, da jeg regner med de aller fleste gjestene har erfaring med å taste inn et wifi passord fra før.

Men med de kvalifikasjonene Per har, så regner jeg med at han sannsynligvis har overveid dette, og at en WPA2 PSK som alle gjestene kjenner kanskje ikke gir meg den tryggheten jeg tror jeg får?

UX er fortsatt et argument for utrolig mange hotellgjester, fra pensjonister til konferanse- og møtedeltagere. Det går med MYE tid til veiledning på det området. Med åpent wifi uten captive portal kan det ikke bli enklere. Fornøyde gjester, penger spart.

Og WPA2 PSK har du helt rett i at du ikke skal stole på ene og alene.

OrIoN89 skrev (25 minutter siden):

Jeg jobber med it og har blitt hacket flere ganger. Kun for å være en motpol. Jeg hater det passordhelvette vi er i, men aldri bruk default passord eller blank.

Jeg har også blitt hacket et par ganger. Det har aldri vært fordi noen har sittet i umiddelbar nærhet av meg og kjørt wifi mitm (Hak5 Pineapple el.tilsv.), eller vært på samme åpne wifi som meg og fått tilgang til brukernavn, passord eller delte diskområder på min maskin.

DiskIT skrev (På 6.6.2021 den 4.59):

Må det være så svart / hvitt da?

Ja, de fleste forbrukere benytter krypterte tjenester, men bedrifter har ofte systemer som prater helt eller delvis på ukrypterte eller svært usikre måter. Advarselen om at åpne nett er usikre bør bestå, men kanskje omskrives slik at det kommer klart frem at det er en reell fare for at noen lytter på trafikken din. Flere av bedriftene jeg er innom må fortsette med interne retningslinjer om vpn eller lignende for jobb på reise.

Anyway... Kan ta med meg litt utstyr på et hotell med åpen WiFi en helg, så kan jeg vise hvor mye som fremdeles er åpent... Du peker på flere av sårbarhetene selv. En vanlig bruker vil nok ikke utsettes for dette da det krever at angriperen er i nærheten, men industrispionasje er en reell og økende trussel i vårt land. Utrolig naivt å ikke nevne dette.

Debattinnlegget mitt var langt nok allerede. 

Husk nå at poenget med debattinnlegget mitt er å bli kvitt rådet om at man helst aldri skal bruke ukryptert wifi, nettopp fordi om man har kryptering eller ikke mellom sin pc og aksesspunktet i taket har tilnærmet null verdi, det er ikke der man blir mitm hacket!

Jens Evensen skrev (På 5.6.2021 den 20.47):

Vi besluttet å ha et enkelt passord på vårt gjestenett og kutte ut captive portal. Et spørsmål vi stilte oss når beslutningen ble tatt var om vi på noen måte kunne bli stilt ansvarlig for trafikken på nettet. For eksempel innhold med overgrep og liknende. Ikke at vi mistenkte legitime brukere av gjestebruker for dette, men nettet er jo også tilgjengelig utenfor bygningen, blant annet på et utested. Er det noen som har noe svar på dette? Altså om eier kan stilles ansvarlig for bruken av et åpent trådløst nett? 

Jeg tror det skal mye til for at en virksomhet som tilbyr internett aksess kan holdes ansvarlig for det en bruker gjør på nettet. Det gjelder fra internett operatør til den lokale kaffesjappa - og hotellkjeder. At politiet tar kontakt for å forsøke å finne ut hvem som har hatt en gitt IP adresse på et gitt tidspunkt er velkjent, og her varierer det sterkt i hvilken grad virksomhetene har noe å bidra med.

Dersom sporene går hjem til deg og ditt private nett, så vet jeg ikke hvordan situasjonen stiller seg. Jeg vil uansett anbefale at du ikke kjører hjemmenettet ukryptert. :)

1) Ikke spesielt innovativt eller fremoverlent av Telenor å si at de ikke tilbyr 2FA fordi det er liten etterspørsel etter det. Utfordringen er jo at folk flest fortsatt ikke vet hva det er, og vet heller ikke hvilken risiko de tar når de ikke har det.

2) Google har app-spesifikke passord som en slags balansert løsning ved bruk av POP/IMAP mot Gmail, når man har 2FA på sin Google konto. Istedenfor å bruke sitt vanlige Google passord, så lager man et automatisk passord hos Google kun til dette formålet, og som ikke gir adgang til hele Google kontoen din. Om Telenor glemte, eller ikke kjente til dette som et løsningsalternativ så greit nok, men POP/IMAP bør ikke være argument for å ikke tilby 2FA, f.eks. til egen Telenorkonto.

3) Telenor var jo meg bekjent med på å utvikle BankID Mobil her i Norge, og det ga jo også den konsekvens at de ville ha 50 øre for gang det ble brukt over deres abonnement. Hva med å tilby 2FA med en løsning de selv har vært med og utviklet, og som er kjent for de aller fleste nordmenn?

Så OBOS har tatt i bruk en SMS verifiseringstjeneste fra Google? En ting er at amerikanske NIST i sitt utkast til ny versjon av SP800-63B for digital autentisering fraråder bruken av SMS til å sende "hemmeligheter" ved autentisering. En annen ting er hvilke data Digits (Google) sitter igjen med når du bruker deres tjeneste med SMS eller blir oppringt.

Grunn nok til å laste ned appen, lese vilkårene og kikke på datatrafikken.

 

Det kommer slike lister flere ganger i løpet av ett år og det er ikke mye som endrer seg. Kan ikke noen se hva slags passord som har sunket i omfang? Det er jo det som er interessant.

 

Det er problemet med disse "årlige lekkasjene". De inneholder ikke siste års passord – de inneholder alle passord fra disse tjenestene fra tidenes morgen. De er gjerne hunngamle. (Det er vel ofte derfor de blir hacka – de er gamle med gammel, utdatert sikkerhet).

 

Så derfor får vi resirkulert i pressen i all evighet at "password" og "123456" er "årets verste" passord. At svært mange nå har bytta, i forskjellige retninger, vil dermed ikke klare å toppe statistikken. Så vi kommer i årevis til å lese om de samme eldgamle, dårlige passordene – selv om brukerne antageligvis har forbedra seg. Jeg tviler ikke på at mange bruker dårlige passord, men disse listene er ganske verdiløse som grunnlag.

 

En nettside eier kan også bekjempe dette ved bruk av  HPKP, dette låser websiden og forteller nettlesern at den kun skal vise siden dersom disse sertifikatene er til stede 

 

Mjo, men:

 

«Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.»

http://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with-local-proxies-and-filters-

 

Det samme gjelder Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=1168603

 

Det vil si at HPKP ikke hjelper når IT-avdelingen har installert rot-sertifikatet de benytter i MITM-proxyen på alle maskinene i bedriften.

Nemlig. Og der er jeg redd for at bedrifter på sviktende grunnlag og mangelfull kompetanse gjør seg selv til root CA internt, og potensielt installerer en heftig bakdør på hver eneste maskin i nettet sitt. Krypto er for alle, men bare for noen få å implementere. :-)

 

GRATULERER SÅ MYE! Dette er kanonbra, og et stort og viktig skritt fremover for å bedre sikkerhet og personvern for lesere, kilder og ikke minst sikre både tillit og inntektsstrømmen til de ulike tjenestene som leveres av TU Media!

 

Protip: få ekstern hostingleverandør til å skru på støtte for HTTP/2 ASAP for å få raskere sidelasting!

 

Takk for hyggelig gratulasjon. Når det gjelder HTTP/2 venter vi visstnok på skikkelig støtte for dette i Varnish. Foreløpig er den nok litt vel eksperimentell:

 

https://www.digi.no/artikler/ti-ar-etter-starten-er-varnish-5-0-klar-til-bruk/351623

Mmmm. Det der hørtes litt eksperimentelt ut for å tas i bruk uten videre i prod ja. Glad for å se at dere har DNSSEC for digi.no også. Tips hostingleverandøren om DANE TLSA også: https://www.peerlyst.com/posts/configuring-and-using-dane-tlsa-records-per-thorsheim-1

GRATULERER SÅ MYE! Dette er kanonbra, og et stort og viktig skritt fremover for å bedre sikkerhet og personvern for lesere, kilder og ikke minst sikre både tillit og inntektsstrømmen til de ulike tjenestene som leveres av TU Media!

Protip: få ekstern hostingleverandør til å skru på støtte for HTTP/2 ASAP for å få raskere sidelasting!

Knallhard men også mangelfull/farlig SPF policy hos Subsys, og ingen DMARC. Blir ikke overrasket om det er ene og alene Subsys som er årsak til problemene. At Google er strengere på filtrering iht avsenders policy (Subsys) enn hva Microsoft er kan man liksom ikke klandre dem for....

Har aktivert og brukt WiFi tale på min iPhone 6, og BankID på mobil fungerer fortsatt som det skal. Dog ikke testet hvorvidt BankID på mobil fungerer med WiFi tale.

Er det noen som snakker om noe hemmelig på FB? Alternativt: hvis du har noe å viktig å meddele, ville du da velge FB?

 

Edit: når jeg tenker meg om så vet jeg at Telenor sjekket innhold i alle SMS på nittitallet. De sa det aldri direkte, men du skjønte det av måten de markedsførte seg på...

 

SMS er og blir "enkelt" å få tilgang til, både for "hackere" og statlige aktører rundt om i verden. Draft NIST SP800-63B i USA sier eksplisitt at SMS ikke bør benyttes lengre til sterk autentisering pga de velkjente mulighetene for avlytting og misbruk.

Er vel en forsvinnende liten sannsynlighet for at du får ta denne med deg i håndbagasjen gjennom sikkerhetskontrollen....?

Akter å kjøpe meg en Q6600 + HK, vifte og RAM, akter å overklokke.

Her er behovet:

Skal kjøre fortrinnsvis med 8Gb minne (alternativt minimum 4, har noen sære interesser som krever mye minne), og Vista/Linux. Har pr i dag et ordinært kabinett med god lufting og en 600W+ strømforsyning. Ønsker å overklokke, men ikke mer enn at maskinen totalt sett fikser å få kjørt cpu + minne 100% over dager/uker/måneder i strekk (igjen: sære interesser).

Luftkjøling holder, vann hører fortsatt ikke hjemme i maskiner eid av meg. DDR2 minne, trenger strengt tatt ikke 2 nettverkskontakter eller firewire, men litt SATA porter og en eSATA port er alltid greit å få med.

Skjermkort: Har et MSI 8600GTS med passiv kjøler (holder i lange baner for min bruk).

Ønsker anbefaling på hovedkort og minne som egner seg til overklokking med Q6600 iht. ovenstående. Dersom noen i tillegg faktisk kan si noen ord om egen erfaring og config for overklokkingen, så hjertelig takk!