Nobunaga

Det som KAN skje er at jeg plutselig får reklame fra utenlandske nettlege-sider om diverse medisiner på billigsalg, fordi en eller annen underbetalt inder selger databasen videre mot litt betaling.

Eller mye verre ting. Helsedata er jo helt åpenbart grunnlag for utpressing for eksempel. Politikere, ambassadører, næringslivstopper...

Selvfølgelig!

Offentlig sektor er full av folk uten kompetanse, og folk som overhodet ikke evner å tilpasse seg noe som helst nytt.

Og når ingen er ansvarlig, verken for sine gjerninger eller ugjerninger, får det heller ingen konsekvenser for ansatte som gjør alvorlige feil, som for eksempel å bruke passord som 123 o.l.

 

Jeg har jobbet i mange år med mange av norges største private selskaper. Det står ikke noe bedre til med hverken holdninger, kompetanse, tilpasningsevne eller arbeidsmoral i det private kontra det offentlige. Mange flinke – og mange døgenikter begge steder.

Det kommer slike lister flere ganger i løpet av ett år og det er ikke mye som endrer seg. Kan ikke noen se hva slags passord som har sunket i omfang? Det er jo det som er interessant.

 

Det er problemet med disse "årlige lekkasjene". De inneholder ikke siste års passord – de inneholder alle passord fra disse tjenestene fra tidenes morgen. De er gjerne hunngamle. (Det er vel ofte derfor de blir hacka – de er gamle med gammel, utdatert sikkerhet).

Så derfor får vi resirkulert i pressen i all evighet at "password" og "123456" er "årets verste" passord. At svært mange nå har bytta, i forskjellige retninger, vil dermed ikke klare å toppe statistikken. Så vi kommer i årevis til å lese om de samme eldgamle, dårlige passordene – selv om brukerne antageligvis har forbedra seg. Jeg tviler ikke på at mange bruker dårlige passord, men disse listene er ganske verdiløse som grunnlag.

 

Tipper Norsk venstrevridd-media nå gnir seg i hendene og håper på bedre tider for sine nyheter, hvis andre medier blir forhindret fra å slippe til med sannheten.

 

Som om fakta ikke er en objektiv ting tenker du?

Fakta er ikke en objektiv ting. Det er mange måter å se og vurdere en sak på. Noen er enkle; når Donald sier det ikke regnet når han ble innsatt som president og alle sitter med paraplyer er det ganske åpenbart løgn.

Men hva med for eksempel Brennpunkt og reportasjen om rumenerne i Bergen. Er den reportasjonen falsk fordi de brukte feil bilder? Eller er den Korrekt, med grønt smilefjes, siden det "stort sett" er velbegrunnet? Eller skal programmet stemples som "Delvis sant"?

Jeg er ikke så sikker på om slike tjenester hjelper oss i vår evne til kritisk tenkning eller om det bare er enda mer fordummende.

Sikkerhet basert på NRK serien Valkyrien?? Hallo? Vet de ikke at dette er en fiksjonsserie? Fiksjon = fri dikting. Her må de ta seg sammen. Baser i det minste nasjonal sikkerhet på en Reality serie. De er fra virkeligheten i det miste. Makan!

Er det mulig? Jeg kan ikke trekke noen annen konklusjon enn at utviklermiljøene hos Cisco må være så fullstendig nedkjørt at de ansatta bare gir fullstendig faen. Dette skjer ikke på en sunn arbeidsplass med oppegående medarbeidere.

Litt off topic, men jeg har alltid tenkt på hvordan et CyberForsvar kommer til å fungere i en pressa situasjon. Med store, komplekse systemer som bank der de hver dag har real-life situasjoner, vedlikehold og en kontinuerlig overvåkning av reell bruk. Og så likevel klarer de ikke å få det til å være stabilt. (Gjelder alle bankene, og det skjer jo hele tida!)

Hvordan tror du et CyberForsvar vil fungere? Der har de ingen reell, kontinuerlig testing, bare lissom-scenarioer. Lissom øvelser og i en trengt situasjon vil fienden helt sikkert finne på noe de "Ikke har tenkt på". Og så får vi en "backupløsning som viste seg å ikke fungere" ... og så videre. Jeg er ikke så optimistisk... Takk for meg.

 

Tipper den gjennomsnittlige DNB-ansatte fint kunne vært byttet ut med mer kompetente folk slik at ikke DNB mister all kred i IT-bransjen..

Det kan, og er høyst sannsynligvis, organisatoriske problemer. De har jo akkurat byttet driftsleverandør til et indisk selskap. Historien har gang på gang vist seg at det ikke er smart, men feilen gjentas gang på gang. 

 

Det kalles "Å gå fra Evry til India" og erstatter et annet kjent norsk ordtak.

"...en liten forsinkelse av feilrettingen av utdatert programvare fordi programvaren har blitt sjekket manuelt".

Og altså tydeligvis ikke blitt "sjekket manuelt" på svært lang tid.

Hvorfor har ikke et sted som dette orden på automatisk sjekk av så banale ting som at krypteringen forsvarlig?

Hvordan står det da til med interne rutiner og sikkerhet som ikke kan sjekkes så lett utenfra? Ting som også "sjekkes manuelt". Ikke fritt for at jeg tenker mitt.

Et kupp av Vickery dette. Ikke bare kommer han opp i medieomtaler, han får i tillegg omtalt MacKeeper, som trolig er noe av det verste søppelet man kan installere på en Mac.

:-(

 

Absolutt!! MacKeeper er ansett som Malware av mange – med god grunn. Jeg ville være svært forsiktig med å bruke MacKeeper som kilde:

http://www.thesafemac.com/ongoing-mackeeper-fraud/

Man finner knapt noen person som fenger ungdommen bedre enn Matti Nykänen vil jeg tro...

Hvorfor lar de 50-åringer bestemme innhold i reklame retta mot ungdom? "Ja, han husker jeg godt fra jeg selv var ung, han er sikker poppis enda!"

Litt interessant at nærmeste parallell til å omtale sine brukere altså er "krigsfanger".

De kan vel ikke ha satt bort IT-jobben til et lavkostland vel?

For det kan ikke være noen større risiko for en innsidejobb når arbeiderne jobber hele døgnet for luselønn og plutselig får et "godt tilbud" i bytte mot noe?

Nei, det høres heelt usansynlig ut.

Minner mest om en samtale mellom Jensen og Cappelen

 

Kortnummer vises i format 123456XXXXXX1234.

 

Hvor ser du det?

Også synes jeg det er litt artig at noen mennesker uten problemer selger sine handlevaner for 10% rabatt, men fortsatt synes handlevanene er som sensitive å regne

 

Folk forstår ikke rekkevidden av sånne ting, derfor selger de det for 10%. Det er forståelig.

At Rema later som at det ikke er sensitiv informasjon er en helt annen ting. Det betyr at Ræma ikke synes det er så nøye med sikkerheten rundt dette. Det er oppsiktsvekkende.

Hadde vært moro med litt mer data om hva som har skjedd - det er ganske fantastisk om de ikke har implementert tokens på API-nivå for å kun serve data om faktisk pålogga bruker. Da burde noens hode rulle. En mer plausibel forklaring kan være en helt enkel bug - altså at tokens ikke har blitt korrekt sjekka når et request kom inn. Det er ille, men tilgivelig. 

Det kommer også litt an på hva som er sladda bak kortnummeret. Hvis de har kortnummer og utløpsdato lagret ukryptert, slik det kan se ut som i skjermdumpen, er det ikke en glipp.

 

Det mest bekymringsverdige her er i mine øyne Remas tilbakemelding. Den er ikke tillitsvekkende.

Jepp, lurer på

 

1) hvaslags kryptering de hadde ...

2) hva som er ulovlig med å aksessere åpne data hvor ingen tilgangssperrer er implementert

3) hva det kommer av at brukerne behandles ulikt, noen legges ut åpent på nett mens andre får beholde privatlivets fred

4) hvorfor kortnummere ikke er sensitive data

 

Svært relevante spørsmål. I tillegg til det du nevner kommer også den fatale "opplysningene er heller ikke å anse som sensitive personopplysninger, mener Rema".

Hvis de virkelige mener det, har de ikke forstått hva Big Data er. Hvis de ikke synes hva du handler er sensitivt, vil det si at Ræma ikke ser det som et problem å selge disse opplysningene videre til andre. For eksempel til forsikringsselskaper (Ræma har nå også sitt eget forsikringsselskap!). Som ser at du kjøper mye smør, servelat og grandiosa, og setter opp en score på hvor sunt du antatt lever. Vær sikker på at helseforsikringen din går opp. Og så videre. Det er svært gode grunner til at Ræma vil gi deg 10% rabatt bare for å kunne kartlegge hva du kjøper. Disse dataene er utrolig verdifulle.

En oppfordring til Ræma; innse at det dere sa var fullstendig på bærtur, legg dere helt flate, anerkjenn den gode gjerning "hackeren" gjorde og be om unnskyldning. Og ta sikkerhet på alvor!

Dette er neppe de "mest brukte passordene i 2016".

Det er selvsagt gøy overskrift, men kildene er nok dumper av passordbaser som inneholder passord fra mange, mange år tilbake. Det er ikke bare de nye kontoene fra 2016. Så når de skriver "The list of most-frequently used passwords has changed little over the past few years.. That means that user education has limits" er det neppe egentlig overens med datagrunnlaget.

Hva med å installere alle kritisk oppdateringer automatisk?

 

..og for å finne firmwaren gjør routeren et DNS-oppslag for å vite hvor den automatisk skal laste ned fra. :-)

Hva med å legge inn krav til når man første gang tar i bruk en router så MÅ man endre alt av standard innstillinger (brukernavn/passord, ssid) for å i det hele tatt kunne bruke den?[...]

 

Har ikke de fleste routere for hjemmemarkedet dette allerede? Unike pålogginger basert på en hash av MAC-adressen, klistret på et klistremerke på routeren. Men det er kanskje bare de som distribueres av ISPer som har dette?

 

Jeg forstår svært godt hva du skriver, og hvorfor du velger å fokusere på det du gjør. (Og jeg ga deg også den reaksjonen du ønsket slik at du kunne bli forulempet). Værsågod.

 

 

Jeg fokuserer vel strengt tatt på at det er fint at alle gir, og oppfordrer sågar andre til å gi, med et lite stikk om lønnsnivået.

Verre hadde det tross alt vært dersom jeg hang meg helt opp, å skrev ufine tirader om andre som oppfordret til å gi penger, slik som deg.

 

Du bruker mesteparten av innlegget ditt på å fokusere på lederlønninger, og dernest "oppforderer" du alle til å gi en mikrosum som er – såvidt jeg kan se – mindre enn halvparten av det minste som blir gitt der. Ikke så forbanna hjertelig oppfordring med andre ord - noen ville kanskje kalle det en oppfordring til å markere motstand heller enn en oppfordring om å faktisk bidra.

Og så spiller du fornærmet når jeg påpeker det? Innlegget er hyklersk. Du må gjerne kokettere om det, men det er ingen tvil om hva du mener.

 

 

Jeg synes kommentaren din er flåsete. Du mener altså at hvis ikke man selv kler seg i filler og strør aske i håret kan man heller ikke gjøre noe som helst for andre? Du mener at Røde Kors ikke skal ha en profesjonell organisasjon - men der absolutt alt går til nødhjelp? Og at når de som jobber der ikke lever av frivillige almisser, så har du rett til å hovere og gjøre narr av dem for "dobbeltmoralen" deres?

 

Jeg gremmes over lese det du skriver.

 

 

Da kanskje du bør ta på deg lesebrillene, å gå i deg selv, for dette er vel ikke i nærheten av det jeg skriver.

 

At jeg, som oppfordrer andre til å gi penger, skal belemres med slike flåsete kommentarer, anser jeg som frekt, og langt over grensen.

Jeg har selv gitt penger til denne saken, og antar at du også har donert noe ettersom du rakker ned på andres bidrag på en slik ufin måte.

 

Jeg gremmes over å lese det du skriver, og du bør skamme deg.

 

Jeg nevner dog lønningene til ledelsen, å det gjør jeg nettopp fordi de faktisk lever av frivillige almisser, gitt av folk som ønsker å hjelpe, slik som meg. Hvordan de går kledd interesserer meg dog ikke, og jeg har ikke kommentert det heller.

 

Som nerd henger man seg jo litt opp i slike ting som at dersom det samles inn rundt 3 millioner kroner, så har vi knapt dekket lønnen til lederen av denne organisasjonen i år, og det er litt sært å tenke på når man gir penger for å hjelpe barn i Syria, ikke byråkrater i Norge.

 

Jeg forstår svært godt hva du skriver, og hvorfor du velger å fokusere på det du gjør. (Og jeg ga deg også den reaksjonen du ønsket slik at du kunne bli forulempet). Værsågod.

Det er imponerende at man allerede har samlet inn 504 109 kroner til Røde Kors, det dekker en tredjedel av lønna til generalsekretæren.

 

Dersom alle nerder gir litt, burde vil vel klare å dekke hele lønna til Apeland på et par mill, og kanskje til og med en sekretær eller to i tillegg, altså totalt rundt 4 millioner kroner i løpet av julen.

 

Jeg oppfordrer alle til å gi 47 kroner, som er 42 regnet med inflasjon (svaret på alt), og også er Star Trek-relatert, det blir ikke mer nerdete enn det.

 

Jeg synes kommentaren din er flåsete. Du mener altså at hvis ikke man selv kler seg i filler og strør aske i håret kan man heller ikke gjøre noe som helst for andre? Du mener at Røde Kors ikke skal ha en profesjonell organisasjon - men der absolutt alt går til nødhjelp? Og at når de som jobber der ikke lever av frivillige almisser, så har du rett til å hovere og gjøre narr av dem for "dobbeltmoralen" deres?

Jeg gremmes over lese det du skriver.