Jump to content

Tom Som

Medlemmer
  • Content Count

    21
  • Joined

  • Last visited

Community Reputation

15 :)
  1. Kjøpte 903 og powerplay da det kom. Byttet mus for dobbelklikkproblem allerede første uken. Den nye musen varte en stund, men også denne begynte med dobbelklikkproblematikk etter hvert. Garantien hadde gått ut, så jeg skrudde musa fra hverandre, åpnet bryterne og fikset dem selv (renset kontaktflatene i bryterne). Deretter gikk det et par år og så begynte moroa igjen. For noen uker siden skrudde jeg den så igjen fra hverandre og fikset bryterne, men etter operasjonen hadde en av bryterne blitt så løs at den ikke ga motstand/presset tilbake og jeg måtte løfte fingeren igjen mellom hvert klikk. Jeg valgte derfor å bytte bryterne til slutt. For de av oss som ikke blir skremt av slike operasjoner, er det få mus på markedet som kan måle seg med dette, men jeg vil påstå at kvaliteten på Logitech-mus er så dårlig nå at de fleste bør styre unna.
  2. Vi skal selvfølgelig gå langt i å hjelpe ungdom som sliter, det er det ingen tvil om, men jeg må allikevel si at jeg er skeptisk til retningen dette tar. La oss si at dette starter med å flagge 13 år gamle Jens. Som følge av dette får han tilbud om å prate med en bot. Alle som har pratet med slike boter vet at det er svært lite annet de kan gjøre enn å peke på informasjon, tipse om å ringe hjelpetelefoner osv. Jens klikket på et par av linkene som boten anbefalte, men kjente seg ikke helt igjen i bildet som ble tegnet og tok derfor ikke kontakt videre. I det Jens la ut disse meldingene som førte til denne kontakten, benyttet han en skolelaptop. Maskinen er fullstendig administrert av skolen. Administrert er forresten et interressant ordvalg i denne sammenhengen. I praksis har skolen en systemadministrator som skal sikre at maskinene fungerer til å gjøre skolearbeid, men hvor informasjonssikkerhet og personvern er ting som ikke blir prioritert høyt. Mens Jens går for å spise middag, er det nå cookies på maskinen hans som indikerer at en Social Health Bot har klassifisert ham med høy sannsynlighet for spesifikke mentale lidelser. Google Analytics er over alt, og Google er derfor i ferd med å komme til den samme konklusjonen basert på hans surfehistorikk på disse sidene. Videre hadde Jens installert div. plug-ins i nettleseren for tekststøtte som han bruker til skolearbeidet (oversettelse, gramatikk osv.). Disse tjenestene har full oversikt over alt Jens har skrevet og hvilke interaksjoner han har hatt via nettleseren (inkludert private fora, boter osv.). All denne dataen selges til data brokers som selger denne dataen videre igjen til alle som ønsker. Jens begynner nå å motta mer rettet reklame på nettet som kynisk selger produkter til personer med samme profil (slankeprodukter til ungdom med spiseforstyrrelser osv.). Du tenker kanskje at dette ikke er så farlig i seg selv, men om 5-10 år kan det hende Jens nektes sikkerhetsklarering og karrieremessige dører lukkes som følge av dette. Det kan hende han nektes innreise til land han ønsker å reise til osv. og da begynner dette å påvirke livet til Jens ganske direkte. ...Social Health Bot i seg selv er kanskje en fin tanke. Allikevel er det så uendelig mange anledninger til å misbruke denne type informasjon. Jo mer presis boten er i sin diagnose, jo mer verdifull vil denne indikasjonen være for de som ønsker å profittere på Jens' profil. Hovedproblemet her ligger selvfølgelig i forskjellige myndigheters fråtsing i informasjon, Amerikansk kultur for kommersiell overvåking koblet med deres markedsdominans innen teknologi. Man kan nok sikkert påstå at dataen allerede finnes der ute og at tekststøtte-verktøyene og andre nettleser plug-ins allerede har tilgang til mer detaljert data osv. Men er det riktig av oss å ignorere vårt ansvar med disse argumentene og bidra til å forsterke problemet?
  3. Man bør heller omdirigere midlene slik at vi får flere politifolk synlig i gatene og dessuten ut på veiene. Sett inn tiltak der det faktisk redder liv!
  4. Det er din tolkning. I realiteten har de fleste team godt av å ha både introverte og ekstroverte personligheter. Dersom du har et team som allerede har en grei balanse, betyr det som regel lite om de du ansetter er introverte og ekstroverte. For stillinger hvor man som regel forventer det ene eller andre, kan det av og til være på sin plass å opplyse om at man ikke ekskluderer. Ville du for eksempel tenkt på en tydelig introvert person som en god kandidat til å være programleder? Jeg tipper overraskende mange gode programledere er introverte. Tilsvarende tror jeg det er mange ekstroverte personer som gjør det bra med tungt analytisk arbeid som programvareutvikling. Den eneste gangen hvor jeg man burde ha preferanser er dersom teamet allerede har en tydelig overvekt av den ene personlighetstypen. Ellers hadde jeg nok helst ville unngå å ha en overvekt av FP-personligheter i et utviklerteam 😉
  5. At Amedia har sovet på vaktposten sin synes sannsynlig. Allikevel er det svært graverende når Knowbe4 går ut og kritiserer Amedias arbeid med å sikre sine tjenester på den måten de gjør, uten en gang å ha tilstrekkelig informasjon om hva som har skjedd. En slik useriøs aktør kommer i alle fall ikke til å bli vurdert positivt neste gang vi vurderer nye leverandører. At Knowbe4 tillater sine ansatte å gå ut i media og representere organisasjonen på en slik måte vitner om dårlige rutiner og opplæring internt hos dem.
  6. Sikkerhet starter med organisasjonens ledelse. Først når ledelsen ser verdien av å investere i sikkerhet, vil man ha rom for å kunne lykkes. Hvor trist det enn er, så er det skrekkeksemplene i media som påvirker ledelsen, ikke fagfolk fra en sene, og i alle fall ikke bevisstgjøringskampanjer. Bevisstgjøringskampanjer kan bidra til å bygge en sunn kultur i organisasjonen slik at de ansatte tenker seg to ganger om før de klikker på en link og kanskje til og med rapporterer suspekte hendelser, men stort mer enn det kan man ikke regne med å få ut av et opplæringsprogram. Resten må støttes med teknologi, gode prosesser samt god risikostyring. Nesten alle hendelser man leser om i media hadde kunne vært unngått dersom organisasjonen som ble rammet hadde hatt tilstrekkelig fokus på informasjonssikkerhet for det er slett ikke et vanskelig fag og det finnes mye god teknologi, rammeverk og gode retningslinjer å støtte seg på for de som er villige til å erkjenne at det er nødvendig.
  7. Hvorfor kjøpe en CPU til 1 000€ når du kan få en hel fabrikk til 10€? – jeg tar 100 fabrikker takk!
  8. Simula sin app var en fiasko. Det tror jeg selv Simula er enig i. Når det gjelder appen som er bygget på Apple og Googles rammeverk, er den omtrent så god som det er mulig å få til. Når FHI går ut og minner de unge om å bruke appen, er det god grunn til å anta at den representerer et vesentlig bidrag til å lette arbeidet med smittesporing. Av respekt for den jobben FHI gjør og for ikke snakke om samfunnet generelt, anser i alle fall jeg det som min borgerplikt å bruke denne appen.
  9. Jeg vil faktisk påstå det motsatte. Pandemien og hjemmekontor har gjort oss vesentlig mer effektive i å kommunisere via skybaserte løsninger som gjør oss mindre sårbare og mer effektive i håndteringen av slike hendelser. Det er også lettere enn noen gang å stenge ned og isolere enkelte tjenester som gjør at angrepsflaten raskt kan reduseres. Til sist er det også mindre homogene løsninger som medfører høyere kompleksitet for å kunne ta ut alt (vi har ikke alle eggene i samme kurv lenger).
  10. Når forensicsarbeidet begynner å trekke konklusjoner, tror jeg det vil være tydelig at de trusselaktøren har beveget seg sideveis. Jeg tror også det vil bli pekt på at dataen har endt opp i Kina. Dette er selvfølgelig bare spekulasjoner og det kan hende du blir overrasket eller at jeg blir det. Uansett føler jeg meg ganske trygg på min antakelse.
  11. Komisk med all denne fokusen på "vi kunne ikke ha avverget angrepet". Det er selvfølgelig lite man kan gjøre når man blir rammet av 0-dagssårbarheter i systemer man benytter og som står eksponert mot Internett. MEN... Normal sikkerhet og zero trust-modeller vil gjøre at selv om exchangeserveren blir kompromittert, så får angriper begrenset mulighet til å flytte seg sideveis i nettverket og kompromittere andre tjenester. I mine øyne er det et åpenbart hull i dialogen her...
  12. Med tanke på hvor mye myndighetene i USA presser teknologiselskapene til å innføre bakdører, forstår jeg at Zoom ønsker å fremstå som gode borgere. Jeg ser også at dette kan være et godt argument for hvorfor bedrifter skal tegne avtaler med Zoom i stedet for å benytte gratistjenesten. Som vanlig er nok dette i realiteten kun spill for galleriet. I en reell etterforskning, tilsvarende FBI/Apple i forbindelse med San Bernardino-saken, vil Zoom gjøre alt de kan for å etterleve myndighetene og dersom de har teknisk mulighet til å deaktivere kryptering, vil dette gjøres. Som motstykke, er det ikke veldig vanskelig å skaffe seg en Zoom-lisens og dersom alle overgripere vet at de fritt kan distribuere video med overgrepsmateriale mot barn bare de er tilknyttet et bedriftsabonnement, vil ikke dette initiativet hjelpe noen.
  13. Hot off the press: Hundretusenvis av navn, adresser og telefonnummer ligger åpent tilgjengelig i landets telefonkiosker - Televerket beklager dårlige kontroller for sikring av telefonkatalogen. *kremt* Jeg er for prinsipper og god beskyttelse av personopplysninger. Jeg forstår også at Datatilsynet er programforpliktet til å reagere når slike saker kommer for dagen, men for å være helt ærlig tror jeg kanskje det hadde vært best om man ikke hadde gitt slike saker for mye oppmerksomhet da det skaper et bilde av at Datatislynet har lite å gjøre om dagen.
×
×
  • Create New...