Siden lidt før klokken 13 i dag har der været problemer med dankortsystemet over hele landet, oplyser virksomheden bag dankortsystemet, Nets.

»Vi har nogle driftsproblemer i øjeblikket. Der er stadig trafik, der går igennem, så det er mest noget ustabilitet. Det vil sige, at nogen vil opleve, at de skal bruge kortet to gange, inden det virker,« siger Ulrik Marschall, kommunikationskonsulent i Nets.

Han forklarer, at butikkerne har mulighed for at gå over til en offline-løsning, så kortbetalinger bliver samlet i terminalen, hvorefter betalingerne går igennem, når systemet kommer online igen.

Ulrik Marschall fortæller, at det for nogle butikker vil være muligt at gennemføre betalinger online, mens andre vil være nødt til at anvende offline-løsningen. Han kan endnu ikke sige, hvad der forårsager problemet, eller hvornår Nets forventer, at problemerne er løst.

»Vi kan se, at rigtigt meget af trafikken stadig går igennem, men noget af trafikken bliver afvist,« siger Ulrik Marschall.

Dine fingeraftryk er over alt på din telefon. Og de kan bruges til at narre fingeraftrykslæseren i iPhone 6, skriver Betanews.

Ved at bruge et fingeraftryk fra telefonen og kopiere det i en lim-miks kan man udgive sig for telefonens ejer – eller rettere dennes finger. Præcis samme sårbarhed havde forgængeren iPhone 5, der som den første iPhone kom med fingeraflæsningsteknologi.

Aflæsningen er dog stadig forbedret, skriver Betanews. Mark Rogers, der lavede sikkerhedstesten, beretter, at den nye iPhone afviste flere falske fingre og genkendte flere af de rigtige end sin forgænger. Derudover var metoden til at omgå sikkerhedsproceduren dog den samme.

Rogers brugte otte timer på at forsøget, men fortæller, at hvis det ikke var til research, kunne man nok knække fingeraftrykslæseren med et par timers arbejde.

Med mobilbetaling som Apple Pay kan det blive meget indbringende at stjæle en iPhone, hvilket giver anledning til at overveje det sikkerhedsniveau, som fingeraftrykslæseren giver.

»Vi snakker om en del finansielle transaktioner, der vil blive foretaget gennem en iPhone, og de penge vil give kriminelle incitament til at forfine processen, og det kan åbne op for et scenarie, hvor der er risiko for forbrugeren,« fortalte Rogers.

Tredje gang blev ikke lykkens gang for anklagemyndigheden i danmarkshistoriens største hackersag. Igen i dag forsøgte anklageren at få lov til at bruge et PowerPoint-show i forbindelse med en vidneafhøring. Igen blev anmodningen mødt med protest fra forsvaret for de to tiltalte – Gottfrid Svartholm Warg og JT.

I slideshowet har anklageren samlet forskellige bidder af materiale for at vise forskellige sammenhænge i for eksempel diverse chat-uddrag. Men sammenkædningen er ikke objektiv, lød det fra Wargs forsvarsadvokat Luise Høj.

»Det er en subjektiv sammensætning af informationer. I forhold til det hensyn, at anklager kan lette præsentationen af bevismaterialet, så kan det ikke vægtes højere end den objektive fremlæggelse af beviserne,« sagde hun.

Forsvarsadvokat for den dansk tiltalte JT, Michael Juul Eriksen, var enig.

»Problemet er, at det får et objektivt præg, når det kommer i forbindelse med en vidneafhøring. Det er et spørgsmål om, at man vil skabe et visuelt billede hos nævningene. Det er ikke fair over for forsvaret og de tiltalte, at man smider så mange oplysninger sammen fra mange forskellige bilag og rammer dem ind. Det er umuligt at kende sammenhængen for samtlige uddrag,« sagde han.

Dommer tysser på Warg

Anklagemyndigheden mente, at de problematiske slides udelukkende skulle bruges til at understøtte forståelsen af beviserne.

»Det er fuldstændigt objektivt. Oplysningerne er taget ud og rammet ind, men der er ingen subjektive kommentarer. Man kan se, at hver enkelt slide bygger på rent objektive oplysninger, som er taget fra sagens bilag,« forklarede den ene af sagens to anklagere, Maria Cingari.

De tre dommere i sagen gav dog forsvaret ret i sine protester mod slideshowet. Allerede på hackersagens første dag blev anklagerens ønske om at bruge 92 slides underkendt af dommeren. Og siden er også et slide med en tidslinje blevet droppet på dommer-trioens henstilling.

Luise Høj opponerede desuden mod en fremstilling af en sammenhæng mellem Warg og forskellige personer, der chatter i diverse samtaler, og fremhævede en fejlagtig påstand om domænet thelatticeteam.com.

I det anklageren fortalte, at Warg har registreret domænet thelatticeteam, greb Warg sin forsvarers mikrofon og forklarede, at det er hans virksomhed, men ikke ham selv, der har registreret det domæne. For anden gang i sagen bad dommer Kari Sørensen den svenske tiltalte om at tie stille og lade sin advokat føre ordet.

Både Warg og JT risikerer op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i retten.

Streaming-tjenesten Netflix har allerede bevæget sig ind på markedet for tv-serier produceret direkte til tjenesten, men nu begynder Netflix også at snuppe en bid af dét, der tidligere har været biografernes enemærker.

Næste år vil efterfølgeren til filmen ‘Tiger på spring, drage i skjul’, får nemlig premiere eksklusivt i IMAX-biografer og på Netflix samtidig, mens andre platforme kommer til at stå i anden række. Det skriver Variety.

Der er således tale om en særaftale mellem produktionsfirmaet The Weinstein Company, IMAX og Netflix, og det er første gang, at en større spillefilm får sin debut på Netflix.

Normal praksis i filmbranchen er først at give filmen tid i biograferne; dernæst på udlejningsmarkedet, betalingskanaler og salg; og til sidst almindelige tv-kanaler og streaming-tjenester. I dette tilfælde rykker Netflix altså frem i første række, ligesom biografer, som ikke bruger IMAX-udstyr, må vente på filmen.

Filmen ‘Crouching Tiger, Hidden Dragon: The Green Legend’ er en efterfølger til filmen fra 2000 med to af de samme skuespillere i hovedrollerne og baseret på den næste bog i samme serie. Filmen er dog ikke instrueret af Ang Lee, som stod for den første film.

Jeg har tidligere skrevet et indlæg, som reflekterede over hvor mange administratorer, der egentlig findes i et givent Active Directory (AD). Jeg vil nu udvide med endnu et par kreative eksempler på hvordan en kompetent angriber, kan skjule sig i mængden – steder hvor den almindelige IT-revision aldrig kigger.

Misbrug af Kerberos

I hverdagslivet kender vi til mange eksempler på, at der forfalskes billetter til koncerter, festivaler og lignende arrangementer. Sagen er, at det med lidt snilde også er muligt at udstede falske Kerberos tickets til sig selv (eller andre).

Konceptet er kendt som “Golden Tickets” (og senest “Silver Tickets”) og er for nylig implementeret i det populære værktøj, Mimikatz. En angriber kan eksempelvis udnytte, at have opnået adgang til password hash-værdien for “krbtgt” kontoen, f.eks. efter at have stjålet en kopi af NTDS.dit filen.

En sådan udstedt “billet” kan indeholde medlemskab af en hvilken som helst AD gruppe, og omgår eksempelvis tjek for om brugeren er deaktiveret, logon-hours og lignende. Man kan således nemt danne en Kerberos ticket, som giver fuld adgang til AD og tilknyttede resourcer, i eksempelvis 10 år. Et relativt skræmmende scenarie for de fleste.

I Mimikatz ser operationen således ud:

Angreb som disse er vældig svære at opdage og standse. De opdages kun hvis man har helt styr på hvem der logger ind, hvorfra, hvortil, og hvornår i ens miljø – og sammenstiller denne information med det forventede og almindelige adfærdsmønster. De standses ved at foretage en nøje planlagt “nulstillingsprocedure” for Active Directory (bl.a. “krbtgt”-kontoen, men få professionel vejledning inden), med mindre man hellere vil starte helt forfra.

Misbrug af SIDHistory

En anden yderst interessant tilgang er at skjule Security IDentifier (SID) værdier for højt priviligerede brugere eller grupper i en AD brugerkontos SID-historie, som ellers typisk kun bruges i migreringsscenarier.

Nedenfor ser vi brugeren “Sidney Sneaky”, som tydeligvis ikke er medlem af andre grupper end “Domain Users”. Han ser altså umiddelbart helt almindelig ud ved første øjekast – og i IT-revisionens AD-udtræk.

Problemet er, at Sidney faktisk er administrator på domænet. I hans SIDHistory er indlagt SID-værdien for bade “Domain Admins” gruppen og “Administrator” kontoen. Sidney er dermed i praksis medlem af “Domain Admins” (SID 512), og kan udgøre sig for at være Administrator brugeren (SID 500).

Med Mimikatz er operationen ganske enkel og smertefri, idet værktøjet går udenom Microsoft standard API’er, som ikke tillader en sådan skrivning til AD brugerkonti.

Dette angreb er relativt enkelt at opdage – hvis man altså kigger efter det aktivt. En SIDHistory værdi bør nemlig aldrig indeholde SID-værdien for det domæne hvori brugerkontoen befinder sig. SIDHistory populeres normalt fra fremmede domæner under AD migrering.

Den metode jeg vil foreslå, er et PowerShell script alla nedenstående. Scriptet kan omskrives, så det rapporterer via mail eller lignende:

Get-ADUser -Filter ‘SIDHistory -Like “*”‘ -Properties SIDHistory | Where {$_.SIDHistory -Like “$((Get-ADDomain).DomainSID.Value)-*”} | Select SamAccountName, SID, SIDHistory

Som det ses ovenfor, har scriptet identificeret en mistænkelig konto i det givne domæne.

Så nu spørger jeg igen: Hvor mange administratorer findes der egentlig på dit domæne?

Husk: Én gang Domain Admin, altid Domain Admin!

Henvisninger

• Hvor mange administratorer findes der egentlig på dit domæne?
• Sådan piller en hacker Ntds.dit fra hinanden
• Golden Ticket
• The KRBTGT Account – What is it ?

Jeg ved gennem venner og bekendte hvorledes sikkerhedsarbejdet er organiseret rundt omkring, men det er desværre ikke noget man er ret glade for at tale offentligt om, så det er ret begrænset hvad offentligheden ved om den slags og ikke meget jeg kan afsløre af detaljer.

Hvad jeg kan sige med 100% sikkerhed er at ingen af de mange firmaer har en politik der siger “Vi reagerer ikke på andres meldinger om, at det er farligt. Der er altid noget, der er farligt. I stedet kigger vi på, om der rent faktisk er nogen, der forsøger at udnytte sårbarheden, før vi melder ud” som GovCerts Thomas Kristmar citeres for.

Jeg er sikker på at medarbejderne i GovCert gør hvad de kan, givet resourcer, evner, mandat og resort.

Den korrekte og ansvarlige handling havde været hvis GovCert, så snart de havde verificeret at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT der lød:

“Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen når I har overbevist os om at I har lukket alle eventuelle huller i denne kontext.”

Det mandat har GovCert imidlertid ikke og det er der heller ikke nogen andre der har, mindst af alt det udelukkende ornamentale Datatilsyn.

Folketinget ved udemærket hvordan man skal lovgive om teknologiske farezoner, her er f.eks hvordan de senest gjorde det:

§ 6. En tilladelse kan kaldes tilbage, såfremt:

1) væsentlige forudsætninger for tilladelsen viser sig ikke at have været til stede,

2) der sker tilsidesættelse af stillede vilkår eller

3) hensynet til sikkerheden eller anden tvingende grund i øvrigt kræver standsning eller nedlæggelse af anlægget.

§ 7. Miljøstyrelsen og sundhedsstyrelsen har adgang til at fordre sig meddelt enhver oplysning, der af disse myndigheder skønnes af betydning for sikkerheden. De kan til enhver tid uden retskendelse mod behørig legitimation fordre adgang til at udøve tilsyn på anlægget under bygning og drift eller hos leverandører til anlægget. De kan meddele pålæg, som er fornødne til at sikre overholdelsen af opstillede vilkår og betingelser, eller som i øvrigt skønnes nødvendige af sikkerhedsmæssige grunde, ligesom de i påtrængende tilfælde af sikkerhedsmæssige grunde kan forlange brugen af anlægget standset, indtil der er taget stilling til, om og i bekræftende fald hvornår brugen af anlægget kan genoptages.

Erstat “Miljøstyrelsen” med “Datatilsynet” og “sundhedsstyrelsen” med “GovCert” og vi er meget tæt på de magtbeføjelser der er brug for indenfor IT-sikkerhed.

Indtil Folketinget fatter at IT sikkerhed kræver noget i samme kaliber, fortsætter nedsmeltningerne i den offentlige IT.

phk

Lenovos overtagelse af IBMs x86 server forretning er ved at blive afsluttet. Handlen blev annonceret for ni måneder siden, den koster Lenovo 2,1 milliarder dollars, har været gennem myndighedsgodkendelser i USA, EU og Kina og bliver nu afsluttet onsdag. Det skriver PC World.com.

Overleveringen vil begynde på de fleste store markeder i denne uge, og vil blive færdiggjort i de resterende lande frem til begyndelsen af næste år.

Lenovo modtager, som følge af aftalen, en lang række IBM-produkter. Herunder System x, BladeCenter og Flex System, bladeservere og afbrydere, sammen med NeXrScale- og iDataPlex-servere og tilhørende software.

IBM vil holde fast i System z mainframes, Power Systems, Storage Systems, Power.baserede Flex Servere, PureApplication og PureData udstyr.

Lenovo købte tilbage i 2005 IBMs PC-forretning, og nu udvider de altså med endnu mere af IBMs forretning.

Den kinesiske computergigant har allerede spredt deres forretninger ud i en tid, hvor efterspørgslen på PC’er er fortsætter med at falde. Spredningen har blandt andet fået dem til at gå aggressivt ind på smartphonemarkedet i Kina.

Samtidig er efterspørgslen på x86-servere stigende, selvom konkurrencen på det kinesiske marked er hård. Men på trods af konkurrencen tror en analytiker på, at opkøbet kan være en rigtig god forretning for Lenovo. Blandt andet på grund firmaets egen produktionskapacitet og salgskanaler vil de kunne klemme et større profit ud af serversalg.

Mandag sagde Lenovo, at de havde store planer for virksomhedsmarkedet, og at;

”Vi vil konkurrere kraftigt i alle sektorer ved at bruge vores produktionsskala og og operationelle excellence at gentage den succes, vi har haft med pc’er.”

På PC-markedet er Lenovo verdens største sælger med 19,6 procent af andelen af solgte enheder.

I Apple iOS 8-enhederne iPhone, iPod Touch og iPad, finder man featuren Quick Type, som hjælper med at forudsige hvilke ord, brugeren vil skrive. Men der er et problem, som potentielt kan blive en sikkerhedstrussel.

Quick Type foreslår nemlig ikke kun almindelige ord, som folk har brugt. Den gemmer tilsyneladende alt det indtastede, hvilket også indbefatter passwords, som brugere tidligere har benyttet på websider, det skriver idownloadblog.com.

I en tråd på Apples Support Communities’ webside fortæller en bruger, hvordan hans programmet tilbyder ”OrangeJuice” som et forslag hver gang han indtaster ”AppleUser”, fordi Quick Type husker hans kode, ”OrangeJuice!2” – en kode som han tidligere har brugt til at logge ind i Outlook Web App.

»Det værste er, at den også foreslår mig adgangskoder fra andre services og gamle koder, som jeg allerede har skiftet,« skrev en bruger med brugernavnet ”ramiroegueta”.

På bloggen er der ingen tvivl om, at det er en sikkerhedsrisiko, når programmet foreslår koderne. Teoretisk set kan enhver, der får enheden i hænderne få adgang til forskellige personlige sider, ved at få Quick Type til at gendanne dele af, eller hele kodeordet.

Problemet omfatter ikke kun iOS 8 og Safari, men alle de apps, som benytter sig af almindelig textinput. Det vil sige Notes, påmindelser og andre ting.

I bloggen tilbyder de en en løsning på problemet, indtil Apple får løst problemet. ”Predictive” skal sættes til Off ved at gå ind i Settings > General > Keyboard.

Apple giver ikke lov til at slette enkelte ord fra programmet.