Martin Braathen Røise Skrevet 16. august 2018 Del Skrevet 16. august 2018 <br data-mce-bogus="1">Datainnbrudd hos kommune. Frykter at personinfo om 35.000 er spredt for alle vinder Lenke til kommentar
G Skrevet 16. august 2018 Del Skrevet 16. august 2018 Så det er ikke en form for usynlig hacking som Meltdown/Spectre kan servere altså? Lenke til kommentar
digimator Skrevet 16. august 2018 Del Skrevet 16. august 2018 Så det er ikke en form for usynlig hacking som Meltdown/Spectre kan servere altså? For å utnytta Meltdown/Spectre så må ein alt ha tilgang på den fysiske serveren, så for å utnytta Meltdown/Spectre må serveren eller ein VM på same fysiske maskin alt ha blitt hacka. Lenke til kommentar
G Skrevet 16. august 2018 Del Skrevet 16. august 2018 (endret) Du har ikke fulgt helt med på hvordan dette har utviklet seg: NETSPECTRENy Spectre-variant lar hackere stjele data uten å kjøre kode lokalt på PC-enhttps://www.digi.no/artikler/ny-spectre-variant-lar-hackere-stjele-data-i-uten-i-a-kjore-kode-lokalt-pa-pc-en/442661 Nå kan det skje også remote i følge artikkelen jeg har lagt lenke til. Forskerne skriver i dokumentet at NetSpectre markerer et «paradigmeskifte» siden den innebærer at langt flere enheter nå er utsatt for Spectre-angrep, men samtidig finnes det også gode nyheter. Ifølge forskerne er NetSpectre nemlig vanskelig og tidkrevende å utnytte. I egne tester skal forskerne kun ha klart å hente ut henholdsvis 15 bit per time og 60 bit per time ved hjelp av to ulike metoder. Den trege hastigheten gjør metoden ineffektiv til å hente ut meningsfulle mengder data, noe som reduserer trusselen. Men, om dette lar seg bruke til å hente påloggingspassord da? 60 bit på en time utgjør vel noen passord? https://techterms.com/definition/bit 8 bit utgjør en 1 byte som kan bære 256 tegn. Nok til noen passord på 60 bit i timen altså (1920 tegn i timen). Er jo worst-case, men så lenge muligheter for det står åpne så kan man heller ikke få utelukket mulighetene for at det i praksis kan forekomme. La oss si du får hentet ut et delvis passord, så kan du enklere brute force til hele passordet også. Eller når du ser deler av passordet, så kan passordsløvhet blant folk sikkert bidra til god gjetting også. Sånn "ord1234567890" og sånt. Så for passord så er vel 1920 tegn i timen rimelig sprekt. Endret 16. august 2018 av G Lenke til kommentar
digimator Skrevet 16. august 2018 Del Skrevet 16. august 2018 Du har ikke fulgt helt med på hvordan dette har utviklet seg: NETSPECTRE Ny Spectre-variant lar hackere stjele data uten å kjøre kode lokalt på PC-en https://www.digi.no/artikler/ny-spectre-variant-lar-hackere-stjele-data-i-uten-i-a-kjore-kode-lokalt-pa-pc-en/442661 Nå kan det skje også remote i følge artikkelen jeg har lagt lenke til. Forskerne skriver i dokumentet at NetSpectre markerer et «paradigmeskifte» siden den innebærer at langt flere enheter nå er utsatt for Spectre-angrep, men samtidig finnes det også gode nyheter. Ifølge forskerne er NetSpectre nemlig vanskelig og tidkrevende å utnytte. I egne tester skal forskerne kun ha klart å hente ut henholdsvis 15 bit per time og 60 bit per time ved hjelp av to ulike metoder. Den trege hastigheten gjør metoden ineffektiv til å hente ut meningsfulle mengder data, noe som reduserer trusselen. Men, om dette lar seg bruke til å hente påloggingspassord da? 60 bit på en time utgjør vel noen passord? https://techterms.com/definition/bit 8 bit utgjør en 1 byte som kan bære 256 tegn. Nok til noen passord på 60 bit i timen altså (1920 tegn i timen). Er jo worst-case, men så lenge muligheter for det står åpne så kan man heller ikke få utelukket mulighetene for at det i praksis kan forekomme. La oss si du får hentet ut et delvis passord, så kan du enklere brute force til hele passordet også. Eller når du ser deler av passordet, så kan passordsløvhet blant folk sikkert bidra til god gjetting også. Sånn "ord1234567890" og sånt. 60 bit er 7,5 byte. Og dette er jo tilfeldige bytes, så sjansen for å få tak i passord er i praksis null. Lenke til kommentar
G Skrevet 16. august 2018 Del Skrevet 16. august 2018 (endret) Venter bare på neste sikkerhetsbrist-nyhet. Så kan du sulle deg inn i din egen lille drømmeverden om at ting er så sikkert atte Det viktigste man kan gjøre her er å drive aktiv forebygging, framfor å være etterpå klok. Endret 16. august 2018 av G Lenke til kommentar
digimator Skrevet 16. august 2018 Del Skrevet 16. august 2018 Venter bare på neste sikkerhetsbrist-nyhet. Så kan du sulle deg inn i din egen lille drømmeverden om at ting er så sikkert atte Det viktigste man kan gjøre her er å drive aktiv forebygging, framfor å være etterpå klok. Er du sur fordi eg peika på at teorien din om Spectre/Meltdown definitivt ikkje er årsaken i dette tilfellet? Sikkerhet er også å bruka mest ressursar der risikoen er størst. Å bruka masse ressurser på ein sårbarhet som i verste fall kan henta ut 180 bytes per døgn er vel ikkje den smartaste prioriteringa? 1 Lenke til kommentar
G Skrevet 16. august 2018 Del Skrevet 16. august 2018 Jeg vil anta at dersom du klarer å få tak i administrator login og passord, så har du gjort et varp. Så spørs det jo hvilken virksomhet det dreier seg om. Her en norsk skole. Lenke til kommentar
Avisanda Skrevet 25. august 2018 Del Skrevet 25. august 2018 Skal bli spennende å se hvilken reaksjon Datatilsynet gir på dette i forhold til nylige innførte GDPR forordningene her til lands. Her har kommunen tydeligvis ikke sikret persondata godt nok - og er vel da skyldig i henhold til GDPR-bestemmelsene. 1 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå