• Personlig Kommentarer lukket til Journal of Cryptology

    Endelig! Efter 5 års venten er vores artikel Batch Verification of Short Signatures blevet publiceret i Journal of Cryptology. Det er en udvidet udgave af en artikel med samme titel der har ligget under mine publikationer siden 2007 🙂

    Når jeg siger “vores” artikel, så er den skrevet sammen med Susan Hohenberger Waters og Jan Camenisch primært mens jeg var hos IBM Research, Zürich. Herefter arbejdede Susan og jeg på journal-udgaven, og de sidste har år har vi lavet små rettelser når reviewerne har haft kommentarer, og ellers har vi bare ventet. Nu lykkedes det endelig at få den publiceret.

    Den artikel der er linket til her er den samme som den der er publiceret i Journal of Cryptology, men på grund af diverse regler omkring rettighederne til den, må jeg ikke offentliggøre artiklen som den ser ud i bladet. Der er dog kun lidt formattering til forskel. Teksten er den samme.

    Det har set lidt småt ud med publikationer fra min side de sidste par år, men det skyldes mit arbejde hvor der ikke lige er tid til at beskæftige sig med den slags. Jeg håber dog at noget af det jeg arbejder på for tiden ender med en publikation eller to.

  • Om det var jubeloptimisme for nogle måneder siden, eller om det bare var dårlig timing kan jeg ikke helt finde ud af, men det endte i hvert fald med at jeg tilmeldte mig både Audi Challenge Halvmarathon her i Århus søndag den 9. september, og lørdagen efter (den 15. september) var jeg tilmeldt Molsløbet på samme distance. I år har jeg ikke rigtigt trænet målrettet mod noget bestemt, men bare løbet når jeg havde lyst til det. Alligevel mente jeg at jeg burde være i god nok form til disse to løb.

    Lad os starte ved begyndelsen. Audi Challenge Halvmarathon er et løb i Århus, og jeg tilmeldte mig nok primært fordi jeg synes det var synd at jeg ikke havde været med til sådan et relativt stort løb i min by. I alt ca. 2000 deltagere startede ved Viby Stadion, løb ind til Musikhuset, ned til Åboulevarden, gennem Vestergade og så ud på Brabrandstien, rundt om Brabrand sø og så tilbage til Viby Stadion. En stort set flad rute.

    Jeg havde fået et par øl i byen fredag aften, var lidt træt om lørdagen, men følte mig søndag morgen frisk nok og tog ud for at være klar til start kl. 11. Jeg er ikke morgenmenneske, så jeg foretrækker egentlig løb der starter senere på dagen, men det var jo ikke noget jeg bestemte. Jeg måtte bare tidligt op for at få morgenmad og væske nok.

    Ude ved Viby Stadion gik starten, og langsomt væltede 2000 mennesker ud på Skanderborgvej og gjorde det til et helvede at være bilist i Århus på det tidspunkt. Det gik stille og roligt og de første ca. 9 km følte jeg da også at jeg var godt med. Herefter begyndte trætheden at melde sig, og da vi rundede Brabrand sø ved ca. 14 km mærket kunne jeg godt mærke at det ikke lige var min dag. Jeg fik dog kæmpet mig i mål, men tiden blev ikke helt som jeg havde håbet på på sådan en flad rute. Tiden blev på 1:54:29 og det rakte til en placering som nr. 1217 ud af 2062 deltagere. Tiden var kun ca. 2 minutter langsommere end de to halvmarathon jeg løb sidste år, så det var alligevel ikke helt så skidt som det føltes sidst på ruten 🙂

    Desværre fik jeg ret ondt i hoften og knæet dagen efter løbet, men det viste sig heldigvis bare at være lidt overanstrengelse og ikke en skade. Det gik over i løbet af et par dage, hvilket var heldigt da jeg 6 dage senere skulle i løbeskoene igen, og denne gang var det ikke en flad rute. Snarere det stik modsatte, da de 21 km denne gang gik gennem Mols bjerge.

    Det var 3. gang jeg skulle løbe Molsløbet efter 11,4 km for tre år siden og et halvmarathon sidste år, så jeg kendte jo egentlig godt ruten på forhånd, og kan rigtig godt lide løbet. Der er ikke så mange deltagere på de 21 km, så der er god plads på ruten, og så er det et meget flot terræn man løber i.

    Jeg havde en (fejlagtig!) erindring om at efter at have løbet en del opad de første ca. 6 km så var det værste overstået og resten af turen var forholdsvis flad, men hvordan kunne jeg dog huske så forkert? 😉 I virkeligheden føltes ruten mere sådan her: En kort flad start, op ad bakkerne gennem skoven, et lille hvil nedad langs med skoven hvorefter det går opad mod Trehøje. Herfra gik det nedad på en ujævn grusvej i ca. 1 km og så fortsatte man ellers bare i meget kuperet terræn med en del stejle stigninger frem til ca. 13 km mærket hvor der ligeså godt kunne have stået et skilt med “Velkommen til helvede”. Her begyndte stigningen op mod Agri der var lang, til tider meget stejl og i kraftig modvind og regnvejr. Da den endelig var overstået var der heldigvis ikke så mange bakker på de sidste 5 km, og sjovt nok holdt regnen op og solen tittede frem lige da jeg nåede Agri 🙂

    Jeg prøvede at holde igen i starten så jeg havde kræfter til hele turen, og da jeg rundede 10 km følte jeg da også at der var klart mere i benene end 6 dage tidligere. Jeg holdt en god jævn fart gennem hele løbet, og da jeg godt presset passerede målstregen var det i tiden 1:50:49 og til en placering som nr. 37 ud af 82 deltagere på halvmarathondistancen. Min bedste halvmarathontid til dato. Benene klarede også turen uden problemer og bortset fra lidt trætte ben, så havde jeg ikke ondt nogen steder efter løbet, og heller ikke nu et par dage senere.

    Skulle nogen være interesserede i at se ruterne, så har mit løbeur og Endomondo sørget for at de er tilgængelige på nettet med tider. Her er ruten for Audi Challenge Halvmarathon og her er den for Molsløbet. Bemærk højdeforskellen på de to løb. Audi Challenge havde ca. 20 meters stigning på ruten, mens Molsløbet nærmer sig de 300 meter.

    Der er ikke ret mange løb tilbage for mig i år. Faktisk er næste og sidste løb Xtreme Mandehørm den 13. oktober, hvor De Sløve Bananer stiller op igen ligesom vi gjorde i 2009, 2010 og 2011.

  • Fotoalbum, Personlig Kommentarer lukket til Skandinavisk Dyrepark

    I lørdags var jeg med Susanne i Skandinavisk Dyrepark hvor vi så forskellige dyr, fodrede hjorte og så deres (efterhånden ikke så) lille isbjørneunge Siku. Vi tog begge nogle billeder og de kan ses i fotoalbummet. Derudover er der også en lille smagsprøve på dem nedenfor 🙂

  • Fotoalbum, Personlig Kommentarer lukket til Fototur ved Lighthousebyggeriet

    Ja, jeg benytter ferien til at få ryddet op i nogle billeder som jeg har haft liggende, så her kommer endnu en omgang. Denne gang er det billeder fra tilbage i maj hvor jeg, sammen med Jonas, tog ned på Århus Havn og skød et par billeder af Lighthousebyggeriet. Egentlig var vi taget derned fordi månen skulle være specielt stor denne aften, men det var nu ikke noget vi bemærkede. Vi bemærkede derimod at det var temmelig koldt den aften 🙂

    Billederne nedenfor er et uddrag. Der er et par stykker mere i fotoalbummet.

  • Fotoalbum, Personlig Kommentarer lukket til Solnedgang ved Vejle Fjord

    Her er et par billeder jeg tog ved Vejle Fjord den 25. juli i år. Der var altid en rigtig flot solnedgang om aftenen, så denne gang blev jeg nødt til lige at tage mit kamera med. Alle billederne kan også findes i mit fotoalbum.

  • Fotoalbum, Personlig, Rejse Kommentarer lukket til Ferie i Østrig

    For en uges tid siden var jeg med kæresten på en uges ferie i Østrig. Vi havde fint vejr dernede det meste af tiden, så tilsyneladende var det en god idé at køre fra regnen i Danmark. Da vejret sidst på ugen begyndte at blive dårligere dernede kunne vi så passende tage tilbage til Danmark og nyde en uge i sommerhus i det gode vejr. Perfekt timing 🙂

    Vi tog derned for at vandre et par ture i Alperne, men vi var også forberedt på at det blot ville blive til nogle mindre ture sammenlignet med sidste år i Norge. Det er åbenbart lidt hårdere at vandre når man også har en lille en inde i maven som man skal slæbe rundt på. Et par flotte vandreture blev det dog til, og derudover lidt sightseeing hvor vi i stedet kørte rundt i bil og steg ud diverse steder for at se på landskabet.

    Det var så også sidste ferie i et godt stykke tid hvor det kun var os to der var afsted. Næste år har vi forhåbentlig en lille en der også gerne vil med rundt 🙂

    De af jer der har adgang til mit fotoalbum kan se nogle af billederne fra turen.

  • Lad mig sige dette med det samme: Jeg har aldrig haft ret høje tanker om diverse certificeringer indenfor IT verdenen. For mig har de primært været til for at de folk der afholder dem kan tjene penge, og endda i visse tilfælde tjene på at folk skal betale jævnligt for at beholde deres certificering. CISSP -- jeg tænker bl.a på dig. Derudover har jeg aldrig ment at multiple choice eksaminer demonstrerer et godt kendskab til sit emne, men snarere at man er god til at lære udenad. Det udelukker naturligvis ikke at dygtige folk har certificeringer, men de fleste certificeringer er IMO til for at HR afdelinger har et filter at sortere folk på, fremfor at være til for at uddanne de mest kvalificerede folk.

    Nå, nok om min rant mod certificeringer generelt. Det er ikke hvad dette indlæg skal handle om. Det skal derimod handle om at jeg rent faktisk selv har taget en certificering 🙂

    Jeg havde kigge på nogle af de forskellige certificeringer indenfor IT sikkerhed, men de fleste ramte lige præcist de kriterier ovenfor som jeg ikke bryder mig om. Under min søgen faldt jeg dog over certificeringer fra Offensive Security som jeg fandt ret interessante. Det vigtigste for mig er at man ikke bliver holdt i hånden hele vejen igennem, men derimod på egen hånd skal finde frem til løsningerne bl.a. ud fra den baggrundsviden man tilegner sig gennem kurset. Derudover er selve certificeringen 100% hands on. Ingen multiple choice spørgsmål, men 24 timer til at demonstrere at man har de evner der skal til for at bestå.

    De har flere certificeringer, men man skal jo starte et sted så jeg havde primært kigget på deres certificering som Offensive Security Certified Professional (OSCP). For at tage denne certificering skal man først følge et kursusforløb som de kalder Penetration Testing With BackTrack (PWB) hvilket er et introduktionskursus til penetration testing. Dem der kender mig ved at jeg har beskæftiget mig en del med IT sikkerhed både på det praktiske og det mere teoretiske plan, og jeg har da også haft en god idé om hvordan man angreb IT systemer og fandt sårbarheder i dem, men det har aldrig været mit primære område. Det havde jeg tænkt mig at lave lidt om på nu, så for også at få den vinkel på IT sikkerhed, tilmeldte jeg mig PWB kurset, som min arbejdsgiver heldigvis indvilligede i at betale for.

    Selve kurset foregår online. Man får en stak videoer (ca. 7 timer i alt) og en PDF fil på ca. 350 sider der supplerer videoerne (eller er det omvendt?) og så får man adgang via en VPN forbindelse til et netværk af maksiner, der alle har diverse sårbarheder i den installerede software. I løbet af kurset skal man så hacke sig ind på så mange af maskinerne som muligt, og fra nogle af dem kan man få adgang til flere netværk med endnu flere maskiner. Af hensyn til andre der måske skal tage kurset kan jeg ikke sige ret meget om hvad man udsættes for, men det er en blanding af alle mulige styresystemer og forskellige sårbarheder man skal udnytte som fx Buffer Overflows, SQL Injection, XSS attacks, LFI/RFI, og mange flere.

    Selve kurset var udfordrende. Især fordi man i materialet mest lærer de grundlæggende ting og hvordan man skal tænke for at finde den slags sårbarheder og udnytte dem. Det betyder så at man efter at have gennemgået alt materialet tror at man ved en del, men når man så kaster sig over netværket, så går man meget hurtigt i stå. Og her adskiller kurset sig fra mange andre, for nu skal man til at tænke ud af boksen og selv finde løsninger der ikke er gennemgået i kurset. Der er både en IRC kanal og et forum hvor man kan få hjælp, men spørger man om hjælp får man blot svaret “Try Harder”, så det holdt jeg mig fra. At dømme efter indlæggene på forummet er det ikke alle der kan lide denne form for undervisning, og mange ser ud til at droppe kurset undervejs. Det skyldes sikkert også til dels at man skal betale for den tid man bruger på deres netværk (30, 60 eller 90 dage med mulighed for at købe forlængelse af perioden derefter), og da kurset for stort set alle er meget mere tidskrævende end man havde forestillet sig, så bliver nogen nødt til at stoppe af økonomiske grunde… gætter jeg i hvert fald på. Dertil kommer at de underdriver forudsætningerne for kurset. Ja, man kan måske klare sig uden programmeringserfaring og kun med basalt kendskab til Linux og netværk, men så skal man bruge en del tid under kurset på at sætte sig ind i det.

    Jeg startede med 90 dage, men med et fuldtidsarbejde og andre fritidsinteresser havde jeg klart undervurderet den tid der skulle bruges på det. Da de 90 dage var gået var jeg igennem kursusmaterialet, havde hacket en ca. 10 maskiner og følte at jeg var gået helt i stå. Jeg havde prøvet alt jeg kunne komme i tanke om, og kom ingen vegne. Heldigvis fik jeg lov at købe 60 dage mere som jeg nu dedikerede til at sætte mig grundigt ind i området ved at søge på internettet, se videoer, læse artikler, etc. Og så begyndte det hele at give mening. Ens tankegang blev sporet hen på den rette måde at angribe den slags problemer på, og en efter en faldt de næste ca. 40 maskiner på netværket. Da der var to uger tilbage af min tid, valgte jeg at droppe øvelserne og i stedet begynde på den rapport man skulle lave, og det var en god idé, for den endte på ca. 320 sider.

    Nu var kurset slut og kun certificeringen tilbage. Jeg bookede tid til den på deres hjemmeside og fik at vide at jeg ville få tilsendt mine loginoplysninger til et helt nyt netværk på det tidspunkt eksamen startede. Fra det tidspunkt havde jeg 24 timer til at angribe en række maskiner og opnå points nok til at bestå certificeringen.

    Jeg kan desværre ikke sige ret meget om selve eksamen, men efter ca. 6 timer ud af de 24 havde jeg points nok til at bestå. Herefter prøvede jeg lidt ekstra og så gik jeg i seng. Dagen efter hackede jeg lidt videre indtil jeg begyndte at skrive den rapport man skulle aflevere for at dokumentere ens angreb. Den tog et par timer at lave, men faktisk havde man 24 timer ekstra til den efter at ens eksamenstid var slut. Jeg ville dog hellere holde weekend, så jeg fik skrevet den ret hurtigt 🙂 Derefter indsendte jeg rapporten fra kurset og fra eksamen og ventede…

    Et døgns tid efter fik jeg en mail om at jeg havde bestået!

    Et meget lærerigt (og hårdt) kursus som jeg godt kan anbefale til folk der gerne vil vide noget om offensive security. Vær dog forberedt på at bruge en del tid på det 🙂

  • Så er det tidspunktet på året hvor samtlige danskere flokkes til hjemmesiden www.skat.dk for at se om de skal have penge tilbage i skat, eller om de skylder penge væk. Jeg var naturligvis ingen undtagelse, så jeg kiggede også forbi og så at jeg skulle have et beskedent beløb tilbage.

    Jeg vidste dog også godt at det ikke helt passede, da jeg havde haft et mindre bijob som SKAT ikke havde oplysninger om. Nuvel, jeg opdaterede min selvangivelse og skulle så naturligvis af med nogle penge. Ikke noget problem -- det var jeg som sagt godt klar over. Her kommer dog det der pisser mig en anelse af:

    Ud af de (relaltivt få) ekstra penge jeg tjente, skulle jeg betale 56% af dem i skat! 56%! Så kunne det arbejde da knapt have betalt sig at udføre. Jeg må nok konkludere, som jeg desværre egentlig godt var klar over, at det ikke kan betale sig at yde en ekstra arbejdsindsats i Danmark.

« Ældre indlæg   Nyere indlæg »

Seneste kommentarer

  • Du har misforstået det hvis du tror det handler om at man b...
  • > En sjælden gang imellem er der dog nogen man skal hold...
  • Currently I'm using Garmin Connect. I need a way to tra...
  • What are you using now? Before the last update I used to lo...
  • This script is obsolete. Use the renew feature of certbot in...