Inlägg

Exakt.

Jag har ibland roat mig med att tacka nej till möten med motiveringen ”tydlig agenda saknas”. Det blir sällan populärt. Hur folk skriver mötesinbjudningar är en rätt bra intelligensmätare. Om agenda saknas är mötet rimligen oviktigt.

Om man har sett ett bra föreningsårsmöte med en proffsig ordförande någon gång, så har man sett ett bra möte. Det ska gå undan och tas beslut, enligt förberedd agenda.

Förberedelser och diskussioner håller mötesordföranden (den som kallat) separat med nyckelintressenter, så att diskussionen är förberedd.

Ja eller nej. Alla grupper man hamnar i består naturligtvis av individer. Men visst finns det företag där man betonar hjälpsamhet och samarbete från ledningshåll och andra där man inte gör det. Det finns säkert ställen där man uppmuntrar intern konkurrens på individnivå också, men jag har aldrig upplevt det i IT-branschen. Microsofts ”stack ranking” är/var ett känt exempel, läs till exempel den gamla mini-msft-bloggen.

Folk i IT-branschen är i allmänhet intelligentare, vettigare och mesigare än medelsvensson och därmed relativt enkla att ha att göra med. Det hör till ovanligheterna att man stöter på folk med bevekelsegrunder man inte förstår sig på. Det finns enstaka sociopater till chefer men de är väldigt ovanliga.

Men uppmaningen att kolla upp företagskultur känns halvt omöjlig. Vad ett företag kommunicerar externt och internt stämmer nästan aldrig överens med vad som faktiskt pågår. Det enda sättet att få en känsla av hur det är att jobba på ett ställe är att prata med flera olika personer på ”golvet”.

När man väljer arbetsgivare är det därför bäst att fokusera på de avtal och villkor som finns skriftligt, ifall man inte har turen att ha fått insikt i kulturen via till exempel praktik.

Jag tycker man ska titta efter just skillnaderna mellan det sken företaget försöker upprätthålla och vad man från företaget faktiskt gör, samt hur individer (inklusive närmsta chef) faktiskt lever upp till den kultur företaget försöker sträva efter (i ord eller handling). Det kan i princip bara upplevas.

Det verkar inte finnas någon tråd om denna sårbarhet, så det kanske passar här.

Länkar
Pappret av Gollier och Vanhoef.

Video (rätt usel).

Jouni Malinens förslag till IEEE om åtgärd. Malinen är snubben som underhåller wpa-supplicant/hostapd på w1.fi. Förslaget är nummer 2 av det som Vanhoef et. al. föreslår, att göra en bakåtkompatibel förändring så att klienter som stödjer det kan verifiera SSID:t.

Min sammanfattning
Sårbarheten är en typ av MITM + downgrade-attack där man ser till att Wi-Fi-klienten (a.k.a supplicant, STA) kopplar upp till fel SSID/AP. Nyttan för den som utför attacken kan vara:

1) Att den felaktiga AP:n är mindre säker (har andra kända sårbarheter i Wi-Fi-protokollen)
2) Att klienten stänger av VPN automatiskt när den tror att den är uppkopplad mot en AP där VPN:et inte behövs.
3) Att AP:n ägs av någon helt annan än den organisation som äger den AP man tror man är uppkopplad mot, vilket gör att man kan kartlägga trafik och göra attacker med hjälp av 1 och 2.

En förutsättning för attacken är att användaren har samma "lösenord" (i vid bemärkelse) på flera SSID:n. Mannen i mitten kommer skicka visare all trafik som den är, förutom att SSID byts ut i meddelandena. Problemet är att klienten tror att den anslutit till SSID A och använt lösenord X, men den har egentligen blivit lurad att ansluta till SSID B med lösenord X.

Det är alltså inte en attack där den som utför attacken kan få tag i några lösenord/nycklar eller dekryptera krypterad trafik i Wi-Fi-gränssnittet. Så vitt jag förstår i alla fall.

802.11x (dvs Enterprise-Wi-Fi), inkluisive certifikatsbaserad ömsesisdig verifiering är sårbart under de flesta omständigheter. WEP (som ingen använder längre) är sårbart. WPA3 är sårbart i praktiken eftersom AP:er verkar tillåta både den sårbara och den icke sårbara varianten. WPA1/2 är inte sårbart, eftersom de alltid har SSID:t som del av krypteringsnyckeln. WPA1 är förstås komplett knäckt i övrigt. Se pappret för de lite mer ovanliga varianterna.

För den normala avändaren
Kan det vara lite intressant att veta att det finns en viss nackdel med att använda samma lösenord på flera olika SSID:n. Man kan inte vara säker på vilket av dem man egentligen är ansluten till, under alla omständigheter.

Så vitt jag förstår innebär Malinens förslag ändring i både AP och klient, vilket i praktiken betyder att man inte vill lösa problemet eftersom AP:er sällan blir uppdaterade. Hade jag varit klientimplementatör hade jag nog helt enkelt vägrat att koppla upp till den sårbara varianten av WPA3 och till 802.11x-AP:er som inte skickar verifierbart SSID.

Kolla routingtabellen på RPi:n.

Antag att RPi:n får ett SYN-segment från 192.168.2.2. Det svarar med SYN+ACK.

Vart går svaret? Till din Unifi-pryl för vidare routing till Wireguard-interfacet på denna eller till OVPN?

Klienten finns på ena stället, men inte på andra.

192.168.2.1/24 ska rimligtvis routas via 192.168.1.1.

Du kan rimligen sätta upp routen via DHCP-option.

fwupd/LVFS, dvs stöd för automatisk uppdatering av BIOS i Linux är nog det enda kravet. Vilket i praktiken betyder Dell, HP eller Lenovo, vilket i sin tur borgar för en viss kvalitet.

Därefter pris/prestanda.

Gärna 32 GB RAM, eller mer eftersom det inte går att göra mycket vettigt när det tar slut. I övrigt är modularitet, uppgraderingsmöjligheter och reparerbarhet bonus, så så lite fastlött som möjligt - för att garantera en lång livslängd.

Skärm, tangentbord och batteri är rätt oväsäntligt eftersom laptopen ändå kommer användas med riktig skärm och tangentbord 90% av tiden eller mer.

”man nice”

Det enda man behöver kunna för att lära sig GNU/Linux är att läsa manualsidor. ”man man” för att läsa manualen för manualen.

Alla manualsidor finns givetvis på nätet om man föredrar att läsa i webbläsare.

Har man bott i hus som byggdes innan ”elektricitet” var en grej så har man sett sådana kablar dragna utanpå väggar. När elen blev en viktig grej började man bygga hus där all el gick inuti väggarna.

På 80-talet var även ”telefon” en rätt viktig grej. Alla hus byggdes med rör i väggarna för att dra telefonkabel. Även ”TV” hade varit en grej ett bra tag. Så det finns garanterat rör i väggarna, även mellan våningsplan, som antagligen går bra att återanvända för att dra ethernetkabel (eller möjligen fiber).

Kul frågeställning. Jag har definitivt inte gjort någon sådan uppsättning, men jag gissar att den viktigaste designfrågan blir…

Försöker du uppfinna ett virtuellt LAN där alla ingående enheter kan nå varandra och skicka broadcast till varandra på samma IP-subnät där IP-adresstilldelningar (DHCP-server) hanteras från centralnoden?

eller

Vill du ha en mer klassisk site-to-multisite där varje site har sitt eget IP-subnät och kan sätta upp brandväggsregler för att bara få igenom trafik från/till servern och explicit öppnade destinationer? Broadcasts stannar på respektive site och DHCP är decentraliserat.

Mao: Bryggning eller routning/brandväggning över VPN? Layer 2 eller Layer 3?

Jag tippar på att svaret beror på hur du hittar datorn med ”semesterfilmerna”. Broadcastar den sin närvaro eller matar du in hostnamn/IP? Svaret kan också bero på hur mycket ni litar på varandra. Ska enheterna kunna nå internet och i så fall via centralnodens internetuppkoppling eller via sin egen?

Sitter inte vid datorn, men rimligtvis klickar du där länken ska skapas, dvs inne i en mapp, inte på målet för länken.

Vad exakt vill du göra? Var vill du skapa länken och var finns målet för länken?

Det skulle i teorin kunna vara så att det ligger ett eller flera upphovsrättsskyddade verk på Sweclockers server just nu, som varken Sweclockers eller någon av dess medlemmar har rätt att framställa exemplar av.

Frågan är i så fall vem som olovligen framställde exemplaret, den som (eventuellt base64-kodade det) och lade in det i ett utkast eller Sweclockers som kopierade det till sin server och sparade det till icke-flyktigt minne. Jag vill nog påstå det senare - fulstreaming är ju till exempel inte olagligt på klientsidan eftersom ingen permanent kopia sparas. Om man däremot sparar ett olovligt framställt exemplar till disk så är det troligen upphovsrättsbrott.

Eftersom vi är tekniker skulle vi naturligtvis kunna bygga en broadcasting-tjänst för upphovsrättsskyddade verk via den här mekanismen, det går ju att "börja skriva på mobilen och fortsätta på datorn".

Jag hittar ingen info om vilket chip som sitter i PCE-AXE5400. Det spelar roll eftersom du behöver köra AP mode.

”Hotspot” är så vitt jag vet bara ett marknadsföringsbegrepp, antingen något man gör på en mobil eller när man erbjuder gratis eller betald WiFi till någon annan. Oavsett så är det AP mode som körs i dessa scenarion. Ett PC-kort (likt en mobil) är knappast optimerat för att vara AP.

Intels chip är till exempel ökända för att i praktiken inte kunna köra AP mode. De kan bara vara STA, dvs klient.

Mångga chip kan inte vara AP och STA samtidigt, så PC:n behöver få internet från något annat håll om kortet inte stödjer det.

Så vill du pröva så är det ångerrätt enligt distansavtalslagen eller öppet köp som gäller. Tala om hur det gick.

Om du inte bryr dig om att routern ringer hem och tjallar på dig över TR-069 så är det antagligen inga problem.

TR-069 gör det möjligt att beordra enheten att installera en ny firmware-fil, så i praktiken har den som har kontroll över servern full kontroll över alla enheter som ringer hem till den.

Glöm vad som hände de första 99 gångerna.

Ställ upp noll-hypotesen att myntet är balanserat och singlaren är opartisk, dvs att det är lika stor sannolikhet för krona eller klave.

Vi försöker bevisa att noll-hypotesen är osann, misslyckas vi med det får vi acceptera att myntet kan vara balanserat.

Bestäm ett p-värde, till exempel 1%. Det är sannolikheten att vårt statistiska test ger en slutsats som inte är korrekt [1]. Lägre p-värde ger högre konfidens i att vår slutsats blir korrekt.

Utför ett nytt test, till exempel n=100 nya singlingar.

Utför ett binominaltest: Givet resultatet av testet, i stycken klave, räkna ut sannolikheten att det blev klave i eller fler gånger av n, givet att noll-hypotesen stämmer.

Om sannolikheten för att det blev klave i eller fler gånger av n är mindre än p-värdet så anser vi att vi har tillräckligt med bevis för att noll-hypotesen är osann. Vi drar slutsatsen att myntet inte är rättvist, med 99% konfidens.

I annat fall får vi leva med att vi inte kan bevisa att myntet är orättvist.

Nej, man kan inte utgå från historisk data. Man ställer upp noll-hypotesen först, sedan testar man. Nej, man kan inte få ett konfidensintervall från historisk data, det är något man bestämmer innan man genomför testet, det är aldrig något man räknar ut.

[1] Inte riktigt så, läs definitionen

Det var 20+ år sedan jag pluggade statistik, så rätta gärna felaktigheter.

Eftersom alla (tre?) enheter ofungerar i samma rum och det har börjat samtidigt så känns det inte rimligt att misstänka hårdvarufel på satelliterna. Annars brukar det vara strömförsörjningen som ger sig. Möjligen kan det då vara basenheten som gett upp. Testa att flytta runt strömadaptrarna. Alternativt, om det går, eliminera basenheten och konvertera om en satellit till basenhet.

Det var någon tråd härom dagen med liknande problem med Asus Lyra. Det känns osannolikt, men inte omöjligt att det finns något systematiskt fel i Asus mjukvara som kickat in vid visst datum eller där ytterligare komponenter laddats ner från internet utan att firmware har uppdaterats. Det senare har hänt en gång för Asus, med rätt många ofungerande enheter som följd.

Eftersom varken 2,4 GHz eller 5 GHz funkar så känns störningar i radiomiljön osannolik. Men DFS på 5GHz kan ju till exempel störa ut ett system under längre tid, givet vissa kanalinställningar. Det finns ett dokument med i praktiken lagkrav om detta att googla, sökterm ”ETSI-DFS”. Kolla om enheterna fungerar som de ska med kabel mellan sig?

Om det finns loggar i systemet, kika på dem. Om det inte finns loggar tillgängliga så har du nu lärt dig att inte köpa nerdummad konsumentskit som inte ens har tillgängliga loggar. När du kollat loggarna kanske det är läge att ta hjälp av Asus support?