Daily Archives: November 13, 2013

Ing.dk var et af de medier, der hoppede i med begge ben og citerede det britiske International Business Times for en historie om, at rumstationen skulle være ramt af spionagemalwaren Stuxnet.

Nu viser det sig imidlertid, at historien ikke holdt vand, men udsprang af en sammenblanding af to beretninger fortalt af antiviruseksperten Eugene Kaspersky under et foredrag i Australien i sidste uge, skriver space.com.

Eugene Kaspersky fortalte om Stuxnet-ormen, som angiveligt skulle have angrebet et russisk atomkraftværk på et tidspunkt, hvor virussen hærgede. Målet var egentlig det iranske atomprogram, men via nettet kom den også ud til andre atomkraftværker, skriver Discovery.

Som eksempel på lukkede, følsomme systemer, der har været ramt af malware, nævnte han Den Internationale Rumstation. Men netop det eksempel havde ikke noget med Stuxnet at gøre.

Godt nok har rumstationen før været plaget af computervirus, f.eks. i 2008, da systemet blev ramt af den uskadelige virus W32.Gammima.AG-orm, som videresender gamer-data til udsenderen af virussen. Den slags kan ske, når astronauter tager USB-sticks med i rummet, sagde Kaspersky.

Dog skulle rumstationen nu have taget sine forholdsregler ved bl.a. at skifte til styresystemet Linux, som er mindre udsat for angreb end Windows XP, der tidligere blev brugt som styresystem på astronauternes pc’er. Også Stuxnet rammer kun Windows-computere.

Ing.dk var et af de medier, der hoppede i med begge ben og citerede det britiske International Business Times for en historie om, at rumstationen skulle være ramt af spionagemalwaren Stuxnet.

Nu viser det sig imidlertid, at historien ikke holdt vand, men udsprang af en sammenblanding af to beretninger fortalt af antiviruseksperten Eugene Kaspersky under et foredrag i Australien i sidste uge, skriver space.com.

Eugene Kaspersky fortalte om Stuxnet-ormen, som angiveligt skulle have angrebet et russisk atomkraftværk på et tidspunkt, hvor virussen hærgede. Målet var egentlig det iranske atomprogram, men via nettet kom den også ud til andre atomkraftværker, skriver Discovery.

Som eksempel på lukkede, følsomme systemer, der har været ramt af malware, nævnte han Den Internationale Rumstation. Men netop det eksempel havde ikke noget med Stuxnet at gøre.

Godt nok har rumstationen før været plaget af computervirus, f.eks. i 2008, da systemet blev ramt af den uskadelige virus W32.Gammima.AG-orm, som videresender gamer-data til udsenderen af virussen. Den slags kan ske, når astronauter tager USB-sticks med i rummet, sagde Kaspersky.

Dog skulle rumstationen nu have taget sine forholdsregler ved bl.a. at skifte til styresystemet Linux, som er mindre udsat for angreb end Windows XP, der tidligere blev brugt som styresystem på astronauternes pc’er. Også Stuxnet rammer kun Windows-computere.

Det skulle motivere medarbejderne til at konkurrere internt og yde endnu mere – men nu er det slut.

Microsofts amerikanske medarbejdere har indtil nu været igennem en årlig vurdering, hvor lederne skulle placere dem i en af tre kategorier: Topperformer, gennemsnitlig indsats, eller dårlig indsats. Og da rangordningen var relativ i forhold til resten af afdelingen, skulle der en vis procentdel af medarbejderne i hver kasse.

Ifølge en intern besked fra Microsofts HR-chef til alle ansatte bliver hele systemet med rangordning nu droppet. Det skriver The Verge, som har fået fingrene i beskeden.

Det skal give bedre teamwork og samarbejde medarbejderne imellem, lyder begrundelsen. De bonusordninger, der tidligere var knyttet til rangordningen, bliver sluppet fri, så lederne nu kan fordele bonusser helt frit.

Rangordningen har længe været kontroversiel hos Microsoft, og ifølge en grundig Vanity Fair-artikel, baseret på mange interviews med Microsoft-ansatte og indblik i interne dokumenter, blev rangordningen udpeget som den mest destruktive proces hos Microsoft.

I stedet for at fokusere på at gøre det bedre end konkurrerende it-firmaer, var der fokus på den interne konkurrence, så man ikke endte blandt dem, der blev stemplet som en dårlig medarbejder.

Det skulle motivere medarbejderne til at konkurrere internt og yde endnu mere – men nu er det slut.

Microsofts amerikanske medarbejdere har indtil nu været igennem en årlig vurdering, hvor lederne skulle placere dem i en af tre kategorier: Topperformer, gennemsnitlig indsats, eller dårlig indsats. Og da rangordningen var relativ i forhold til resten af afdelingen, skulle der en vis procentdel af medarbejderne i hver kasse.

Ifølge en intern besked fra Microsofts HR-chef til alle ansatte bliver hele systemet med rangordning nu droppet. Det skriver The Verge, som har fået fingrene i beskeden.

Det skal give bedre teamwork og samarbejde medarbejderne imellem, lyder begrundelsen. De bonusordninger, der tidligere var knyttet til rangordningen, bliver sluppet fri, så lederne nu kan fordele bonusser helt frit.

Rangordningen har længe været kontroversiel hos Microsoft, og ifølge en grundig Vanity Fair-artikel, baseret på mange interviews med Microsoft-ansatte og indblik i interne dokumenter, blev rangordningen udpeget som den mest destruktive proces hos Microsoft.

I stedet for at fokusere på at gøre det bedre end konkurrerende it-firmaer, var der fokus på den interne konkurrence, så man ikke endte blandt dem, der blev stemplet som en dårlig medarbejder.

Hvad gør man som virksomhed, hvis man mister en disk med kundeoplysninger, eller hackere har banet sig vej til databaserne?

Det står nu mere klart, i hvert fald for teleselskaber, der har fået et sæt nye regler at leve op til. EU-Kommissionen har nemlig vedtaget en ny forordning, der strammer rapporteringspligten, skriver advokatfirmaet Kromann-Reumert.

Ifølge de nye regler skal teleselskaber inden for 24 timer melde til myndighederne, hvis der er sluppet persondata ud om kunderne. I Danmark er det Erhvervsstyrelsen, der skal have besked.

Er der sket et brud på sikkerheden, skal teleselskabet rapportere om, hvilke slags data, der kan være sluppet ud, og hvad der er gjort for at begrænse skaden. Er der ikke overblik over situationen i løbet af et døgn, kan man få lov at vende tilbage med flere detaljer i løbet af senest tre døgn efter problemet blev opdaget.

Det er dog kun, hvis data er blevet lækket i klartekst, at et teleselskab skal give besked. Er data krypterede, er der ingen krav om at melde det til myndighederne. Det samme gælder, hvis teleselskabet kan dokumentere, ved hjælp af en test, at datalækket ikke vil krænke kundernes persondata eller privatliv.

Arbejdsmarkedets Feriefond, der forvalter danskernes ubrugte feriepenge, har indtil tirsdag haft store problemer med login-løsningen for virksomheder, der indberetter feriepenge. En NemID-baseret løsning, der skulle have været sat i drift 1. november var nemlig ramt af så store problemer, at feriefonden valgte at lade virksomhederne logge ind med blot et CVR-nummer.

Nødløsningen var sat i værk, efter at et skifte til login med NemID’s medarbejdersignatur ikke som ellers planlagt kom i drift 1. november. Da Version2 talte med direktøren for Arbejdsmarkedets Feriefond, Nina Löwe Krarup, tirsdag, var løsningen stadig ikke kommet på plads endnu.

»Vi arbejder på højtryk for at få det nye system op at køre og er naturligvis rigtig kede af, at løsningen i øjeblikket slet ikke er optimal,« sagde Nina Löwe Krarup tirsdag til Version2.

Kort tid efter kunne Nina Löwe Krarup vende tilbage og fortælle, at den nye login-løsning ville komme online tirsdag aften. Med fjorten dages forsinkelse kan virksomheder altså nu logge på og indberette via NemID’s medarbejdersignatur.

Tidspres tvang fonden til usikker løsning

På trods af den nærmest åbne adgang kunne direktøren dog ikke uden videre lukke for indberetningerne, til NemID-løsningen var klar, da fristen for indberetning og indbetaling af ubrugte feriepenge er den 15. november.

Feriepenge skal hæves af virksomhedernes ansatte inden for det ferieår, der for 2011’s vedkommende sluttede den 30. april 2013. De penge, som danskerne ikke får hævet i tide, overgår nemlig til Arbejdsmarkedets Feriefond, som forvalter disse til ‘almennyttige ferieformål for lønmodtagere’, fremgår det af fondens hjemmeside.

Sidste år havnede 116.014.000 ubrugte feriekroner således i Arbejdsmarkedets Feriefond.

Nina Löwe Krarup forklarer, at de hos fonden er klar over, hvad sårbarheden kan medføre, og at de derfor har skærpet opmærksomheden på falske indberetninger.

»Det, der sker i systemet allerede nu, er, at siden 1. november har vi holdt indberetninger op imod indbetalinger, så vi fanger, hvis der skulle ske falske indberetninger. Det er noget, vi er ekstra opmærksomme på nu, hvor systemet er sårbart,« sagde Nina Löwe Krarup tirsdag til Version2.

Nina Løwe Krarup ønsker ikke at oplyse, hvem leverandøren af den fejlbehæftede løsning er.

Hvad gør man som virksomhed, hvis man mister en disk med kundeoplysninger, eller hackere har banet sig vej til databaserne?

Det står nu mere klart, i hvert fald for teleselskaber, der har fået et sæt nye regler at leve op til. EU-Kommissionen har nemlig vedtaget en ny forordning, der strammer rapporteringspligten, skriver advokatfirmaet Kromann-Reumert.

Ifølge de nye regler skal teleselskaber inden for 24 timer melde til myndighederne, hvis der er sluppet persondata ud om kunderne. I Danmark er det Erhvervsstyrelsen, der skal have besked.

Er der sket et brud på sikkerheden, skal teleselskabet rapportere om, hvilke slags data, der kan være sluppet ud, og hvad der er gjort for at begrænse skaden. Er der ikke overblik over situationen i løbet af et døgn, kan man få lov at vende tilbage med flere detaljer i løbet af senest tre døgn efter problemet blev opdaget.

Det er dog kun, hvis data er blevet lækket i klartekst, at et teleselskab skal give besked. Er data krypterede, er der ingen krav om at melde det til myndighederne. Det samme gælder, hvis teleselskabet kan dokumentere, ved hjælp af en test, at datalækket ikke vil krænke kundernes persondata eller privatliv.

I 1932 kom brugte Marx Brothers kodeordet “swordfish” i en film og lige siden har det været en løbende vits at genbruge det.

… eller også er det bare et dokumentarisk strejf, for at give værket sandsynlighed.

Et password skal idag have en entropi nord for 128 bits og det vil i store træk sige en kombination af mindst 128 tegn, hvis der er nogen form for mening deri, og naturligvis må du ikke bruge det samme password flere steder.

Lad os lige prøve at se hvad det indebærer:

Et godt password således ud: “Visiten kun med Complimenter. Men vi maa ind og see til, at vi kand faae noget Mad; thi Tiden gaaer hastig, Klokken 8te skal vi paa Mascaraden igien. “

– inklusive tegnsætning, stavning og spaciering.

Held og lykke med at huske det, hvis du ikke er udgået fra d.Kgl Teaters elevskole.

(Hvis man bedes om at indgive et “password hint”, ville “Tonny Landy” være et godt valg.)

I gamle dage lærte man salmevers i skolen, men bortset fra skuespillere, professionelle sangere og nogle få kirkeligt entusiatiske, kan nutidige danskere sjældent huske alle vers korrekt i andre sange end “I dag er det ____’s fødselsdag…” og selv i den kniber det ofte.

Med andre ord: Passwords som sikkerhedsforanstaltning er ikke bedre end en almindelig godt slidt cylinderlås: Det viser at man ikke ønsker at alle og enhver tramper ind, men alle der vil ind, kan komme det uden større besvær.

At store firmaer så heller ikke kan finde ud af at håndtere passwords er ikke noget nyt: Sidste år var det LinkedIn, i år er det Adobe og så er der alle dem vi ikke har hørt om, inklusive alle de passwords og password-filer NSA har opsnappet.

Jeg har brugt en times tid på at kigge i Adobes lækkede data og det er deprimerende læsning.

Selvfølgelig er det forkert og i strid med gældene sikkerhedspolitik og alt muligt andet papirarbejde når politifolk eller andre ikke er gode nok med deres passwords.

Men problemet er altså ikke menneskene, men passwordene.

Der er ikke nogen indlysende erstatning for passwords på vej, alle former for biometri der er foreslået er kun marginalt mere sikre og alle lider de af den ulempe at kidnapning og mord bliver mere relevante teknikker for kriminelle.

Den umiddelbart foreliggende løsning, er at udstyre menneskene med en “salmevers-o-matic” dims, som kan lave og huske nogle komplicerede passwords.

En app på en mobiltelefon ville være oplagt: Plug telefonen i USB, lade den simulere keyboard og indtast så “adobe” i app’ens søgefunktion og tryk “send password”.

Desværre er mobiltelefoner en totalt ubrugelig platform for sikkerhed og at plugge sin mobil ind i USB porten på en computer med noget der skal gemmes for NSA, er det samme som at Gøre døren høj og porten vid for dem.

Ikke at den gennemsnitlige PC er meget bedre nu om dage, specielt ikke “enterprise” orienterede maskiner, der oftest leveres med alle mulige bagdøre enablet i BIOS’en.

“For at gøre det nemt for IT afdelingen.”

(Og. naturligvis, andre venner & bekendte af producenten.)

En af grundene til at RaspBerry Pi er blevet så stor en success, er at rigtig mange med forstand på sikkerhed øjner den som en computerplatform man kan stole på.

Der ikke er nogen “BIOS”, ikke noget præinstalleret spyware, skodware eller monopolware.

Det er en computer hvor man helt selv bestemmer hvad software der skal køre og endnu mere vigtigt: Hvad software der ikke skal køre.

Indtil nogen bygger en open-source “salmevers-o-matic” på en sådan platform, må vi klare os som bedst vi kan.

Jeg laver mine passwords med ‘strings -16 < /dev/random’ nu om dage og gemmer dem i en PGP krypteret fil, beskyttet af en pass-phrase, som dermed er den kurv jeg har lagt alle mine æg i.

Ikke nogen god løsning, men den mindst ringe jeg har kunnet implementere.

phk

Arbejdsmarkedets Feriefond, der forvalter danskernes ubrugte feriepenge, har indtil tirsdag haft store problemer med login-løsningen for virksomheder, der indberetter feriepenge. En NemID-baseret løsning, der skulle have været sat i drift 1. november var nemlig ramt af så store problemer, at feriefonden valgte at lade virksomhederne logge ind med blot et CVR-nummer.

Nødløsningen var sat i værk, efter at et skifte til login med NemID’s medarbejdersignatur ikke som ellers planlagt kom i drift 1. november. Da Version2 talte med direktøren for Arbejdsmarkedets Feriefond, Nina Löwe Krarup, tirsdag, var løsningen stadig ikke kommet på plads endnu.

»Vi arbejder på højtryk for at få det nye system op at køre og er naturligvis rigtig kede af, at løsningen i øjeblikket slet ikke er optimal,« sagde Nina Löwe Krarup tirsdag til Version2.

Kort tid efter kunne Nina Löwe Krarup vende tilbage og fortælle, at den nye login-løsning ville komme online tirsdag aften. Med fjorten dages forsinkelse kan virksomheder altså nu logge på og indberette via NemID’s medarbejdersignatur.

Tidspres tvang fonden til usikker løsning

På trods af den nærmest åbne adgang kunne direktøren dog ikke uden videre lukke for indberetningerne, til NemID-løsningen var klar, da fristen for indberetning og indbetaling af ubrugte feriepenge er den 15. november.

Feriepenge skal hæves af virksomhedernes ansatte inden for det ferieår, der for 2011’s vedkommende sluttede den 30. april 2013. De penge, som danskerne ikke får hævet i tide, overgår nemlig til Arbejdsmarkedets Feriefond, som forvalter disse til ‘almennyttige ferieformål for lønmodtagere’, fremgår det af fondens hjemmeside.

Sidste år havnede 116.014.000 ubrugte feriekroner således i Arbejdsmarkedets Feriefond.

Nina Löwe Krarup forklarer, at de hos fonden er klar over, hvad sårbarheden kan medføre, og at de derfor har skærpet opmærksomheden på falske indberetninger.

»Det, der sker i systemet allerede nu, er, at siden 1. november har vi holdt indberetninger op imod indbetalinger, så vi fanger, hvis der skulle ske falske indberetninger. Det er noget, vi er ekstra opmærksomme på nu, hvor systemet er sårbart,« sagde Nina Löwe Krarup tirsdag til Version2.

Nina Løwe Krarup ønsker ikke at oplyse, hvem leverandøren af den fejlbehæftede løsning er.

Ejeren af 470.000 Blackberry-enheder – det amerikanske forsvarsministerium – skifter taktik og lukker snart flere konkurrerende gadget-leverandører ind bag linjerne.

Hidtil har kun 10 Blackberry mobiltelefoner og Playbook-tablets opnået forsvarets afgørende sikkerhedsgodkendelse ATO “authority to operate”. Dette har både Android- og Apples iOS-produkter til gode.

Men nu oplyser Pentagon, ifølge websitet Defenceone.com, at det arbejder på at udvikle en egen app-butik til særligt godkendte apps samt et system, der skal sikre at alle mobile enheder i princippet kan godkendes og benyttes af forsvaret.

Blackberry har de seneste år været en virksomhed i hård modvind. Så sent som i sidste uge afblæste Blackberry en selskabsovertagelse fra investeringsfonden Farifax og fyrede direktøren Thorstein Heins, hvis plads blev overtaget af John Chen.

Pentagon har siden 2012 arbejdet på en plan for overgangen fra PCer til smartphones og tablets. En talsmand fra Pentagon Damien Pichart oplyser, at dén plan i modsætning til den nuværende situation ikke favoriserer en bestemt leverandør eller teknologi.

Sikkerhedssystemet, der skal håndtere de nye mobile enheder er i et tidlig udviklkingsstadie. Pichart oplyser at forsvaret kører et lille pilotforsøg inden årets udgang.

Pentagon forventer at sikkerhedsgodkende 300.000 nye enheder med det nye system inden 2016.