Daily Archives: November 15, 2013

Teknologier til energilagring er stadigvæk ikke kommercielle og derfor relativt kostbare. Alligevel udgør de essentielle brikker i det fremtidige fleksible energisystem.

Derfor bør vi sætte turbo på udviklingen af lagringsteknologier i et særligt forskningsprogram, der også skal omfatte nye materialer.

Det er hovedanbefalingen i DTU’s årlige og 12. energirapport, som denne gang giver et grundigt overblik over en hel række energilagringsteknologier. Her er det beskrevet, hvor teknologierne er i dag, hvilke perspektiver forskerne ser i den pågældende teknologi, og hvad kan de hver især bidrage med til fremtidens energisystem.

Rapporten konkluderer, at lagringsteknologierne både er velegnede til at stabilisere elsystemet og optimere udnyttelsen af de vedvarende og lokale energikilder. Eller som vicedekan Hans Hvidtfelt Larsen udtrykte det ved præsentationen af rapporten:

»En gasturbine kan producere strøm, når vinden ikke blæser. Men den kan ikke stille noget op, når der er for meget vind. Flere af de omtalte teknologier kan hjælpe på begge situationer, og så tror vi vi da også, at det er muligt at reducere prisen på teknologierne hen ad vejen.«

Endnu er teknologierne dog langt fra markedet og derfor meget dyre, men Hans H. Larsen påpeger, at man med disse lagringsteknologier kan spare dyre transmissionsforbindelser til udlandet.

Rapporten behandler mange typer af lagringsteknologier, der spænder fra de termomekaniske, hvilket dækker over pumpelagre, svinghjul og trykluftlagre, over de elektrokemiske, som er batterier, til kemisk lagring, der for eksempel omfatter konvertering af strøm til brint.

Et forskningsområde for teknologier til at lagre energi bør ifølge DTU omfatte pilot- og demonstrationsanlæg. Desuden råder rapporten til at indrette energimarkedet, så det værdisætter lagringsfunktionen og til at indføre en lovgivning, der sikrer, at integrationen sker så effektivt og billigt som muligt.

Formand for EUDP Torkil Bentzen mente dog i den videre debat, at det ikke er nødvendigt at oprette et specielt program til lagringsteknologier, da der findes mange forskningsmidler rundt omkring, som snildt kan bruges til dette formål.

Læ rapporten her.

Den udskældte RC4-kryptering har længe haft kendte svagheder, og mange eksperter har påpeget, at RC4 bør erstattes med nyere og mere skudsikre krypteringsformer. I denne uge meldte Microsoft endelig ud til deres kunder, at RC4 ikke længere bør anvendes.

Senest har Edward Snowdens afsløringer af NSA’s hemmeligheder skærpet sikkerhedseksperternes skepsis over for RC4’s integritet.

En figur som Jacob Appelbaum, der er uafhængig sikkerhedsekspert, associeret med Wikileaks og tidligere ansat hos University of Washington advarer således:

»RC4 er blevet brudt i realtid af NSA – stop med, at bruge det,« siger Jacob Appelbaum, der forsker i it-sikkerhed og er en førende Tor-udvikler ifølge the Register.

Nu lyder det altså også fra Microsoft, at udviklere skal droppe brugen af den udbredte RC4-kryptering, da den ikke længere er vurderet til at være sikker. Udmeldingen kommer samtidig med tirsdagens sikkerhedspatch, skriver Threatpost.com.

»Set i lyset af nylige undersøgelser af angreb på svagheder i RC4-krypteringen, anbefaler Microsoft, at kunder istedet bruger TLS1.2 i deres tjenester og begynder at udfase RC4,« skriver sikkerhedschef i Microsoft, William Peteroy i et blogindlæg ifølge Threatpost.com.

Den amerikanske netværksgigant Cisco har ligeledes anbefalet deres kunder, at anvendelsen af RC4 bør stoppe.

RC4-krypteringen bliver blandt andet brugt i populære protokoller såsom TLS (Transport Layer Security), der anvendes i stor stil på nettet, samt det kryptografiske system WEP, der bruges til at sikre WiFi-netværk mod indtrængende.

Nok er Javascript blevet en del hurtigere de seneste år – men det er stadig noget helt andet at køre kompileret C-kode direkte på maskinen. Derfor opfandt Google konceptet Native Client, som gør det muligt for browseren Chrome at køre C og C++-kode i en lukket sandkasse, men med mere direkte adgang til maskinens hardware end ellers.

Nu har Google forbedret konceptet, så man ikke længere skal udvikle applikationer til hver type arkitektur, men kan lave én applikation, der virker alle vegne – ligesom konceptet bag Java. Det skriver Digi.no.

Google kalder det Portable Native Client, der bliver forkortet PNaCl, der snedigt nok kan udtales ’pinnacle’. I stedet for at kompilere koden til en bestemt arkitektur, for eksempel x86-maskiner med Windows, bliver koden med PNaCl ikke kompileret færdig på forhånd, men sendes ud til brugerne i et ’mellemstadie’. Ude hos modtageren bliver koden så kompileret endeligt til den hardware, der er til stede.

Foreløbigt er Portable Native Client kun kommet i den nyeste version af Chrome-browseren til x86-platforme, men med tiden kan den også blive brugt på smartphones og tablets med Android eller andre styresystemer, der tillader den slags. På iOS er det umuligt, så længe Apple forbyder en browser at kompilere kode lokalt.

Vil andre browserproducenter også bygge PNaCl ind, er det muligt, så længe browseren understøtter Pepper.js, skriver Google i et blogindlæg om konceptet. Så bliver koden lavet om til Javascript i browseren.

Se eksempler på, hvad man kan med PNaCl

Truslen fra hackere har aldrig været større. Din virksomheds website kan være et mål for både industrispioner, aktivister og mere gemene berigelseskriminelle.

Version2′s whitepaperbibliotek bugner med gode råd til, hvordan du får styr på websikkerheden.

For eksempel Symantecs whitepaper Seks ting, der kan dræbe dit website – og hvordan du stopper dem. Her oplister sikkerhedsfirmaet, hvor kritisk det kan være, hvis din virksomhed ikke har tænkt over ting som malware og malvertising.

Du kunne også tage et kig på Impervas Fremtiden for websikkerhed: 10 ting, alle webapplikationsfirewalls bør kunne. Hvis du troede, at WAF var et populært udtryk til at beskrive, om de store gulvhøjttalerne hjemme i stuen kan accepteres af konen, kan du godt tro om. I Impervas whitepaper Fremtiden for websikkerhed: 10 ting, alle webapplikationsfirewalls bør kunne betyder nemlig forkortelsen – rigtigt gættet – web application firewall.

Endelig er der også whitepaperet Webapplikationssikkerhed for dummies fra Qualys. Mere end 55 procent af alle serversårbarheder kan henføres til webapplikationer, og whitepaperet handler om at forstå, hvordan man hurtigt finder og ordner sårbarheder i webapplikationer. Målet er selvsagt at forhindre angribere i at få kontrol over applikationen og få let adgang til server, database og andre backend-it-ressourcer.

The demo ghost, Murphy’s law, it worked yesterday… Høres ofte på konferencer, og da jeg organiserer en del konferencer, hører jeg det en hel del.

Konferencepræsentationer kan blive tørre og kedelige, og en måde at pifte dem op på kan være at vise en demo. En demo kan også være en måde at få ethos på plads i sin præsentation. Det er en god ide, ingen tvivl om det! Men at få en ide til at lykkes i praksis kan være vanskeligt. Der kan, og vil, gå alt muligt galt. Ofte er det internettet der driller, men der er en masse andre usikkerheder. Kommunikation til andet display kan ændre det visuelle udtryk og også ind imellem funktionalitet, taleren kan komme til at stave forkert når en metode live-kodes, hardwaren skal genstartes, etc. Det er naturligvis ikke kun på konferencer, man ser det. Det er også på gå-hjem-møder, i kurser, og i præsentationer til kunder og andre interessenter.

Men der er ting man kan gøre for at gøre det bedre. Man bør lave et ordentligt manuskript over hvad man nøjagtig vil gøre og hvilket output man forventer. Man skal selvfølgelig øve sig og øve sig inden. Hvis man skal taste en masse ind kan man have alle linjerne tastet ind på forhånd. Hvis man har en hel sekvens af demoer kan man lave et script der kører dem som kaldes med keyboard kommandoer. Hvis man skal gøre noget over en webside, så kan man pre-cache den eller køre den fra sin egen maskine. Hvis man har noget hardware der skal virke (og her tænker jeg også bare på forbindelsen til projektoren med alle de forskellige programmer man kommer til at køre), så test det ved podiet inden præsentationen. I sidste ende kan man optage hele skidtet på video derhjemme i fred og ro og vise den, hvis alt andet fejler.

Det er tit en fordel hvis man kan slukke for netværket mens man holder foredrag. Jeg husker med gru en præsentation hvor der løbende kom bud ind på skærmen fra folk der ville købe talerens bil, som åbenbart var sat til salg. Foredragsholderen opdagede ikke de mange små popups, men publikum sad bare og ventede på den næste. Hvis din demo er afhængig af forbindelse til Internettet så kan du selvfølgelig ikke slukke for nettet, men så kan du tilføje dårlig wifi til listen over ting der kan gå galt for dig. Og hvis lokalerne ikke bliver regelmæssigt brugt til tekniske events kan du være helt sikker på at wifien bryder klynkende sammen når nørderne fylder lokalet med 2-3 gadgets per person.

Det er ikke som om det her er ny information. Alligevel bliver talerne ved med at vise demoer der kikser på alternative måder, næsten hver gang der er en demo… Mor er ikke vred, mor er bare skuffet

Har du nogle gode tips til at undgå demo-kiks? Hvad er din mest pinlige demo-katastrofe?

De mest personlige data om danskerne – dna-oplysninger og sygdomshistorik – blev ikke beskyttet godt nok af henholdsvis Politiet og Statens Serum Institut. Det konkluderer Rigsrevisionen i den årlige revision af blandt andet it-sikkerheden i staten i Beretning om revisionen af statsregnskabet 2012.

Hos Politiet har otte personer adgang til dna-registret, som rummer dna-profiler og spor fra gerningssteder. Disse personer skulle hvert halve år kontrolleres, men det har Politiet forsømt, konstaterer Rigsrevisionen. Samtidigt bliver ændringer i dna-registret ikke logget, så disse otte politifolk kunne ændre løs i dataene, uden det blev opdaget. Politiet havde heller ikke udpeget en sikkerhedsansvarlig for registret.

Hos Statens Serum Institut var man også for dårlig til at beskytte strengt personlige oplysninger om danske borgere. Instituttet har nemlig en kopi af Landspatientregistret, som sammen med andre registre bliver brugt til forskning.

Men beskyttelsen af disse oplysninger om borgernes sygdomshistorik led under, at Statens Serum Institut ikke havde kontroller, som skulle sikre, at persondataloven blev overholdt, og der var ikke lagt planer for, hvordan man kunne beskytte dataene mod nedbrud, datatab eller hackere.

»Rigsrevisionen vurderer, at det ikke er tilfredsstillende, at Statens Serum Instituts svage kontroller indebærer en risiko for, at Landspatientsregistrets følsomme persondata for hele Danmark kompromitteres,« skriver Rigsrevisionen.

Desuden var den fysiske adgangskontrol til blandt andet vigtigt it-udstyr og udstyr til vaccineproduktion alt for tilfældig. Der var ikke styr på de gæstekort, som blev delt ud til for eksempel håndværkere, og også de faste medarbejdere generelt fik adgang til langt flere rum, end der var behov for i deres arbejde.

»Kritikken er berettiget, og vi tager det hele til efterretning. Det er alvorligt, og derfor er vi også i fuld gang med at rette op på forholdene,« siger Nils Strandberg, direktør for Statens Serum Institut, til Jyllands-Posten.

Han kan ikke sige, hvor mange gæstekort, der er blevet delt ud, men nu er de alle blevet deaktiveret. Og der er ikke sket misbrug, lyder vurderingen fra direktøren.

Mange chefer har svært ved at få det sagt, hvis de er utilfredse med dig, så i stedet for at tage en kammeratlig samtale eller give en formel advarsel, forsøger de sig med en række mere eller mindre elegante signaler, som skal få dig til selv at gå.

Det mener cand.merc., MS, Claus Hellmann, som på sin blog lister syv advarselstegn, der afslører, at du står højt på chefens prikkeliste. Har du oplevet blot et par stykker af disse indirekte hentydninger, opfordrer han dig til straks at søge væk.

Er det tid til arbejdsmæssig luftforandring? Se mulighederne på Jobfinder.

Ansvar og opgaver forsvinder
Dit arbejdsområde bliver undermineret, fordi chefen fjerner ansvar og opgaver – uden at forklare hvorfor. Du har pludselig færre opgaver, som måske også er mere ensformige og kedelige. Endnu værre er det, hvis der bliver ansat en ny medarbejder, som skal varetage dine gamle opgaver.

Flytning fra kolleger
Du flyttes væk fra tidligere kolleger, og bliver ikke inviteret med til møder, som de deltager i. Skulle du en enkelt gang være med, bliver der ikke lyttet til dig, hvis du da overhovedet får taletid.

Informationsstrømmen går uden om dig
Du modtager ikke information om, hvad der skal ske fremover og kommer derfor til at virke dum og uvidende, blandet andet fordi du uundgåeligt kommer til at begå fejl eller agere langsomt. Heller ikke de uformelle nyheder, der kommer via jungletrommerne, når dig. Du glider ud af de daglige samtaler med kollegerne.

En gevaldig bommert ignoreres
Du har begået en stor bommert. Du ved det selv, din chef ved og dine kolleger ved det, men ingen siger noget. I stedet går du alene og plejer dine sår efter katastrofen.

MUS-samtale uden indhold
Den årlige MUS-samtale med din chef er fuldstændig indholdsløs. Der er hverken ros eller ris – kun en gang snik-snak.

Har du brug for et råd til at komme videre i karrieren? Spørg Jobfinders karriererpanel.

Chefen holder afstand
Din personlige kontakt med chefen mindskes, og du får enten din viden fra e-mails eller fra dine kolleger. Sender du selv en e-mail til chefen, besvarer han den ofte slet ikke.

De sociale cirkler lukker
Du bliver holdt uden for de uformelle sammenkomster, som chefen tager initiativ til. Der kommer simpelthen ikke en invitation.

Softwarefirmaet ImmuneSecurity, der producerer software til overvågning af netværk, ønsker fremtidige kontrakter med eksempelvis regeringer og Nato. Derfor igangsætter selskabet nu en krævende ansøgningsproces, for at opnå det nødvendige sikkerhedscertifikat, der i øjeblikket ikke er opnået af nogen dansk virksomhed.

ImmuneSecurity har til formålet indledt et samarbejde med den amerikanske flykæmpe Boeing, der har stor erfaring inden for sikkerhedscertificering og skal hjælpe den lille virksomhed med testfaciliteter og ekspertise op til den eksamen, der skal bestås i et eksternt laboratorium.

Konkret kræves det, at ImmuneSecurity skal stille med omfattende dokumentation og gennemteste systemet ud fra fastlagte parametre. Denne test skal være reproducérbar af et eksternt, godkendt laboratorium, der gerne skulle få samme positive resultater, som ansøgeren, før certifikatet kan blive en realitet.

Certifikatet kommer i syv niveauer, der afspejler, hvor omfattende dokumentations- og testkravene til produktet har været og groft sagt, hvor sikkert det er.

»De syv niveauer siger noget om, hvor omfattende du har bevist, hvorvidt et produkt er sikkert. Jo højere man kommer op, desto mere skal man bevise,« siger Christian Have, der er vicepræsident for løsninger og integration hos ImmuneSecurity, til Version2.

Og den test er ifølge Christian Have meget svær at bestå i første omgang – medmindre man altså har én af verdens største flyproducenter til at hjælpe sig.

»Det, der er styrken ved samarbejdet, er, at vi med hjælp fra Boeing kan simulere hele ansøgningsprocessen, så den rigtige eksamen hos det eksterne akkrediteringsfirma mere eller mindre bliver en formalitet,« siger direktør for ImmuneSecurity Jesper Zerlang til Version2.

Anerkendt standard

Common Criteria (forkortes CC) er en sikkerhedsstandard, der anvendes til udstedelse af it-sikkerhedscertifikater. Certifikaterne findes i syv såkaldte EAL-niveauer (Evaluation Assurance Level), der bliver mere krævende jo højere tallet er.

Af kendte produkter, der har gennemgået den besværlige proces kan nævnes OS X 10.6 og Windows 7, der har certifikater på henholdsvis EAL3+ og EAL4+. Plusset dækker over, at produkterne overstiger forventningerne på nogle parametre, men ikke nok til at springe et helt niveau op.

ImmuneSecurity vil have deres produkt, LogPoint, godkendt til niveau tre på EAL-skalaen.

Tallet er et udtryk for, hvor gennemgribende produktet er blevet testet, før certifikatet er blevet givet og til perspektivering kan nævnes, at niveau syv er et krav til systemer, der kører på rumfartøjer, som skal ud i det ydre rum – eller som det bliver udtrykt på pressemødet:

»Når du er oppe i den kaliber, har du i bund og grund ført matematisk bevis for, at din software ikke kan crashe.«

LogPoint er et såkaldt SIEM-system, der overvåger netværk ved at ensrette forskellige log-data, som præsenteres brugervenligt og overskueligt. I realtid kan systemet alarmere administratorer om uhensigtsmæssig færden på netværket, hvad enten det er Facebook-browsing i arbejdstiden eller et indkommende DDoS-angreb.

Boeing og ImmuneSecurity er enige om, at LogPoint viser lovende potentiale inden for SIEM-branchen, og derfor er flygiganten klar til at sætte ressourcer af til at hjælpe den danske virksomhed med at få blåstemplet produktet. Det vil nemlig åbne for helt nye markeder.

Certifikat åbner militære døre

CC-standarden er bredt anerkendt heriblandt af flere regeringer, og er ofte et krav til systemer, der skal bære kritisk it-infrastruktur.

Idéen bag standarden er, at myndigheder og private it-sikkerhedskunder kan udarbejde en såkaldt ‘protection profile’, der specificerer sikkerhedskravene til en bestemt type løsning. Leverandører kan så søge at opnå et certifikat, der via tredjeparts tests i godkendte laboratorier garanterer at leve op til de krav.

Niveau tre ud af syv lyder måske ikke imponerende, men ifølge Christian Have, der er vicepræsident for løsninger og integration hos ImmuneSecurity, er der tale om et kvantespring fra niveau to-certifikater og til de krav, der stilles til niveau tre. Derfor regner ImmuneSecurity med, at certifikater vil give dem en konkurrencemæssig fordel.

»Mange af vores konkurrenter er nemlig kun på niveau to, så vi bliver med al sandsynlighed et mere attraktivt alternativ for organisationer som PET og Forsvarets Efterretningstjeneste, der typisk stiller de her krav,« siger Christian Have til Version2.

Ligeledes er niveau tre reelt det øverste trin på stigen, hvor det stadig er rentabelt for kommercielle virksomheder at få testet deres produkter. Prisen stiger ifølge Christian Have nemlig eksponentielt, når certifikaterne kommer op i de højere luftlag.

Jesper Zerlang forklarer, at certifikatet giver adgang til blandt andet at byde på Nato-udbud, der som regel kræver et EAL3-niveau før en leverandør overhovedet kan komme i betragtning.

Niveau 3 stiller ifølge Jesper Zerlang krav til, at det kan dokumenteres, at selv de mindste produkt-opdateringer lever op til standarden, og ved nye versionsnumre skal hele produktet recertificeres af et godkendt testlaboratorium, der kan efterprøve virksomhedens egne testresultater. Niveau tre er dermed i en anden liga end trinnet før, og derfor er det værd at investere kræfter i at opnå.

»Kunderne vil vide, at LogPoint har været igennem en mere udførlig verifikation og ikke blot en dokumenteret beskrivelse men rent faktisk har et eksternt uafhængigt bureau bekræftet, at LogPoint er udviklet og dokumenteret på et kommercielt meget højt niveau,« siger han.

Det er ImmuneSecuritys forhåbning, at certifikatet er i hus vil den 1. maj 2014.

Det er praktisk talt umuligt at blokere for TOR-netværket. Og for at gøre et nogenlunde kvalificeret forsøg, er man nødt til at gå planken ud som totalt overvågningssamfund. Det mener Henrik Kramshøj, der direktør i Solido Networks, selvudnævnt internetsamurai og blogger på Version2.

»Man kan ikke opretholde en TOR-blokade, fordi det vil kræve, at man filtrerer trafikken mere og dykker længere ned i den, end man er villig til i et demokrati,« siger Henrik Kramshøj til Version2 og tilføjer, at man heller ikke i mindre demokratiske lande har haft det store held med at blokere TOR.

»Hvis man vil blokere for TOR, så vil man være nødt til at overføre al den overvågning af internettet, man har i Kina, til Danmark. Men selv i Kina har de heldigvis ikke den store succes med at stoppe TOR,« siger Henrik Kramshøj.

Udtalelserne kommer i kølvandet på, at Socialdemokratiets retsordfører Trine Bramsen i et interview med Politiken luftede muligheden for en poltisk bestemt blokade af TOR, som en modsvar til den voksende it-kriminalitet.

Effektiv blokade vil ødelægge internettet

Hvis man først indlader sig på at blokere for TOR-trafik, vil det enten være totalt ineffektivt, eller også vil det ifølge Henrik Kramshøj udvikle sig til et kapløb, der vil resultere i, at det digitale Danmark bliver sat alvorligt tilbage. For at opretholde en effektiv blokade vil myndighederne nemlig være nødt til at begrænse internettet mere og mere i takt med, at der kommer nye redskaber til at camouflere TOR-trafik.

»Selv hvis man filtrerer trafikken og har firewalls, der detekterer TOR-trafik, så er der masser af måder at omgå det på. Man kan bruge en proxy til at obfuskere sine TOR-forbindelser, så de ligner al mulig anden trafik. Det kan være https trafik eller vpn-trafik,« siger Henrik Kramshøj og uddyber

»Der er mange muligheder. Så hvis man vil stoppe TOR, så må man også blokere alle former for internet-trafik, som man kan få TOR til at ligne. Og så ender vi meget hurtigt som en nation, der ikke kan nyde godt af internettet og ikke kan kommunikere ordentligt med omverdenen,« siger Henrik Kramshøj til Version2.