Daily Archives: December 20, 2013

Version2 blogger Kræn Hansen har opdaget et sikkerhedshul på hjemmesiden for CVR-registeret, cvr.dk, som Erhvervsstyrelsen står bag. Der er tale om et persistent cross-site-scripting hul, som gør det muligt for en angriber at få siden til at køre javascript, hvis angriberen opretter en virksomhed.

Kræn Hansen, der til dagligt læser Computer Science på DTU, fandt ud af, at hvis der bliver sat særlig HTML-kode ind i et adressefelt i forbindelse med oprettelsen af en virksomhed på cvr.dk, så er det muligt at hive javascript ind på siden fra et eksternt site. Og ad den vej har det været muligt at præsentere vilkårligt indhold på cvr.dk.

»Det er jo et spørgsmål om at en ondsindet person vil kunne mistbruge den tilid, som folk lægger i de data, som cvr.dk præsenterer,« siger Kræn Hansen.

Et cross-site-scripting angreb kan fungere ved, at en ondsindet person lokker et offer til at klikke på et særligt udført link, der præsenterer ofret for angriberens indhold på en hjemmeside, som angriberen ikke ellers har kontrol over. På den måde kan det se ud som om, det er personen eller organisationen bag hjemmesiden, der er afsender på indholdet.

Persistent cross-site-scripting

Den angrebsvektor, Kræn Hansen er faldet over, er dog på sin vis værre.

For her er der som nævnt tale om et persistent cross-site-scripting angreb. Det persistente består i, at en angriber ikke længere behøver lokke et offer til at klikke på et særligt link, da den ondsindede kode bliver lagret i CVR-registrets database, og dermed automatisk hentet frem, når en bruger besøger siden.

Som Kræn Hansen beskriver i sit blogindlæg, kan det foregå ved, at angriberen opretter en virksomhed på cvr.dk og indtaster HMTL-koden, der hiver javascript ind på siden, i et adresse-felt. Fremover vil alle, der besøger siden med virksomheden, enten ved selv at søge sig frem til den, eller ved at klikke på et direkte link til den, blive præsenteret for en side under cvr.dk, hvor en angriber har fuldstændigt kontrol over indholdet.

Og Kræn Hansen kan sagtens komme i tanke om, hvordan det vil kunne misbruges. Eksempelvis i forhold til antallet af ansatte og dermed virksomheden størrelse, som via cross-site-scriptet vil kunne manipuleres på cvr.dk, hvilket i sidste ende kunne påvirke sådan noget som investeringslysten i virksomheden.

»Det er noget der bliver trukket fra Skat og så videre, det er ikke data, man normalt har skriverettighed til, men det er noget, jeg kan ændre alligevel, når jeg overtager den del af websitet,« siger han.

Kræn Hansen har, som en god whitehat-hacker jo gør, rettet henvendelse til Erhvervsstyrelsen, inden han gik ud med oplysningerne om den potentielle angrebsmulighed. Og det potentielle sikkerhedshul er nu lukket.

Erhvervsstyrelsen er taknemmelig

It-chef i Erhvervsstyrelsen Morten Kildevang Jensen beskriver den sårbarhed, som Kræn Hansen fandt frem til, og som nu er lukket, som alvorlig.

»Denne type fejl har meget høj prioritet i Erhvervsstyrelsen og vurderes til at være i kategorien alvorlig, da brugerne skal kunne stole på data såvel som den kanal som udstiller data,« skriver Morten Kildevang Jensen i en mail.

Det er uvist, hvornår fejlen er opstået, men den kan have eksisteret i længere tid, oplyser Morten Kildevang Jensen. Han fortæller, at Erhvervsstyrelsen løbende overvåger tilstanden på alle selvbetjeningsløsninger.

»Men der er altid den mulighed, at brugerne opdager sikkerhedsproblemer inden Erhvervsstyrelsen. Vi er derfor altid interesseret i at høre fra vores brugere, hvis de oplevere situationer, hvor sikkerheden er truet. Generelt er Erhvervsstyrelsen taknemmelige for, at eventuelle sikkerhedsbrister på cvr.dk, indmeldes direkte til Erhvervsstyrelsen, således at eventuelle fejl kan rettes hurtigt – som det er sket i denne sag,« skriver Morten Kildevang Jensen.

Under en forestilling i det 114 år gamle Apollo-teater i London faldt et stykke af teatrets loft ned over tilskuerne. 81 tilskadekomne kunne selv gå ud af teatret, mens syv er mere alvorligt såret.

Ifølge Londons brandvæsen var det et stykke dekoreret gipsloft på ca. 10 gange 10 meter, der styrtede ned i salen under aftenens forestilling, skriver Reuters.

»Loftet tog stykker af balkonerne med sig ned,« siger Nick Hardling fra Londons brandvæsen til Reuters.

Herudover skriver BBC, at også en del af lyssætningen på teatret røg ned over tilskuerne.

Myndighederne tør endnu ikke spekulere på årsagen til ulykken, men der er ifølge brandvæsnet ingen grund til at mistænke, at der var tale om en overlagt handling eller et angreb af nogen art. De britiske medier beretter om både regn og storm i London torsdag aften, men Nick Hardling afviser, at der er grund til at tro, at stormen er skyld i ulykken.

Omkring 720 tilskuere så stykket ‘The curious incident og the dog in the night-time’ i et næsten fyldt teater, da ulykken fandt sted.

Øjenvidner fortæller til BBC, at loftet kort inden ulykken sagde en knasende lyd, hvorefter det begyndte at falde ned. Flere tilskuere fortæller britiske medier, at de i begyndelsen troede, at lydene og de faldende loftsstykker var en del af forestillingen.

Staten er ved at begå en uoprettelig fejl ved at sælge Dong Energy til den amerikanske investeringsbank Goldman Sachs og flere institutionelle investorer.

Aftalen er omdiskuteret, fordi den allerede nu giver Goldman Sachs vetoret over vigtige beslutninger i Dong, selv om investeringsbanken vil eje mindre end en femtedel af aktierne frem til den forventede børsnotering, der skal finde sted senest i 2018. Hvad der derimod stort set ikke debatteres er, at staten sælger kritisk infrastruktur.

Dong har brug for de mindst 11 milliarder kroner fra salget til at finansiere nye havvindmøller og indvinde mere olie og gas fra Nordsøen. Det danske energiselskab er verdensførende inden for havvindmøller, men de kræver – ligesom olie- og gasboringer – milliarder i investeringer. Det er ulogisk, at de danske skatteydere skal bære risikoen her. Derfor gør staten klogt i at tage privat kapital ind og koncentrere sig om at få så høj en pris som muligt for sine aktiver.

Men Dongs imperium omfatter også el- og gasnet i København og Nordsjælland. Det er enestående herhjemme. Alle andre steder i landet bestyrer forbrugerejede selskaber de lokale elnet, mens de lokale gasnet er kommunalt ejede.

Selv om Dong er langt det største af de lokale elmonopoler, har kunderne ikke haft gavn af stordriftsfordelene. Tværtimod må de betale nogle af landets højeste tariffer for at få strømmen transporteret ud til deres hjem. Dertil kommer, at Dong var landets langsomste selskab til at sætte de time- og fjernaflæste målere op, som er en forudsætning for at udnytte strømmen intelligent – smart grid. Dong krævede ekstrabetaling, mens de forbrugerejede selskaber gjorde det af sig selv.

Fremtiden byder på langt flere og større investeringer i elnettet. Der er brug for, at elnetselskaber tænker offensivt i, hvordan kunderne får mest muligt ud af den grønne strøm. Det hensyn vil hverken Goldman Sachs eller andre ejere af et børsnoteret Dong tage.

Historien fra telebranchen viser, hvor vanskeligt det er at regulere monopol-infrastruktur, der er landet på private hænder. I 1997 solgte staten den første bid af daværende Tele Danmark til Ameritech. Siden har kampen raset om adgangen til netop de altafgørende kabler fra telefoncentralerne ud til kunderne. Den dag i dag sælger TDC hovedparten af de ADSL-­linjer, der udgør den vigtigste internetopkobling, og politikere på tværs af partiskel har erkendt, at salget var en fejl.

Så meget desto mere uforståeligt er det, at ingen rejser spørgsmålet om fornuften i at gentage fortidens synder. Særligt da fejlen i første omgang er lige til at rette.

Det gælder om at splitte Dong op. Havvindmøller, olie og gas samt en række andre aktiviteter kan Goldman Sachs og partnere få lov til at booste. Distributionsselskabet og infrastrukturen skal derimod have deres eget selskab. Infrastrukturen skal der være offentlig kontrol med. Om det sker bedst gennem forbrugereje eller med en anden konstruktion, kræver en nøjere granskning. Men el- og gasnet bør ikke fortsætte i et profitmaksimerende aktieselskab. Når først hele biksen er delvist solgt til Goldman Sachs, er det for sent at fortryde.

Den fælles europæiske patentdomstol bliver nu et spørgsmål for danskerne, når den kommer til folkeafstemning den 25. maj. Det oplyste statsministeren torsdag aften.

Flere af regeringens ministre kritiserer, at Enhedslisten og Dansk Folkeparti ikke vil stemme for patentdomstolen.

»Jeg har i dag haft drøftelser med Folketingets partier. Jeg må desværre konstatere, at Dansk Folkeparti og Enhedslisten ikke ønsker at stemme for lovforslaget. Jeg havde håbet, at vi kunne finde en løsning i Folketinget, men med disse tilbagemeldinger er det ikke muligt at samle fem sjettedeles flertal for lovforslaget, som grundloven kræver,« siger erhvervs- og vækstminister Henrik Sass-Larsen (S) i en pressemeddelelse.

Fem sjettedele af Folketinget er nødvendigt for at vedtage forslaget uden en folkeafstemning, da Justitsministeriet har vurderet, at Danmark afgiver suverænitet ved at tilslutte sig domstolen.

»Det her handler grundlæggende om at sikre vores arbejdspladser i Danmark. Patentdomstolen vil gøre det nemmere og billigere at beskytte de ideer danske virksomheder får, og som bliver til arbejdspladser her i landet. Det er også derfor, at både fagbevægelsen og erhvervslivet klart støtter en fælles patentdomstol,« siger handels- og europaminister Nick Hækkerup (S) i pressemeddelelsen.

Formålet med en fælles europæisk patentdomstol er at gøre det enklere at få og håndhæve et patent i EU. Kritikere af aftalen peger på, at patentet først og fremmest bliver enklere for de store virksomheder, der kan navigere i EU-systemet.

»Danske virksomheder vil kunne tage EU-patenter ligesom andre europæiske og amerikanske virksomheder vil kunne, ligegyldigt om vi er med eller ej. Den eneste forskel er, at de så også skal tage et dansk patent derudover. Dansk tilslutning til EU-patentdomstolen vil føre til pres på små og mellemstore virksomheder fra store koncerner og patentadvokater, særligt fordi man mister muligheden for at gå til danske domstole, hvis vi går med,« siger EU-ordfører for Enhedslisten, Nikolaj Villumsen, til Ritzau.

Nemid-løsningen til blinde er i problemer for anden dag i træk. Det bekræfter Ulrik Marschall, der er kommunikationskonsulent hos Nets.

»Vi opdagede en fejl i går, og den er vi så gået i gang med at udbedre nu«, siger Ulrik Marschall til Version2.

Nets kan dog endnu ikke oplyse hvad fejlen består i, eller hvordan den er opstået. Det er ikke muligt at logge på netbanker med nemids blinde-løsning, men ud over det, kan nets ikke redegøre for problemets omfang.

»Jeg ved, at det drejer sig om bankerne, men jeg har ikke fået bekræftet, om det også er andet«, siger Ulrik Marschall.

Nemid havde senest problemer i oktober måned, da man ikke havde opdaget, at Nemid ikke virkede med den seneste opdatering af Java. Det betød, at alle de brugere, der havde den nyeste version af den nødvendige software ikke kunne benytte nemid i 3 døgn.

Googles nye privatlivspolitik, som blev indført i 2012, er blevet mødt med kritik i en række europæiske lande, og Spanien har som det første af seks lande svunget bødehammeren over internetgiganten. Det skriver The Guardian.

Bøden lyder på i alt 6,7 millioner kroner, og Google vil nu granske afgørelsen fra det spanske datatilsyn, før selskabet tager stilling til, hvad der nu skal ske.

De spanske myndigheder har blandt andet fundet det ulovligt, at Google ikke informerer brugerne tilstrækkeligt eller præcist nok om, at Googles systemer gennemsøger alle e-mails for at bruge informationen til at vise målrettede reklamer.

Samtidig har Google brudt loven ved at anvende de indsamlede data til uspecificerede formål på ubestemt tid, mens brugerne ikke har haft mulighed for slette eller tilgå deres data.

Ud over Spanien har også Holland og Frankrig lignende undersøgelser i gang mod Google, efter Google indførte de nye regler på tværs af alle internetgigantens tjenester, som omfatter blandt andet Gmail, Youtube og søgemaskinen Google.

Facebook har gjort det, og nu ser det ud til, at mange andre udviklere er på vej til at gøre det samme. Opbakningen bag HTML5 til mobile apps er faldet til det laveste niveau nogensinde ifølge en undersøgelse blandt mobiludviklere udarbejdet af Appcelerator og analysefirmaet IDC.

HTML5 blev ellers udpeget til at være løsningen på problemet med at skulle lave versioner af mobile apps til flere platforme, fordi det ville gøre det lettere at genbruge store dele af kildekoden.

Men nu er opbakningen faldet fra, at knapt 73 procent af udviklerne var meget interesserede i at benytte HTML5 i juli 2012 til nu knapt 60 procent, hvilket er det laveste siden april 2011, hvor IDC og Appcelerator første gang spurgte til HTML5.

Facebook valgte i år at gå væk fra HTML5 og i stedet lave mobilapplikationer, som blev udviklet specifikt til hver platform. Årsagen var dårlig ydelse i applikationerne på de platforme, hvor Facebook brugte HTML5, og hvor Facebook har opnået bedre resultater med at programmere i platformenes egne sprog.

De mest populære mobile platforme blandt udviklerne er fortsat Apples iPhone og iPad, som dog også er faldende, mens Android-telefoner er på vej op igen efter et kraftigt dyk i 2012.

HTML5 har trods faldet stadig større interesse blandt udviklerne end Windows Phone og Windows-tablets. Blandt de nye platforme er der især stigende interesse for Samsung og Intels Tizen-platform.

Carlsberg blev tørlagt for julebryg allerede tidligt i december, så butikkerne ikke har kunnet få nye forsyninger. Især Carlsbergs specielle juleøl fra Jacobsen og Semper Ardens blev udsolgt tidligere end forventet.

Det til trods for, at Carlsberg benytter et stort business intelligence-system baseret på SAP APO til at lave prognoser for, hvor meget øl der skal brygges.

»Det har været svært denne gang, fordi vi har været i en konflikt med Coop, som er én af vores største kunder,« forklarer logistikdirektør Thomas Panteli fra Carlsberg til Version2.

Carlsberg laver sine prognoser for ølsalget ud fra blandt andet tidligere salgstal samt de tilbudskampagner, der er planlagt med butikskæderne. Og netop det sidste har altså været en medvirkende faktor til, at Carlsberg har undervurderet salget af julebryg.

»Vi arbejder ekstremt systematisk med prognoser. Vi har en baseline, som er baseret på historikken, og så lægger vi kampagner ind med det volumen, vi har aftalt med de enkelte kæder,« siger Thomas Panteli.

Konflikten med Coop var dog ikke den eneste uforudsete faktor, som snød Carlsbergs prognose.

»Vi ser et skift i forbrugernes adfærd, hvor der er en stigning i efterspørgslen på specialøl. Samtidig havde vi et nyt produkt, Jacobsen Julebock, der vandt en test i ét af formiddagsbladene. Det er tricky, når vi har et nyt produkt, som vi ikke har nogen reference for,« fortæller Thomas Panteli.

Carlsbergs prognoser laves 12 uger forud, og det inkluderer også andre typer data, som eksempelvis vejret, der kan have stor indvirkning på salget om sommeren.

»Vi har flere vejrmodeller, hvor vi ser på en 4-12 ugers horisont. Et produkt som Coca-Cola, som vi også producerer, er endnu mere vejrfølsomt end ølsalget,« siger Thomas Panteli.

Det er i øvrigt ikke usædvanligt, at Carlsberg løber tør for årets produktion af julebryg inden selve juledagene er begyndt.

»Det er lidt som at sælge juletræer. Det er ikke et rasende relevant produkt i januar, så det giver ikke mening at skubbe ekstra produktion ud tæt på jul. Vi er gået lidt tidligt ud af visse varianter, men ellers er vi ganske tilfredse,« siger Thomas Panteli.

Både øl og sodavand har begrænset holdbarhed på hylderne, så derfor vil Carlsberg hellere skyde lidt under end over i prognoserne.

De mange usikkerheder i årets salg af julebryg kommer også til at få konsekvenser for produktionen af julebryg til julen 2014.

»Det bliver lidt tricky at lave prognosen næste år. Vi må prøve at beregne, hvad vi mistede af volumen fra Coop, hvor vi måske så solgte lidt ekstra gennem Dansk Supermarked. Der må vi prøve at give vores bedste bud,« siger Thomas Panteli.