Monthly Archives: February 2014

I it-regi er det eneste, der er værre end dårlig it-sikkerhed, nok falsk it-sikkerhed. Det var nogenlunde det, der var tilfældet, da en Version2-læser bemærkede en mildest skrevet uheldig omgang med personfølsomme data, da han blev bedt om at sende data til legitimations-oplysninger til banken som konsekvens af den såkaldte hvidvaskningslov.

Det foregik via en nyoprettet webformular, der skulle være til sikker kommunikation med Vestjysk Bank. Men i stedet endte dataene med at blive sendt over nettet i ukrypteret mail-format ligesom pasbilledet, Version2-læser Bjørn Damborg Froberg havde vedhæftet, endte med at være tilgængelige for alle med den rette URL.

Sikkerhedsproblemet er nu fikset, men udviklingschef i banken, Carsten Anderson er dog ikke stolt af implementeringen, der i princippet blotlagde personoplysninger stik mod Datatilsynets anbefalinger på området.

»Det er noget rigtig skidt, vi har lavet. Vi er selvfølgeligt enige i Datatilsynets anbefalinger,« siger Carsten Anderson.

Banken havde netop lanceret webformularen, der skulle sikre krypteringen. Formularen have kun været i luften i omkring seks dage, før Bjørn Damborg Froberg 25. februar gjorde banken opmærksom på problemer i forhold til sikkerheden. Herefter blev sikkerheds-hullet lukket i løbet af et kvarter, fortæller Carsten Anderson.

Pas kunne tilgås af alle

Hullet skyldes, at selvom informationerne sendt via formularen ganske vist blev krypteret, så fik kunden automatisk en retur-mail med oplysninger, som ikke var krypteret. Eksempelvis indeholdende CPR-nummer. Og hvad værre er, et link til billedmateriale sendt via webformularen, i Bjørn Damborg Frobergs tilfælde, et indscannet pas.

Linket havde format af:

http://www.vestjyskbank.dk/Files/Files/FormUpload/XXXXXXXXXXXXXXXX_Pas.jpg

Bjørn Damborg Froberg testede, om billedets-url’en kunne tilgås af andre, det kunne det. Carsten Anderson bedyrer, at udover der ikke længere bliver sendt en autogenereret og ukrypteret mail retur til kunderne med personfølsomme oplysninger, så skulle det heller ikke længere være muligt for uvedkommende at tilgå indhold på http://www.vestjyskbank.dk/Files/Files/FormUpload/

Vestjysk Bank har selv i samarbejde med bankens it-leverandør udviklet løsningen, som Carsten Anderson medgiver, har været for dårligt testet.

»Vi har ikke fået det testet ordentligt. Normalt er vi meget omhyggelige med at få testet den slags ordentlig. Hvis der er nogen, der går ind for datasikkerhed, så er det os, det er en beklagelig fejl, og det er ikke noget, vi normalt sløser med,« siger udviklingschefen og fortsætter:

»En bank skal man jo kunne stole på. Hvis man indtaster noget personfølsomt på vores hjemmeside, skal man jo kunne stole på, det kun er banken der modtager det og ingen andre.«

Vi er flove

I forhold til webforumularen med den problematiske implementering, lyder det ærligt fra Carsten Anderson:

»Vi er egentlig flove over den.«

Bjørn Damborg Froberg oplevelser med it-sikkerheden i Vestjysk Bank er dog ikke helt slut. Han fortæller i en henvendelse til Version2, hvordan han i første omgang blev opfordret til at sende alle informationer i en mail. Det afviste han dog at gøre, og blev først derefter gjort opmærksom på den – på daværende tidspunkt – ikke så sikre webformular. Men at sende personfølsomme oplysninger i en mail, er ikke i overensstemmelse med bankens politik, lyder det fra Carsten Anderson.

»Bankens anbefaling er, at man bruger den krypterede formular eller gør det via vores netbank, der også er sikker. Det er ikke bankens politik, at sende den slags på mail. Det er ikke noget, banken anbefaler, og det er ikke noget, vi anbefaler nogen som helst at gøre. Det er også imod vores it-sikkerhedspolitik,« siger Carsten Anderson.

Det kan på ingen måde prale af at have den mest realistiske grafik, men alligevel er computerspillet Minecraft blevet voldsomt populær hos især børn men også voksne. Og nu er spillet på vej til at få sin egen film, skriver Hollywood Reporter.

Det bliver Warner Bros., der skal stå for filmen, og de har allerede hyret én af producerne bag den storhittende Lego-film ind til projektet.

Minecraft-spillet giver på lidt samme måde som Legos byggeklodser mulighed for at give fantasien frit løb og bygge hvad som helst ud af de byggesten, man kan indsamle i spillet.

Hollywood har sjældent haft succes med at omsætte computerspil til det store lærred. Selv store successer som Tomb Raider, Resident Evil og Hitman har ikke formået hverken at tilfredsstille filmelskere eller spillenes fans, som mindeværdige film.

Filmudgaverne er dog blevet bedre siden Mario Bros. fra 1993, og selvom filmene ikke har været oplagte Oscar-kandidater, så har de formået at give overskud.

Minecraft bliver en særlig udfordring, for ligesom med Lego er her ikke en oplagt fortælling i selve spillet, og derfor vil Warner Bros. have frie hænder til selv at finde på en historie, hvor filmmediet kan udnytte Minecraft-universet.

Videnskabelige artikler fra to udgivere har i over 120 tilfælde været skrevet af et computerprogram. Det afslører den franske forsker Cyril Labbé fra Joseph Fourier University i Grenoble nu efter at have gennemgået artikler fra en række konferencer mellem 2008 og 2013, skriver Nature.

Cyril Labbé har ledt efter artikler skrevet af computerprogrammet SCIgen, som blev opfundet på MIT i 2005. Programmet sammensætter selv vrøvlesætninger for at skabe falske, videnskabelige artikler. Målet med programmet var oprindeligt at påpege, at konferencer ville antage meningsløse artikler, hvilket Labbé nu har dokumenteret i 120 tilfælde.

Artiklerne er udgivet i forbindelse med konferencer, primært i Kina. De var i flere tilfælde underagt peer-review, et system, hvor eksperter på det relevante område skal godkende artiklerne. Særligt i disse tilfælde er det opsigtsvækkende, at artiklerne er blevet accepteret, tilsyneladende uden nogen har opdaget, at indholdet ikke giver mening.

I flere tilfælde er forskere blevet nævnt som medforfattere af artiklerne, selv om de i dag hævder ikke at kende noget til dem. Artiklerne har i dag fundet vej til abonnementstjenester fra både den tyske udgiver Springer og det amerikanske Institute of Electrical and Electronic Engineers (IEEE), som begge vil fjerne de berørte artikler fra deres tjenester.

Labbé har også tidligere påvist fejl i de akademiske godkendelsessystemer ved hjælp af computerprogrammet. I 2010 genererede han selv 102 vrøvle-artikler af en opdigtet forsker ved hjælp af SCIgen.

Labbé uploadede artiklerne i Google Scholar og gjorde den opdigtede forfatter til den 21. mest citerede videnskabsmand på tjenesten. Andre forskere har påvist, at man kan øge sit eget citations-index ved hjælp af falske artikler fra SCIgen.

Apple valgte, at iOS-udviklere ikke skulle have adgang til at bruge den fingeraftrykslæser, som Apple har indbygget i selskabets topmodel. Den begrænsning vil verdens største smartphone-producent, Samsung, imidlertid ikke stille i vejen med Galaxy S5, skriver Techcrunch.

Samsung har valgt at indbygge en fingeraftrykslæser i Galaxy S5, og Android-udviklere vil få adgang til at bruge den i deres applikationer via Samsungs API.

Ifølge Techcrunch omfatter det muligheden for i en app at bede om at få genkendt et fingeraftryk og holde det op imod de lagrede fingeraftryk på telefonen.

Dermed vil en app altså kunne bruge fingeraftrykslæseren til at verificere identiteten af en bruger. Det vil eksempelvis kunne bruges til betaling i en app, hvor et kodeord enten vil kunne suppleres med et fingeraftryk eller helt erstattes af det.

Adgang til biometriske data som et fingeraftryk kan imidlertid også rejse en række sikkerhedsspørgsmål, hvis en applikation kan få adgang til selve fingeraftrykket.

Det er nu endnu mere tvivlsomt, at verdens indtil for nylig største børs for køb og salg af den digitale valuta Bitcoin igen kommer på fode. Fredag gik selskabet bag Mt.Gox-børsen nemlig formelt i betalingsstandsning, skriver Reuters.

Mt. Gox lukkede ned for alle handler for tre uger siden, angiveligt som følge af et hackerangreb der havde stået på gennem længere tid.

Nedlukningen har betydet, at de kunder, som har deponeret deres Bitcoins hos Mt. Gox, ikke har kunnet trække dem ud. Der er fortsat tvivl om, hvorvidt kunderne vil kunne få deres Bitcoins tilbage, eller om de er forsvundet som følge af hackerangrebet.

Mt. Gox, der oprindeligt blev stiftet som en online markedsplads for samlekortspillet Magic The Gathering, var indtil nedlukningen den toneangivende børs for Bitcoin, og det var valutakursen hos Mt. Gox, som blev regnet for at være den bedste indikator for værdien af Bitcoins.

Trods lukningen af Mt. Gox fortsætter handlen med Bitcoins dog på en lang række alternative børser. Ifølge Reuters er den første generation af idealistiske udbydere på vej til at blive erstattet af mere seriøse udbydere.

Det kræver bare en enkelt sårbarhed, der ikke er lappet, før en hacker kan snige sig ubemærket forbi forsvarsværkerne på en computer. Og der var nok at vælge imellem i 2013, viser en årsrapport over sårbarheder, som det danske sikkerhedsfirma Secunia udgiver.

Secunia har specialiseret sig i at registrere sårbarheder og fik i løbet af sidste år i alt noteret 13.073 forskellige, fordelt på 2.289 softwareprodukter. Men mere interessant er de mest brugte programmer og styresystemer på Secunias Top50-liste, fordi en hacker typisk vil forsøge at ramme bredt. I de 50 mest udbredte stykker software var der 1.208 sårbarheder i 27 produkter.

Tre ud af fire af dem fandt Secunia i tredjeparts-software, altså for eksempel PDF-læsere eller Adobe Flash, Microsofts styresystemer stod for otte procent, og Microsofts øvrige software stod for 16 procent af dem.

Det var en solid stigning for Microsofts produkter, hvor Microsoft-programmer måtte indkassere en stigning på 128 procent i forhold til 2012, ligesom antallet af sårbarheder i Microsofts styresystemer også steg kraftigt, efter et dyk i 2012. Helt galt ser det ud for Windows 8, som får mangedoblet antallet af sårbarheder til 156 i 2013, men det skyldes især, at Internet Explorer til Windows 8 fik en indbygget Flash-afspiller fra Adobe, skriver Secunia.

Og det er da heller ikke generelt Microsofts sårbarheder, man skal have dårlig nattesøvn over, for opdateringerne til Windows og de andre produkter fra Microsoft kommer i en lind strøm og bliver installeret automatisk. Microsofts browser er for eksempel også den, som har den mindste andel af upatchede sårbarheder, sammenlignet med de fire andre populære browsere på markedet. Tallet viser, hvor mange som ikke har de nyeste opdateringer installeret. Internet Explorer er nede på 12 procent, men Safari og Chrome er dog tæt på samme niveau med 14 og 17 procent. Firefox har til gengæld flest sårbarheder og hele 33 procent af brugerne har ikke været opdateret.

Værst er det med de mange forskellige tredjepartsprogrammer, hvor det ofte er en mere kompliceret proces at få opdateret for eksempel et Java-plugin.

Det er derfor vigtigt ikke kun at fokusere på at opdatere Microsofts software, fordi man dermed ville ignorere tre ud af fire sårbarheder, der er på en typisk pc, lyder advarslen fra Secunia. Med til historien hører, at Secunia sælger løsninger, der kan hjælpe med at holde al software opdateret.

Folketingets Ombudsmand har besluttet ikke at foretage sig yderligere i sagen om Digital Post, som man valgte at gå ind i i slutningen af januar. Det fremgår af en skrivelse fra Ombudsmanden til Digitaliseringsstyrelsen, som Version2 har fået aktindsigt i.

Version2 kunne i november 2013 berette, at myndigheder har mulighed for at ændre i afsender/modtager-feltet i borgerens digitale postindbakke med tilbagevirkende kraft. Hvis flere myndigheder eksempelvis bliver lagt sammen, så vil det i borgerens indbakke fremstå som om, at al tidligere kommunikation med de gamle myndigheder er foregået med den nye.

Datalogi-professor Peter Axel Nielsen fra Aalborg universitet kritiserede dengang Digital Post i skarpe vendinger

»Det betyder jo, at den information, man kan gå tilbage og slå op, ikke længere er troværdig og repræsentativ for, hvad der rent faktisk har fundet sted. Hele ideen ved digital post er jo, at man ikke skal printe ud for at dokumentere«, lød det fra Peter Axel Nielsen.

I januar gik Ombudsmanden ind i sagen og bad om en forklaring fra Digitaliseringsstyrelsen, der er ansvarlig myndighed for Digital Post.

Digitaliseringsstyrelsen oplyste i november til Version2, at man opfatter funktionen som en service til borgeren, og det standpunkt fastholdt styrelsen sin redegørelse til Ombudsmanden.

Og nu fastslår Ombudsmanden altså, at Digital Post ikke er i strid med gældende regler, da man kun ændrer i afsender/modtager – og ikke i selve brevet.

»Jeg har forstået, at de ændringer, som myndighederne kan foretage i postløsningens administrationsportal, ikke berører indholdet af de breve, der er sendt i postløsningen, men giver den enkelte myndighed mulighed for bl.a. at bestemme, hvilken (relevant) betegnelse myndigheden anvender om sig selv, f.eks. ud for breve, der ligger i borgeres og virksomheders indbakke i postløsningen. Under disse omstændigheder har jeg ikke grundlag for at foretage mig videre«, lyder Ombudsmandens konklusion.

Ombudsmanden tilføjer dog, at det ikke betyder, at man finder løsningen hensigtsmæssig – blot at den ikke er ulovlig.

»Mens det falder inden for Folketingets Ombudsmands virksomhed at vurdere, om en ordning er i strid med gældende ret – eller god forvaltningsskik – kan ombudsmanden i almindelighed ikke efterprøve, om en ordning er hensigtsmæssig. Jeg kan derfor ikke udtale mig om hensigtsmæssigheden af den omhandlede ordning«, hedder det i Ombudsmandens konklusion.

Digital post var senest i medierne i starten af februar, da to forskere fremlagde en gennemgang af systemets business-case, der viste, at Digital Post har kostet kommunerne millioner af kroner i 2013.

Den britiske efterretningstjeneste GCHQ har systematisk luret på millioner af Yahoo-brugere. Det fremgår af dokumenter, som tidligere konsulent for NSA, Edward Snowden, har lækket, skriver The Guardian.

GCHQ skaffede sig i 2008 adgang til at indsamle billeder fra Yahoos videochat, og det er blevet brugt til at opbygge en database med stillbilleder fra mindst 1,8 millioner brugerkontoer.

Overvågningssystemet, som blev døbt Optic Nerve, var beregnet til at identificere terrormistænkte, som brugte videochat via webcam til at kommunikere med hinanden. Optic Nerve indsamlede ikke hele videostrømmen, men tog et stillbillede hvert femte minut.

GCHQ eksperimenterede med forskellige søgefunktioner til at identificere brugernavne, der var næsten identiske, ligesom efterretningstjenesten også brugte ansigtsgenkendelse.

Billederne blev indsamlet fra alle brugere, som Optic Nerve kunne få adgang til, og det betød, at systemet også opbyggede en stor samling af billeder fra private samtaler. Mellem 3 og 11 procent af billederne viste sig at indeholde billeder, der kunne betegnes som pornografiske fra Yahoo-brugernes private samtaler.

Derfor forsøgte GCHQ at begrænse analytikernes adgang til disse billeder ved hjælp af automatiske filtre, som imidlertid gav problemer, fordi de mest primitive blot vurderede mængden af hud på et billede og dermed også kunne filtrere ansigter fra.

GCHQ’s Optic Nerve var aktivt mindst frem til 2012, men ifølge The Guardian var Yahoo aldrig underrettet om, at efterretningstjenesten aflyttede brugerne.

Apple og Google vildleder børn med gratis apps, der alligevel er fyldt med knapper, hvor børnene kan bruge masser af penge. Det er i hvert fald opfattelsen hos EU-kommissionen, som vil stramme op på, hvordan de store amerikanske it-giganter markedsfører apps, skriver avisen The Guardian.

Selvom en app er gratis i henholdsvis Apples App Store eller Googles Google Play-butikker, kan den indeholde en række muligheder, hvor børn eksempelvis kan tilkøbe nye våben i kampspil eller nye farve til digitale påklædningsdukker. På engelsk kaldes det in-app purchases, eller blot IAP.

Og fordi købsknapperne oftest er blot ligner de øvrige knapper i spillet, kan det være svært for børn at vurdere, om de rent faktisk bruger penge og hvor meget. Viviane Reding, der kommissær for justits i EU-kommissionen formulerer det sådan her:

»Vi er nødt til at beskytte børnene bedre, når de bruger de apps, som er gratis, men hvor man alligevel kan ende med at bruge rigtig mange penge. Det bryder ikke alene med EU’s regler, men også med god markedsføring,« siger hun til The Guardian.

Over årene er der sket visse forbedringer i de forskellige app-butikker. Eksempelvis kan forældre med Apples iOS-styresystem giver børnene indskrænkede muligheder for at trykke rundt i både spil-apps og andre programmer, hvis de låner forældres iOS-enheder.

Det kommer i kølvandet på en række sager hos både Apple og Google, hvor børn har købt for adskillige tusinde kroner. Går man tilbage til 2011 brugte en britisk dreng for hele 36.000 kroner på to apps. Her refunderede Apple dog pengene til drengens far, der stod som kontoindehaver.

EU-kommission vil ikke blot kigge på de sædvanlige knapper til at føre IPA. Også bannere med store-blinkende reklamer om at ‘køb nu’, ‘buy now’ og ‘opgradér nu’ skal begrænses, så børnene ikke bliver unødigt fristet til at købe løs.

Det danske Datatilsynet, som kontrollerer og sikrer, at danskerne personfølsomme data beskyttes, er under stigende pres – især på økonomien, skriver Berlingske.

Konkret ses det på antallet af kontrolbesøg udført af Datatilsynet. i 2003 blev der udført 71 på årsbasis, mens der i 2012 blev gennemført 58. Takket være Edward Snowdens, den tidligere it-konsulent hos amerikanske NSA, afsløringer, er sikkerheden i danske virksomheder som udgangspunkt bedre, skriver Berlingske.

Alligevel oplever Datatilsynet en stigende antal sager om datalækage. Tilbage i 2003 kunne tilsynet notere 20 af den type sager, mens det i 2013 var steget til 80. Og det kan betyde, at danskernes NemID, bankoplysninger og cpr-numre er sværere at beskytte end nogensinde før.

Hos Birgit Kleis, der er direktør i Datatilsynet, lyder det sådan her:

»Nogle gange opdager vi sikkerhedsbrister i forbindelse med vores inspektioner, andre gange får vi et tip eller en klage fra en berørt person. Fejlene kunne ofte være undgået, hvis myndighederne havde bedre viden om, hvad deres ansvar er, og var mere omhyggelige med deres håndtering af personoplysninger. Ansvaret er blevet overladt til de myndigheder og virksomheder, som er ansvarlige for oplysningerne. Vi kan ikke være inde i billedet hver eneste gang, der behandles personoplysninger,« siger hun til Berlingske.

Datatilsynet erkender også, at det har været nødvendigt at begrænse antallet af kontrolbesøg, skriver Berlingske. Og det er uholdbart, mener Peter Blume, der er professor i persondataret ved Københavns Universitet og medlem af Datarådet. Et råd, der afgør større og principielle sager på dataområdet.

»Øget kontrol vil ikke give en absolut sikkerhed, men det ville selvfølgelig minimere risikoen for, at udenlandske myndigheder får fat på vores oplysninger. Vi kan ikke regne med, at persondataloven bliver overholdt og sige til borgerne, at de kan regne med at deres privatliv er beskyttet,« siger Peter Blume til Berlingske.

Rigspolitiet giver ingen garantier

Senest er diskussionen om danskernes personfølsomme data blusset op i forbindelse med det bebudede salg af Nets, som står for at drive NemID. Samtidig går bekymringen nu også på, hvem der egentlig kan føre lovgivning over de store mængder data, som findes på danskerne – hvis Nets kommer på udenlandske hænder.

Et andet eksempel kunne være amerikanske CSC, som blandt andet håndterer det danske politis data fra Kriminalregistret eller Det Centrale Pasregister. Selvom politiet i Danmark har fået stigende fokus på lækager af danskernes personlige data, kan Michael Steen Hansen, der er direktør for IT-området i Rigspolitiet, ikke give garantier:

»Jeg kan ikke garantere, at der ikke kommer endnu et hackerangreb, men jeg kan garantere, at vores kontrakter er udformet således, at CSC ikke må tage vores data ud af landet. Man kan ikke grave data ned i jorden, så teoretisk set tror jeg godt, at man kunne gøre systemet mere uigennemtrængelig, men i praksis ville det ikke fungere. Hvis man ikke kan få data ind og ud af systemet, er det ubrugeligt, så der vil altid være en risiko,« fortæller han til Berlingske.