Daily Archives: March 21, 2014

Der har været højlydte protester over den overvågning, som NSA gennem Edward Snowdens læk er blevet afsløret i. Ikke mindst fra firmaer som Google og Facebook, som NSA har hentet data fra på flere måder, blandt andet ved at støvsuge lukkede fiberkabler til intern kommunikation mellem datacentre.

Men det er spil for galleriet, når de store amerikanske it-firmaer reagerer overraskede og forargede. De har skam i forvejen kendt til, at det skete, lyder det fra NSA. Det skriver The Guardian.

Ifølge Rajesh De, øverste jurist hos NSA, blev firmaerne orienteret både om indsamlingen gennem Prism-programmet, og om den mere omfattende ’upstream’-indsamling, hvor data blev høstet fra internettets motorveje, for eksempel fiberkabler mellem USA og Europa.

At firmaerne ved den første afsløring af Prism-programmet gik ud og sagde, at de aldrig havde hørt om det før, skyldtes ifølge NSA-advokaten, at Prism er det interne kodeord for dataindsamlingen.

Gennem Prism-programmet kan NSA kræve adgang til specifikke personers kommunikation hos firmaer som Apple, Yahoo, Google, Microsoft og Facebook. Disse forespørgsler bliver behandlet i den hemmelige FISA-domstol, som i praksis altid giver NSA lov.

Men siden de første afsløringer i juni 2013 om NSA’s overvågning, har det vist sig, at NSA har indsamlet data fra de store it-selskabers trafik i meget større grad end specifikke Prism-forespørgsler. En udbredt teori er derfor, at Prism-programmet bliver brugt som juridisk rygdækning, så NSA gennem for eksempel FBI kun udbeder sig data, som tjenesten i forvejen har, og som skal bruges for eksempel i en retssag.

Hvad NSA-advokatens udsagn dækker over er derfor ikke helt klart, for hans udsagn gik kun på data indsamlet under den såkaldte paragraf 702, som blandt andet giver NSA lov til de Prism-baserede data-udleveringer.

Men NSA’s praksis med at aflytte intern trafik mellem for eksempel Googles datacentre, direkte fra lukkede fibernetværk, falder ifølge lækkede dokumenter under et andet regelsæt, kendt som ’executive order 12333’.

At forstå udmeldinger fra NSA bliver heller ikke lettere af, at NSA har vist sig at bruge begreber helt anderledes end andre. For eksempel dækker ’indsamling’ (collection) i NSA’s øjne ikke over data, som havner i NSA’s enorme databaser, men kun data, som bliver hevet frem og set af en analytiker.

Det er blevet meget bedre – men slet ikke godt nok.

Sådan lyder statusmeldingen fra NTP-fronten fra Network Time Foundation, som har kørt en kampagne for at få patchet internettets mange tids-servere, så de ikke længere kan bruges til at forstærke DDoS-angreb. Det skriver BBC.

Organisationen vurderer, at der var 1,6 millioner sårbare NTP-servere på nettet, da hackere opdagede fidusen og begyndte at bruge en gammel funktion i disse tids-servere til at forstærke deres DDoS-angreb. Nu er langt de fleste blevet patchet, men det efterlader stadig mindst 97.000 tids-servere, der kan bruges af hackerne.

De såkaldte NTP-reflekterende angreb udnytter en simpel funktion i serverne, hvor man ved at sende sin IP-adresse kan få et svar retur med alle IP-adresser, der er forbundet. Men da hackere kan forfalske afsender-adressen til deres offers adresse, kan de ved at sende én IP-adresse afsted få forstærket trafikken med en faktor 500. Det gør det nemt for hackere at skabe meget voldsomme DDoS-angreb, selvom de ikke selv råder over enorme botnet til at sende datapakker afsted.

Ifølge sikkerhedsfirmaet Arbor skal hackerne bruge mellem 5.000 og 7.000 sårbare NTP-servere for at skabe et overvældende DDoS-angreb, med hundredevis af gigabyte i sekundet. Det er nok til at lægge selv godt beskyttede websider ned.

Da den lokale journalist Nate Carlisle fra Salt Lake Tribune bad myndighederne i Bluffdale om at få udleveret officielle papirer om NSA’s nye datacenter i Utah, manglede der noget.

Informationerne om det nye anlægs vandforbrug var ikke blandt papirerne, som han havde ventet i måneder på at modtage. Det skriver Wired.

Det viste sig, at NSA aktivt havde sat sig imod at udlevere oplysningerne til journalisten af hensyn til den nationale sikkerhed. Efterretningstjenesten begrundede sit afslag i et brev til de lokale myndigheder med, at informationerne om vandforbruget potentielt ville kunne bruges til at udregne det nye anlægs regnekapacitet.

»Bevæbnet med disse informationer, vil man kunne udlede, hvor mange efterretninger NSA indsamler og opbevarer,« lød en del af begrundelsen.

Grunden til at udefrakommende skulle kunne udregne anlæggets kapacitet er, at mange datacentre bruger vand som en del af servernes kølingssystem.

Men udtalelsen har alligevel fået energiforsker Jonathan Koomey, der er fellow ved Stanford Universitet, til at stille store spørgsmålstegn ved NSA’s argument.

»Der er mange forskellige måder at køle et datacenter på. Uden at vide mere omkring det egentlige anlæg, mener jeg ikke, at nogen vil være i stand til at give dig det korrekte regnekraftstal,« udtaler han.

Journalisten Nate Carlisle forsvarer sine intentioner med, at informationer om vandforbruget er en naturlig del af debatten omkring de lokale konsekvenser ved at lægge NSA’s nye anlæg i Utah.

»Vi er den anden mest tørre stat i nationen. Vi har for vane at tage højde for vandforbruget i denne stat fordi, vi er nødt til det. Der er bare ikke nok vand,« udtaler han.

Efter at have appeleret efterretningstjenestens afslag har Utahs State Records Committee netop afvist NSA’s forklaring og krævet, at Nate Carlisle får udleveret oplysningerne om datacenterets vandforbrug.

I Seattle i USA har politiet anholdt en tidligere softwarearkitekt fra Microsoft. Han er i følge The Guardian anklaget for at have lækket dele af koden til Windows 8 til en fransk teknologiblogger. Desuden skal medarbejderen også have medsendt det særlige sikkerhedskit, der aktiverer Windowssoftwaren.

Bloggeren valgte kun at udgive et skærmbillede af det lækkede Windows 8. Men softwarearkitekten anklages også for at have opmuntret bloggeren til at dele aktiveringskittet.

Microsoft kom på sporet af den anklagede medarbejder, da bloggeren tog kontakt til virksomheden for at få den lækkede kode bekræftet. Efter at have gennemgået bloggerens hotmail-konto og messenger-chats, fandt Microsofts efterforskere angiveligt frem til en afslørende e-mail fra medarbejderen.

Skal du rejse uden for EU og have et nyt pas til lejligheden, kan du ende med at få en lang næse og må blive hjemme.

It-systemet, som 82 af landets kommuner bruger til at udstede pas og kørekort, er nemlig kommet i store problemer i søndags, så hele ugen har det i nogle kommuner været umuligt at udstede nye pas og kørekort. Det skriver DR.dk.

Det er firmaet Scantech-IT, der står bag løsningen til kommunerne, og problemerne opstod, fordi CPR-registret søndag flyttede til en ny teknisk platform. Det har givet problemer, som altså ikke er løst endnu alle steder.

»Vi har haft store udfordringer med softwaren. Og der er selvfølgelig noget skidt, for det går ud over alle de danskere, der skal have nyt pas op til sommerferien,« siger Henrik Kromann, direktør i Scan-Tech IT, til DR Nyheder.

I Sønderborg kommune slås man således stadig med it-problemerne, mens Skanderborg, Nordfyn og Ringsted Kommune har fået hul igennem og igen kan udstede pas og kørekort.

Der er ved at være styr på situationen, melder Scan-Tech IT, men hver kommune kan have forskellige it-systemer, der skal arbejde sammen, så derfor er der forskel. Alle problemer vil først være løst, når Scan-Tech IT får rullet en ny udgave af softwaren ud, og det kan vare indtil påske, oplyser firmaet.

I mellemtiden kan borgere få forlænget et udløbet pas med op til tre måneder eller få et midlertidigt pas. Ingen af de løsninger kan dog bruges uden for EU’s grænser.

Scantechs it-løsning til at udstede pas kan kommunerne bruge gratis. I stedet tjener Scan-Tech penge på brugerbetaling, hvis borgerne ønsker at få taget et pasbillede på stedet.

Staten forberedte i flere år en anden løsning, Pas 2.0, som alle kommuner skulle bruge, men projektet blev forsinket og fordyret. Den forventede pris endte på et trecifret millionbeløb. I 2010 valgte Justitsministeriet at droppe planerne om Pas 2.0, efter Version2’s dækning af sagen, fordi kommunerne allerede havde adgang til et velfungerende system, der oven i købet var gratis at bruge.

Op til sommerferien i 2013 var der i øvrigt også problemer med at udstede pas. En anden leverandør involveret i løsningen, Enwire, slukkede nemlig flere gange for systemet, fordi firmaet mente, at Scan-Tech misbrugte Enwires software uden licens. Det fik it-chefen i Lyngby-Taarbæk Kommune til at efterlyse open source-løsninger, som kommunerne selv kontrollerer.

Whistlebloweren Edward Snowden talte for et par siden til den fremmødte forsamling på TED-konference i Vancouver.

Torsdag dukkede Snowdens modstykke så pludselig op, da NSAs vicedirektør Richard Ledgett stillede op til interview via en videoforbindelse.

Her skulle vicedirektøren ifølge BBC have indrømmet, at NSA ønsker at gå i dialog med verden og deltage i den globale debat om overvågning.

Ifølge hans udsagn vil NSA gerne være med til at give omverden et større indblik i det væsentlige arbejde, agenturet udfører.
»Det har vi ikke været gode til,« indrømmede direktøren ifølge BBC.

Derfor er der tilsyneladende nu interne drøftelser om at udgive rapporter, der skal gøre NSAs arbejde mere gennemsigtigt.

Dog holdt direktøren dog stadig holdt fast i, at det omstridte Prism-overvågningssystem er et uhyrligt vigtigt redskab i forsøget på at stoppe terrorister, og at Edward Snowden har været med til at sprede halve sandheder og sat menneskeliv på spil, ligesom han generelt forsvarede NSA’s brug af overvågning, som er blevet blåstemplet af den amerikanske præsident.

Eksempelvis sagde han, at det er nødvendigt for NSA at have adgang til store globale telekommunikationssystemer for at monitorere aktivitet blandt terrorister, smuglere og andre fjender af staten.

»Det ville være herligt, hvis skurkene brugte ét hjørne af internettet. Hvis de havde domænet badguys.com, det ville være fedt. Men vi har alle det samme netværk. Jeg bruger den samme email-service som terroristerne. Vi er nødt til at være i stand til at samle det op, for at finde det vi har brug for,« sagde Richard Ledgett på TED-konferencen.

IT-sikkerhed er for alvor et begreb, der har vundet indpas i den brede befolkning. Alligevel har danske virksomheder længe været tilbageholdende med information, når spørgsmålet om angreb udefra dukkede op.

Nu viser en ny undersøgelse fra Dansk IT dog, at næsten hver tredje af 46 deltagende virksomheder tilkendegiver, at de har været udsat for forsøg på industrispionage.

Det skriver Berlingske.

»Vi er overraskede over, at så mange siger, at de har oplevet forsøg på industrispionage. Det er et kraftigt fingerpeg om, at mange danske virksomheder oplever faren for industrispionage som yderst reel,« siger direktør i Dansk IT, Per Andersen, til Berlingske.

I halvdelen af tilfældene lykkedes det den uvelkomne part at fuldføre spionagen, mens 86 procent svarer, at de forventer, at udenlandske efterretningstjenester spionerer i mod dem.

Ifølge eksperter er det også en ny virkelighed, man bliver nødt til at vende sig til.

Thomas Lund-Sørensen, chef i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, bekræfter over for Berlingske, at virksomhedsspionage er et stort problem herhjemme.

»Undersøgelsen bekræfter to ting. For det første, at cyberangreb er alvorlige og udgør en væsentlig trussel mod danske virksomheder. For det andet tyder undersøgelsens lave svarprocent på, at cyberangreb er noget virksomhederne nødig vil forholde sig til eller melde ud om,« forklarer Thomas Lund-Sørensen og fortsætter:

»I dag må udgangspunktet for de fleste af virksomhederne være, at man er eller vil komme ud for cyberangreb. Det er ikke et spørgsmål om, men om hvornår. Det bliver virksomhederne nødt til at forholde sig til,« siger Thomas Lund-Sørensen.

Center for Cybersikkerhed laver jævnligt trusselsvurderinger, og skal man tro centeret, er det særligt Kina, hvorfra en stor del af spionagen foregår.

»Stol ikke på en fyr med hestehale. Særligt ikke en it-sikkerhedsfyr,« lød åbningsreplikken fra den i flere kredse kendte it-sikkerhedstaler Mikko Hypponen fra den finske it-sikkerhedsvirksomhed F-Secure.

Han var den tredje it-sikkerhedsfyr med en hestehale i træk, der betrådte scenen hos DI i forbindelse med it-sikkerhedskonferencen ‘Digital Threats and Solutions’, som InfinIT har arrangeret sammen med WAYF, DI ITEK og IDA-IT. Den foregående værende sikkerhedseksperten Bruce Schneier og før ham, chefkonsulent ved DI ITEK Henning Mortensen, der præsenterede arrangementet.

Men Mikko Hypponen havde dog også andet på hjertet end hestehale-relaterede vittigheder. Han var kommet for at tale om statsproduceret malware. Og han kunne i den forbindelse vise flere jobopslag fra forskellige virksomheder, der aktivt søgte efter folk, der eksempelvis var duelige i malware-kodning til Android, Blackberry etc.

Og han nævnte i den forbindelse også flere kendte stykker malware, som eksempler på noget, en stat står bag. Herunder Flame og Stuxnet – sidstnævnte var målrettet centrifuger til uran-berigelse i Iran. Centrifugerne blev overbelastede, da malwaren overtog kontrollen med industristyringscomputerne, de såkaldte PLC’er.

Det er i sig selv bemærkelsesværdigt. Men Stuxnet havde også en anden nævneværdig kvalitet, set fra en malware-afsenders synspunkt. Der gik år, før den blev opdaget af antivirussoftware. Hvilket var lidt pinligt, medgav Hypponen der selv er fra et antivirusfirma.

Men han var heller ikke sen til at opliste de forskellige staters evne inden til at producere ‘god’ malware på den målestok. Og her var Kina, relativt set, blandt de dårligste, fortalte han.

»De producerer mere malware end nogen anden regering, og det er ikke særligt godt. Det er rimeligt nemt at finde sammenlignet med det, vi finder fra Rusland eller USA,« sagde han.

Mikko Hypponen havde dog ikke bare statsproduceret malware på sinde, men også den amerikanske stats forhold til internet-virksomheder.

For når folk går på Google og søger, så er de i udgangspunktet ærlige, hvilket Mikko Hypponen illustrerede med et søge eksempel, hvor der bare er indtastet:

‘Rash on my ge…’ (udslæt ved mine kø …)

Blandt de højst rangerede forslag, som Google automatisk kommer op med før yderligere information er indtastet, i Hypponens eksempel er:

‘rash on my son’s genital area’ (udslæt ved min søns kønsdele)

Forslag som Google kommer med, fordi nogen har søgt på det.

»Uanset hvem, der har disse informationer, så kan de vride armen rundt på os i dag, og de kan gøre det om 10 år fra nu,« sagde Hypponen.

Og i den forbindelse gav han udtryk for, at hverken Google eller andre af de store virksomheder er fjender, men gerne vil tjene penge. Men hvis amerikanske myndigheder og NSA på den ene eller den anden måde forsøger at få adgang til disse data, hvad gør virksomhederne så? Som eksempel nævnte Hypponen Microsoft, der ifølge ham, har den amerikanske regering, som sin største kunde.

»Det er dejligt at have jer som kunde, men vil I ikke godt lade være med at hacke vores systemer,« sagde Hypponen for at illustrere det paradoksale i situationen.

I forlængelse oplistede han en række it-mastodonter, Microsoft, Google, Apple, Facebook, som alle har det til fælles, at de er amerikanske, har amerikanske datacentre, og er underlagt amerikansk lovgivning.

Svære gik det, da han forsøgte at opliste europæiske it-giganter i samme boldgade som førnævnte, hvor det kun var tyske SAP, Hypponen kunne komme på.

Ifølge Mikko Hypponen kunne en vej til at få mere europæisk end amerikansk kontrol over data og it-løsninger være at opdyrke et Sillicon Valley i Europa.