Daily Archives: April 4, 2014

Kina lukker for bitcoin-handel via banker

De kinesiske myndigheder slår hårdt ned på bitcoin-handelen i disse dage. Bitcoin-børsen FXBTC oplyser på sin hjemmeside, at den kinesiske centralbank har beordret alle banker til at lukke for al service, der er forbundet med bitcoin-handel.

Også børsen BTC38 melder ud, at den kinesiske centralbank beordret banker til at lukke ned for transaktioner, der er forbundet med køb af bitcoins.

Ifølge Itworld begyndte kina at slå ned på den krypterede valuta tilbage i december måned, da det blev ulovligt for banker at handle med det. I den forbindelse stoppede flere af landets betalings-formidlere også med servicere bitcoin-børserne.

Det fik så børserne til at oprette firma-konti i bankerne, som kunder, der ville købe bitcoins, kunne sætte penge ind på. Men også det er der tilsyneladende blevet sat en stopper for nu.

De kinesiske myndigheder har dog indtil videre afvist decideret at ville forbyde bitcoin men har slået fast, at det er ejendom og ikke valuta. Sidstnævnte distinktion gør sig i øvrigt også gældende i USA.

Læs også: I USA er bitcoin ejendom – ikke valuta

Posted in computer.

Oracle: Java skal være til ‘Internet of Things’

Oracles Java-platform er netop kommet i version 8, efter det, selskabet måtte erkende blev til ‘Plan B’, og i sidste ende næsten blev til ‘Plan C’. Fremtiden for platformen bliver en balancegang for Oracle.

Oracles ambition er nemlig, at Java både skal fungere som platform for ‘Internet of Things’, og samtidig blive en mere samlet platform for alt fra serverapplikationer til software i måleudstyr.

»Java var blevet fragmenteret. I Java 7 havde vi stadig to varianter af Java, SE og ME, men konvergerede de virtuelle maskiner. Det har vi fortsat i Java 8. Vi er gået tilbage til rødderne af Java, så Java ME vil blive en ægte delmængde af Java SE,« siger Nandini Ramani, underdirektør hos Oracle med ansvar for udviklingen af Java-platformen, til Version2.

Den oprindelige vision for Java var, at man kunne skrive sin programkode i Java, og ved hjælp af den virtuelle maskine, som Java-koden blev afviklet på, kunne programmet køre på en vilkårlig hardwareplatform.

Imidlertid blev Java hurtigt splittet op i forskellige varianter. Det var ikke kun forskelle som eksempelvis at Java i en vaskemaskine ikke understøttede en grafisk brugerflade, men også inden for især mobile platforme, at der opstod mange varianter ud fra J2ME, som oprindeligt var Javas bud på en mobilplatform.

Selvom smartphones som Blackberry og Android bygger på Java, er det også varianter. Google har eksempelvis lavet sin egen virtuelle maskine til Java-applikationer.

Den fragmentering vil Oracle gerne undgå i fremtiden. Især hvis Java skal spille en rolle i den udvikling, som Oracle forudser, hvor flere typer apparater får indbygget mere avancerede computere og bliver forbundet til internettet.


Nandini Ramani, underdirektør hos Oracle med ansvar for udviklingen af Java-platformen.

»Java 8 er fundamentet for Internet of Things. Vi arbejder med chipproducenterne, så de kan indbygge hardwareacceleration for Java. Vi vil så sørge for at have API’erne klar,« siger Nandini Ramani.

For Oracle gælder det om at undgå fragmentering ved at fokusere på at understøtte de nye platforme, uanset hvem der leverer dem.

»Vi har ikke lyst til være indblandet i at finde ud af, hvem der ender som førende på markedet. Det er ikke vores opgave at udvikle standarder – vores opgave er at sikre, at Java kan køre på alle platforme,« siger Nandini Ramani.

Læs også: Nu får Java lambda-udtryk til at gøre parallel programmering lettere

Næste milepæl for Oracle hedder Java 9. Den kommer til at indeholde nogle af de funktioner, som ikke nåede med i Java 8. Da Oracle overtog Java fra Sun Microsystems var Java 7 undervejs, men Oracle blev nødt til at opgive at få visse funktioner som eksempelvis Lambda-udtryk med i Java 7.

De er nu kommet med i Java 8, men selv fra det, Oracle døbte ‘Plan B’, er der blevet skåret i den endelige udgave af Java 8. Det gælder eksempelvis projektet med at gøre Java mere modulopbygget under kodenavnet Jigsaw.

Jigsaw er foreløbig den eneste nye funktion, som er bekræftet i Java 9. Umiddelbart inden salget til Oracle blev Java frigivet i en parallel open source-version, som i dag også fungerer som testlaboratorium for nye funktioner i Java. Når funktionerne er modne kan de blive optaget i selve de officielle Java-versioner.

Et andet projekt, som kandiderer til at komme med i Java 9, er ‘Sumatra’. Det er et projekt, som arbejder på at give Javas virtuelle maskine mulighed for at udnytte grafikprocessorer, uden udvikleren skal spekulere for meget over den underliggende teknologi.

I 2012 udstak Oracle kursen for de næste udgaver af Java, men siden har selskabet måttet justere i forhold til Java 8, så det er uvist, hvor meget der kommer i Java 9, selvom selskabet nu har fået rettet op på flere hængepartier.

Læs også: Plaget Java-plugin lever videre trods sikkerhedsproblemer

Fokus i 2012 gik på selve den virtuelle maskine, JVM, som de senere år har fået mulighed for at afvikle flere programmeringssprog, og det arbejde skal fortsætte i de næste udgaver. Samtidig skal JVM også være bedre til at udnytte den underlæggende hypervisor, når JVM kører i virtuelle miljøer.

»JVM har indhentet maskinkode på ydelsen. Den virtuelle maskine er vores kronjuvel. Blandt andet fordi hardwaren i dag er i stand til at understøtte JVM, så er forskellen mellem JVM og Assembler skrumpet,« siger Nandini Ramani.

I 2012 lød tidsplanen for Java 9 på at komme i 2015, men da Java 8 først nu er udkommet, er det usikkert, om Java 9 kommer i 2015 eller først i 2016.

OpenJDK er open source-versionen af Java, og det er også her, nye funktioner bliver testet. Der er imidlertid langt flere delprojekter under OpenJDK end i den officielle, supporterede udgave af Java, og det er op til udviklermiljøet at indstille de projekter, som skal med i den næste version.

Posted in computer.

Computer vision udvikler inden for robotteknologi og mange andre ledige jobs

Teknologisk Institut søger en udvikler til computer vision inden for robotteknologi. Danske Bank søger en senior IT-strateg og Netcompany søger testere. Kom ikke og sig vi ikke dækker bredt.

Posted in computer.

Domstol ophæver tyrkisk Youtube-blokade

En tyrkisk domstol i Ankara har erklæret, at det er i strid med menneskerettighederne at blokere borgernes adgang til Youtube. Det skriver The Guardian.

Dermed skal den tyrkiske telemyndighed, TIB, ophæve den blokade af video-portalen, trådte i kraft for lidt over en uge siden.

Både Youtube og twitter har været blokeret på premierminister Erdogans opfordring, og begge har været en torn i øjet på regeringslederen, da de flittigt bruges til at kritisere ham. Men en domstol hævede torsdag blokaden af Twitter, og nu altså også Youtube.

Erdogan udtaler, at han er nødt til at følge rettens anvisninger, men at ikke respekterer dem, og at domstolen beskytter et værktøj, der udøver fremmed indflydelse

»Alle vores moralske værdier bliver tilsidesat,« udtaler den tyrkiske premierminister

Blokaden af Twitter og Youtube har i øvrigt afstedkommet en eksplosion i antallet af tyrkiske brugere af anonymiserings-netværket Tor.

Læs også: Tyrkisk twitter-blokade underkendt af domstol

Læs også: 10.000 nye Tor-brugere i Tyrkiet om dagen

Posted in computer.

Facebook betalte 8 millioner kroner for sikkerhedshuller i 2013

Facebooks brugere var ekstremt flittige til at indrapportere huller i sikkerheden i 2013. Det viser den seneste statistik fra virksomhedens program ”bug bounty”, hvorigennem Facebook betaler observante brugere en dusør for at indrapportere fejl og sårbarheder i systemet.

Der blev indrapporteret 14.763 fejl i 2013, men kun 687 – eller omkring seks procent – af dem blev erklæret gyldige og udløste kontante belønninger. Facebook kom af med mellem otte og ni millioner kroner fordelt på 330 rapportører fra hele verden.

Hos Facebook er man yderst tilfreds med ordningen, og sikkerhedsingeniør Colin Greene forsikrer på Bug Bounty-programmets side, at man vil øge udbetalingerne for relevante sårbarheder.

»2014 ser godt ud indtil videre. Antallet af seriøse sårbarheder er dalende, og vi hører fra eksperter, at det er blevet sværere at finde dem. For at opfordre til den bedst mulige efterforskning på de relevante områder vil vi fortsætte med at øge belønningerne for vigtige indrapporteringer,« skriver Colin Greene.

Der udbetales en dusør pr. fejl til den første, der indrapporterer den, og beløbet afhænger af sårbarhedens karakter. Minimumsbeløbet er dog på 2700 kroner.

Læs også: Facebook betaler rekordstor findeløn til hacker for fund af sikkerhedshul

Posted in computer.

Blog: Sådan piller en hacker Ntds.dit fra hinanden

I et tidligere blogindlæg fortalte jeg bl.a. om det vigtige i at beskytte sine »Ntds.dit« filer, som udgør Active Directory (AD) databasen. Nu vil jeg lige vise, hvordan en angriber relativt nemt kan konvertere en sådan fil til yderst brugbar information. Det har aldrig været lettere.

Få filerne ud

Først skal vi lige have en kopi af 2 nødvendige filer fra en Domain Controller (DC), i mit tilfælde er det en Windows Server 2012 R2:

  • Ntds.dit under C:\Windows\NTDS og
  • SYSTEM under C:\Windows\System32\config

Dette er der, som jeg tidligere har været inde på, en del metoder til at klare, også selvom begge filer er låst af operativsystem-processer, så længe systemet er i drift.

Til dette eksempel benytter jeg den indbyggede kommando »ntdsutil«, der er beregnet til bl.a. sikkerhedskopiering og vedligeholdelse af AD-databasen.

Som det kan ses, genereres de relevante filer automatisk. Det tager kun få sekunder.

Så langt så godt. Filerne kan herefter kopieres til en anden maskine, Windows eller Linux, idet resten kan foregå “offline”.

Pak hashen ud

Der findes en lang række værktøjer og scripts til at trække relevant data ud af »Ntds.dit«. For nemhedens skyld vil jeg her benytte ntds_decode til Windows fra insecurety.net. Det er næsten for nemt.

En betydelig svaghed ved ADs måde at opbevare adgangskoder på er, at de desværre ikke optræder som “saltede” værdier. De er beskyttet af en nøgle der ligger i SYSTEM-hive filen, men efter disse er trukket ud, kan den hurtigste cracking-teknik, de såkaldte rainbowtables, anvendes uden videre. Det betyder også, at adgangskoden “Password1″ (som brugeren “per” nedenfor), vil få samme LM- eller NT-hash-værdi uanset hvilket Windows OS eller AD domæne der angribes, nemlig 64f12cddaa88057e06a81b54e73b949b.

Jeg har placeret »Ntds.dit« og »SYSTEM« filerne i samme mappe som »ntds_decode.exe« på en virtuel Windows 7 klient, og kører nu kommandoen:

ntds_decode.exe -s SYSTEM -d Ntds.dit

Som det kan ses, udtrækkes hash-værdier af alle AD-brugernes adgangskoder og eksporteres til filen »hashes.txt« i PWDump format:

[brugernavn]:[uid]:[LM-hash]:[NT-hash]:[kommentar]:[homedir]:

LM-hash værdien er for alle brugernes vedkommende “aad3b435b51404eeaad3b435b51404ee”, reelt 2 gange aad3b435b51404ee, som betyder at LM-hash ikke anvendes på det givne system. Man må derfor satse på at anvende NT-hash værdierne, hvilket er normalt efter Windows XP.

LM er nemlig tusind gange lettere at knække for en hacker, så det er vigtigt at få det afskaffet fuldstændig. Jeg vil ikke gå mere ind i detaljerne omkring dette i nærværende indlæg.

Crack eller send hashen videre

Nu kan en angriber enten (1) benytte de udtrukne hash-værdier som de er, nemlig til et såkaldt »Pass-the-Hash« (PtH) angreb, eller (2) disse værdier kan udsættes for forskellige typer crypto-angreb, f.eks. vha. bruteforce-, dictionary- eller rainbowtableangreb (eller hybrider heraf). Der findes masser af gratis og effektive værktøjer til den slags operationer, tja selv cloud-tjenester.

Uanset hvilken metode angriberen anvender, vil vedkommende kunne logge på domænets systemer, herunder dokumenthåndterings- og regnskabssystemer, som en hvilken som helst bruger. Forskellen er blot om vedkommende kender klartekst adgangskoderne eller kun hash-værdierne.

Med klartekst adgangskoder har angriberen flest muligheder, idet hun f.eks. kan logge på direkte på konsollen (hvis man får adgang til en fysisk maskine) og/eller gætte brugernes eventuelle adgangskode-systemer, som måske også anvendes til andre systemer end AD.

Selv fjernskrivebord (RDP) findes der værktøjer (f.eks. »freerdp-x11«) til at anvende PtH teknikken, så man kan sådan set godt få en fuld “desktop” hvis det ønskes.

Med hash-værdierne kan angriberen bruge tools som Mimikatz, WCE og Metasploit/Meterpreter til at få adgang til andre systemer på netværket med »Single Sign-On« (SSO) teknik.

I et senere indlæg vil jeg vise hvordan, man foretager et crypto-angreb på hash-værdier med værktøjer som Oclhashcat, John the Ripper (JtR), Rcracki, Ophcrack m.v. Jeg vil også vise, hvordan man bruger sine grafikkort til at speede processen gevaldigt op med CUDA-teknologi. Ligeledes vil jeg komme ind på, hvordan man i praksis udfører et PtH angreb, og herved udgiver sig for, hvem end man måtte have lyst til.

I den gode sags tjeneste

Man kan sådan set bruge ovenstående metodik til interne »password audits«, hvis man eksempelvis har et essentielt behov for at teste, om brugernes adgangskoder er tilstrækkelig stærke, og ikke på de mest almindelige wordlists m.v. Selvfølgelig kun, hvis der foreligger en klar skriftlig aftale med virksomhed og brugere om en sådan procedure.

Selvom AD og Windows kan sættes til at forlange, at brugerne vælger adgangskoder med en vis kompleksitet og længde, så kan ualmindelig dårlige koder alligevel slippe igennem filteret. Et eksempel er kodeordet “Passw0rd”, der på papiret opfylder standard krav om både længde (minimum 7 karakterer) og kompleksitet, men som står på enhver wordlist med respekt for sig selv.

Afrunding

Formålet med dette indlæg har været at demonstrere, hvor let det er at få sikkerheden kompromitteret i et AD-miljø, hvis der ikke er taget tilstrækkelige forbehold i IT-afdelingen, og virksomheden ikke prioriterer sikkerhed på både det tekniske og det proceduremæssige plan.

Det burde således stå klart for enhver, at »Ntds.dit« filer ikke bør opbevares letsindigt, hverken online eller offline, jf. indlægget Hvor mange administratorer findes der egentlig på dit domæne?.

Så budskabet til de IT-ansvarlige må alt i alt være:

  • Har du afdækket hvem der reelt har adgang til AD-kronjuvelerne i dit miljø?
  • Har du sørget for at deaktivere LM hash i dit miljø?

Reference

Posted in computer.

Amerikanske politikere forsøger at bremse frigivelsen af internettet

Bliver kontrollen med internettet overtaget af Kina eller Rusland, når USA formelt set slipper tøjlerne i september 2015?

Sådan spørger en gruppe amerikanske politikere, som har kastet sig over præsident Obamas udmelding om, at de amerikanske myndigheder om halvandet år vil overlade ICANN-organisationen til en ny, global styring.

Læs også: USA’s regering vil opgive opsyn med internettet

Siden 1998 har USA’s svar på Erhvervsstyrelsen haft kontrakt med ICANN om at bestyre de grundlæggende dele af internettet, men når den nuværende kontrakt udløber i september 2015, skal det være slut, har Obama besluttet. Men politiske modstandere på højrefløjen vil bremse den beslutning og kræve yderligere analyse af de mulige konsekvenser. Det skriver Reuters.

Onsdag besvarede lederen af ICANN, Fadi Chehadé, spørgsmål fra politikerne, og han mente ikke, at der var fare for at for eksempel Rusland pludseligt fik for meget magt over internettet. Meningen er, at en bredspektret gruppe af både nationale myndigheder, private virksomheder og andre interessenter sammen skal udstikke retningen, når USA slipper ICANN fri.

Og her vil enkelte, store lande ikke få dominans, forklarede Fadi Chehadé. Faktisk har heller ikke USA påvirket beslutningerne i ICANN de sidste 15 år, hvor ICANN i praksis har været en helt selvstændig organisation, lød meldingen.

Får de kritiske politikere held med at få ekstra undersøgelser gennemført, kan det føre til en forsinket tidsplan, så ICANN også efter september 2015 vil være på amerikanske hænder. Men også ICANN-direktøren talte for, at man ikke skulle forhaste overgangen til nyt ejerskab. Det var vigtigere at få gjort det ordentligt, end at nå det til kontraktens udløb om halvandet år.

Obamas udmelding om at slippe ICANN fri kommer efter internationalt pres, som fik et ordentligt boost, da afsløringerne om NSA-overvågningen slap løs.

Læs også: EU vil fravriste USA kontrollen med internettet

Posted in computer.

Disse to Windows-versioner bliver gratis

Build, San Francisco: Microsofts jagt på succes betyder, at software-fabrikken fra Redmond nu slækker på traditionerne og giver to forskellige udgaver af firmaets styresystem væk til producenter, der har interesse i at benytte koden.

Tidligere på året sænkede firmaet prisen på Windows til enheder, der koster mindre end 250 dollar med 70 procent.

Den skrue får nu endnu en omdrejning.

Ni tommer er den rigtige størrelse
Fremover kan producenter af hardware, hvor skærmen ikke overstiger en størrelse på ni tommer, nemlig ganske gratis benytte sig af Windows.

Det betyder, at telefoner og tablets i den mindre ende af skalaen ikke har licensudgifter til software, og de kan derfor sælge produkterne billigere.

Prisnedsættelserne kan ses som et forsøg på at lokke flere brugere ind i Microsofts økosystem fra ‘begynderudgaver’ af telefoner og tablets for derved at holde på brugerne, når de senere skifter til andre (og dyrere) modeller.

Læs også: Microsoft sænker sine priser – priskrig skal skæppe i kassen

For brugerne betyder det billigere enheder, hvis hardware-producenterne altså ikke stryger fortjenesten.


Internet i ting
Microsoft har naturligvis også blikket stift rettet mod internet i ting som eksempelvis de mange fitness-gadgets og smarte ure, der begynder at dukke frem.

Microsoft har i den forbindelse udviklet en platform, kaldet Sensorcore, der kan bruges til at bygge fitness-lignende applikationer til eksempelvis skridttælling eller kalorieindtag.

Og en Windows-version til netop denne form for internet-i-alt-produkter får nu også en prisseddel på 0 kroner.

På udviklerkonferencen Build, der har samlet 6.000 udviklere i San Francisco i denne uge, fremviste kodefabrikken eksempelvis et piano, der til forveksling minder om det fra Tom Hanks’ filmen Big, hvor Windows blev anvendt som styresystem på en lille Intel-processor.

Men det er altså kun fantasien, der sætter grænser.

Har du også en god idé, er licensen nu gratis.

Læs også:

Tablet-pc’er overhaler netbooks

Google udvikler Chromebook med touch

Posted in computer.

Nyt stik skal afløse alle dine usb-kabler

Shenzen, Kina: Et nyt kabel og et nyt stik skal afløse alle eksisterende usb-kabler og skabe en fælles standard.

Indtil nu har usb-stik været opdelt i type A og type B til henholdsvis værtsenheder og klienter, men nu kommer der en type C, som er et universelt stik.

Dermed får alle kabler samme stik i begge ender, således at kabler kan vendes samtidig med, at de kan bruges mellem alle enheder.

Desuden bliver der mulighed for at oplade større enheder som for eksempel bærbare computere.

Løsningen er også intelligent, således at et kabel forbundet mellem en bærbar og en smartphone vil få den bærbare til at oplade smartphonen, mens et kabel mellem en strømforsyning og en bærbar vil oplade den bærbare.

Det hele er en del af usb 3.1, der arbejder med en hastighed på 10 Gb/s.

Omfavnet af EU
Det nye stik er også blevet vel modtaget af EU, der har bestemt, at stikket skal være standardstik til opladning i fremtiden.

Det er med til at give Apple hovedpine, da man nu skal tage stilling til, om man vil udskifte det proprietære ladestik.

Med den høje hastighed bliver der også mulighed for at køre DisplayPort over usb, således at en fladskærm i fremtiden kun behøver et enkelt kabel til både strøm og data.

Læs også: USB-dock test: Få meget mere ud af din tynde bærbare

Posted in computer.

Derfor er det en elendig dag for den danske telebranche

EU-parlamentet besluttede torsdag ved en afstemning i Strassbourg at sikre tvangsindførelse af netneutralitet og fjernelse af roaming i Europa med et markant flertal.

Fjernelse af betyder, at den europæiske teleindustri samlet taber op mod 30 milliarder kroner som følge af mistede roaming-afgifter.

Med indførelse af netneutralitet ved lov kan teleselskaberne glemme alt om at tilbyde eksempelvis Netflix i ekstra høj eller hurtig kvalitet.

Teleselskaberne kan desuden skyde en hvid pil efter at drosle ned for hastigheden for produkter som Skype og Whatsapp, der konkurrerer mod telebranchens egne tale- og sms-services.

Computerworld har spurgt telebranchens samlede talerør, Teleindustrien, hvad konsekvenserne bliver for den danske telebranche, når roaming forsvinder fra december 2015, og der tvangsindføres netneutralitet i det danske og europæiske internet.

“Der kommer indhug i omsætningen, og med netneutralitet udelukker det tjenester, som ellers kunne komme forbrugerne til gode,” lyder svaret fra direktør i Teleindustrien, Jakob Willer, som dog ikke ønsker at sætte tal på, hvor meget roamingen indbringer den danske telebranchen.

Ingen grund til at fejre det
Han mener ikke, at der nogen grund til at fejre EU’s telekommunikationspakke, som han betegner som ‘en forbrugerpakke’.

“Der har ikke været fokus på industrien, som ellers skal stå for investeringerne. Lige nu har vi en debat om at lukke mobilhuller, og med denne afstemning kommer det så bare til at trække i langdrag på af mistede indtægter,” siger Jakob Willer.

Mobilhullerne har jo stadig været der, mens I har haft roaming-indtægterne. Er det ikke bare en dårlig undskyldning for at beklage sig over mistede roaming-indtægter?

“Nej, for EU’s telepakke trækker i den forkerte retning for hele den europæiske teleindustri, som jo mister investeringsmuligheder i bedre net.”

Flere konsolideringer på vej
Jakob Willer peger på, at det i dag er en rigtig skidt dag at stå op til som telemand.

“Det er langtfra attraktivt at drive teleforretning, når vi alle sammen står over en masse investeringer og faldende indtægter,” siger han og vurderer, at vedtagelsen i EU-parlamentet vil skubbe yderligere til telekonsolideringer i Europa.

“I forvejen har vi at gøre med en presset branche, og den vil blive endnu mere presset på grund af i går. Alle kan se, der er et behov for konsolideringer, og det kommer også til at ske,” lyder det fra Jakob Willer.

Udover at undre sig over, at disse tiltag har været nødvendige at indføre fra EU’s side, så mener Jakob Willer, at diskussionen om netneutralitet har været forfejlet fra starten.

“Alle taler om, at teleselskaberne vil drosle ned for hastigheden, men der er jo tale om det stik modsatte: at der skulle skrues op for hastigheden på visse tjenester som en positiv diskriminering,” siger han.

Inden lovforslaget blev stemt igennem i EU, har den europæiske telebranche allerede raslet med sablen og truet med højere priser på indenrigstelefoni. Det kan du læse mere om her.

Læs også:
Telebranchens smuthuller lukket: Væk med roaming, ind med net-neutralitet

Telegigant dropper dyr roaming på data og tale i 115 lande

Posted in computer.