Daily Archives: April 10, 2014

Denne gang kom ulven. Den sårbarhed, der har befundet sig i flere udgaver at det udbredte OpenSSL-bibliotek siden 2011 bør give anledning til, at folk over en bred kam udskifter deres kodeord. Det mener Version2-blogger med forstand på it-sikkerhed, Henrik Kramshøj fra Solido Networks.

»Internettet er gået helt bagover. Det er ret alvorligt, det må man sige,« siger han.

Da OpenSSL er særdeles udbredt og blandt andet bliver anvendt i den populære Apache-webserver, taler sandsynligheden for, at adskillige brugere verden over uforvarende har været i kontakt med en sårbar server. Det er eksempelvis kommet frem, at Yahoo og Flickr har været berørt af sårbarheden.

Det betyder i udgangspunktet også, at brugernes brugernavn og password kan være havnet i hænderne på uvedkommende.

Derfor opfordrer Henrik Kramshøj i udgangspunktet alle til at skifte kodeord. Og i øvrigt vænne sig til at bruge forskellige kodeord og udskifte dem løbende, så alle kodeord eksempelvis er udskiftet efter ét år.

»Det vil være den sikre måde at gøre det på. Der er så mange services på listerne (over sårbare services, red.). Enten skal man gennemgå listerne og finde de services man bruger, eller også skal man bare sørge for at skifte passwords jævnligt.«

Sårbarheden, der er fikset i OpenSSL 1.0.1g fra april i år, relaterer sig til OpenSSL’s implementering af heartbeat-udvidelsen til TLS/DTLS-sikkerhedsprotokollerne, oplyser Codenomicon, virksomheden bag opdagelsen, på en hjemmeside om sårbarheden. Sårbarheden har fået navnet ‘heartbleed’, et ordspil på heartbeat.

Den bevirker – i princippet – at hvem som helst kan koble op til en sårbar server og få serveren til at returnere dele af sin hukommelse. Det vil blandt andet sige serverens private nøgle, som gør det muligt for en angriber at udgive sig for at være en valid server – også kaldet et man-in-the-middle-angreb. Men det bliver værre.

Med snablen nede i serverens hukommelse er det muligt at fiske brugernavne, kodeord og andet ud af serveren. Det er også den indholdet af chats, mails, serverkonfigurations-oplysninger osv. Altså data, som netop kan have været grunden til at beskytte serveren med SSL-kryptering i første omgang. Og det er med det i baghovedet, at Henrik Kramshøj i udgangspunktet opfordrer alle til at skifte deres kodeord.

»Det svarer til at sætte post-its med brugernavn og kodeord på serveren fra alle dem, der besøger dem, som så kan samles op bagefter.«

Henrik Kramshøj har selv skrevet en guide til, hvordan server-bestyrere bør forholde omkring sårbarheden. Han gætter, at mange har opgraderet eller er i gang med at opgradere deres server-software eller beskytte den på anden vis, blandt andet fordi medieopmærksomheden på OpenSSL-sårbarheden har været ganske intens.

Men der er stadig al mulig grund til at være på vagt, selvom der er en grøn hængelås eller noget der minder om det i browser-vinduet.

»Der er helt sikker en masse mennesker, der ikke har opfattet hvor alvorligt det her er – det er drønalvoligt,« siger Henrik Kramshøj.

Det er svært at vide, præcist hvor mange servere, der har været eller er berørt af problemstillingen. Ligesom sårbarheden ifølge Codenomicon kan udnyttes ganske diskret, så det slet ikke bliver registreret på serveren.

Danmark oplevede et regulært solcelleboom i 2012, og udbredelsen af ét produkt har det med at skabe føljetoner af ekstraprodukter og serviceydelser, der skal hjælpe til med at forbedre oplevelsen.

Et af de produkter, som solcelleboomet har fremelsket, er rensevæsker, der skulle kunne tage snavset fra solcellepanelerne, således at solens stråler bedre trænger igennem og skaber mere energi.

Senest har Borup Kemi lanceret en spritholdig rensevæske til solcellepaner, som ifølge producenten skulle være effektiv i at opløse smuds og desuden forbedre overfladernes vandafløb, så solcellerne bliver mindre modtagelige over for snavs.

Ifølge en pressemeddelelse fra producenten viser forskning fra Boston University, at så lidt som fire gram støv og skidt per kvadratmeter panel kan nedsætte energieffektiviteten med op til hele 40 procent.

En rigtig dårlig forretning for solcelleejeren, hvis de tal holder stik.

Ifølge seniorkonsulent i solenergi ved Teknologisk Institut, Ivan Katic, er det helt korrekt, at snavs og skidt kan påvirke solcellernes ydelsesevne. Problemet er bare ikke så stort i Danmark, påpeger han. Solcellers effektivitet kan godt nedsættes med 40 procent, men det er i mere ekstreme tilfælde som solcelleanlæg, der står placeret i ørkener, hvor mængden af støv er langt større – og adgangen til rent vand er langt sværere.

»Spørgsmålet om, hvordan man egentlig bør rense solceller, har vi fået en del gange. Som udgangspunkt er solcellepaneler de fleste steder i Danmark rimelig selvrensende, da vi har så meget regn. Og normalt har tagene en hældning på mellem 25 og 50 grader, og det er nok til at holde grundrengøringen i orden,« siger han.

Hos en af landets førende forhandlere af solceller, EnergiMidt, er rådet det samme.

»Basalt set er det jo bare spritprodukter. Vores holdning i EnergiMidt er, at man bare kan lade moder natur om at klare rengøringen, og vi vil ikke anbefale, at man begynder at købe rensevæsker,« siger Rasmus Refshauge solcellespecialist i EnergiMidtjylland, og henviser til, at energivirksomheden har renset sit eget solcelleanlæg med regnvand siden 1993.

Der findes undtagelser

Ivan Katic fra Teknologisk Institut tør ikke udtale sig om, hvorvidt rensevæsken fra eksempelvis Borup Kemi virker eller ej, da der aldrig er blevet foretaget undersøgelser af virkningen. Men han er enig i, at mængderne af støv og snavs i Danmark sjældent bliver så store, at det ikke kan klares med regnvand.

Dog kan der findes undtagelser, påpeger Ivan Katic. Solceller, der er placeret på fladere tage er sværere for naturen at rengøre på grund af hældningen, ligesom miljøet, solcellerne er placeret i, kan afgøre, hvor beskidte de bliver, og hvor stort behovet er for en grundig rensning.

Ingeniøren har tidligere skrevet om solcellevirksomheder, der har forsøgt sig med at placere solceller i de danske landbrug, og har man eksempelvis solceller i nærheden af en svinestald, vil panelerne blive mere beskidte på grund af ammoniakstøv i luften.

Solceller placeret på bygninger i eksempelvis industriområder eller ved havne er i samme fare for at blive mere beskidte end på et normalt parcelhus på grund af mere forurening, og sådan kan man finde andre eksempler.

Stadig lyder anbefalingen dog, at spuling med vand bør kunne klare opgaven

Heller ikke formanden for Landsforeningen af Solcelleejere Torsten Jensen, anbefaler, at man bruger de sparede udgifter til el på renseprodukter. Selv har han ikke testet nogen af produkterne, siger han til Ingeniøren, men fra andre medlemmer af foreningen forlyder det, at der ikke kan registreres nogen forskel i solcellernes ydeevne, hvad end de renses med regn eller kemi.

Civile droner fylder i stigende grad luften i de europæiske lande, men de gør det under forskellige regler og sikkerhedskrav.

Derfor foreslår Europa-Kommissionen i dag at sætte nye, ens standarder for sikkerhed, beskyttelse af privatlivets fred, databeskyttelse, forsikring og erstatningsansvar. Det skal både sikre nødvendige beskyttelsesforanstaltninger og være med til at fremme den europæiske industris muligheder for at blive førende på verdensmarkedet for den fremspirende droneteknologi.

Siim Kallas, næstformand for Kommissionen og kommissær for transport, udtaler i en pressemeddelelse, at civile droner både kan bruges til at afdække skader på veje og jernbanebroer, overvåge naturkatastrofer og måske endda i fremtiden levere bøger fra internet-boghandlere.

»Men mange mennesker, heriblandt jeg selv, er bekymrede for sikkerheden i forbindelse med disse droner og deres betydning for privatlivets fred,« siger Siim Kallas.

Skøn indikerer, at droner om ti år kan komme til at udgøre 10 procent af luftfartsmarkedet svarende til 15 milliarder euro om året. Siim Kallas mener, at tidspunktet nu er helt rigtigt for at sætte ens standarder:

»Fjernstyrede fly er nærmest pr. definition skabt til at krydse grænser, og industrien er stadig i sin begynderfase. Vi har nu en mulighed for at opstille ét sæt fælles regler, som alle kan arbejde med, præcis som vi gør med større fly,« siger han.

De fælles regler skal omfatte:

Sikkerhedsgodkendelser. EU-standarderne vil tage udgangspunkt i, at fjernstyrede flysystemer skal leve op til samme sikkerhedsniveau som bemandede luftfartøjer. Det Europæiske Luftfartssikkerhedsagentur, Easa, skal udarbejde standarderne.

Kontrol med beskyttelse af data og privatlivets fred. Kommissionen vil sikre, at droner overholder de gældende databeskyttelsesregler og fremsætte forslag til specifikke ændringer eller vejledninger, hvor det er nødvendigt.

Kontrol med sikkerheden. Civile droner kan være genstand for potentielle ulovlige handlinger og trusler mod sikkerheden. Derfor skal der være retlige forpligtelser for alle berørte aktører såsom lufttrafikstyringssystemerne, operatørerne og telekommunikationstjenesterne, som skal håndhæves af de nationale myndigheder.

Rammer for erstatningsansvar. Kommissionen vil undersøge behovet for at ændre reglerne i den nuværende ansvarsforsikringsordning, der i dag primært gælder for bemandede luftfartøjer, så det også omfatter de særlige forhold, der gør sig gældende for fjernstyrede flysystemer.

Forskning og støtte til ny industri. Forsknings- og udviklingsindsatsen skal strømlines, så gennemløbstiden for lovende teknologier bliver holdt så kort som muligt i forbindelse med indarbejdelsen af fjernstyrede flysystemer i det europæiske luftrum. Samtidig skal SMV’er og nystartede virksomheder i sektoren kunne få erhvervsstøtte til udvikling af passende teknologier.

Denne gang kom ulven. Den sårbarhed, der har befundet sig i flere udgaver at det udbredte OpenSSL-bibliotek siden 2011 bør give anledning til, at folk over en bred kam udskifter deres kodeord. Det mener Version2-blogger med forstand på it-sikkerhed, Henrik Kramshøj fra Solido Networks.

»Internettet er gået helt bagover. Det er ret alvorligt, det må man sige,« siger han.

Da OpenSSL er særdeles udbredt og blandt andet bliver anvendt i den populære Apache-webserver, taler sandsynligheden for, at adskillige brugere verden over uforvarende har været i kontakt med en sårbar server. Det er eksempelvis kommet frem, at Yahoo og Flickr har været berørt af sårbarheden.

Det betyder i udgangspunktet også, at brugernes brugernavn og password kan være havnet i hænderne på uvedkommende.

Derfor opfordrer Henrik Kramshøj i udgangspunktet alle til at skifte kodeord. Og i øvrigt vænne sig til at bruge forskellige kodeord og udskifte dem løbende, så alle kodeord eksempelvis er udskiftet efter ét år.

»Det vil være den sikre måde at gøre det på. Der er så mange services på listerne (over sårbare services, red.). Enten skal man gennemgå listerne og finde de services man bruger, eller også skal man bare sørge for at skifte passwords jævnligt.«

Sårbarheden, der er fikset i OpenSSL 1.0.1g fra april i år, relaterer sig til OpenSSL’s implementering af heartbeat-udvidelsen til TLS/DTLS-sikkerhedsprotokollerne, oplyser Codenomicon, virksomheden bag opdagelsen, på en hjemmeside om sårbarheden. Sårbarheden har fået navnet ‘heartbleed’, et ordspil på heartbeat.

Den bevirker – i princippet – at hvem som helst kan koble op til en sårbar server og få serveren til at returnere dele af sin hukommelse. Det vil blandt andet sige serverens private nøgle, som gør det muligt for en angriber at udgive sig for at være en valid server – også kaldet et man-in-the-middle-angreb. Men det bliver værre.

Med snablen nede i serverens hukommelse er det muligt at fiske brugernavne, kodeord og andet ud af serveren. Det er også den indholdet af chats, mails, serverkonfigurations-oplysninger osv. Altså data, som netop kan have været grunden til at beskytte serveren med SSL-kryptering i første omgang. Og det er med det i baghovedet, at Henrik Kramshøj i udgangspunktet opfordrer alle til at skifte deres kodeord.

»Det svarer til at sætte post-its med brugernavn og kodeord på serveren fra alle dem, der besøger dem, som så kan samles op bagefter.«

Henrik Kramshøj har selv skrevet en guide til, hvordan server-bestyrere bør forholde omkring sårbarheden. Han gætter, at mange har opgraderet eller er i gang med at opgradere deres server-software eller beskytte den på anden vis, blandt andet fordi medieopmærksomheden på OpenSSL-sårbarheden har været ganske intens.

Men der er stadig al mulig grund til at være på vagt, selvom der er en grøn hængelås eller noget der minder om det i browser-vinduet.

»Der er helt sikker en masse mennesker, der ikke har opfattet hvor alvorligt det her er – det er drønalvoligt,« siger Henrik Kramshøj.

Det er svært at vide, præcist hvor mange servere, der har været eller er berørt af problemstillingen. Ligesom sårbarheden ifølge Codenomicon kan udnyttes ganske diskret, så det slet ikke bliver registreret på serveren.

Op mod 50.000 danskere kan samlet have mistet mellem en halv og en hel milliard kroner på de forsinkelser, der ramte boligmarkedet, da den digitale tinglysning blev taget i brug i august 2009. Nu vil Danske Boligadvokater føre en erstatningssag, skriver Ekstra Bladet.

Advokatforeningen arbejder derfor på at få så mange ramte danskere som muligt samlet i et fælles søgsmål, som foreningen har fået fri proces til at føre.

»Vi tror på sagen, ellers ville vi ikke prøve den af. Vi mener, vi har en god sag, fordi selve tilrettelæggelsen var exceptionelt dårlig fra statens side. Man har løbet store risici undervejs i forbindelse med implementeringen, og det er fatalt at regulere et så indgribende samfundsområde med venstre hånd uden at sørge for at prøve det af inden,« siger formand Jan Schøtt-Petersen fra Danske Boligadvokater til Ekstra Bladet.

Tinglysningsprocessen blev ramt af flere problemer, fordi der både skulle digitaliseres gamle sager, indføres et nyt it-system og omlægges en organisation fra de lokale domstole til et fælles center, og da processen blev ramt af forsinkelser og uforudsete problemer med blandt andet oplæring i det nye system, blev tusindvis af ejendomshandler forsinket.

Ifølge Danske Boligadvokater har de berørte danskere typisk tabt mellem fem og 15.000 kroner på den langtrukne sagsbehandling, men enkelte kan have tabt op mod 100.000 kroner.

Dagen efter EU-domstolens afgørelse, der erklærer de europæiske logningsregler ugyldige, melder den danske justitsminister Karen Hækkerup (S) sig klar til at ændre de danske regler, så de stemmer over ens med EU-retten. Men først skal en undersøgelse afgøre om det er tilfældet.

»Hvis vores undersøgelser viser, at de danske logningsregler på baggrund af dommen må anses for at være i strid med EU-retten, vil vi naturligvis hurtigst muligt tage de nødvendige skridt til at sikre, at reglerne bringes i overensstemmelse med EU-retten«, oplyser ministeren i en skriftlig kommentar til Politiken.

I en kommentar til Version2 supplerer hendes partifælle og it-ordfører Karin Gaardsted udsagnet på denne måde:

»Nu har EU domstolen så erklæret direktivet om lagring af data for ugyldigt, fordi de vurderer, at det ikke er proportionelt i forhold til i hvor høj grad det griber ind i vores privatliv. Men det, der er en juridisk og abstrakt diskussion om principperne for vores samfund, kan få alvorlige konsekvenser, hvis terrorister får spillerum til at bombe f.eks. Hovedbanegården. Derfor har jeg også noteret mig, at afgørelsen slår fast, at der er legitime formål med at nationale myndigheder indsamler og lagrer data i forbindelse med bekæmpelse af kriminalitet og terrorisme. Som jeg kan læse det, har domstolen i sin afgørelse lagt vægt på, at direktivet ikke er tilstrækkeligt præcist i forhold til, hvem man kan overvåge, hvornår og i hvor lang tid man kan lagre data. Det synes jeg sådan set er fint nok – vi har jo en tredeling af magten i EU, og så må vi lovgivere naturligvis bøje os for den dømmende magt.«

At direktivet er faldet, betyder ikke, at de danske regler også automatisk skal væk. Professor i tele-ret på Aalborg Universitet Søren Sandfeld Jakobsen forklarer således:

»De danske regler er ikke ugyldige, for det er kun direktivet, der er blevet underkendt. Det betyder, at der ingen EU-regulering er, kun national ret, og så har medlemsstaterne frit spil til at gøre, hvad de vil. Men reglerne skal stadig kunne opfylde de principper, som EU-Domstolen udtrykker i afgørelsen,« siger han til Version2.

Derfor skal de danske regler med det samme kigges igennem af Justitsministeriets jurister og holdes op imod EU-Domstolens afgørelse og begrundelser. Og faktisk kan den danske fortolkning af reglerne vise sig at være fin nok, også i fremtiden, fordi man har undgået nogle af de kritikpunkter, som EU-Domstolen har brugt som begrundelse for at annullere EU-direktivet, siger professoren.

På Christiansborg har EU-dommen vagt opsigt hos alle partier. SF ønsker hurtig handling:

»Hvis muligheden er der, vil det være fornuftigt at suspendere reglerne allerede nu«, siger formanden for Retsudvalget, Karina Lorentzen (SF).

Også V og K er klar til at skrue ned for overvågningen af danskerne. Til Politiken udtaler de følgende:

»Vi er parat til at ophæve internetlogningen, og telelogningen mener vi også kan reduceres, uden at formålet går tabt«, siger retsordfører Karsten Lauritzen (V).

I Sverige har internetudbyderen Bahnhof på egen hånd taget konsekvensen af EU-Domstolens erklæring:

»Bahnhof afbryder al datalagring med omgående virkning. Desuden sletter vi de oplysninger, som allerede er lagret,« udtaler direktør Jon Karlung fra Bahnhof.

Der bliver skabt enorme datamængder i datacentre, på internettet og fra computerstyrede systemer. Faktisk blev der i 2013 genereret cirka 4,4 zettabyte. Hvis man er lidt udfordret på SI-enheder, så svarer det til 4,4 milliarder terabyte. Det fremgår af en undersøgelse som analysefirmaet IDC har foretaget på vegne af storageleverandøren EMC.

IDC vurderer, at datamængden fordobles cirka hvert andet år, og det vil betyde, at datamængden i 2020 vil være cirka 10 gange større end i 2013.

I 2013 udgjorde data fra automatiske systemer koblet på internettet, også kaldet Internet of Things, cirka to procent, og den andel vil vokse, så de i 2020 vil udgøre 10 procent af datamængden.

Pressemeddelelsen fra EMC forsøger at sætte den enorme datamængde i perspektiv ved at anskueliggøre den med et par dagligdags eksempler.

»Mængden af information ville fylde en stabel af 128 gigabyte iPad Air, som ville strække sig to tredjedele af vejen til Månen (253.704 kilometer). I år 2020 vil der være 6,6 stabler.«

Den slags udregninger kan vi ikke stå for på Version2, så vi har regnet lidt videre.

Hvis vi nu var effektive og ikke bange for at stable små ting rigtig højt, så kunne vi i stedet benytte os af MicroSD-hukommelseskort, som har en kapacitet på op til 128 gigabyte. Et MicroSD-kort er 1 millimeter tykt, så vores stabel ville blive 34.375 kilometer høj. Den vil altså nå ud til de geostationære satellitters baner.

Vi kan gøre det lidt bedre, hvis vi i stedet kaster os over SSD-drev, som med en tykkelse på ned til blot 5 millimeter og en kapacitet på op til én terabyte vil blive til en stabel på 22.000 kilometer. Det er lidt mindre end to gange Jordens diameter. Men ikke meget mere end en gennemsnitlig dansk personbil får lov at køre om året.

Det er selvfølgelig vanskeligt at stable noget så højt. Uden at tænke over behovet for stiger eller udfordringen ved potentielt verdens sværeste spil Klodsmajor, så ville stablen af iPads begynde at kollapse under sin egen vægt. Trykket fra de mange iPads ville først mase de nederste flade, og vi ville sandsynligvis nå et tryk, hvor de ville begynde at smelte og data ville gå tabt.

En iPad Air er desuden ikke helt flad, og det ville være en udfordring at stable dem. Så selvom Microsofts Surface 2 er tykkere, så gør den flade form det nok til et mere gangbart projekt, hvis man vil stable tablets meget højere end mandshøjde.

Derfor giver det mere mening at se på, hvordan vi effektivt vil kunne opbevare vores data. Hvis vi lægger dataene på MicroSD-kort og fylder dem i 20 fods shippingcontainere, så vil de faktisk blot fylde cirka 142 containere.

Emma Maersk kan til sammenligning sejle med 11.000 TEU (20 fods containere) og altså have plads til cirka 77 gange den samlede datamængde i 2013.

Hvis vi nu i stedet vælger at lægge vores data på magnetbånd som StorageTek T10000 T2, så skal vi bruge cirka 594 millioner kilometer eller nok til at nå fra Jordens bane til Jupiters. Eller knapt 15.000 gange rundt om Jorden ved ækvator. Skærer vi båndet op vil det dække et areal på godt 7.400 kvadratkilometer eller lidt mere end Sjællands, Møns og Langelands areal lagt sammen.

Pressemeddelelsen fra EMC og IDC forsøger også at anskueliggøre datamængden ud fra, hvor meget vi hver især producerer, og hvad der vil ske, hvis vi lader datamængden oversvømme et parcelhus.

»En gennemsnitlig husholdning producerer i dag data nok til at fylde 65 32 gigabyte iPhones om året. I 2020 vil dette tal vokse til 318 iPhones. Hvis en byte af data svarer til cirka fire liter vand, ville der i løbet af 10 sekunder være nok data til at fylde et gennemsnitligt hus. I 2020 ville det kun tage 2 sekunder.«

Vi overlader det som en øvelse for læserne at regne videre på de eksempler, og gerne omregne til fodboldbaner og olympiske svømmestadions.

En sammenhæng mellem computerspil og en kortvarig stigning i spillernes aggressivitet, umiddelbart efter de har spillet, er blevet brugt som argument imod voldelige computerspil. Men en ny amerikansk undersøgelse tyder på, at det ikke er spillets voldelige indhold, der gør spillerne aggressive.

Ifølge en forskergruppe fra University of Rochester og Oxford University er det i stedet frustration over spillet sværhedsgrad, som gør spillerne aggressive.

Det betyder, at en spiller, som ikke kan gennemføre en svær bane i Candy Crush Saga, kan blive lige så aggressiv, som en spiller, der ‘rage quitter’, efter hans hold har tabt for tredje gang i træk i Call of Duty.

»Når folk føler, at de ikke har nogen kontrol over udfaldet af et spil, så fører det til aggressivitet. Det så vi i vores eksperimenter. Hvis du udfordrer en persons evner, bliver de mere aggressive, og den virkning holdt uanset om spillene var voldelige eller ej,« udtaler psykolog og medforfatter til undersøgelsen Richard Ryan fra University of Rochester.

Forskerne gennemførte en række eksperimenter på studerende for at måle deres aggressivitet, efter de spillede spil med forskelligt indhold. Eksempelvis kunne forskerne måle en indirekte stigning i aggressivitet i spillere, som blev udsat for et spil Tetris på ekstra høj sværhedsgrad i forhold til spillere, som spillede Tetris på et nemmere niveau.

Debatten om især voldelige computerspils indflydelse på blandt andet børn har været præget af begrænset empirisk forskning på området, og i de undersøgelser, der er findes, er der ofte flere faktorer, der spiller ind.

En nylig metaanalyse af 98 forskellige psykologiske undersøgelser nåede dog frem til, at der var en vis sammenhæng mellem voldelige spil med negative sociale temaer og negative sociale effekter. Analysen fandt dog tilsvarende en sammenhæng mellem spil med positive sociale elementer og positiv social adfærd. Men en sammenhæng siger ikke nødvendigvis noget om årsagerne og kan skyldes andre faktorer.