Daily Archives: May 12, 2014

Et nyt kapitel er skrevet i sagen, hvor Oracle har sagsøgt Google for brug af Java-API’er i Android – en historie som Google nok havde ønsket afsluttet i 2012, da Oracle tabte sagen.

Oracle, der ejer Java efter opkøbet af Sun, mener, at programmeringssprogets API’er (application programming interface) er beskyttet af den amerikanske copyright-lovgivning, og at Google derfor ikke uden videre må anvende dem. Nu har en amerikansk appeldomstol afgjort, at Java-API’er godt kan beskyttes af amerikansk copyright-lovgivning, skriver Infoworld.

Google havde tidligere fået rettens ord for, at API’er ikke er beskyttet af copyright under amerikansk lovgivning, og at API’er er nødvendige for at udviklere kan skrive interoperatibel software. Det er den afgørelse, som Oracle havde appelleret og nu fået medhold i.

Oracle sagsøgte Google for fire får siden med påstanden om, at Google Android-operativsystem overtræder både patenter og copyright i forhold til Oracles Java-teknologi. Nærmere bestemt går Oracles anklage på, at Google har kopiret ‘stukturen, sekvensen og organiseringen’ af nogle kerne-API’er i Java i forbindelse med udviklingen af Android. Kravet fra Oracle lød dengang på en erstatning på seks milliarder kroner.

Den seneste afgørelse betyder ifølge Cio.com.au, at Oracle nu kan fortsætte sagen mod Google. Appeldomstolen har sendt sagen sagen tilbage til Distriktsdomstolen i San Francisco, hvor en anden jury nu skal tage stilling til, hvorvidt de API’er, som Google har anvendt, har været beskyttede.

I en udtalelse fra Google hedder det:

»Vi er skuffede over denne afgørelse, som sætter en skadelig præcedens for computervidenskab og softwareudvikling, og vi overvejer vores muligheder.«

Oracle har ikke overraskende et andet syn på sagen, fremgår det af en udtalelse, og beskriver afgørelsen som en sejr for ikke bare Oracle men hele softwareindustrien.

Infoworld skriver, at afgørelsen kan få vidtrækkende konsekvenser for softwareindustrien, og at nogle udviklere har argumenteret for, at hvis APi’er bliver omfattet af copyright-lovgivning, så vil det påvirke program-kompatibilitet og sætte innovationen i stå. Flere større softwarevirksomheder er uenige og mener, at API’er er kreative værker, som er værdige til at være omfattede af copyrightbeskyttelse.

Som mainframe-medarbejder hos IBM indtil 2012 kunne tys-tys-kilden, der solgte fortrolige data til Se og Hør, også kigge i en administrativ database over NemID-brugere. Men systemerne til kreditkort og til NemID er to helt forskellige ting, og NemID er stadig et meget sikkert system.

Sådan lyder det fra Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen, oven på afsløringen af, at IBM-medarbejderen også havde adgang til NemID-databasen, ifølge en redegørelse fra Nets. Redegørelsen var bestilt af Digitaliseringsstyrelsen, som sammen med bankerne betaler Nets for at drive NemID-systemet.

Beskyttelsen mod at medarbejdere hos Nets eller IBM misbruger NemID-systemet består grundlæggende i, at adgangen er beskyttet af det password, som NemID-brugerne selv vælger. Den såkaldte tys-tys-kilde kunne derfor kun se lister over brugerne, inklusive CPR-numre, og loggede kun ind i NemID-databasen én gang, fremgår det af redegørelsen.

Er I tilfredse med redegørelsen fra Nets, hvor Nets har undersøgt sig selv, eller skal der også være en ekstern undersøgelse af sikkerheden hos Nets?

»Vi undersøger løbende Nets med ekstern hjælp, med eksterne revisorer. De har også selv tilknyttet eksterne revisorer i denne her proces. Vi har selv lige modtaget redegørelsen, og det er klart, at sagen gør, at vi vil i nærmere dialog med Nets, som det også fremgår (af pressemeddelelsen om redegørelsen, red.). Det kan også føre til, at vi vurderer, at der er behov for at gå i dybden med nogle områder. Det har vi ikke taget endelig stilling til endnu,« siger Lars Frelle-Petersen til Version2.

»Der er procedurer, der er blevet fulgt, og praksis omkring det, som har været i orden, som har fulgt de aftaler og kontrakter, vi har med Nets. Dem får vi også efterset på forskellige måder gennem de revisionstilsyn, vi har af DanID. Om det skal give anledning til en ekstraordinær gennemgang, vil vi lige vurdere nærmere.«

Har de seneste ugers afsløringer ført til overvejelser om, om man stadig skal have et system som NemID liggende hos Nets?

»Nu er diskussionen jo blevet meget bred og omfattende og handler også om mange andre emner. Sagen er jo ganske alvorlig. En medarbejder har tilsyneladende forbrudt sig mod reglerne, og den anden del er, at han ikke er blevet opdaget i de procedurer, der er. Jeg kender ikke meget til kreditkortdelen, men jeg kender til NemID, og det er to meget forskellige områder, som er skruet meget forskelligt sammen. Nu bliver det lidt set som et samlet hele, og det er det ikke.«

»Du kan ikke som medarbejder hos Nets tilgå informationer i NemID, som gør, at du kan manipulere med eller bruge folks NemID. NemID samles først hos borgeren, og det er i anvendelsen, at du kan bruge den til det, du vil. Det kan du ikke centralt fra.«

»Så det er to forskellige ting – men derfor skal man selvfølgelig bruge denne skandale til at tjekke mange andre områder op. Der er også dukket andre historier op, hvor man måske ikke har fulgt de procedurer, der har været. Derfor har vi også fundet anledning til at få det undersøgt nærmere, fordi det er en sag, der foregår hos Nets, og fordi vi gerne vil have, at man fortsat kan være tryg ved at bruge NemID.«

Konceptet i NemID er, at alle private nøgler er samlet ét sted, så man bliver i sidste ende nødt til at stole på Nets. Har hele dette kompleks af sager gjort, at I har tænkt, at det måske var bedre fremover med en løsning, hvor det hele ikke er samlet hos én aktør?

»Vi gør os rigtig mange overvejelser i denne her periode. Vi er jo også på vej ud i nyt udbud omkring en digital signaturløsning. Der er fordele og ulemper ved alle konstruktioner, og der er i øvrigt med NemID både mulighed for det ene og det andet (man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.)«

»Den ene model er en central løsning, og da vi valgte den, gjorde vi os mange overvejelser, fordi vi havde haft en decentral løsning før, som viste sig at have meget store support-udfordringer og gav mange borgere vanskeligheder ved at anvende løsningen. Den anden del var et stort ønske om, at den skulle være så mobil som muligt, og der skal man lige huske, at vi lavede aftalen i 2007. Der var et stort ønske om, at borgeren kunne bruge løsningen fra forskellige computere, uden at skulle kopiere en nøgle eller gøre andre krævende ting. Så vi har fået en høj brugervenlighed og meget høj udbredelse, fordi NemID er så nem at anvende.«

»Så kan man rejse spørgsmålet, om der er forøget risiko ved at placere det hele centralt. Som det fremgår af redegørelsen, så er det hele skruet sammen på en måde, som er så sikkert, som de internationale standarder på området kræver, at det skal være. Det har jo vist at være et meget sikkert system, og det er det fortsat.«

Så I vil ikke have noget problem ved at have en central løsning igen, når I skal vælge en afløser for NemID?

»Det vil jeg hverken sige ja eller nej til, for det er vi ikke færdige med analyser af. Der er fordele ved en centralisering i form af brugervenlighed og fleksibilitet, og at man skal installere så lidt software som muligt på borgerens pc, eller at borgeren selv skal have en token. Det er stadig et meget stort ønske fra danskerne om, at det skal være så nemt at bruge som muligt, og det er et meget væsentligt hensyn.«

»Så er der samtidigt et hensyn, som betyder rigtig meget, nemlig at det skal være så sikkert som muligt. Og der skal vi overveje forskellige løsninger. Ligesom man også har muligheden for at få sin nøgle på et medie med NemID. Så der findes forskellige udgaver af den eksisterende løsning, og det er også noget af det, vi skal se på, om der fortsat skal være,« siger Lars Frelle-Petersen.

Det er nok de færreste, der forbinder open source-organisationen Mozilla med sponserede links, men det kan meget vel være på vej til at ændre sig. Techcrunch fortæller, at Mozilla-chef med ansvaret for Firefox, Jonathan Nightingale, i et blogindlæg forsvarer organisationens planer om at implementere sponsorerede links i Firefox.

Planerne om sponseret indhold blev oprindeligt fremlagt i februar af Mozilla. Og ifølge Nightingale er Mozilla nu ved at eksperimentere med layouts for linksne.

Det er meningen, de skal optræde, når brugeren klikker for at få et nyt faneblade op i browseren. Normalt vil der her være links, der afspejler de hjemmesider, brugeren ofte besøger. Og for nye brugere, er der i sagens ikke meget at kigge på i den forbindelse. Disse tommepladser er det så meningen at fylde med sponseret indhold.

Jonathan Nightingale lover, at tiltaget med sponserede links ikke vil forvandle Firefox til ‘et rod af logoer solgt til højstbydende, uden for brugerens kontrol, og uden at gavne brugeren.’ Typisk vil det sponserede indhold være at se de første 30 dage efter brugeren har installeret Firefox, med mindre sponsor-linksne aktivt bliver slået fra.

Finansieringen af Mozilla og Firefox er i øvrigt i mange år sket med et stort tilskud fra Google, som betaler Mozilla for at bruge Google som standardsøgemaskine. Efter forhandlinger i 2011, der truede med at efterlade Mozilla uden dette tilskud, endte Google med at tredoble støtten og hvert år i perioden 2012-2016 udbetale 300 millioner dollars til Mozilla, altså over 1,5 milliarder kroner om året.

Hvis du har et mobilforbrug på 2 gigabyte data, 3 timers tale og 200 sms’er om måneden, og er på udkig efter et abonnement med medfølgende mobiltelefon, hvad skal du så vælge, hvis det skal være den billigste løsning?

Det kan være en kompliceret affære at finde frem til det rigtige mobilabonnement. Især hvis det billigste abonnementet med en medfølgende telefon skal findes, der passer til ens eget forbrug i forhold til taletid, data og sms’er.

Men den nød mener Lars Libak, der studerer Softwareteknologi på DTU, at have knækket med hjemmesiden fonpriser.dk

Her kan brugerne indtaste, hvilket mobilforbrug de har, hvorefter systemet oplister de billigste smartphone-abonnementer med tilhørende telefoner.

Data om de enkelte abonnementer bliver automatisk hentet fra de forskellige operatørers hjemmesider en gang i døgnet. Herefter blive de sammen med forbrugsdata sendt til Amazons sky-tjeneste EC2, som regner på de kombinationsmuligheder.

Har man eksempelvis behov for 2 timers tale, 10 gigabyte data og 700 sms’er er der tale om et forbrugsmønster, mens 1 times tale, 5 gigabyte data og fri sms er et andet. Der er selvsagt en del kombinationsmuligheder.

Faktisk så mange, at en almindelig server, som Lars Libak forsøgte sig med, da han startede på projektet for år tilbage, viste sig ikke at fungere til opgaven.

»Når jeg indtaster et forbrug, skal den gå ind for hver mobil, og for hvert abonnement for den mobil, udregne en pris – og det er pænt mange udregninger,« siger han.

Big Data-værktøj

Lars Libak anvender en service til beregningen hos Amazon kaldet Amazon Elastic MapReduce til behandling af de store datamængder i form af input fra forskellige forbrugsmønstre. Tjenesten kører via open source frameworket Hadoop, som ofte bliver kædet sammen med Big Data-behandling. Hadoop sorterer sorterer inputtet og sender de billigste løsninger retur, som bliver vist på forsiden af fonpriser.dk.

»Jeg var ikke den mest erfarne koder, da jeg gik i gang med projektet, men jeg var meget opsat på at få det igennem. Jeg har siddet mange timer foran computeren og arbejdet på at finde ud, hvordan Amazon, Hadoop og Mapreduce fungerer,« siger Lars Libak.

Udregningen tager også højde for, hvad den ekstra time vil koste, hvis brugeren eksempelvis har et forbrug på fire taletimer, mens der kun er tre taletimer inkluderet i abonnementet.

»Det kan sagtens vise sig stadigt at være den billigste løsning samlet set, selvom den ekstra time koster lidt,« fortæller han.

Fonpriser.dk, der kører Drupal, kobler en gang i døgnet op til Amazons skytjeneste og modtager et sæt nye beregninger. Det er altså ikke noget, der sker dynamisk, hver gang en bruger besøger siden.

»Jeg valgte at fokusere på at lagre data. Det vil sige, den udregner de billigste priser og lagrer alle kombinationer af forbrug. Så det er en tabel, jeg trækker fra i gang i døgnet,« fortæller Lars Libak og fortsætter:

»Jeg kunne også udregne dynamisk hver gang, men det ville kræve en masse servere, skulle køre, bare for at holde siderne oppe.«

Var nødt til at bruge lommeregner

Idéen til projektet fik Lars Libak, da han selv var på udkig efter en ny mobiltelefon:

»Jeg var selv frustreret over, da jeg skulle finde en ny mobil, at jeg ikke kunne sammenligne priserne i forhold til, hvad der var fordelagtigt for mig at købe. Jeg var nødt til at sidde med en lommeregner og regne på de forskellige abonnementer.«

Der er også andre hjemmesider til sammenligning af mobilabonnementer, men Lars Libak mener, der er plads til forbedring.

»De tjenester, der var, kunne jeg ikke rigtigt bruge til noget. De viser bare, hvad minimumsprisen er, men ikke set i forhold til det forbrug, man har,« siger han.

Forretningsmodellen for fonpriser.dk er foreløbigt en såkaldt affiliate løsning. Det vil sige, at Lars Libak får et beløb, hver gang bruger klikker videre ind på en hjemmeside og køber en telefon. Det er dog ikke alle mobilselskaber, der understøtter sådan en affiliate-aftale, de indgår dog alligevel i prisopgørelsen. Det er imidlertid også mere personlig motivation en økonomisk gevinst, der har været drivkraften bag projektet, påpeger Lars Libak.

»Jeg har gjort mere ud af, at gøre siden brugbar end at tjene penge på det.«

Foreløbigt gør fonpriser.dk det muligt at sortere mobiltelefoner med abonnement efter pris. I version 2.0 af fonpriser.dk forventer Lars Libak, at abonnementer kan sammenlignes baseret på forbrug – uden der nødvendigvis følger en mobiltelefon med.

Digitaliseringsstyrelsen kræver, at it-leverandøren Nets strammer op på sikkerheden omkring danskernes fælles login-løsning NemID. Det sker på baggrund af en redegørelse fra Nets, hvoraf det fremgår, at den kilde, som i flere år forsynede ugebladet Se og Hør med oplysninger, også havde adgang til NemID’s database.

Ifølge Nets havde den pågældende medarbejder, som arbejdede som systemadministrator hos IBM, der står for driften af flere af Nets’ systemer, adgang til NemID-systemet med administrator-rettigheder.

Medarbejderen har dog blot én gang i 2010 været logget på, men uden at tilgå systemet, fremgår det af redegørelsen.

»Jeg er naturligvis tilfreds med, at Nets’ redegørelse viser, at der ikke har været læk eller anden misbrug af data. Men uanset, at der ikke er sket misbrug af NemID-data, skal vi alle tage ved lære af de brud på sikkerheden, der øjensynligt har været i forhold til kreditkortoplysninger. Derfor kræver Digitaliseringsstyrelsen nu, at Nets’ strammer op på den i forvejen høje sikkerhed og forstærker deres sikkerhedsprocedurer og interne kotroller,« udtaler direktør Lars Frelle-Petersen fra Digitaliseringsstyrelsen ifølge en pressemeddelelse.

Udover, at Nets skal stramme op på den interne kontrol, så vil Digitaliseringsstyrelsen også skærpe kravene til uafhængig kontrol af sikkerheden i NemID.

Det system, medarbejderen havde adgang til, indeholder ifølge Digitaliseringsstyrelsen kun oplysninger til brug for udstedelse og administration af NemID. Oplysningerne i databasen omfatter navn, adresse, CPR-nummer, men ikke den private nøgle til digital signatur eller password.

Signering foregår ifølge Nets i særskilte hardwaremoduler til kryptering og kan kun ske ved hjælp af brugerens selvvalgte kodeord og engangsnøgle.

Det fremgår ikke af redegørelsen, hvilke administrative funktioner en systemadministrator på NemID-systemet kan foretage med de data, der ligger i systemet.

Ifølge Nets var brugeren blot logget på én gang og havde ikke rettigheder til at oprette nye brugere, han eventuelt kunne dække sig ind under senere. Da hans brugerkonto ikke blev brugt, blev den først suspenderet i 2011 og siden slettet, da han stoppede med at arbejde for IBM i 2012.

Digitaliseringsstyrelsen har nu modtaget og offentliggjort en redegørelse fra Nets om muligheden for læk af data fra NemID-systemet. Læs redegørelsen herunder:

Inden vi fik internettet i Danmark, havde vi et andet offentligt datanetværk, to faktisk.

X.21 var en “binær telefon”, stort set præcist som man ville ringe op med en telefon, ringede man op med X.21 og samtalen var en synkron binær bitstrøm, over hvilken man kunne køre lige hvad man havde lyst til.

X.25 derimod var et “rigtigt” netværk, hvor der var defineret pakkerformatter, flowkontrol og endda en standardiseret terminal-adgang.

Der er mange sjove krøller på den historie, f.eks at de første “routere”, RC3500, brugte Inmos Transputer chips:

På onsdag har vi et medlemsarrangement om PAXnet i datamuseum.dk hvor historien bliver udlagt af folk der var med dengang. (Er man ikke allerede medlem kan man nå at blive det onsdag aften.)

Anledningen er at de to foredragsholdere har skrevet en ny bog om PAXNET, bogen vil kunne købes onsdag aften for 200kr, men til trods for at Dankort terminalerne brugte X.21, tror jeg det er klogest at have kontanter med.

phk

Den hemmelige kilde, som Se og Hør gennem flere år betalte for oplysninger om kendte danskeres brug af kreditkort, havde også adgang til NemID. Det skriver DR Nyheder.

Se og Hør-kilden arbejdede som systemadministrator på Nets’ systemer hos IBM, og ud over at have adgang til kreditkortoplysningerne, så havde han også adgang til den database, der rummer NemID-oplysninger.

Medarbejderen har ved mindst én lejlighed skaffet sig adgang til systemet, som IBM står for driften af, og som Nets har udviklet for Digitaliseringsstyrelsen.

Oplysningen stammer fra Nets selv, som har skrevet om IBM-medarbejderens adgang til NemID-databasen i en redegørelse om sagen.

Det fremgår af redegørelsen, at medarbejderen kun kunne se administrative data om NemID-brugerne og ikke kunne få adgang til for eksempel passwords eller borgernes private nøgler.

Medarbejderen arbejdede ikke til dagligt med NemID-systemet, men var en del af en backup-funktion, der kunne træde til.

Alt for mange ansatte i sundhedsvæsenet har adgang til at se de elektroniske patientjournaler, mener lektor Kent Kristensen fra Syddansk Universitet. Op mod 90.000 ansatte kan se indholdet af journalerne, skriver Jyllands-Posten.

»Der er for mange i sundhedsvæsenet, der har adgang til patientoplysninger i dag. Selv når en sundhedsansat opererer inden for lovens grænser, mener jeg, at politikerne har givet vedkommende al for megen adgang til oplysninger om patienterne. Endnu værre er situationen naturligvis, hvis en sundhedsansat opererer uden for lovens grænser og ser i patientjournaler, som vedkommende intet har med at gøre,« siger Kent Kristensen til Jyllands-Posten.

Han påpeger, at det eksempelvis kan være problematisk, at en social- og sundhedsassistent kan se i en patients journal, at patienten for 10 år siden har modtaget psykiatrisk behandling, selvom den oplysning ikke er relevant for den aktuelle pleje.

De mange personer, som har adgang til oplysningerne, øger også risikoen for misbrug. I dag foregår kontrollen de fleste steder udelukkende ved brug af stikprøver. Der føres log over, hvem der tilgår journalerne, men der er ingen systematisk overvågning af misbrug ud over stikprøverne.

Fire programmører under oplæring er, hvad DSB har sat ind på at overtage det stærkt kritiserede computersystem til IC4-toget fra den italienske leverandør, Ansaldobreda – en overtagelse, der skal finde sted ved udgangen af 2014.

Ansaldobreda arbejder stadig på at udvikle de sidste softwarepakker til systemet, som senest mødte hård kritik fra it-lektor Erik Frøkjær fra Datalogisk Institut ved Københavns Universitet efter endnu et nedbrud, hvor 130 passagerer måtte evakueres midt på skinnerne på Fyn på grund af problemer med systemet.

De fire programmører under oplæring skal altså kunne håndtere det omdiskuterede system – TCMS i DSB’s terminologi – om blot otte måneder, og ifølge den seneste statusrapport for IC2 og IC4 blev programmørerne evalueret den 26. marts:

»Evalueringen gik som ønsket, og vores fire programmører fortsætter deres uddannelse, som de forventer at afslutte til sommer,« siger administrerende direktør i DSB Vedligehold A/S Steen Schougaard Christensen.

Forbereder udbud

»Ansaldobreda leverer ny kode til TCMS i pakker, og når sidste pakke er leveret, overtager DSB ansvaret for kodningen. De fire programmører, vi har under uddannelse, er ansat med henblik på at bistå med et udbud af arbejdet med kodningen,« siger Steen Schougaard Christensen.

DSB forsikrer, at TCMS stadig skal i udbud. De kan dog ikke sige, hvornår den reelle udbudsrunde vil finde sted.

Den seneste kritik af IC4-togenes software blev fremsat af Erik Frøkjær på ing.dk for en uge siden, men Steen Schougaard Christensen har ikke ønsket at kommentere kritikken, der i kort form lød, at computersystemet gjorde IC4-toget uegnet til drift.