Daily Archives: May 20, 2014

It-specialisten, som gennem flere år angiveligt solgte oplysninger om kendte danskeres brug af kreditkort til ugebladet Se og Hør, var også godkendt til at overvåge Forsvarets it-systemer. Det skriver DR.

Kilden var en del af det team hos IBM, som arbejdede med driften af Forsvarets DeMars-system, som holder styr på Forsvarets udstyr og økonomi, og som Forsvaret outsourcede til IBM i 2010.

Dermed var kilden ikke blot sikkerhedsgodkendt til at få adgang til kreditkortoplysninger hos Nets, som også er kunde hos IBM, men altså også godkendt af Forsvarets Efterretningstjeneste.

Ifølge DR arbejdede it-specialisten hos IBM som en del af overvågningsteamet, hvor fire operatører holdt øje med it-systemerne, som kørte på IBM’s mainframes. Heriblandt altså systemerne fra Nets og Forsvaret.

Forsvaret oplyser ifølge DR, at IBM’s undersøgelser ikke tyder på, at it-specialisten har misbrugt sin adgang til DeMars. It-specialisten havde også adgang til NemID-systemerne, som IBM driver for Nets, og her har IBM og Nets heller ikke kunnet konstatere misbrug.

De danske kommuner skifter i højere grad til Open Source CMS´er, når de lancerer nye hjemmesider. Det viser en opgørelse baseret på tal fra lancering.dk, hvor alle kommunernes sites er registrerede.

I 2013 og 14 har 36 af landets 98 kommuner relanceret deres primære hjemmesider, og 19 af gangene skete det med et open source-CMS.

Umbraco topper liste med 10 af de nye lanceringer efterfulgt af Drupal, som sidder på syv.
Størstedelen af kommunerne – 73,5 procent – bruger dog stadigvæk proprietære CMS-systemer, og Sitecore er suverænt det mest anvendte hos landets kommuner. Herefter følger Umbraco og Drupal samt Dynamicweb.

Det skal i øvrigt nævnes at fire ud af de fem mest brugte CMS-systemer i de danske kommuner er danske.

Når din mobiltelefon hakker sig gennem en Youtube-video af Johnny Cashs ‘Walk the Line’ på, så føles det ikke altid, som om 3G-forbindelsen har masser af frekvenser at sende på. Men det er der.

Faktisk er der så meget spektrum, at internetguruen Brad Templeton beskriver det som et overflødighedshorn af båndbredde. Han er blandt andet medlem af bestyrelsen hos Electronic Frontier Foundation, der kæmper for digitale rettigheder.

Bred Templeton er en af hovedtalerne på konferencen Driving Tehcnology, der finder sted hos IDA, hvor han i øvrigt også optræder som talsmand inden for netværk og computere i forbindelse med det amerikanske uddannelsesfænomen Singularity University.

»Vi kan meget vel have båndbredde i overflod teknisk set, men måske ikke politisk,« sagde Bred Templeton i sit indlæg.

Han nævnte den måde, som radiospektrum bliver tildelt på. I små blokke, hvor eksempelvis teleoperatører køber licens af staten til at anvende bestemte bidder af frekvensområdet. Det er ganske enkelt forældet, lød det:

»Man giver monopol på spektrum,« sagde Templeton.

Han påpegede, at radioteknologien er blevet mere intelligent, så radioerne kan kombinere flere forskellige frekvensområder og dermed opnå højere båndbredde. Men det forudsætter et opgør med måden at tildele spektrum på, så radioerne lovligt kan få adgang til flere forskellige frekvenser og ikke kun dem, som eksempelvis en teleoperatør ifølge Templeton har monopol på.

I den forbindelse mere end antydede han, at salg af licenser er en lukrativ forretning for staten. Derfor er politikerne ikke motiverede til et opgør med den nuværende metode.

Danmark og de øvrige nordiske lande benyttede indtil 3G-teknologiens indtog ikke auktioner, men derimod skønhedskonkurrencer til at tildele frekvenser. De selskaber, som tilbød den hurtigste og bedste udbygning af bl.a. GSM, fik tildelt frekvenserne.

I forhold til indlægget kan det være værd at holde sig for øje, at kommende LTE Advanced-teknologi – den næste udgave af 4G – netop lægger op til at kombinere flere frekvensområder og dermed udvide den samlede tilgængelige båndbredde, som en telefon kan få adgang til.

Brad Templeton påpegede også de mange white spaces, der står ubrugte hen i hele verden. Det vil sige ubrugte tv-frekvenser mellem tv-kanaler, der ellers bliver sendt broadcast-tv på. Også her er det nødvendigt med politisk stillingtagen, hvis de ubrugte frekvensområder skal bruges til eksempelvis trådløst internet. Et arbejde, der i øvrigt blev iværksat i EU.

Fiberoptik er et andet område, der har udviklet sig hastigt gennem årene, påpegede Brad Templeton, så det i dag er muligt at sende over en petabit per sekund gennem fiberoptik.

»Og alligevel har vi teleoperatører, der forsøger at taksere os per minut,« sagde Templeton.

Han mener, at politikerne bør tillade, at folk lægger deres egne fiberkabler i jorden. Fænomenet kaldte han for ‘glass roots revolution’.

Derudover finder der en stribe andre selvstændige teknologiske tiltag sted, som Templeton fandt værd at bemærke, og som kan være med til at øge den tilgængelige båndbredde. Eksempelvis Googles eksperimenteren med trådløst internet sendt via luftballoner eller LED-lys, der ud over at sørge for belysning også kan bruges til datatransmission.

Microsoft og SAP står begge med udfordringer i forhold til at sikre sig, at kunderne ikke finder nye græsgange i takt med, at brugerne bliver mere mobile og it-driften flyttes i skyen. Nu udvider de to softwaregiganter deres samarbejde på netop de to fronter.

Det indebærer blandt andet, at SAP’s Business Suite kommer til Microsofts Azure-sky i løbet af 2014. Det samme gør SAP Hana-platformen.

For SAP-kunderne betyder det, at de får mulighed for at betale for forbrug af ressourcer på Azure frem for selv at skulle opbygge og vedligeholde en infrastruktur eller købe fast kapacitet hos en driftsleverandør.

Samarbejdet indebærer også fælles mobiludvikling, så de to går sammen om at udvikle apps til både Microsofts tablet-miljø i Windows og mobilplatformen Windows Phone 8.1.

Endelig vil de to også udvide mulighederne for at udveksle data til Business Intelligence mellem SAP’s BusinessObjects BI og Microsofts Power BI.

SAP og Microsoft er konkurrenter på ERP-markedet, hvor SAP længe har villet have fat i flere små og mellemstore virksomheder, som også er det marked, hvor Microsoft har forsøgt sig med Microsoft Business Solutions, der blandt andet udgøres af det tidligere Navision-Damgaard i Danmark.

Samarbejdet med SAP skal dog ifølge Microsoft ses som en del af selskabets strategi, som har ændret sig på det seneste, hvor det først og fremmest gælder om for Microsoft at kunne levere selskabets produkter, uanset hvilke platforme kunderne benytter. Det ses eksempelvis i introduktionen af Office-applikationer til Apples iPad.

Version2 afholder tirsdag d. 3. juni et Insight Live-arrangement om Business Analytics/Big Data

Snart skal alle tyverialarmer, termostater og ventiler forbindes til internettet. Nu vil det franske firma Sigfox forsøge at give alle elementer i det såkaldte ‘Internet of Things’ sit helt eget mobilnetværk. Det skriver MIT Technology Review.

Sigfox vil bruge det samme frekvensspektrum, som bruges til trådløse telefoner, og hastigheden vil blive begrænset til blot 100 bit pr. sekund.

Det vil til gengæld betyde, at det vil kræve meget lidt strøm for de tilsluttede enheder at sende data over netværket. Samtidig vil de mange sensorer og andre enheder ikke belaste det almindelige mobilnetværk.

Sigfox har søgt om tilladelse til at bygge et forsøgsnetværk i San Francisco, som må formodes at være ét af de steder, hvor Internet of Things vil slå igennem først i kraft af sin placering ved it-området Silicon Valley, der strækker sig langs bugten syd for byen. Byen er også kendt for sine mange it-iværksættere, hvor mange lige nu arbejder med Internet of Things.

Ifølge Sigfox vil en basestation ved 915 megahertz-båndet kunne række op til fem kilometer i byområder. Firmaets teknologi har dog konkurrence fra både de almindelige mobilnetværk og fra nye standarder baseret på Wifi ifølge MIT Technology Review.

Nyheden om, at otte personer blev anholdt af politiet i en stor, international hackersag, fik flere it-folk på mærkerne. Var de blevet anholdt kun for at have downloadet ’Blackshades’, et kendt hackerværktøj fra nettets mere skumle sider?

Men nej – der skal mere til, forklarer politiet, som også havde fundet spor efter ulovlig brug af hackerværktøjet, før der blev rykket ud med anholdelser og sigtelser.

»Besiddelse af værktøjet er lovligt – det kan bruges til mange andre ting. Men i denne sag er de anvendt ulovligt, altså anvendt til at skaffe sig ulovlig adgang til andres systemer. Det er anvendelsen, der er den ulovlige handling – det er ikke besiddelsen af værktøjet,« siger Johnny Lundberg, vicepolitiinspektør i politiets Nationale Cyber Crime Center, til Version2.

Er de her otte personer blevet anholdt kun fordi, I fik at vide, at de havde downloadet værktøjet? Det indtryk kan man få af de første historier om sagen og jeres udmelding.

»Sagen her udspringer af FBI’s efterforskning – de kunne konstatere, at der på den pågældende hjemmeside sælges de her værktøjer. Og i nogle tilfælde kunne FBI også konstatere, ud fra aktivitet på hjemmesiden, at værktøjerne blev brugt. Og så har de internationalt givet besked, som så har ført til national efterforskning. Og under efterforskningen kunne vi så konstatere, at de sigtede i denne her sag har anvendt værktøjet til en ulovlig handling.«

Arbejder man med it-sikkerhed – eller bare er nysgerrig – er det altså helt lovligt at købe selv de mere skumle værktøjer, og man må også gerne bruge dem i praksis, så længe det sker helt åbent og med ’ofrenes’ accept, understreger Johnny Lundberg.

»Der er slet ikke nogen problemer ved at have værktøjerne, så længe anvendelsen af dem sker med godkendelse fra de pågældende, man bruger det imod. I denne sag er det brugt uden godkendelse fra pågældende. Så det er ikke på nogen måde et problem at downloade værktøjerne. Du vil også kunne bruge det mod en vennekreds, hvis du på forhånd har aftalt det med dem og fået deres godkendelse,« siger han.

Flere har erklæret sig skyldige

De otte anholdte kommer fra fem forskellige politikredse og har ikke umiddelbart noget med hinanden at gøre. De er alle unge mænd mellem 16 og 24 år, og nogle af dem erklærede sig skyldige i hacking, da de blev anholdt og afhørt.

»Nogle har erkendt det, og nogle nægter. Og der skal vores efterforskning så bruges til at dokumentere, at værktøjet er brugt ulovligt. Jeg kan ikke kommentere afhøringerne ellers,« siger Johnny Lundberg.

Der er heller ikke noget, der tyder på, at de anholdte var en del af kendte netværk af hackere og kan måske have handlet helt på egen hånd.

»Det er ikke vores opfattelse, at de er i de kredse i forvejen. Men det her er den indledende del af efterforskningen, og nu skal vi danne os et overblik over materialet i sagen, og det kan være, at det tegner et andet billede, end vi umiddelbart har. Det kan både gå den ene eller den anden vej – det skal efterforskningen vise,« siger vicepolitiinspektøren.

Blackshades, som de anholdte har downloadet, er et kendt hackerværktøj, der gør det meget nemt for også knap så it-kyndige at få fjernadgang til andres computere. Det kan for eksempel ske ved at sende dem links via Blackshades-softwaren, som så fører til sider, der kan inficere computeren med spion-software.

Når først der er skabt adgang til offerets computer, vil hackeren kunne spionere på alt, hvad computeren bliver brugt til og også kunne tænde webcam og mikrofon for at se og høre, hvad der sker i computerens nærhed.

Læs mere om Blackshades og FBI’s aktioner mod fora på nettet, hvor den slags software bliver udvekslet og diskuteret, hos it-journalisten Brian Krebs.

Er det egentlig i orden, når man på blogs som denne, deler viden om hvordan en hacker, i praksis angriber en infrastruktur? Spørgsmålet synes at dele vandene.

Personligt er jeg klar tilhænger af at dele en sådan viden, da det som oftest peger en i retning af, hvordan man skal beskytte sig mod disse angreb.

Et eksempel er mit indlæg om hvordan en hacker kan have glæde af NTDS.dit filer – og jeg har mere på vej af samme skuffe, med mindre nogen altså her kan overbevise mig om, at det ikke vil gavne sikkerheden “derude”.

Vi er alle i krig

En af de mest berømte militærstrateger gennem tiden, kinesiske Sun Tzu, skrev i sit værk “The Art of War”, at man skal kende både sig selv og sin fjende for at have succes i krig – og egentlig er analogien til krig ikke så dum endda.

Vi er alle konstant under angreb. Uanset hvor uinteressante vi kan synes at være for en angriber. For nogen er der næsten gået sport i at (bort)forklare hvor uinteressant deres systemer, data og netværk er for potentielle angribere, »Jamen, vi har jo slet ikke noget andre kan være interesserede i…«. Tænk igen!

Faktum er, at hvis vi bare har en enkelt computer, der er tilsluttet Internettet, så er der noget at komme efter for en hacker. Det er den virkelighed, vi lever i her og nu og som åbenbart er svær at acceptere for mange – både private og virksomheder. Der er også civile tab i denne form for krig.

Det synlige behøver vi ikke at tro på

Nogle ting skal vi se, før de bliver virkelige. Vi kan få at vide nok så mange gange, at “hackeren kommer“. Først når vi ser, hvor nemt det er, hvor konkret truslen er, har vi tendens til at handle. Hvorfor skulle vi blindt tro på de der “sikkerhedsspecialister”, de vil jo bare sælge konsulenttimer, ikke?

De bedste moderne kurser i IT-sikkerhed er baseret på, at kursisten lærer at kompromittere et større antal systemer. Man skal “Capture The Flag” (CTF) – udføre et reelt hack og stjæle de relevante data.

Når man først har lært, hvor nemt det er at dirke en almindelig lås op, så tænker man grundigt over hvilken type man sætter i sin egen hoveddør.

Med viden om os selv, dvs. vores egne systemer, ressourcer og data, så ved vi, hvad der skal beskyttes og hvordan vi har bygget vores sikkerhed op, herunder styrker og svagheder.

Med viden om fjenden, dvs. modstanderens tankegang, muligheder, værktøjer og metoder, så har vi en chance for at beskytte os selv effektivt.

Hva’ så med de svage sjæle?

Man skal måske ikke friste de såkaldt “svage sjæle”?

Min personligt holdning er, at hvis en given entitet er motiveret til at angribe en anden person eller virksomhed, så er der rig mulighed for at finde informationerne online, selv Youtube er et godt sted at starte. Alle ved hvordan man kan slå ihjel med en køkkenkniv, eller med de bare hænder for den sags skyld, men det betyder ikke, at vi render rundt og myrder i flæng.

At vi “tier stille” giver kun falsk tryghed, en form for “security through obscurity” – eller måske nærmere “security through ignorance”? Nej, hellere “råbe op” og skabe opmærksomhed. Så kan det være, at der bliver gjort noget ved tingene.

Hvad er din holdning?

Microsofts antivirussoftware har givet en Bitcoin-bruger et usædvanligt flashback til 1987 og én af de første computervirusser. Det skriver The Register.

Brugeren fik nemlig en advarsel fra Microsoft Security Essentials om, at Bitcoins såkaldte blockchain indeholdt fingeraftrykket af virussen Stoned, som første gang blev fundet i 1987.

Der er dog med temmelig stor sandsynlighed tale om en falsk alarm. Dels er Stoned-virussen ikke blevet set i fri dressur, siden DOS-prompten blev fortrængt af Windows, og dels er det ifølge sikkerhedsblogger Graham Cluley ikke en virus, som indlejrer sig i filer.

En oplagt forklaring er derfor, at der enten ved et tilfælde er en stump af Bitcoins blockchain, der matcher signaturen for Stoned, eller nogen har indsat signaturen som en spøg.

Stoned-virussen gav ved hver ottende opstart af pc’en brugeren følgende meddelelse, men gjorde ellers ingen anden skade: »Your PC is now Stoned!«

Enhver kan i dag blive hacker ved blot at købe sig til en køreklar pakke med værktøjer på nettet. Nu har dansk politi som led i en international aktion pågrebet og sigtet otte danskere for at have brugt hackerværktøjet Blackshades. Det oplyser Rigspolitiet ifølge en pressemeddelelse.

Ud over Danmark har der været foretaget aktioner i 15 andre lande, og det internationale politisamarbejde har omfattet både FBI og Europol. Aktionen har været koncentreret om købere af Blackshades, som kan bruges til at få adgang til andre personers pc’er og dermed også til dokumenter, billeder og andre filer samt til pc’ens webcam.

De otte sigtede danskere er alle mænd i alderen 16 til 24, men har ifølge politiet ingen umiddelbar tilknytning til hinanden.

Aktionen kom ifølge FBI som resultat af, at de amerikanske myndigheder havde pågrebet en svensk og en amerikansk bagmand for softwaren og salget af den.

Blackshades kan tilpasses til forskellige formål som eksempelvis at stjæle kreditkortinformation eller adgangskoder eller til at låse brugeren ude og opkræve løsepenge.

Efter en dyr og langvarig patentkrig mellem Apple og Samsung ser det nu ud til at være ovre. De to virksomheder er nemlig begyndt at afgøre deres stridigheder uden for retssalen, skriver International Business Times.

Ifølge interne kilder i Samsung er der været forhandlinger med Apple om, hvordan de to virksomheder kan afvikle retssagerne og indgå direkte aftaler med hinanden. Der vil dog blive brugt mere tid på at afgøre, hvordan de to virksomheder skal betale hinanden for at anvende hinandens patenter.

Nyhederne kommer kun få dage efter, at Apple og Google indgik en aftale om patentbrud angående Googles styresystem, Android.

Apples grundlægger har ellers tidligere svoret, at han var villig til at bruge alle Apples 40 milliarder dollars på at nedfælde Android, som han kaldte et stjålet produkt.

Ifølge patenteksperten Florian Mueller er Apples patentbibliotek dog ikke stort nok til at kunne stå på mål for sådanne ambitioner. Han tror, at Apple forsøger at redde ansigt ved at undgå flere retssager.