Monthly Archives: May 2014

Er du stadig afhængig af en Windows XP-installation og vil ikke betale Microsoft for ‘udvidet support’, efter at det aldrende styresystem i april måned officielt blev pensioneret?

Så kan et fikst lille ‘hack’ sikre strømmen af sikkerhedsopdateringer fra Microsoft i fem år endnu. Det skriver Betanews.com.

Med en ændring i registreringsdatabasen kan man få styresystemet til at forklæde sig som Windows Embedded Industry, der tidligere hed Windows Embedded POSready. Det er et styresystem beregnet til for eksempel kasseapparater og andre maskiner i erhvervslivet, som er baseret på Windows XP Service Pack 3.

Microsoft bliver ved med at sende sikkerhedsopdateringer ud til Windows Embedded Industry frem til april 2019, og disse patch-pakker skulle altså være helt kombatible med en normal Windows XP-installation. Ud over Betanews har også tech-mediet Zdnet testet tricket med succes.

Hvor længe den lille fikse genvej til gratis opdateringer virker, er dog uvist, for Microsoft kunne finde på at lægge forhindringer ind for dem, som omdøber deres Windows XP.

Indtil da må firmaet nøjes med at advare kunderne mod fremgangsmåden. Ifølge Microsoft risikerer man som XP-bruger at få problemer med opdateringerne beregnet til et andet styresystem, da de ikke er testet med Windows XP. Det skriver Zdnet.

Da stemmerne fra søndagens valg skulle tælles sammen i Belgien, og 3,5-tomme-disketter med resultater fra de forskellige valgsteder ankom og blev indlæst, var der noget galt. Sammentællingen af stemmerne kunne simpelthen ikke passe.

Leverandøren af det gamle system til e-valg måtte arbejde på overtid natten til mandag, og i stedet for at komme først med resultaterne, kunne områder med e-valg levere resultater fra valget som de sidste, i løbet af mandag. Det skriver IDG News Service.

I den flamsk-talende del af Belgien bliver der brugt to forskellige systemer til e-valg, hvor borgerne stemmer ved hjælp af en maskine på valgstedet. Et nyere Linux-baseret system, og så det gamle system, der er baseret på hardware fra 1980′erne.

Maskinerne i det gamle system kører på DOS, der bliver bootet fra en 3,5-tomme-diskette, og nøjes med én megabyte RAM. Vælgerne kører et kort med magnetstribe igennem en kortlæser, så deres valg bliver indlæst på kortet, som så kan aflæses igen, når det bliver afleveret i valgurnen.

Når valgstederne lukker, bliver stemmerne fra systemet læst ud på disketter, som så skal videre til regionale optællingssteder, hvor de samlede resultater bliver beregnet. Det var i denne del af processen, at det gik galt, og ifølge de belgiske myndigheder var der ikke fejl i selve afstemningen og i de data, som blev overført til den samlede sammentælling.

Men det har belgierne kun myndighedernes ord for, ingen beviser, og derfor bør afstemningen gå om, mener organisationen VoorEVA.be, som arbejder for at stoppe brugen af e-valg i landet.

Kildekoden til e-valg-systemerne bliver offentliggjort efter valget, men det er ikke nok til at bevise, at der ikke kan pilles ved resultaterne, mener organisationens talsmand Kommer Kleijn.

Han nævner eksempler på fejl i systemet tidligere år, hvor for eksempel et valgsted i 2003 endte med 4096 flere afgivne stemmer, end der var registrerede vælgere, og i 2006 hvor antallet af stemmer på nogle kandidater faldt undervejs.

Tekniske problemer med hardwaren er også normalt, og ved valget i søndags var der brug for support 600 gange i løbet af dagen, for eksempel hvis skærmen eller kortlæseren ikke fungerer.

Belgien er et af de få europæiske lande, der bruger e-valg, men primært i den flamske del af landet. I den fransk-talende del af Belgien bruger man papir og blyant på 80 procent af valgstederne.

Cd-brænderne blev almindelige i både hjemmene og på kontorerne i slutningen af 1990′erne, og der ligger formentlig adskillige terabyte af data på cd og dvd, der er brændt som backup af dokumenter og fotos. Men hvor længe kan de holde sig, før dataene bliver ulæselige?

Det spørgsmål holder Statens Arkiver løbende øje med, for siden cirka 1998 har Statens Arkiver benyttet sig af optiske lagermedier i form af først cd-rom, senere dvd og måske snart blu-ray.

Specialkonsulent René Mittå har siden begyndelsen holdt nøje øje med de optiske lagermedier i arkiverne.

»Referencedisken her fra 2007 er stort set uforandret. Det er stadig en superflot disk, men vi kan se, at antallet af fejlkorrektioner er fordoblet helt inde ved diskens centrum. Det er langt fra grænsen, og mit gæt er, at den stadig vil være fin om yderligere syv år, og den vil sikkert også kunne læses om syv år derefter. Men vi kan se begyndende nedbrydning, så den er sat på observationslisten,« siger René Mittå, da Version2 bliver vist rundt i laboratoriet, hvor Statens Arkiver tester sine lagermedier.

En dvd til brænding består af et farvestof, som reagerer ved brænderens laserlys. Farvestoffet ligger i et tyndt lag på en plastskive og er dækket med en lak. Det betyder, at der er mange variable i produktionen og brændingen af en dvd, som kan påvirke holdbarheden, og derfor vil René Mittå heller ikke sætte tal på holdbarheden.

»Vi monitorerer vores medier over tid. I hvert batch brænder vi reference-cd’er, som vi tester med cirka et års mellemrum, så vi kan måle nedbrydningen over tid,« fortæller René Mittå.

Et batch hos Statens Arkiver består af 600 dvd’er, svarende til en kasse fra producenterne. Der er dog ikke tale om blot en hvilken som helst type brændbare dvd’er eller cd’er.

Tester løbende lagermedier for fejl

Hver gang der bliver indkøbt en ny brænder, bliver den testet sammen med medier fra forskellige producenter. Og lagermedierne bliver indkøbt med flere ugers mellemrum, så man får et begrænset antal fra hvert produktionsbatch hos producenten.

Det skal mindske skaden i tilfælde af, at man modtager en kasse med lagermedier, hvor små fejl i produktionen er sluppet forbi producentens kvalitetskontrol. Eksempelvis kan der efter et produktionsstop på fabrikken kortvarigt opstå ujævnheder i påføringen af farvestoffet, refleksionslaget eller lakken.

»Vi har en stribe parametre for vores optiske lagermedier. Vi skal vide, hvor de kommer fra – ikke bare mærket, men også historien bag vores kasse, så vi ikke får en kasse, der har stået i en 40 grader varm container på en havn i fire uger,« forklarer René Mittå.

Det afslører også én af de andre parametre, som er afgørende for holdbarheden af optiske lagermedier, nemlig opbevaringen. Statens Arkiver opbevarer dvd’erne i særlige klimakontrollerede rum med konstant lav temperatur og luftfugtighed.

»De er især følsomme over for ultraviolet lys, så de skal opbevares mørkt. Man skal også undgå hurtige temperatursvingninger eller høj luftfugtighed, men et almindeligt kontormiljø er fint, bare det ikke er i vindueskarmen,« siger René Mittå.

En ting er selve lagermedierne, men brændingen betyder også noget. Hvert mærke af brændbare lagermedier har forskellige optimale hastigheder for brænding med forskellige dvd-brændere. Dem har Statens Arkiver selv testet sig frem til.

Det sker ved hjælp af softwaren Plextools og specielle drev, som kan bruges til at måle kvaliteten af en optisk disk. En dvd eller cd indeholder en stor mængde data, der fungerer som checksummer til at korrigere for data, der ikke kan læses. Der vil altid blive foretaget korrektioner, men ved over tid at måle antallet af korrektioner på et område af disken kan man se, om den er ved at blive nedbrudt.

Man kan også måle, hvor meget laseren bevæger sig fra side til side for at følge sporet, ligesom man kan måle intensiteten af det lys, der reflekteres fra disken.

Måtte brænde 1.200 dvd’er om

Det er som regel allerede under testen af en ny kasse med brændbare dvd’er, at problemer med lagermedierne bliver opdaget. Hvis en fejl opdages undervejs, kan batchet brændes om med nye lagermedier, men hvis den først opdages senere, så bliver alle diske fra samme batch brændt over på nye medier. Blot en enkelt gang har Statens Arkiver måttet brænde 1.200 dvd’er igen, da der blev opdaget et problem.

I praksis har Statens Arkiver dog ikke oplevet, at hverken dvd’er eller cd’er er blevet ødelagt på grund af mediernes holdbarhed.

»Vi har en migreringsstrategi og skifter medie. Efter syv til otte år bliver diskene kasseret. Vi forventer ikke, at de skal kunne holde i 20, 30 eller 40 år. Alle lagringsmedier bliver nedbrudt. Selv runesten,« siger René Mittå.

Flytning af arkiverede data er en velkendt storage-strategi for langtidslagring, fordi man netop kan sikre sig mod ubehagelige overraskelser fra lagermedier, man havde forventet ville have en lang holdbarhed.

3-4 kopier af alle data

Der er kemi involveret i alle typer lagring. Statens Arkiver brænder altid to kopier af data til to forskellige typer brændbare dvd’er med forskellige brændere og henholdsvis DVD+ og DVD- for at sprede risikoen.

Men selvom man forsøger at sikre sig med lagermedier fra forskellige producenter, så kan der være kemikalier, som i sidste ende stammer fra samme fejlramte produktserie hos en underleverandør. Magnetbånd regnes for at være noget af det mest holdbare, men bånd fra nogle få år i 1970′erne viste sig at begynde at klistre sammen på grund af kemien efter et stykke tid.

Hos Statens Arkiver bliver data ikke kun opbevaret i to kopier på optiske medier. De bliver også lagt på magnetbånd eller harddiske hos Statsbiblioteket i Aarhus, så alle data findes i tre til fire kopier på forskellige lagermedier.

Lige nu overvejer Statens Arkiver, hvorvidt dvd’erne skal udskiftes med blu-ray, som dog er lidt mere skrøbelige at håndtere end dvd’erne. Alternativer som et harddiskbaseret storagesystem eller bånd er også på tale, men lige nu er optiske medier stadig en billig måde for Statens Arkiver at opbevare data på.

Også selvom dataene ikke kan blive liggende på de samme medier i mere end 7-8 år, før de bliver flyttet. Netop denne skæringslinje er dog sat for at give en sikker margin, så hvis noget kom i vejen for migreringen, ville det ikke gå ud over kvaliteten af data, selvom migreringen måtte udsættes i en årrække.

Skat har opgivet at få opkrævet 88.000 forskellige gældsposter for i alt 902 millioner kroner, fordi de nåede at blive forældede.

Sådan lyder den foreløbige konklusion på Skats massive problemer med at få kradses gæld ind, på grund af skandalen om it-systemet EFI, som endte med at blive seks år forsinket.

Beregningerne af de ‘utilsigtet forældede’ gældsposter er fra et nyt notat, som er skrevet til Folketingets Skatteudvalg i anledning af et samråd om Skats problemer med at inddrive gæld. Det skriver EPN.dk.

Men beløbet, som Skat og dermed staten måtte vinke farvel til, kan være større, lyder det i notatet.

Skat overtog i 2005 opgaven med at holde styr på gælden til staten og at kradse pengene ind. Et nyt it-system EFI (Et Fælles Inddrivelsessystem) skulle være rygraden i en effektivisering af arbejdsgangene, men der opstod store problemer med især et underliggende it-system, Debitormotor, hvor Skat undervejs måtte skifte leverandør og igennem et helt nyt udbud, da IBM blev fyret på gråt papir.

EFI blev taget i brug i september 2013, men det var ikke en velsmurt maskine, de ansatte hos Skat fik som arbejdsredskab. Løbende problemer betød, at mange sager stadig skal køres manuelt.

Ifølge skatteminister Morten Østergaard er der stadig problemer med EFI-systemet, og generelt er EFI-situationen den primære årsag til, at så mange gældsposter er blevet forældede, siger han.

Derfor har Skat nu sendt noget af skylden videre til leverandørerne af EFI og aktiveret en bestemmelse om bod i kontrakten. Leverandørerne CSC og KMD, der står bag henholdsvis Debitormotor og EFI, kunne ikke bekræfte, at de to selskaber er blevet idømt bod.

Skat skriver selv i notatet, at it-problemerne ikke er hovedproblemet, men at mange af de gældsposter, Skat nu har opgivet, er fra borgere, som ikke var i stand til at betale.

Logger man ind på en WordPress blog over et åbent Wifi-netværk, er det trivielt arbejde for for selv uerfarne it-kriminelle at stjæle login-oplysninger. Selv hvis man bruger 2-faktor godkendelse, skriver Ars Technica.

Det skyldes, at WordPress sender en nøgle-cookie tilbage til brugeren, når han logger ind. Men i stedet for at kryptere den pågældende cookie, så sender WordPress informationerne i klartekst. Det vil sige, alle der får fingre i den, kan uden problemer læse de nødvendige oplysninger til at logge ind på WordPress.

Den pågældende cookie fungerer som et slags nøglekort. Har man først fået fat i den så bliver man lukket ind af WordPress.

Derefter er det muligt for hackeren at skaffe sig adgang til stort set alle funktionerne på en WordPress-blog. Hackeren kan ændre både passwords og andre sikkerhedsindstillinger og på den måde overtage bloggen.

Fejlen vil ifølge udviklerne bag WordPress blive rettet i næste opdatering. Det er dog på nuværende tidspunkt ikke muligt at hacke en blog, der benytter en sikker HTTPS-forbindelse.

Hvis ikke bloggen benytter sådan sikker forbindelse bør man holde sig fra at logge ind på WordPress via offentlige netværk. Det er dog også muligt for ens internetudbyder at stjæle den usikre cookie.

Den tidligere leder af hackergruppen Lulzsec, Hector Xavier Monsegur, har hjulpet FBI med at forhindre 300 cyberangreb. Det skriver BBC.

Den tidligere hacker har siden 2011 arbejdet sammen med FBI, da han sigte for it-kriminalitet. Den sag bliver nu afgjort på torsdag. Men da Hector Xavier Monsegur har været yderst nyttig for FBI, anbefaler anklageren en nedsat straf.

LulzSec-gruppen er anklaget for at have hacket sig ind på servere ved blandt andet Fox Television, Nintendo og Sony.

Hector Xavier Monsegur erklærede sig skyldig i anklagerne mod, ham og valgte derefter at samarbejde med FBI. Det har ifølge FBI været til stor hjælp i efterforskningen mod hackergrupperne Anonymous, LulzSec og Internet Feds samt flere.

På grund af samarbejdet var det muligt for FBI at identificere og retsforfølge den mest berygtede it-kriminel på daværende tidspunkt, Jeremy Hammond.

Derudover hjalp Hector Xavier Monsegur med at forhindre flere planlagte hackerangreb.

Det kan være lidt af en opgave at afkode, hvilken offentlig myndighed man som borger kommunikerer med, når man bruger Digital Post, sådan som det bliver obligatorisk om mindre end et halvt år. Det er nemlig ikke altid den rigtige myndighed, der fremstår som afsender eller modtager.

Hvis man eksempelvis sender en meddelelse til Horsens Sygehus, vil der i borgerens mappe for afsendte meddelelser stå, at det er til sendt Region Midtjylland. Det samme gør sig gældende for blandt andet politikredsene, der sorterer under Rigspolitiet. Hvis man kommunikerer med flere forskellige politikredse, vil man altså senere ikke kunne dokumentere, hvilken politikreds man har skrevet hvad til, da de alle vil stå som sendt til Rigspolitiet.

Men den praksis er muligvis på kant med forvaltningsloven. Det skal nemlig være tydeligt for borgeren, hvilken offentlig myndighed han eller hun kommunikerer med. Det vurderer Karsten Loiborg, der er jurist hos Folketingets Ombudsmand. Han har rettet henvendelse til Digitaliseringsstyrelsen for at få en redegørelse.

»Det er ikke vores opgave at tage stilling til, om systemet er teknisk godt eller dårligt. Men rent juridisk skal man som borger kunne se, hvilken specifik myndighed man kommunikerer med, og myndigheder kan ikke dække sig ind under en eller anden fællesbetegnelse. Det er en lov, der har været gældende længe, og derfor har vi rejst denne her sag for Digitaliseringsstyrelsen,« siger Karsten Loiborg til Version2.

Anden gang i år

Det er anden gang i 2014, at Ombudsmanden finder anledning til at undersøge Digital Post nærmere – begge gange på baggrund af rapporter om digital kommunikation med den offentlige sektor fra de to forskere Jesper Berger (RUC) og professor Kim Normann Andersen (CBS). Ifølge Jesper Berger, der forsker i offentlig digitalisering, har man ikke i tilstrækkelig grad tænkt borgernes e-mail-kultur ind i designet af Digital Post.

»Folk er vant til fra Outlook og lignende, at man orienterer sig via afsender og emnefelt. Når afsenderfeltet ikke indeholder den korrekte information, så er der risiko for, at vi overser en meddelelse, og det bliver mere besværligt at finde en meddelelse, hvis man skal åbne hver enkelt for at finde ud af, hvem afsenderen er,« siger Jesper Berger til Version2 og tilføjer, at det ikke kun er et problem for brugerens orden, men også et spørgsmål om retssikkerhed.

»Hvis du sender den samme besked til fire forskellige sygehuse i fx Region Syddanmark, så kan du ikke efterfølgende se eller dokumentere, hvilket sygehus du har skrevet til. Kun, at du har sendt fire digital post til Region Syddanmark. Hvis man havde udviklet designet af digital post med virkelige brugere i virkelige situationer, ville det sandsynligvis have været opdaget.«

Rapporterne fra de to forskere har afledt massiv kritik af Digital Post og har blandt andet afdækket, at myndighederne ikke svarer, ligesom både kommuner og regioner har tabt millioner på indførelsen af systemet. I samme ombæring indrømmede KL, at man ikke efterregner, om de planlagte besparelser på porto og andet rent faktisk bliver indkasseret – selvom man bruger dem som argument for at beskære kommunernes bloktilskud.

I januar måned drejede Ombudsmandens henvendelse sig om lovligheden af, at myndigheder kan redigere i afsender/modtager-feltet i borgerens indbakke. Flere tekniske og juridiske eksperter kritiserede den praksis i skarpe vendinger. Ombudsmanden vurderede dengang, at det på trods af, at det er uhensigtmæssigt, dog ikke er lovstridigt, da der ikke bliver rettet i selve meddelelsen, men kun i navnene på afsender eller modtager i borgerens indbakke.

Med i udbuds-overvejelserne

Hos Digitaliseringsstyrelsen tager man Ombudsmandens henvendelse alvorligt, men kontorchef Lone Berglykke mener ikke, at der er noget at komme efter juridisk. Den rigtige afsender fremstår nemlig inde i selve meddelelsen – og de enkelte myndigheder kan manuelt rette fejlen i systemet.

Ombudsmanden tager sagen op, da Digital Post muligvis kan være i strid med forvaltningsloven. Får det jer til at overveje, om denne her konstruktion er en god idé?

»Det får os i hvert fald til at undersøge juraen i første omgang. Det er klart, at vi ikke kan have en ulovlig løsning, men det tror jeg nu heller ikke er tilfældet. Det er vigtigt at slå fast, at vi så at sige snakker om kuverten her. Inde i selve brevet kan man se præcist, hvilken myndighed meddelelsen kommer fra. Så jeg tror ikke, der er noget i juraen, men det skal selvfølgelig heller ikke være forvirrende for borgeren.«

Men hvis vi bliver i papir-terminologien, er det så ikke forvirrende for borgeren, at der står en anden myndighed på kuverten end den, der rent faktisk er afsender?

»Jo, det kan da være rigtig forvirrende, det kan jeg sagens forstå. Og det er naturligvis også noget, vi tager med i vores overvejelser, når næste generation af Digital Post snart skal i udbud.«

Er der tale om en fejl i systemet, eller er det myndighederne, der bruger det forkert?

»Lidt af begge dele. Det er konstrueret sådan, at den myndighed, der indgår kontrakten med e-Boks, fremstår som afsender. Det vil altid være de myndigheder, som har deres eget CVR- nummer. Myndigheden kan dog selv tilpasse systemtilgangen, så det fremgår af emnelinjen, hvilken underliggende myndighed beskeden sendes fra. Men vi skal have kigget vores vejledninger til myndighederne igennem igen, og vi skal ved næste udbud have undersøgt, om der findes en bedre teknisk løsning,« siger Lone Berglykke til Version2.

Digitaliseringsstyrelsen har endnu ikke besvaret Ombudsmandens henvendelse, Version2 følger op på sagen, når der ligger en konklusion.

Digital Post skal i udbud igen til efteråret, og en ny kontrakt skal træde i kraft til næste sommer, når den eksisterende med e-Boks udløber.