Daily Archives: June 11, 2014

En ny udgave af PCI Express-bussen, PCIe 4.0, er næsten klar, men gruppen bag standarden har været nødt til at tilføje en vigtig ændring til serverdesignspecifikationerne for at opveje et teknisk problem. Det skriver The Register.

Det betyder, at standarden formentligt ikke når at blive færdig før begyndelsen af 2016. PCIe 4.0 lover ellers dobbelt så stor båndbredde og hastighed som det i dag er muligt med PCIe 3.0, som bruges til både grafikkort i pc’er, netværkskort og flash-baseret storage i servere.

Netop serverne udgør et problem, fordi det i praksis ikke kan lade sig gøre at opnå de hastigheder med PCIe 4.0, som standarden lover, hvis det skal ske over de afstande, som i dag bruges i servere. I servere er afstanden for PCIe 3.0 op til 20 tommer, men PCIe 4.0 kan højst klare 10 til 12 tommer, før fysikkens love siger fra.

Det kunne lade sig gøre at øge afstanden for PCIe 4.0, men det ville kræve, at man skifter til andre materialer, og det vil sætte prisen op. Derfor har standardiseringsgruppen valgt at foreslå en komponent, som kan sidde midtvejs på bussen og sikre, at signalet går korrekt igennem hele vejen.

PCIe 4.0 vil være bagudkompatibel med alle tidligere udgaver af bussen, og prisen vil også ligge på samme niveau som PCIe 3.0. Ønsket om at holde prisen nede har ikke kun ført til den ekstra designtilføjelse, det har også betydet, at hastigheden kun bliver fordoblet.

På papiret ville det kunne lade sig gøre at firedoble båndbredden, men det vil kræve dyrere materialer og fremstillingsprocesser, skriver The Register.

Hvis der stadig sidder brugere med Internet Explorer på Windows XP, så er juni måneds sikkerhedsopdateringer fra Microsoft rigtig dårligt nyt. Blandt opdateringerne er nemlig én til Internet Explorer, som lukker hele 59 sikkerhedshuller.

Alle versioner af Internet Explorer fra version 6 til 11 er ramt og dermed formentlig også brugere med Internet Explorer på Windows XP. Men da Windows XP ikke længere supporteres af Microsoft, er der ingen opdatering til Windows XP.

To ud af de 59 sikkerhedshuller har været offentliggjort, men ifølge Microsoft er der ikke fundet eksempler på, at sikkerhedshullerne er blevet udnyttet.

De 59 sikkerhedshuller lyder af usædvanlig meget, men langt størstedelen af dem er beslægtede. 54 af sårbarhederne handler om Internet Explorers håndtering af objekter i hukommelsen. Samlet set er der tale om kritiske sårbarheder, som vil kunne udnyttes til at afvikle og installere malware, hvis en bruger besøger en hjemmeside med et ondsindet script.

Derudover har Microsoft også frigivet to opdateringer, som lukker sikkerhedshuller i blandt andet Office-pakken, som handler om håndtering af grafikfiler og skrifttyper. Den ene af disse opdateringer har Microsoft kun givet betegnelsen ‘vigtig’, men i et blogindlæg vurderer Microsoft alligevel, at der er tale om sårbarheder, der formentlig vil blive forsøgt misbrugt inden for de næste 30 dage.

Alt tyder på at Folketinget vedtager den Forsvarets nye ceremonielle cybergarde idag.

Lovforslag L.192 indeholder i bund og grund hjemmel til at stille en soldat på parade ved alle offentlige IT-systemers firewalls hvor han kan stå og se om nogen turister prøver at komme forbi.

Den absolut mest bemærkelsesværdige ting i lovforslaget er at der ikke er patroner i gøbben: Det er udelukkende ceremonielt.

Det nærmeste de kommer til nogen magtanvendelse er at de kan “bidrage til at imødegå sikkerhedshændelser”.

Præcis hvorledes det skal foregå fremgår derimod ikke af lovforslaget, hvilket i teorien begrænser dem til at sende et surt brev med et imponerende brevhoved og lade være med at hilse på folk hvis de ikke lytter efter.

Derimod gør lovforslaget rigtig meget ud af hvorledes de får adgang til “pakkedata” og “personfølsomme oplysninger”.

Afhængig af om man opfatter teleselskaber som “Virksomheder, der er beskæftiget med samfundsvigtige funktioner,” eller ej, er loven den perfekte potemkin-kulisse for erstatningen for loggnings-bekendtgørelsen drøm om totalovervågning.

Det forudsætter dog at der er et hul hvor data kan “lække” ud fra Cybergarden og til andre myndigheder og specielt efterretningstjenesterne.

Omridset af dette hul findes i §10 og §11, hvor der pludselig dukker en masse ting op der ikke stod noget om højere oppe i loven:

§ 10. Behandling af personoplysninger må kun finde sted, hvis

[...]

3) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

4) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar,

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som Center for Cybersikkerhed eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt,

6) behandlingen er nødvendig for, at Center for Cybersikkerhed eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den pågældende person ikke overstiger denne interesse, eller

[...]

Det kunne være ret interessant at få at vide præcis hvad omkredsen er på begrebet “en opgave i samfundets interesse”

Ligeledes er “en opgave, der henhører under offentlig myndighedsudøvelse [...] har fået pålagt” meget tæt på elastik i metermål for hele statsadministrationen.

Jeg ved ikke om det er Folketingets hensigt at indføre NSA/STASI-agtig totalovervågning, men loven giver helt klart råderummet til det.

Dem der stemmer for idag, får ikke min stemme efterfølgende.

phk

Det er fortsat et ubesvaret spørgsmål, hvorvidt det er sikkert at benytte Truecrypt-krypteringssoftwaren, efter udviklerne bag projektet forlod det i maj og efterlod en advarsel om, at softwaren ikke var sikker.

Det kan være et problem for brugerne af Amazons storage-sky S3, som kun har mulighed for at bruge Truecrypt til kryptering af data på tjenesten. Det skriver The Register.

Truecrypt har ellers været anset som ét af de bedste bud på krypteringssoftware, der var fri fra kommercielle interesser og samtidig også potentielt for pres fra regeringer. Men den pludselige lukning af projektet har sået tvivl om, hvorvidt der findes bagdøre i softwaren.

Udviklerne har holdt sig anonyme, og det har sat gang i spekulationer om, hvem der i virkeligheden står bag. Andre vurderer, at lukningen af projektet kunne være tegn på, at udviklerne har valgt at lukke det, fordi myndigheder har forsøgt at lægge pres på dem.

En nærmere revision af Truecrypt-koden er undervejs, og der er nu frigivet en version af softwaren, som er blevet kigget igennem for svagheder i de centrale dele af krypteringsfunktionerne, skriver Threat Post.

Den tidligere amerikanske vicepræsident og præsidentkandidat Al Gore nægter at kalde den tidligere NSA-medarbejder Edward Snowden for en forræder for at have lækket tusindvis af hemmelige dokumenter til journalister. Det skriver TechCrunch

Den tidligere vicepræsident udtalte på en konference, direkte adspurgt om Snowden er en forræder, at »han helt klart havde overtrådt loven«… Men…

»Overtrædelser af USA’s forfatning er mere seriøst, end de forbrydelser, som han begik«, lød det fra Al Gore.

Regeringsmedlemmer kalder Snowden agent

Ifølge TechCrunch er det vægtige udtalelser, der kommer fra Gore – både at han nægter at kalde Snowden en forræder, men også at han mener, at NSA har overtrådt forfatningen.

Al Gore mener, at Snowden har udøvet en vigtig service, selvom medlemmer af den amerikanske regering forsøger at tegne et billede af Snowden, ikke bare som en forræder, men som en agent for en udenlandsk magt.

Lækkede uden indblanding

Den nye leder af NSA, Admiral Michael Rogers, udtaler dog, at Snowden nok ikke er en udenlandsk spion, men hans udtalelse kommer efter en parade af insinuationer. Al Gores kommentarer, som kom efter admiralens, understreger, hvad Snowdens supportere har argumenteret for i et år: At han lækkede uden indblanding, og at lækkende har været produktive på et nationalt niveau.

Se videoen her:

Verdens næststørste mobilteleselskab – efter China Mobile Inc., Vodafone, afslører i en rapport, at statslige agenturer i mange lande har direkte adgang til den globale operatørs netværk i de lande, de opererer, hvilket giver staterne mulighed for at lytte til samtaler, med få eller ingen formelle efterspørgselsprocedurer. Det skriver Wall Street Journal.

Afsløringen er sket i en rapport, som blev offentliggjort fredag, og den er en af de mest omfattende undersøgelser indtil videre, angående statslig adgang til telefonsamtaler og data, som bevæger sig gennem de globale telenetværk.

Rapporten giver nye detaljer om hundredtusindvis af forespørgsler på aflytninger og brugerdata på Vodafones globale net, og den viser i generelle termer de procedurer, som staterne bruger når de forespørger information.

Efterretningstjenester har direkte adgang til netværket

Vodafones overblik dækker 29 lande. Og deres rapport er med til at tegne et mere komplet billede af, hvordan telefonselskaber samarbejder med efterretningstjenester jorden rundt.

Flere selskaber, inkluderende de amerikanske AT&T Inc. og Verizon Communications Inc. har de seneste måneder, sammen med en række amerikanske teknologivirksomheder afsløret information om efterretningseftersørgsler, for at få begrænset konsekvenserne af Edward Snowdens NSA-afsløringer.

Det Londonbaserede Vodafone fortæller i rapporten, at regeringerne i seks lande har direkte adgang til netværket, så samtaler kan aflyttes og optages af statslige enheder. De fortæller, at nogle stater også har kapacitet til at spore, hvor en mobilbruger befinder sig, og i nogle tilfælde behøver regeringen ikke forespørge data, for at få adgang til den, de kan i stedet tage den direkte fra Vodefones infrastruktur. Vodafone vil ikke afsløre landene af frygt for sanktioner.

Stater skal øge gennemsigtigheden

Rapporten kan ifølge Wall Street Journal fungere som en modvægt til de europæiske regeringers beskyldninger om, at teleselskaberne er for villige til at samarbejde med den amerikanske regering. Beskyldninger som fulgte i kølvandet på Snowdens afsløringer.

Bilag i rapporten viser de enkelte landes lovgivninger. Blandt andet en, som blev vedtaget i Frankrig sidste år, som giver regeringens efterforskere liv til at få et bredt udvalg af brugeroplysninger fra teleselskaber uden en dommerkendelse.

»I vores perspektiv, er det staterne – ikke kommunikationsoperatører – som er nødt til at øge gennemsigtigheden«, skriver Vodafone i rapporten

Folketinget Vedtog i dag lov om Center for Cybersikkerhed. Loven danner et samlet lovgrundlag for Center for Cybersikkerhed, herunder at styrke centerets muligheder for at undersøge og forebygge cyber­angreb mod Danmark samt at regulere centerets behandling af person­oplysninger. Center for Cybersikkerhed (CFCS) hører under Forsvarets Efterretningstjeneste (FE).

Lovforslaget har opbakning fra et bredt flertal af Folketingets partier bestående af SF, Socialdemokraterne, de Radikale, de Konservative, Venstre og DF. Men forslaget, der er fremsat af forsvarsminister Nicolai Wammen (S), har også mødt og møder stadig modstand.

Kritikken er særligt gået på, at CFCS, der ligger under FE i sikkerhedens navn, får til opgave at holde øje med kommunikationen til og fra myndigheder og virksomheder, der er beskæftiget med samfundsvigtige funktioner – såfremt myndighederne og virksomhederne altså ønsker at dele data med CFCS. Og netop fordi CFCS hører under FE, gælder persondataloven, som har til formål at beskytte borgernes persondata, i udgangspunktet ikke.

Det har fået flere organisationer i forbindelse med høringsprocessen til lovforslaget til at hejse det røde privacy-flag. Ikke alene i forhold til, at CFCS’s virke i udgangspunktet ikke er omfattet af persondataloven, men også i forhold til, at data om danskere, der kommunikerer med myndighederne, vil kunne havne hos FE’s samarbejdspartnere – også uden for Danmark.

Imødegåelse af kritik

Af kommentarerne fra Forsvarsministeriet til høringssvarene bliver flere af kritikpunkterne fra de høringsberettigede forsøgt imødegået – også i form af ændringer af lovforslaget.

I forhold til kritikpunktet af, at CFCS under FE ikke er omfattet af persondataloven, hedder det i kommentaren fra Forsvarsministeriet, ‘at persondatalovens principper for, hvornår der må ske behandling af personoplysninger, i vidt omfang skal gælde for Center for Cybersikkerhed.’

Desuden bemærker Forsvarsministeriet, at ministeriet vil udstede kommende retningslinjer, som vil indebære, at pakkedata udelukkende kan videregives til politiet, og at trafikdata kun kan videregives til andre (herunder udenlandske) netsikkerhedstjenester, hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver.

Pakkedata er populært sagt indholdet af datapakker, eksempelvis indholdet af en e-mail, mens trafikdata er data, der bruges til at sende pakkedata fra a til b. Eksempelvis oplysninger om IP-adresserne på de mailservere, som en e-mail er sendt via. Den konkrete sondring i lovteksten lyder:

Pakkedata: Indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjenester.

Trafikdata: Data, som behandles med henblik på at transmittere pakkedata.

Ikke godt nok

Men ministeriets formaninger i forbindelse med høringen er langtfra nok, mener Birgitte Kofod Olsen. Hun er formand for Rådet for Digital Sikkerhed, der har været blandt de høringsberettigede.

Og hun hæfter sig blandt andet ved formuleringen ‘sikkerhedshændelse’, som bliver brugt som betegnelse for, hvad CFCS har til opgave at opdage og imødegå. En sikkerhedshændelse er i lovforslaget beskrevet som ‘en hændelse, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester.’

Den formulering kan bruges i for mange sammenhænge, mener Birgitte Kofod Olsen.

»De store problemer i lovforslaget er, at efterretningstjenesten nu kan gå ind og løse civile opgaver i Danmark, når det, der er på spil, er en sikkerhedshændelse. Og det er et meget bredere begreb end et cyberangreb. Og så dækker lovforslaget også langt bredere end samfundskritisk infrastruktur. Ordlyden er nu ‘samfundsvigtige funktioner’,« siger Birgitte Kofod Olsen.

Betegnelsen kritisk infrastruktur er tidligere blevet brugt om de organisationer, der skal kunne kobles op til den statslige varslingstjeneste GovCert, som så kan analysere organisationernes ind- og udgående kommunikation.

Forsvarsministeriet har begrundet udvidelsen af begrebet til at omfatte samfundsvigtige funktioner med, at det med den nuværende afgrænsning i vidt omfang ikke er muligt at tilslutte virksomheder, der f.eks. leverer livsvigtige medicinalprodukter, fremstiller vigtige komponenter til forsvaret eller varetager drift af offentlige myndigheders administrative it-systemer, eller som på grund af samfundsvigtige forskningsaktiviteter er særligt udsatte for cyberangreb.

Kritik: Strider mod demokratiske værdier

»Det er en stor civil opgave, der nu bliver lagt ind under Forsvarets Efterretningstjeneste. Og det strider simpelthen imod værdier og principper i et demokratisk samfund, at man lader en lukket tjeneste overtage disse funktioner. Det strider mod almindelige retssikkerhedsgarantier og borgerbeskyttelse,« siger Birgitte Kofod Olsen.

Der er jo lagt op til, at det kun er trafikdata, der kan videregives fra CFCS til den øvrige efterretningstjeneste, mens pakkedata kun videregives til politiet, så hvad er problemet?

»Ja, men alt kan jo videregives til Forsvarets Efterretningstjeneste. Når det er inden for samme myndighed, kan data flyde fra Center for Cybersikkerhed og til den bagvedliggende efterretningstjeneste. Det er der ikke nogen regulering af. De siger, der vil komme administrativ regulering af det dataflow. Men som det er i dag, så tilhører det samme myndighed, og så kan de gøre med de data, hvad de vil – så længe det ligger inden for formålet,« siger Birgitte Kofod Olsen og fortsætter:

»Det, de indfører med det her, er masseovervågning. Man er nødt til at se på det som masseovervågning i Danmark både på trafik og indhold. Og er det i orden, når man giver så vide magtbeføjelser til en lukket tjeneste? Det mener vi ikke. Det må ud at ligge i den åbne del af forvaltningen.«

Du mener ikke, I er blevet imødegået på nogen af jeres kritikpunkter i forbindelse med høringen?

»Jo, men det er småting. Det er noget med videregivelse af data til andre tjenester. Men de store anstødssten, der har været, som har radikal betydning for vores demokrati, er der ikke sket noget ved.«

Kritik: Demokratisk underskud

En anden kritiker af lovforslaget, som det ligger nu, er it-advokat Henrik Mansfeldt Witt, der i slutningen af maj gav udtryk for sin utilfredshed med forslaget i en kronik i Politiken. Kritik har han ikke lagt på hylden siden da. Over for Version2 karakteriserer han det nuværende lovarbejde på følgende måde:

»Jeg kalder det et demokratisk underskud og en manglende respekt for privatlivet.«

Henrik Mansfeldt Witt mener, hovedproblemet med lovforslaget er, at selve lovteksten er for upræcis. Som et af eksemplerne nævner han paragraf 3, hvoraf det fremgår, at virksomheder, der er beskæftiget med samfundsvigtige funktioner, efter anmodning kan blive tilsluttet CFCS’s netsikkerhedstjeneste, så ind- og udgående data fra virksomheden kan blive analyseret af CFCS i sikkerhedsøjemed.

»Hvis anmodning? Vi må forvente, når vi laver lovgivning i landet, at det er klart og tydeligt, så vi ikke skal læse noget andet. Derudover, hvad er samfundsvigtigt, og hvem bestemmer det?«

I bemærkningerne til lovforslaget fremgår det, at der er tale om en frivillig ordning for virksomhederne, men den slags skal kunne læses i selve lovteksten, mener Henrik Mansfeldt Witt.

»Hvorfor sjuske? Det vil koste så lidt at lave loven, så der står det, der skal gælde. Min pointe er: Så skriv det dog. Det kan da ikke koste særligt meget.«

Erhvervsorganisation: Positivt med fokus på sikkerhed, men …

Hos erhvervsorganisation Dansk Erhverv kalder chefkonsulent Janus Sandsgaard det for positivt, at der er et aktuelt fokus på it-sikkerhed i Danmark, og at CFCS nu bliver reguleret ved lov. Men han kunne godt have tænkt sig en mere principiel diskussion af, i hvilket regi CFCS skulle ligge – og altså ikke nødvendigvis under FE.

»Man lytter i sagens natur inden for rammerne af høringen, og her er præmissen, at opgaven for længst er flyttet til Forsvarets Efterretningstjeneste. Vi kunne godt have tænkt os en mere principiel debat om it-sikkerhed i Danmark, da man startede med at sætte stregerne på kortet.«

Han mener desuden, det er vigtigt, at der er en høj grad af tillid til den myndighed, der sidder med opgaven for en væsentlig del af cybersikkerheden i Danmark.

»Der ligger nogle indbyggede udfordringer i, at arbejdet med at sikre civil infrastruktur er placeret i regi af Forsvarets Efterretningstjeneste – som nok kommer til at arbejde en del mere med åbenhed og kommunikation,« siger Janus Sandsgaard og tilføjer:

»Nu må vi se, hvordan det i praksis kommer til at fungere, og så må der evalueres på det.«

DI: Vi er tilfredse nu

Der er dog også flere, der var kritiske i forhold til det oprindelige lovforslag for Center for Cybersikkerhed, men som nu er anderledes positivt stemte. En af dem er DI, hvor branchedirektør Adam Lebech i en e-mail til Version2 skriver:

»Vi har gennemgået indholdet af det nye forslag punkt for punkt og vurderet, at DI-anbefalinger fra vores høringssvar er blevet imødekommet på en række centrale områder. På den baggrund vil vi gerne kvittere for, at der er lyttet til kritikken, og vi kan ligesom flertallet bag den politiske aftale bakke op om forslaget.«

En anden, som var kritisk over for et tidligere lovforslag, men som bakker op om forslaget, som det ligger nu, er Venstres it-ordfører, Michael Aastrup Jensen.

»Vi er tilfredse med de indrømmelser, vi har fået. Vi havde jo flere krav, før vi kunne gå med. Det ene var, der skulle være en fasttømret datamur mellem centeret og FE. Samtidig skulle vi have en garanti for, at der ikke foregik en udveksling af informationer fra datacenteret til udenlandske efterretningstjenester. Den garanti er vi tilfredse med,« siger han og fortsætter:

»Sidst, men ikke mindst var der også forskellige evalueringsfrister og så videre, der skulle køres ind, således at vi løbende kan evaluere, hvis der er behov for at lave noget om i det.«

Michael Aastrup Jensen fortæller, at han i forbindelse med evalueringsfasen nøje vil holde øje med, at der som følge af loven ikke sker indgreb i den personlige frihed.

»Og jeg vil vædde med, der vil være 200 på Version2′s debatforum, som synes, det allerede vil være et indgreb i den personlige frihed, men vi vil stadig følge det nøje,« siger han med noget, der over telefonforbindelsen godt kunne lyde som et grin.