Daily Archives: June 20, 2014

En efterretningstjenestes arbejde er i sagens natur hemmeligt og kan ikke diskuteres offentligt. Men den kontrolinstans, der skal sikre mod at Forsvarets Efterretningstjeneste ikke udnytter den lukkethed til at gå for vidt, er ikke meget værd i sagen om NSA’s overvågning af også danske internetkabler. Det skriver Information.

Forsvarets Efterretningstjeneste bliver kontrolleret af Tilsynet med Efterretningstjenester, som forsvarsminister Nicolai Wammen flere gange har lagt vægt på, senest med Informations afsløring af et tæt samarbejde mellem NSA og Forsvarets Efterretningstjeneste (FE).

Men når FE tapper danske fiberkabler fra internettets knudepunkter og videregiver rådata til NSA til videre analyse – som lækkede dokumenter fra Edward Snowden mere end antyder – vil det ikke være noget, kontroludvalget vil få at vide eller ville kunne stoppe.

Ifølge flere juridiske eksperter er loven om udvalget nemlig skruet sammen, så kontrolopgaven er afgrænset til FE’s behandling af personfølsomme oplysninger. Og rådata, som ikke er ’erkendt’, altså undersøgt og kategoriseret, er ikke underlagt den kontrol – selvom der sagtens kan være massevis af stærkt personlige oplysninger gemt i den store, samlede masse af data.

Sekretariatschef for Tilsynet med Efterretningstjenester, landsdommer Ulla Staal, fortæller selv til Information, at det ikke ’som udgangspunkt’ er et fokusområde for tilsynet at se på videregivelse af ikke-erkendte data.

Medlemmerne af udvalget har en bred baggrund, der ikke nødvendigvis har med efterretningsarbejde eller dataindsamling at gøre, og de er underlagt streng tavshedspligt. Selv hvis de blev orienterede eller selv gravede detaljer frem om FE’s udlevering af rådata fra internetkablerne, ville de kun kunne skulle vurdere, om det var lovligt for FE.

Og det er det efter alt at dømme, fordi loven for Forsvarets Efterretningstjeneste giver vide beføjelser til den slags dataindsamling og til at samarbejde med andre landes efterretningstjenester, har to jura-professorer tidligere vurderet.

Udover kontrol fra Tilsynet med Efterretningstjenester bliver Forsvarets Efterretningstjeneste også kontrolleret af Folketingets kontroludvalg.

Mens efterhånden de fleste af Folketingets politikere har fået offentliggjort deres CPR-nummer i en protest mod politikernes håndtering af danskernes privatliv, har Rudersdal Kommune haft sin egen og langt større sag. I syv år lå et dokument med 1.749 børns CPR-numre nemlig på nettet. Det skriver TV2.dk.

Kommunen opdagede fejlen torsdag og skyndte sig at fjerne dokumentet, som rummede navne og CPR-numre på børn født i årene 1998-2001. Oplysningerne stod i et Excel-regneark, som på Vedbæk Skoles hjemmeside.

I et brev til forældrene til de 1.749 beklager Rudersdal Kommune fejlen og skriver, at man nu har gjort alt, hvad der er muligt, for at fjerne oplysningerne. Blandt andet er Google blevet kontaktet for at fjerne dokumentet fra søgecachen.

At dokumentet lå offentligt tilgængeligt i syv år, skyldes en ’menneskelig fejl’, oplyser kommunen. Siden dokumentet blev lagt på siden, har kommunen indført sikkerhedsprocedurer for personfølsomme oplysninger i digital form. Efter at fejlen blev opdaget, har alle kommunens skoler nu fået tjekket hjemmesiden for mulige fejl.

En af forældrene, Michael Petersen, er vred over kommunens læk af hans 13-årige datters CPR-nummer.

»Oplysningerne ligger stadig derude og kan misbruges fra nu af, og til min datter dør. Det er meget skræmmende at tænke på,« siger han til TV2.dk.

Eneste løsning er at give alle børnene et nyt CPR-nummer, mener han.

Et marketing-fremstød for Internet Explorer har givet bagslag for Microsoft. En person, der angiveligt var hyret af Microsoft, tilbød bloggere betaling og præmier for at skrive om nye funktioner i Internet Explorer – men kom til at sende sit tilbud til den helt forkerte person.

En af modtagerne er nemlig en notorisk modstander af blogindlæg mod betaling, og han offentliggjorde med det vuns henvendelsen. Microsofts havde ved en fejl eller manglende omtanke fået Michael Arrington, stifter af it-mediet Techcrunch, på deres liste over modtagere, og han har tidligere luftet sin stærke modstand mod den form for markedsføring.

For at få betaling og være med i lodtrækningen om præmier, skulle man skrive et blogindlæg om Internet Explorer 11 og bruge hashtagget #IEbloggers og #RethinkIE på Twitter eller andre sociale kanaler.

Det er ikke til at sige, om henvendelsen var fup og sendt fra en, som på snedig vis forsøgte at stille Microsoft i et dårligt lys. Men før Michael Arringtons offentliggørelse var de to hashtags blevet brugt et par gange af ’almindelige’ bloggere. Nu har de selvfølgelig fået selskab på Twitter af ironiske lovprisninger af Microsofts browser, for eksempel om hvor god den er til at downloade Chrome, når man tager hul på en ny Windows-installation.

I USA er der i højere grad end i Danmark flydende grænser imellem journalister med etablerede medier i ryggen og selvstændige bloggere. Det har i nogle tilfælde ført til uklarhed om de etiske spilleregler, for eksempel om en blogger modtager betaling for at skrive om bestemte emner eller produkter.

For nyligt blev smartphone-producenter og teleselskaberne i den amerikanske brancheforening CTIA enige om et fælles fodslag, der efter juli 2015 betyder, at alle smartphones i USA bliver udstyret med en såkaldt dræberknap.

Men nu går Microsoft solo. De vil allerede gør knappen tilgængelig inden den aftale deadline om et år. Det skriver flere internationale IT-medier, heriblandt Techcrunch, der dog ikke giver svar på, hvornår knappen i så fald bliver en realitet.

Knappen skal gøre det muligt at slette al data og indhold fra sin telefon i tilfælde af, den er stjålet eller bortkommet. På den måde håber de store virksomheder at gøre telefonerne så godt som værdiløse eller i det mindste minimere efterspørgslen på stjålne telefoner så meget som muligt.

Skulle den dukke op igen, skulle det være muligt for den retmæssige ejer at genskabe indholdet.

En længe ventet afgørelse ved den amerikanske højesteret blev afsagt i går, torsdag, som iagttagere anser som en vigtig sejr over patenttrolde, der forsøger at holde kontrol over og økonomisk misbruge udviklng og brug af software.

Sagen drejede sig om patentindehaveren Alice Corp., der tilbage i 2007 lagde sag an mod CLS Bank, som er et vigtigt softwareinstrument i den globale finanssektor.

Sagen blev dog overbevisende afvist af sagens dommere, rapporterer Ars Technica.

Dommerne vurdererede, at patentetindehaverens krav ikke var validt, da Alice Corp. blot skulle have tilføjet computersprog til en basal idé, der ligger til grund for CLS-systemet, som fungerer som et mellemled, der sikrer sikkerhed og tillid mellem handlende i finansielle transaktioner.

Ars Technica beskriver dommen som den hidtil tydeligste inden for det amerikanske retssystem, der understreger, at idéer tilsat teknologisk defineret sprog ikke er nok til at få et patent.

Mediet skriver endvidere, at engagerede i sofiwarepatent-diskussionen havde håbet på, at dommen ville skabe præcedens for fuldstændig at eliminere softwarepatenter, men så langt gik dommerne dog ikke.

Ars Technica citerer fra domsafsigelsen, hvor dommerne understregede, at softwarepatenter stadig er gældende, hvis de ‘forbedrer selve computerens funktion’, eller ‘forbedrer en eksisterende teknologisk proces’.

Dermed fastholdt højesteretten en tidligere afgørelse i en lavere instans, som ligeledes havde erklæret patentet ugyldigt.

Højesteretsdommen lagde en tidligere lignende afgørelse, Bilski-afgørelsen, som en del af grunden til afgørelsen. Denne sag, der blev afgjort i 2010, invaliderede et patent på et finansielt hedging-system. Retten vurderede, at det tredjepartsbaserede CLS-system ligesom Bilski er et udbredt og fundamentalt system, der længe har været en integreret del i den amerikanske handel.

Den amerikanske organisation Main Street Patent Coalition, der modarbejder udbredelsen af patenttrolde, var hurtige til at hylde rettens afgørelse, men krævede i samme ombæring i en officiel udmelding, at den amerikanske Kongres skal skride til handling med lov mod troldene, der udnytter patentsystemet.

»De fleste amerikanske virksomheder har ikke tiden eller pengene til at bekæmpe disse useriøse søgsmål, der kan tage år og millioner af dollars at løse i retterne,« skriver organisationen i sin officielle udmelding ifølge Ars Technica.

Når Oracle den 15. juli udsender den næste sikkerhedsopdatering til det Java-plugin, som danskerne er afhængige af for at kunne bruge NemID, så kommer der ingen opdatering til det pensionerede styresystem Windows XP. Brugerne vil dog kunne fortsætte med at bruge NemID, men bør opgradere, lyder det fra Digitaliseringsstyrelsen.

Microsoft har stoppet supporten af Windows XP og udsender ikke flere sikkerhedsopdateringer til styresystemet. Det gør Oracle, der leverer Java-pluginet, altså heller ikke fra og med juli-opdateringen.

Det falder dog sammen med, at Digitaliseringsstyrelsen og DanID lancerer en ny klient til NemID, som bygger på Javascript i stedet for Java. Javascript understøttes af de fleste browsere og kræver ikke noget plugin.

»Vi arbejder på fuld tryk med Javascript-klienten. Planen er stadig den 1. juli,« siger kontorchef Cecile Christensen fra Digitaliseringsstyrelsen til Version2.

Javascript-versionen er blandt andet udviklet for at gøre det muligt at bruge NemID på mobiltelefoner og tablets, hvor det ikke er muligt at installere plugins til browserne.

Windows XP-brugere vil også kunne bruge Javascript-versionen til at logge på med NemID uden Java-plugin, men da styresystemet ikke længere opdateres, må det regnes for at være usikkert. Derfor råder Digitaliseringsstyrelsen også til, at man opgraderer.

»Du kan godt bruge Javascript-versionen på Windows XP, men det vil jeg ikke anbefale,« siger Cecile Christensen.

Det vil i princippet også være muligt at fortsætte på Windows XP med en gammel udgave af Java-pluginet, men det vil også udgøre en alvorlig sikkerhedsrisiko.

Mens en opgradering til et nyere styresystem er en forholdsvis enkel procedure for privatpersoner, som ofte blot vil købe en ny pc med et nyt styresystem, så er der fortsat virksomheder og offentlige institutioner, der endnu ikke er klar til at opgradere.

Hvis de benytter NemID, så kan de få problemer med sikkert at anvende medarbejdersignaturer, alt efter hvilken udgave de benytter sig af.

»Der er forskellige løsninger. Der er medarbejdersignatur med nøglekort, som vil kunne bruges med Javascript. Men medarbejdersignatur med nøglefil eller med hardware vil stadig være baseret på Java,« siger Cecile Christensen.

De Java-baserede løsninger vil foreløbig kunne bruges med en ældre Java-udgave, men med både en forældet Java og et forældet styresystem vil man løbe en sikkerhedsrisiko på to fronter.

Ifølge Digitaliseringsstyrelsen benytter cirka 6,5 procent af NemID-brugerne sig af Windows XP, og det svarer cirka til 270.000 brugere. Antallet af Windows XP-brugere er dog kraftigt faldende ifølge styrelsen.