Daily Archives: June 25, 2014

Omkring 40.000 brugere i Irak downloadede Firechat i sidste uge, mod 6.600 over de seneste par måneder, skriver firmaet bag app’en, Open Garden, ifølge BBC News.

Grunden er, at de irakiske myndigheder lukker eller begrænser internetadgangen, og at man via Firechat fortsat kan benytte telefonerne til at kommunikere med.

Firechat giver nemlig brugerne lov til at tage del i gruppechats med mellem to og 10.000 personer, uden at gøre brug af en internetforbindelse.

Meddelelse hopper fra telefon til telefon

Ved brug af teknologi kendt som »mesh networking«, kan meddelelser sendes til personer i umiddelbar nærhed, så længe de også har app’en installeret. Men samtalerne er ikke private, og kan ses af alle i området.

Softwaren er tilgængelig til både Android og iOs, og kan række op til 70 meter. Men hvis nok personer bruger app’en, kan meddelelser rejse over større afstande, ved simpelthen at hoppe fra enhed til enhed, som en slags kæde.

App’en har tidligere i år været flittigt brugt i Taiwan, da protesterende studenter, som ville besætte parlamentet, blev truet med internetrestriktioner og begrænset mobildækning.

Internettet har været blokeret i nogle irakiske provincer, da autoriteterne forsøger at forhindre militante i at kommunikere.

Adgangen til sociale medie-sider er også blevet stærkt begrænset.

Det privatejede rumfartsfirma Space Exploration Technologies (SpaceX) har været plaget af en bølge af tekniske problemer. Det har tvunget SpaceX til at udskyde opsendelsen af en Falcon 9-raket til begyndelsen af juli. Det skriver Reuters

Det privatejede firma har siden fredag forsøgt at opsende raketten fra Cape Canaveral Air Force-basen i Florida. Raketten medbringer seks kommunikationssatellitter for firmaet Orbcomm.

SpaceX forsøgte tirsdag for fjerde gang uden held at opsende raketten.

Stoppet før nedtælling

»SpaceX ser nærmere på et potentielt problem, som blev identificeret under udførelsen af gennemgangen af fartøjet for nedtællingen,« skriver firmaet i et meddelelse.

Når man også tager højde for planlagte vedligeholdelser for testområdet, som bruges til opsendelser fra Cape Canaveral-basen kan SpaceX tidligst komme op at flyve i den første uge i juli.

»Vi vil sammen med test-området finde frem til, hvornår vi har de næste opsendelsesmuligheder,« skriver firmaet, som er ejet af Elon Musk – manden bag en række selskaber, blandt andet bilfirmaet Tesla.

Tiende opsendelse

SpaceX har været sparsom med de tekniske detaljer. Første opsendelsesforsøg fredag blev afbrudt på grund af et potentielt problem med det øverste trin. Det problem var tilsyneladende løst, da SpaceX lørdag aflyste et opsendelsesforsøg på grund af dårligt vejr.

SpaceX udskød forsøget til søndag, men løb ind i et andet teknisk problem.

De seks små kommunikationssatelitter skal i kredsløb omkring 800 kilometer over jorden. SpaceX har fløjet Falcon 9-raket ni gange i alt – alle gange med succes.

Det mislykkede geotermi-projekt i Kvols ved Viborg bliver dyrt for fjernvarmekunderne i Viborg. Varmeforbrugerne sidder, efter at Energitilsynet har vurderet sagen, tilbage med størstedelen af regningen, for det fejlslagne projekt. Det skriver Energitilsynet selv.

Den 27. januar 2012 startede borearbejdet i Kvols, som var planlagt til at tage bare 35 dage. Men fire en halv måned og 130 millioner kroner senere blev borearbejdet i det, der skulle have været Europas største geotermi-anlæg, indstillet.

Under boringen løb firmaet bag, Ross Engineering, ind i en række problemer, hvor blandt andet to borehovedet forsvandt nede i det knapt 3000 meter dybe borehul.

Mange problemer

Skiferlagene over de vandførende lag opførte sig meget anderledes, end firmaet havde antaget. Lagene var ustabile og faldt sammen, hvilket gav et alt for stort hul, der var svært at arbejde med

Problemerne kunne muligvis være kommet i forkøbet, hvis man havde taget sig tid til at kigge på et tidligere geotermiprojekt i området, lød udtalelserne umiddelbart efter projektet blev sat i stå i sommeren 2012.

Men selvom der blev begået fejl undervejs, og byrådet senere overtog styringen af anlægget, så ender regningen alligevel hos forbrugerne. Og det bliver en dyr fornøjelse, som brugerne kommer til at betale af på i mange år.

Regningen for det samlede projekt endte på 165 millioner kroner. Energitilsynet har godkendt, at fjernvarmekunderne skal betale cirka 140 millioner kroner.. Det nøjagtige beløb bliver i nærmeste fremtid udregnet efter Energitilsynets fastlagte principper på området.

»Betydelige risici«

»Et forsigtigt skøn peger på, at varmeregningen for en forbruger i et parcelhus vil stige med op til 850 kr. om året, hvis udgifterne til geotermi-projektet bliver indregnet i varmepriserne over 16 til 20 år,« skriver Energitilsynet i sin pressemeddelelse.

»Geotermi-projektet i Viborg viser med tydelighed, at fjernvarmebestyrelser og daglige ledelser skal holde stram snor i omkostninger og projektstyring, når de begiver sig i kast med store og dyre investeringer som geotermi. Vi opfordrer til, at ledelserne gør det klart for både sig selv og for forbrugerne, at der er betydelige risici forbundet med investeringer af denne type,« siger tilsynets formand, Uffe Bundgaard-Jørgensen.

Projektet blev lukket, uden at det blev konstateret, om der var geotermisk varme i undergrunden eller ej. Det var Viborg Fjernvarme, der oprindeligt startede geotermi-projektet.

Flere arbejdspladser og mindre CO2-udslip. Det er formålene med en ny klimafond på op til fem milliarder kroner, som ifølge Politiken bliver vedtaget i Folketinget onsdag i et forlig mellem Enhedslisten, SF og regeringen.

Den grønne klimafond giver private og offentlige selskaber og institutioner mulighed for at optage billige lån til grønne investeringsprojekter.

Politiken skriver, at flere virksomheder i dag har svært ved at få lån til energirenoveringer, fordi det er risikofyldte lån for bankerne, hvilket det nye initiativ skal afhjælpe.

Pensionskassers penge

Fonden skal udlåne penge til grønne investeringer i blandt andet produktionsanlæg, opvarmning og belysning. I første omgang bliver fonden på to milliarder kroner i årene 2014 til 2016, hvoraf staten bidrager med 80 millioner.

Derudover kommer pengene fra eksempelvis pensionskasser, som på grund af en statsgaranti forventes at kunne tilbyde lavere renter end bankerneog give lån med en længere løbetid.

Ifølge Enhedslistens politiske ordfører, Johanne Schmidt-Nielsen, kan fonden udvides til de fem milliarder kroner. Det vil kræve, at staten indskyder yderligere 120 millioner kr.

7000 nye jobs

Fonden kan ifølge professor ved Aarhus Universitet, Bo Sandemann Rasmussen, ses som en afsløser for bolig-job-ordningen, som regeringen har valgt at droppe fra årsskiftet.

»Det kan være en god idé, fordi de private aktører holder på den risikovillige kapital, men det er mere et politisk end et økonomisk valg,« siger han til Politiken.

Ifølge Dansk Metal »rammer aftalen lige i øjet«, og den kan skabe op mod 7.000 arbejdspladser inden for industri- og byggebranchen.

I dag byder vi en ny blogger velkommen hos Version2.

Kim Tiedemann er udviklingschef hos Schultz, som skaber it-løsninger for det offentlige. Han har arbejdet med agil udvikling de seneste fem år, og teknologi er hans store passion. I sin fritid koder han på en Windows 8-app. Hvis du læste blogindlæggene fra NDC-konferencen i Oslo, har du allerede læst noget af det, Kim har skrevet.

I sit første blogindlæg beskriver Kim, hvordan han på en aften hackede to offentlige sites for at se, hvor svært det ville være for rigtige hackere:

‘Efter login kommer man tilbage til sitet, denne gang på https og oppe i hjørnet på sitet kan jeg se, at jeg er logget ind. Men hvad hvis jeg ændrer protokol i adresselinjen tilbage til http? Her burde jeg ikke længere være logget ind. Desværre har det her site et sikkerhedsproblem og jeg er stadig logget ind på sitet. Det kan kun ske på en måde: Sitets authentication cookie sendes med henover den usikre http forbindelse, hvilket betyder at cookien ikke er secure.

Her kan man tænke: Det er jo en aktiv handling fra brugerens side at skifte protokol. Problemet er bare at det kan ske ved at brugeren tidligere har bookmarket et usikkert link eller at jeg som hacker sender en mail med et usikkert link.’

Læs hele Kims blogindlæg her.

Det kræver ikke den store indsats at finde sikkerhedshuller – også på store offentlige sites, desværre. Jeg besluttede mig for at kigge nogle større sites igennem for sikkerhedshuller og de to første jeg tog fat i, havde sikkerhedshuller som kunne udnyttes af hackere. Jeg er ikke hacker, så jeg besluttede mig for at kontakte personer hos de to sites og lade dem fikse det. Derfor vil jeg også beskrive sikkerhedshullerne mere generelt uden at afsløre hvilke sites der er tale om.

Http/https mixed mode problemer

Det første site jeg kastede mig over fungerer både på http og https. Deres tanke er (tror jeg) at når man ikke er logget ind, så browser man på http sitet, mens i det øjeblik man er logget på, så skiftes til https. Et sådant site er oplagt at undersøge, for her er der flere muligheder for en angriber.

Så jeg starter med at logge ind og se om login formular hentes over en sikker forbindelse (https). En login formular skal altid loades over https og det er vigtigt at hele siden loades over https. Hvis siden loades over http, så kan en Man-In-The-Middle ændre i serverens response og dermed ændre hvor formularens indhold sendes hen eller injecte JavaScript på login siden, der sender brugernavn og adgangskode til en anden server.

I det her tilfælde loades login formularen over https og det er ikke muligt at angribe.

Efter login kommer man tilbage til sitet, denne gang på https og oppe i hjørnet på sitet kan jeg se, at jeg er logget ind. Men hvad hvis jeg ændrer protokol i adresselinjen tilbage til http? Her burde jeg ikke længere være logget ind. Desværre har det her site et sikkerhedsproblem og jeg er stadig logget ind på sitet. Det kan kun ske på en måde: Sitets authentication cookie sendes med henover den usikre http forbindelse, hvilket betyder at cookien ikke er Secure.

Her kan man tænke: Det er jo en aktiv handling fra brugerens side at skifte protokol. Problemet er bare at det kan ske ved at brugeren tidligere har bookmarket et usikkert link eller at jeg som hacker sender en mail med et usikkert link. Hvis brugeren allerede er logget ind (fx på en anden tab i browseren) så vil cookien blive lækket over http og dermed kan hackeren få fat i authentication cookie og bruge den over mod sitet og derfor være logget ind som brugeren.

På dette site var det dog ikke svært at få brugeren tilbage på http efter login. Flere links på sitet (specielt forsiden) pegede eksplicit på http:// og dermed ville brugeren ved at bruge sitet ganske naturligt hoppe tilbage til en usikker forbindelse.

Løsningen benytter hvad man må formode er sessionscookien (JSESSIONID er et typisk navn på en Java applikationsservers sessionscookie) som authentication cookie og det er formentligt årsagen til, at den ikke er secure. Den kan ikke være Secure, når nu sitet kører på både http og https. Sessions- og authentication cookie bør ikke være den samme cookie i det her tilfælde.

Heldigvis er cookien Http only og dermed ikke tilgængelig fra JavaScript. Dette er en rigtig god ting, da sitet jo også kunne være sårbart overfor Cross site scripting (XSS).

Hvordan kommer manden i midten?

Der findes devices som fx Pineapple Wifi, som kan udgive sig for at være et vilkårligt access point og dermed få uvidende ofre til at forbinde deres computer eller mobile devices til access pointet.

Pineapple Wifi benytter sig af at wifi protokollen sender prober ud der spørger efter Access points, som allerede er kendt. Så har du engang forbundet til et hotels åbne wifi, så vil din computer fremover spørge om dette access point er tilgængeligt derude. Pineapple Wifi kigger på disse prober og ændrer SSID til at matche med forespørgslen. Herefter kan hackeren se alle netværkspakker der sendes mellem din computer og netværket. Det eneste der nu skal gøres er, at tage authentication cookie indholdet, vedhæfte den i requests over mod sitet og dermed være logget ind som den uvidende bruger.

Hvordan kan man sikre sig?

Det bedste råd er at benytte https konsekvent i stedet for at skifte. Dette gør sig specielt gældende hvis sitet primært er henvendt autoriserede brugere.

Et andet råd er at authentication cookien skal være secure og også http only. Det sikrer at den aldrig sendes over en usikker forbindelse samt at den ikke kan tilgås fra JavaScript.

Et tredje råd er at benytte Http Strict Transport Security response headeren fra serveren. Det gør at browseren herefter sikrer, at sitet kun hentes igennem en sikker forbindelse fremover (indtil tidsfristen sat i headeren udløber). Dette er dog ikke understøttet i alle browsere endnu, men det sikrer i hvertfald Chrome og Firefox brugere.

Det andet offentlige site er sårbar overfor et Cross site scripting angreb – dette indlæg må dog vente et par dage…

Dagene, hvor softwareudvikling kun foregik i et iltfattigt og mørkt kælderrum, er for længst forbi. Som et rekrutteringsinstrument tilbyder den danske virksomhed Navipartner sine udviklere et arbejdsophold under varme himmelstrøg på den tropiske ø Mauritius. Det skriver Børsen.

Afdelingen i Mauritius oprettede Navipartner oprindeligt for at klare udviklingsopgaver til et lavere lønniveau end det danske. Øen har en begrænset tidsforskel i forhold til Danmark og den lokale befolknings uddannelsesniveau er generelt højt.

Se de seneste it- og softwareudviklingsopslag på Jobfinder.

Virksomheden specialiserer sig i udvikling inden for Microsofts omfattende økonomistyringsplatform Dynamics NAV, der er et af de mest populære af sin slags på verdensplan.

Da konkurrencen om de bedste hoveder inden for den specialiserede gren af softwareudvikling spidsede til, begyndte virksomheden at tænke i nye rekrutteringstiltag.

Derfor besluttede virksomheden at lokke gode kandidater til ved at tilbyde dem muligheden for et eksotisk arbejdsophold hos virksomhedens afdeling på Mauritius. Med sig får de ansatte den samme løn, som de ville have fået i Danmark samt muligheden for at medbringe familien.

Opholdene kan variere fra nogle ugers varighed til op imod tre år, og én af dem, der lod sig lokke, var Jeppe Due Hansen. Han forlod sit job og efter tre måneders introduktion til virksomheden i København, satte han sig på et fly til den lille ø-stat øst for Madagskar.

Med sig havde han sin kone, der netop havde opsagt sit job, og parrets datter. Han erkender, at den lille familie skal justere sig til livet i et andet land end Danmark, og det medfører visse udfordringer uden for arbejdspladsen. Datterens børnehave er skiftet ud med en mauritisk ‘pre-school’, og mange af de kendte madvarer ser anderledes ud end herhjemme.

Jeppe Due Hansen beskriver dog ikke selve arbejdet som meget mere eksotisk end i Danmark.

»På sin vis er det fløjtende ligegyldigt, om det hedder Danmark eller Mauritius. Begge steder skal du sætte dig ind i din bil hver morgen og køre til kontoret, hvor du sidder og kigger ind i en skærm i otte timer,« siger Jeppe Due Hansen til Børsen.

Det var i nogles øjne et stort og lidt unødvendigt spring, Apple tog, da seneste iPhone blev præsenteret i september sidste år – med en 64-bit ARM-processor i stedet for 32-bit. Spørgsmålet var, om en smartphone kunne få specielt meget glæde af en 64-bit-arkitektur.

Til gengæld er man glad for 64-bit-teknologien i datacentret, hvor der normalt er fyldt op med kraftige x86-processorer, men hvor flere producenter har arbejdet med ARM-processorer i stedet, fordi de bruger mindre energi i forhold til mulig regnekraft.

Og en 64-bit ARM-processor kan derfor ende med at blive den gyldne kombination af de to ting til datacenterbrug. Teknologien begynder i hvert fald at pible frem nu, skriver amerikanske PC World.

En ARM-processor har dog ikke så meget rå regnekraft, så de bliver kombineret med grafikprocessorer, som kan levere masser af hestekræfter til regneopgaver på grund af GPU’ens mange tusinde kerner.

Nvidia har for eksempel udviklet grafikkortet Tesla specielt til datacenterbrug, og det bliver allerede brugt i verdens hurtigste supercomputere, sammen med x86-processorer. Nu vil Nvidia også understøtte ARM med Tesla-kortene.

Næste udfordring er at få softwaren til at understøtte ARM-processorer. Foreløbigt kan man køre LAMP-stakken (Linux/Apache/MySQL/PHP), hvilket dækker en stor del af verdens webservere, samt Hadoop, beregnet til store datamængder, og OpenStack. Til næste år vil også Java kunne køre uden emulator på ARM-processorer i datacentret.

CUDA, et værktøj til at udnytte de parallelle kræfter i grafikkort, vil i næste version også understøtte ARM-processorer, har Nvidia meldt ud.

Først fik han at vide, at han skulle logge brugeridentitet på alle, der ville bruge det gratis wifi-netværk på Folkemødet på Bornholm, i en grad så personerne kunne identificeres.

Så blev det til kun at logge MAC-adresser på det tilsluttede udstyr. Og nu lyder meldingen fra Rigspolitiet, at Folkemødets wifi slet ikke er omfattet af logningsbekendtgørelsen, så der var ikke noget krav om logning.

»Det her viser jo, at det er virkelig svært som offentlig instans at prøve at følge lovgivningen. Det må være forvirrende for rigtig mange, for det er yderst vanskeligt at fortolke loven,« siger Claus Munk, it-chef i Bornholms Regionskommune, til Version2.

Kommunen var som arrangør af Folkemødet opsat på at følge alle reglerne til punkt og prikke og endte med en løsning, hvor alle skulle oplyse telefonnummer eller bruge deres NemID for at få adgang til internet via wifi på Folkemødet. Det brokkede Amnesty International sig over, og derfor undersøgte Claus Munk situationen grundigt og ringede til tre forskellige myndigheder: Erhvervsstyrelsen, Justitsministeriet og Rigspolitiet. Alle meldinger lød, at han gjorde det helt rigtige, og at der i sådan en sammenhæng var krav om logning.

Men efter Version2 har undersøgt sagen nærmere og bedt Rigspolitiet om et officielt svar, er fortolkningen nu, at sådan et folkemøde ikke falder under reglerne, fordi internetforbindelsen ikke blev udbudt med ’kommercielt formål’. Lige netop den del af reglerne har Erhvervsstyrelsen ellers helt konkret taget stilling til, da Claus Munk talte med dem, og det er netop Erhvervsstyrelsen, der bestyrer Teleloven, hvor definitionen hører hjemme.

»Jeg mener, at der er brug for noget intern afklaring. Der må være noget intern forvirring i de her tre myndigheder. Det gør det jo simpelthen umuligt for sådan en som mig at finde ud af, hvad jeg skal. Jeg er mere forvirret nu, end da jeg begyndte,« siger Claus Munk.

Vil bare gerne have klar besked

På grund af tidligere udmeldinger om, at Bornholms Regionskommune var omfattet af logningsreglerne, har kommunen indkøbt udstyr til at kunne logge og brugt tid på at tage det i brug.

»Det er ikke store beløb, men havde vi fra starten fået at vide, at vi ikke var omfattet, kunne vi have sparet de penge og de mandskabstimer. Men vi stiller jo ikke spørgsmålstegn ved det, vi får at vide fra en overordnet myndighed,« siger han.

Nu efterlyser han klar besked om reglerne, i skriftlig form, så det bliver muligt at gennemskue, om man er på den rigtige eller forkerte side af loven.

»Der skal være noget på skrift, som ikke kan misforstås. Det er jo ganske få parametre, der kan vægte ja eller nej, og teknikken er vel den samme for alle, i forhold til hvad man kan logge. Så jeg forstår ikke, at det skal være så komplekst. Måske er lovarbejdet bag ved komplekst, men udmøntningen af den skal være mere enkel, end den er i dag,« siger Claus Munk om loven, der trådte i kraft for seks år og ni måneder siden.

Svaret fra Rigspolitiet, som modsiger Erhvervsstyrelsens vurdering, har ikke givet Claus Munk et bedre billede af, hvad der forventes af ham i fremtiden.

»Jeg synes i den grad, at jeg har gjort, hvad man kan forvente og mere end det. Jeg går ikke ud fra, at myndighederne er gearet til den slags personlige henvendelser hver gang. Men det underlige er, at selv efter alt det, står jeg stadig uafklaret. Kan jeg bruge de svar, jeg har fået? Eller er der andre, jeg skal spørge?« spørger han.

Usædvanligt dataforbrug og et tappet batteri kunne vække mistanke hos personer, som bliver overvåget af enten politiet eller efterretningstjenester. Derfor anvender et udbredt spionprogram til smartphones flere teknikker til at skjule sig. Det skriver Wired.

To hold af sikkerhedseksperter har analyseret et værktøj fra italienske Hacking Team, som har specialiseret sig i overvågningssoftware til myndigheder. Firmaet laver spionprogrammer til flere platforme, men sikkerhedseksperterne har mest bidt mærke i programmerne til iOS og Android.

Værktøjerne kan aflæse browserhistorik, GPS og tastaturinput, samt opsnappe skærmbilleder, lyd eller tage billeder med telefonens kamera.

For at undgå at vække mistanke, kan eksempelvis funktionen til aflytning ved hjælp af telefonens mikrofon sættes til kun at være aktiv, når telefonen er inden for rækkevidde af et bestemt trådløst netværk. Tilsvarende kan programmet sættes til kun at sende data over wifi.

Det betyder, at den overvågede person vil få sværere ved at opdage spionprogrammet, fordi aflytningen bruger mindre strøm og data.

Spionprogrammet benytter sig også af obfuskering af programkoden for at skjule sin reelle funktion, ligesom flere funktioner holder øje med tegn på, at brugeren forsøger at lede efter programmet. Hvis der eksempelvis bliver installeret et program, som opfanger netværkspakker i forsøg på at opdage aflytning, kan spionprogrammet sætte sig selv på standby for at undgå at blive opdaget.