Monthly Archives: June 2014

Teleindustrien overvejer at lægge sag an mod regeringen efter ministeriet har erkendt at logningsloven var ubrugelig i politiets efterforskning. Det skriver Politiken.

»Man tager nu konsekvensen af, at reglerne helt åbenlyst har været ubrugelige, og det er glædeligt. Men i 2012 oplyste man, at sessionslogningen havde været ubrugelig, siden reglerne blev indført i 2007, så hvorfor har man ikke taget konsekvensen for lang tid siden? Vi vil overveje muligheden for at anlægge en erstatningssag,« siger Jakob Willer, direktør i Teleindustrien, til Politiken.

Siden 2007 er det nemlig blevet pålagt teleindustrien at logge danskernes internet adfærd. Det har resulteret i at danske teleselskaber har skullet gemme på enorme mængder af data, hvilket har kostet industrien omkring en halv milliard kroner. Loven er nu blevet sløjfet igen, da regeringen nu har erkendt, at den faktisk ikke er brugbar for politiet, som den ellers var tiltænkt.

Men allerede i december 2012 kunne Justitsministeriet konkludere i en redegørelse til Folketinget, at sessionslogningen slet ikke blev brugt at politiet. Ministeriet mener dog ikke, at det udløser noget krav om erstatning.

»Erhvervslivet har efter Justitsministeriets opfattelse ikke krav på erstatning i anledning af reglerne om sessionslogning«, lyder det fra ministeriet, der uddyber:

»Det fremgik også af redegørelsen i december 2012, at der var grund til optimisme vedrørende de fremtidige anvendelsesmuligheder, bl.a. fordi flere internetudbydere var begyndt at foretage sessionslogningen på en for politiet mere brugbar måde. På den baggrund afviste daværende justitsminister Morten Bødskov i foråret 2013 at afskaffe sessionslogning. I forbindelse med analysen af EU-Domstolens dom om logningsdirektivet har Justitsministeriet haft anledning til at gennemgå reglerne på ny, og ministeriet har fundet, at det på nuværende tidspunkt er så tvivlsomt, om reglerne om sessionslogning er egnede til at opfylde deres formål, at det rigtigste er at ophæve dem«, lyder det fra Justitsministeriet i en mail til Politiken.

Loven er ikke en eneste gang blevet brugt i en sag mod en kriminel.

I et forsøg på at lukke for botnettet Gameover ZeuS har FBI i samarbejde med Europol og det britiske politi koordineret en række anholdelser på bagmændene bag botnettet. Det skriver Krebs on Security.

Gameover ZeuS-botnettet har inficeret mellem en halv og en hel million Windows computere. De inficerede computere bliver høstet for følsomme finansielle og personlige oplysninger. Derudover bliver botnettet lejet ud til at udsende spam og lignende aktiviteter.

Gameover-botnettet er baseret på kode fra ZeuS-trojanen, en berygtet familie af malware, der er anvendt i utallige online bankrøverier. ZeuS er normalt blevet solgt til hvem som helst med et par tusinde dollar, men Gameover-udgaven har siden oktober 2011 været under kontrol af en gruppe hackere i Rusland og Ukraine.

Ifølge det amerikanske Justitsministerium har hackerne stjålet for omkring 100 millioner dollar eller omkring 550 millioner danske kroner. Derudover er botnettet blevet til at låse ofres computere, for derefter at forlange en løsesum for at låse den op igen.

Ofre af malwaren kan læse her, hvordan den kan fjernes igen.

Min bloggerkollega Peter Toft har begået et lille indlæg som der er kommet en del diskussion omkring, se det på
http://www.version2.dk/blog/nemid-overholder-ikke-den-centrale-mail-rfc-…

Diskussionen går i starten på at NemID ikke har en abuse@nemid.nu som ellers vil gøre det nemt at rapportere eventuelle problemer. Check gerne at din organisation har tilsvarende:

• abuse@domain.tld – diverse sikkerhedsproblemer kan rapporteres her
• postmaster@domain.tld – problemer med aflevering og afsendelse af post
• webmaster@domain.tld – web siden har en fejl, problemer med webserver hertil
• hostmaster@domain.tld – kontakt for problemer der relaterer sig til domæneregistrering mv.

Dette er nedfældet i RFC 2142 MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS
https://www.ietf.org/rfc/rfc2142.txt og jeg bruger det selv på mit private domæne. Dette dokument er forøvrigt fra May 1997 og således +15 år gammelt – og en rigtig god ide.

I den relativt gode diskussion der kom under Peters indlæg kommer der for mig nogle centrale punkter frem, tak Casper for at bringe emnet højere op.

http://www.version2.dk/blog/nemid-overholder-ikke-den-centrale-mail-rfc-…

Det her synes jeg er at gå i liiidt for små sko. Jeg tror vi alle der arbejder med IT er enige om at Nemid er en lorte løsning.

Men nu er den her, og vi må leve med den.

Som IT folk i DK synes jeg faktisk, vi især har en særlig pligt til at værnne om vores lands IT mæssige infrastruktur. På den måde biddrager vi til at resten af DK får så god en serivce fra fx. nemid som muligt, til trods for hvad vi må synes om den.
…

Jeg er specielt glad for at vores pligt til at hjælpe med den viden vi har, det er noget jeg selv ynder at bringe på bordet. Jeg taler for at vi skal samarbejde, gerne på kryds og tværs og blandt konkurrerende firmaer – så vi tilsammen får en god og sikker infrastruktur i Danmark.

Hvis du har viden der kan hjælpe IT-sikkerheden i Danmark eller evner som direkte eller indirekte forbedrer Danmark (og verden) kom frem, IT-sikkerhed uden grænser.

I den konkrete situation stiller jeg dog krav om at firmaer liiiiiiiige gør sig lidt umage og opretter en email adresse abuse@ – hvis de ikke selv kan så findes der nok en Microsoft konsulent der har stort kørekort til Exchange.

fra samme kommentar spørges der også direkte:

Betyd det Henrik Kramshøj at næste gang, hvis den kommer, at du falder over noget ingen andre har set, der truer danske borgere i at bruge nemid, så vil du ikke rapportere det fordi nemid ikke har en abuse@ mail adresse? For hvis du sidder og arbejder med, hvad jeg tror du arbejder med, så er det sku ikke godt for alle os andre…

Den er faktisk svær, og et dilemma som er Mads og Monopolet værdigt. Specielt trigger det mig når Casper tidligere skriver “Men nu er den her, og vi må leve med den.” Må vi det?

Hvis jeg gerne vil beskytte Danmark mod trusler, som jeg pr default gerne vil, skal jeg så beskytte NemID eller er jeg villig til at ofre det med en effektiv aflivning – hvis jeg fik chancen? -

Hvis jeg sad med en bombe der med et kunne gøre NemID ubrugeligt, så alle logins fra imorgen ikke ville virke, ville være usikre, jeg kunne spoofe hvem som helst, noget der fik hele korthuset til at falde … hvad ville jeg gøre.

eller hvad BURDE jeg gøre?

Burde jeg følge responsible disclosure, som har været diskuteret i så mange år at det næsten er forældet og ikke altid bruges mere, eller er det ansvarlige og bedste for Danmark ikke at vi afliver dyret udfra konklusionen om at vi ikke fortsat vil acceptere og leve med NemID i sin nuværende allerede kompromitterede og kompromitterende form.

Her vil jeg indsætte min mening, lidt senere idag – skal vi sige ca. kl ~15:00, men skal vi ikke gøre det lidt sjovere, hvad ville du gøre hvis du sad med viden der kunne smadre NemID fuldstændigt? smide det i den virtuelle shredder eller offentliggøre det? Ville du turde smide det ud i offentligheden med dit navn som afsender?

< < < < placeholder opdateret kl 14:36 – dette er skrevet imorges i toget >

NemID er en katastrofe på alle niveauer og det eneste rigtige at gøre hvis man sidder med en bombe om systemet er at smide den ud til offentligheden uden ophold. Uanset at alle logins og dermed alle borgere ville risikere datatab, utilgængelighed og tab af fortrolighed er det en rimelig og afbalanceret måde at aflive systemet.

Hov, afbalanceret når det kan give tab af data for millioner af mennesker og nødløsninger vil koste millioner af kroner?! Ja, faresignalerne har været der fra starten, kritikken er blevet undertrykt, ansvaret er hvor ansvaret bør være og derfor er der ikke en valid grund til at tilbageholde eventuel information.

Ville jeg poste med mit eget navn? Nej, jeg ville ikke per default gøre det med mit eget navn hvis det kunne undgås – specielt grundet erstatningskrav ville det være en juridisk kamp som ville have ekstreme konsekvenser, så jeg ville nok først poste og dernæste lodde stemningen, sorry. Hvis det ikke kunne undgås ville jeg formentlig poste aligevel, og gå kampen imøde.

(PS jeg vil altså ikke have skylden for alle fremtidige anonyme post, just for the record )

> >

Nedenstående også nyt, skrevet ca 14:40
Jeg tænkte på forslaget med at vente til imorgen, men formoder ikke dette rammer de almindelige aviser, og jeg synes alle de gode svar fra andre fortjener mit input. Der kommer nogle interessante svar!

Jeg bemærker at mange IKKE tror det vil hjælpe meget at kontakte NemID – og det er i sig selv ret alvorligt. Jeg er selv kæmpe fan af Panton eksempelvis og PHK – så hvis deres oplevelser er så ringe, så lover det jo ikke godt for fremtiden for NemID! Jeg føler mig også bekræftet i at det ville være sundt for Danmark om det blev skudt ned, og en fair warning på 30 dage ville jeg også klart overveje – selvom det ville fjerne den statement det er at man har ignoreret advarsler igennem snart mange år.

Yderligere svar fra mig vil være nedenfor i debatten, ses dernede!

Casper Bang, der tidligere på året blev kendt som manden bag en app, der gør det muligt at afkode data direkte fra et rejsekort, har indgået et officielt samarbejde med Rejsekort A/S. Det udløser blandt andet adgang til informationer, han tidligere skulle gætte sig til.

App’en Rejsekort Scanner gør det kort sagt muligt at læse sådan noget som, hvorvidt kortet er tjekket korrekt ind eller ud, og hvor det er foregået henne. Og så kan den vise, hvad kortets aktuelle saldo er. For at app’en fungerer, kræver det, at telefonen har en NFC-chip, der er kompatibel med rejsekortets MiFare-teknologi. Det vil typisk sige, at chippen skal komme fra NXP.

Ud over mindre gætværk så følger der med det formelle samarbejde også en økonomisk kompensation for den tid, Casper Bang bruger på Rejsekort Scanner. Men med samarbejdet følger også en såkaldt NDA. Det står for Non Disclosure Agreement og betyder, at det er begrænset, hvad Casper Bang umiddelbart må videregive af informationer fra sit samarbejde med Rejsekort A/S.

Selvom NDA’en strider mod den selvbestaltede rejsekort-udviklers grundholdning til åbenhed, så er han overordnet godt tilfreds med aftalen.

»Jeg har egentlig ikke fortrudt det. Og jeg har heldigvis ikke fået så meget mudderkast for det. I min optik kan jeg godt li’, at tingene er åbne. Jeg har svært ved at se, man får noget ud af at lukke det,« siger han og fortsætter:

»En af forskellene er, at jeg kan ikke gøre det open source længere, det må jeg så bare leve med. Førhen gik jeg og legede med tanken om, at andre end mig kunne tage over, nu står jeg selv for det,« siger Casper Bang.

Helt overordnet set er han dog positiv over for den imødekommenhed, som Rejsekort A/S har udvist over for hans uformelle app-arbejde. I den forbindelse henviser han til en anden gør-det-selv-udvikler, Christian Panton, der havde lavet sin egen udgave af NemID i en JavaScript-version, hvilket fik en mindre varm modtagelse af virksomheden bag, Nets.

»Jeg er bare glad for, de ikke er kommet efter mig, som de gjorde med Christian og NemID. Der er en relativt stor forskel i tilgangen,« siger Casper Bang.

I forhold til samarbejdet med Rejsekort A/S er der nogle helt konkrete plusser set med udviklerbriller. Eksempelvis har Casper Bang i forbindelse med et af de indledende møder, inden samarbejdet kom helt på plads, fået udstukket et datasæt, der kobler id-numre fra standere med stationer.

Den kobling havde han tidligere givet sig i kast med at foretage via crowdsourcing. Det foregik kort fortalt ved at finde stationer i nærheden ud fra telefonens GPS. Brugeren vælger den rigtige station, som efterfølgende bliver parret med det id, standeren udsender i forbindelse med tjek ind eller ud, og som er knyttet til stationen. Herefter kan app’en fremover lave et opslag baseret på oplysningerne, og brugerne kan se navnet på den station, de er tjekket ind eller ud på i kort-historikken.

Men med datalisten fra Rejsekort A/S er hele den del af Rejsekort Scanner en saga blot.

»Det betød, at mit program lige pludselig blev halvt så stort,« siger Casper Bang.

Samarbejdet med Rejsekort A/S har også resulteret i en teknisk beskrivelse af de data, der ligger på kortet. Tidligere har Casper Bang ikke haft adgang til en sådan beskrivelse, og derfor har han forsøge sig frem for at finde ud af, hvad der gemmer sig bag de enkelte dataelementer på kortet. Også kaldet reverse engineering. Men det er heller ikke længere nødvendigt med den nye beskrivelse. Casper Bang skal dog først lige have kigget nærmere på den, før det bliver omsat til yderligere features i Rejsekort Scanner.

»Det er ret teknisk og svært at komme igennem. Det har jeg ikke brugt til noget endnu, det forventer jeg at gøre.«

Han forventer, at den tekniske beskrivelse vil resultere i, at app’en kan give flere og mere præcise detaljer om rejsen. Eksempelvis hvorvidt der rejses med cykel på den elektroniske billet, om den er til 1. klasse etc.

»Lige nu kigger jeg på en historik på kortet. Men med den dokumentation, jeg har fået udleveret, der kan jeg se, hvordan man læser selve de elektroniske billetter. Så det er en anden måde at gøre det på, som både er mere detaljeret og formentlig også mere korrekt.«

Ud over at kunne give flere detaljer om den konkrete rejse vil Casper Bang også gerne have føjet en feature til, så det bliver muligt for app-brugerne at se, hvor meget rejsen vil koste, når de påbegynder den. Men det er lettere sagt end gjort. For at beregne prisen er der nemlig et hav af takstzoner og indbyggede rabatordninger at tage hensyn til.

»Jeg er bange for, det ikke kan lade sig at lave den feature, jeg gerne vil. At oplyse en pris herfra og hertil. Det er ikke nok at kende et koordinat på kortet, man skal have alle detaljer omkring forretningslogikken, og på det punkt er jeg stadig udenforstående.«

Som eksempel på, hvad han mener med forretningslogikken, henviser Casper Bang til et blogindlæg fra Version2-blogger Martin Frederiksen med titlen ‘Rejsekortets prismodel bør gøres strafbar’. Det handler blandt andet om, hvorledes rabatter bliver udregnet ved brug af rejsekortet.

»Lad mig bare sige, at det med forretningslogikken, det er ikke nemt. Heller ikke, selvom jeg har fået udleveret nogle ting,« siger Casper Bang.

Selvom Casper Bang indledte det formelle samarbejde med Rejsekort A/S omkring midten af april, så har hans primære fokus siden da ikke været på at implementere nye funktioner som følge af de yderligere ressourcer, han har fået adgang til.

»Jeg har brugt en del tid på at stabilisere tingene. Jeg skal sikre mig, at nye fejlrettelser ikke skaber andre fejl. Det, man kalder regressioner.«

Ud over adgang til tekniske rejsekort-specifikationer så har Casper Bang som sagt også fået en økonomisk kompensation ud af samarbejdet med Rejsekort A/S. Det er dog ikke noget, han bliver rig af, fortæller han.

»Jeg har et fuldtidsjob ved siden af. Så nej, det gør jeg ikke. Men det er rart at blive kompenseret for de mange timer, man har brugt om aftenen og om natten,« siger han.

Ud over den direkte økonomiske gevinst er der de ting, der er svære at gøre op i kroner og øre. Casper Bang fortæller, at han som følge af arbejdet med Rejsekort Scanner har fået udvidet sit netværk, fået noget mere at putte på cv’et, og så har han fået tilbudt flere mindre udviklingsopgaver, som han håndterer via det firma, han har startet op ved siden af sit faste arbejde.

»Så har jeg noget at hægte det over på. Jeg har aldrig haft firma før, nu er chancen der for at prøve noget nyt, det er meget sjovt,« siger Casper Bang.

Han har skrevet om flere af de tekniske detaljer i forbindelse med udviklingsarbejdet med rejsekort-app’en på bloggen BangBits