Monthly Archives: June 2014

Rejsekort: Kravspecifikation fra 2003 tog ikke højde for at skulle skifte betalingskort

Det tager tre dage at skifte det betalingskort, man bruger til automatisk optankning på sit Rejsekort, og den besværlige proces bliver først ændret ved udgangen af året, skriver DR.

Lige nu skal man først afmelde sin gamle aftale, dernæst skal man foretage en ind- og udtjekning på en station, og først derefter kan man oprette en ny aftale. Mellem hvert trin skal man vente 24 timer.

Den møjsommelige proces er resultatet af, at der ikke blev taget højde for, at det skulle være nemt at skifte betalingskort, da Rejsekortet blev designet.

»Rejsekortet er oprindeligt kravspecificeret i 2001 og 2003, og en lang række af de ting vi ser på internettet i dag, det var jo ikke sådan, det var, hvis vi går der tilbage,« siger direktør Bjørn Wahlsten fra Rejsekort A/S til DR.

Rejsekort A/S forventer at være klar med en ny løsning til ændring af optankningsaftaler til nytår.

Posted in computer.

Kikset kryptering gjorde det nemt at afsløre alle New York-taxaers kørsel

Ideen var ædel – at lægge indsamlede data om taxakørsel i New York ud offentligt, så andre kunne få glæde af disse unikke informationer.

Men et forfejlet forsøg på at anonymisere, hvilke taxaer og chauffører, der har kørt hvilke ture, har gjort at New Yorks bystyre nu er endt med en data-skandale, som kan bruges til at kortlægge chaufførernes præcise færden.

Det skriver udvikleren Vijay Pandurangan i en længere artikel, der er blevet taget op af blandt andet sikkerhedsguruen Bruce Schneier.

Dataene for taxanummer og chaufførnummer blev kørt igennem en MD5-hash-funktion, før de blev offentliggjort, for hvis hashingen var gjort rigtigt, ville det være umuligt at oversætte hash-værdierne tilbage til de oprindelige data.

Problemet var bare, at både taxanumre og chaufførnumre følger bestemte skabeloner, så der var til sammen kun 24 millioner forskellige muligheder for begge værdier. Det tog kun to minutter at beregne hash-værdierne for de 24 millioner muligheder, og med en klynge på 10 computere tog det under en time at parre dem med dataene. Dermed var anonymiseringen helt brudt.

Den rigtige løsning, der ville have beskyttet taxachaufførernes identitet og færden, ville have været at bruge et ’salt’, altså at udvide hvert datasæt med hver sin tilfældige værdi. New York by kunne også have krypteret dataene med AES og bruge en nøgle, som kun de selv kendte.

MD5 er i øvrigt ikke længere en sikker funktion, men det var ikke svaghederne i MD5, som blev brugt til at knække nødden her, men svagheder i måden den blev brugt på.

Posted in computer.

Blog: Historiske IT success/katastrofer

Der existerer en konference for historisk IT i de nordiske lande, “HiNC” og den når til Danmark d. 13-15 august.

Det er ret fantastisk hvor vidt omkring programmet kommer, fra megasuccessen CPR over “APL i de nordiske lande” til gigantfiaskoen EPJ.

Jeg er godt klar over at det ikke er alle der deler min lidenskab for IT historie, men jeg vil gerne anbefale konferencen, specielt til dagspressens journalister der dækker IT stoffet men sjældent aner en disse om hvordan vi endte ude midt i spinatbedet.

Vel mødt.

phk

Posted in computer.

Tyskland træt af NSA: River Verizon-kontrakt i stykker

Den tyske regering har besluttet sig for at ende en kontrakt med den amerikanske telegigant Verizon, da regeringen simpelthen frygter, at Verizon giver NSA adgang til at overvåge tysk telekommunikation.

Det skriver ABC News.

Verizon har ellers i mange år leveret internetservices til en række forskellige ministerier under de skiftende tyske regeringer, men nu er der altså blevet sagt stop.

Værd at bemærke, har de tyske efterretningsagenturer dog ikke stoppet samarbejdet med Verizon, skriver ABC.

Mediet skriver endvidere, at den tyske administration i længere tid har overvejet at droppe samarbejdet, mens Edward Snowdens lækager endegyldigt skulle have bekræftet tyskerne i den overvejelse.

Afsløringerne viste som bekendt, at NSA skulle have overvåget selveste kansler Angela Merkel.

»Der er indikationer på, at Verizon er juridisk bundet til at udlevere bestemte ting til NSA, og det er en af årsagerne til, at samarbejdet med Verizon ikke fortsætter,« lyder det fra en regeringsrepræsentant.

Samarbejdet ophører ifølge ABC i 2015.

Posted in computer.

Nu er Google begyndt at glemme

Torsdag begyndte Google at fjerne resultater fra sin søgemaskine som følge af EU-Domstolens kendelse, der betyder, at personer skal have ret til at efterspørge sletning af søgeresultater, der dukker op, når man googler sit eget navn.

Det skriver The Wall Street Journal.

Hen over natten til torsdag opdaterede Googles ingeniører selskabets tekniske infrastruktur for at begynde at kunne implementere fjernelserne, og torsdag begyndte Google at sende de første e-mails ud til personer for at informere dem om, at de links, de havde bedt om at få fjernet, var i gang med at blive taget ned.

Google skal have hyret et særligt hold, der udelukkende vurderer, hvornår en henvendelse er alvorlig nok til at fjerne et resultat fra søgemaskinen.

»Det her er en ny proces for os. Hver henvendelse skal vurderes individuelt, og vi arbejder så hurtigt som muligt på at komme gennem køen,« lyder det fra en af Googles talsmænd ifølge The Wall Street Journal.

Og det er ikke en lille kø, de skal igennem. For en måned siden havde Google modtaget 41.000 henvendelser fra europæere, der havde hørt om EU-Domstolens nye kendelse og derfor via webformularer anmodede om at få slettet dele af sig selv fra nettet.

Læs også: Ny EU-dom tvinger Google til at fjerne uønskede søgeresultater

Googles hast med at fjerne folk fra deres søgeresultater er et direkte resultat af en klage fra den spanske mand Mario Costeja González, der i fem år kæmpede mod Google for at få dem til at fjerne søgeresultater, som viste, at han havde været i stor gæld.

Efter den langvarige juridiske kamp lykkedes det Mario Costeja González at vinde sagen ved EU-Domstolen, der altså tvinger Google til at tage hensyn til sådanne henvendelser fra europæiske borgere.

Ifølge The Wall Street Journal skulle det netop være de centrale søgeresultater for Mario Costeja González, som Google skulle have fjernet som de første.

Posted in computer.

IT-Branchen: Lad os copy-paste fra den engelske it-indkøbs-revolution

Englænderne har ramt noget helt rigtigt i deres nye måde at køre statslige it-projekter og it-indkøb på – og det skal Danmark i den grad lære af.

Sådan lyder det fra it-leverandørernes organisation IT-Branchen, som meget gerne vil arbejde videre med erfaringerne fra England. Det skal blandt andet ske på et møde med alle parter, for at se på hvordan man får overført den engelske succes til Danmark.

»Der er virkelig grund til at dykke ned i de erfaringer, de har gjort i England, for det er den helt rigtige retning, de er gået i. Så vi vil efter sommerferien samle it-indkøbere fra den offentlige sektor og it-leverandører og diskutere, hvordan vi kan overføre det til en dansk kontekst,« siger Morten Bangsgaard, direktør for IT-Branchen, til Version2.

Den britiske stat har droppet de gamle dogmer med store udbud, tykke kravspecifikationer og vandfaldsmodeller, som gik galt. De seneste år har briterne været igennem en stor omvæltning og indført helt nye måder at køre statens it-indkøb og it-projekter på. Sidste år gav det en besparelse på fem milliarder kroner i forhold til tidligere, alene fordi mindre virksomheder nu også kunne byde ind på opgaver og dermed skabe større konkurrence.

Læs også: Sådan åbnede den engelske stat for små it-leverandører – og sparede 5 milliarder

Og det er resultater, som gør indtryk i Danmark, hvor diskussionen om bedre måder at handle it på har været i gang i årevis.

»Nu vil vi bruge sommeren på at se på de engelske erfaringer, for det ser meget interessant ud. Jeg er overbevist om, at vi kan bruge det hele eller dele af det i Danmark, så vi skal vurdere, om man kan lave en ren copy-paste eller om det skal være en mere dansk model,« siger Morten Bangsgaard.

Der er brug for en brækstang

Hos organisationen Dansk IT har man også i årevis talt for at bryde med den danske duksetradition, som har givet så mange problemer gennem årene. Men det er ikke nemt lige at ændre, siger formanden for Dansk IT’s udvalg om it i den offentlige sektor, Ejvind Jørgensen, som til daglig er direktør i Rambøll Management.

»Der er ingen tvivl om, at der er for store friktioner i den måde, vi indkøber på. Danmark lider meget under, at vi fortolker udbudsreglerne meget rigidt. Vores udbudspraksis er et issue, vi har, som ikke gør det nemt for os. Vi har brug for en brækstang til at ændre det,« siger Ejvind Jørgensen til Version2.

For selvom man måske ændrer på reglerne og indfører nye udbudsprocesser, vil mange stadig hænge fast i den gamle måde at tænke på, vurderer han.

»En ny udbudslov er på vej og kan hjælpe på det her – men det er ikke nok. Det kræver også en mental revolution. Og så skal der være politisk vilje til at sige, at hvis vi for alvor vil rykke, bliver vi nødt til at gøre det på nye måder,« siger Ejvind Jørgensen.

Han peger på, at statens it-chefer meget gerne vil have mere fleksible måder at købe ind på. I undersøgelsen IT i Praksis, som Dansk IT gennemfører hvert år sammen med Rambøll Management, er øget dialog og fleksibilitet mellem kunde og leverandør topscorer på spørgsmålet om, hvad der kunne gøres bedre i it-projekterne. Og det er især de organisationer, som har it-succes, som peger på dette punkt.

Læs også: Storbritannien ruller NemID-pendant ud – men med indbygget privacy

Posted in computer.

Slut med at taste passwords hele tiden: Sådan får du fremover adgang til Google




Vi er alle vant til hele tiden at skulle indtaste passwords på alle muligheder enheder. Men det skal være slut nu, mener Google.

Selskabet er klar med en række forskellige metoder og teknologier, der skal skrue gevaldigt ned for det antal gange, hvor vi dagligt bliver afkrævet passwords.

Den næste version af Android vil således komme til at indeholde flere forskellige metoder til at åbne en smartphone uden først at skulle indtaste en PIN-kode eller lignende.

Den mest markante nye funktion kalder Google for ‘personal unlocking.’

Her vil brugerens Android-telefon via Bluetoogh-forbindelsen automatisk låse op, hvis brugeren bærer et Android-smartwatch om håndledet.

Ligeledes vil det blive muligt at indstille telefonen til at kunne huske ‘sikre områder’ som eksempelvis hjemmet eller kontoret, så telefonen automatisk låser op, når den ankommer til disse steder.

Også Chrome OS-computere vil automatisk kunne låse op uden brug af PIN-kode, hvis de kobles sammen med en Android-telefon, som er åben, ligesom der straks og uden krav om indtastnings af nyt password vil blive givet adgang til brugerens Google-konto.

Chromecast
Google har udviklet et selvstændigt system til at undgå indtastning af alle de passwords til Chromecast.

Her vil gæster – altså venner, familie eller lignende i samme lokale – blive i stand til at overføre videoer og lignende direkte til brugerens enheder uden at der er brug for at koble sig op på et password-krævende WiFi-netværk.

Ifølge Google vil overførslen ske via en såkaldt ultrasonisk kode, som sendes til telefonen for at registrere, om den er i samme lokale som Chromecast.

Minimerer brugen
De nye funktioner fjerner ikke brugen af password, og det er heller ikke ideen.

Den er snarere at minimere det antal gange, hvor brugeren afkræves det samme password igen og igen.

Ifølge Google vil det faktisk kunne føre til bedre sikkerhed, da det måske kan føre til, at folk begynder at anvende forskellige password på deres enheder fremfor – som det ofte er tilfældet i dag – det samme password på alle enheder.

Også Apple er i gang med at kigge på metoder til at minimere antallet af krævede password.

Blandt andet har Apple lanceret fingeraftryks-sensoren TouchID i iPhone 5S, der her dog kun kan anvendes til at åbne telefonen og købe ind i iTunes.

I den kommende iOS 8 vil TouchID imidlertid blive åbnet for tredjeparts-udviklere.

Læs også:

Sådan får du skudsikre passwords til mail og Facebook.

Galleri: Her er Googles nyheder – er på vej til dig.

Er Google ved at miste interessen for disse store projekter?



Posted in computer.

Danske iværksættere satser stort i cloud-kamp mod Dropbox





Du skal være villig til at brænde penge af, hvis du vil kæmpe mod de store.

Det har det danske cloud-firma Soonr erfaret.

Den danske virksomhed tilbyder en Dropbox-lignende cloudløsning til erhvervskunder, og i øjeblikket befinder den sig i en drabelig konkurrence med store virksomheder som Dropbox, Box, Google og Microsoft, der er klar til spendere enorme summer for at sikre sig herredømmet over markedet.

“Der er nogle store spillere på markedet, som har meget dybe lommer,” konstaterer Steven Ray Boye, der er teknologi-direktør for Soonr og i 2005 var med til at stifte virksomheden.  

Konkurrencen med teknologigiganterne betyder ifølge Steven Ray Boye, at selv om Soonr i dag har 150.000 betalende kunder, bruger virksomheden alligevel flere penge, end den tjener.

Soonr står groft sagt med to valg: Den kan satse på at skabe sorte tal på bundlinjen gennem langsom vækst og et stabilt omkostningsniveau, eller den kan gå i offensiven og forsøge at erobre markedet. 

Soonr har valgt den sidstnævnte løsning.

“Vores investorer siger, at vi skal gå mere aggressivt efter at sælge og forbedre produktet, og det kræver, at vi opruster og accelererer vores udvikling,” siger Steven Ray Boye. 

Vil øge medarbejderstaben
Virksomheden har i dag omkring 50 ansatte ligeligt fordelt ud over tre lokationer i Danmark, Californien og Slovakiet.

Alle tre steder forventer virksomheder at øge medarbejderstaben i den kommende tid.

I Danmark har virksomheden i øjeblikket slået fire nye it-job op, mens virksomhedens californiske afdeling står over for at flytte til et nyere og større kontor i Silicon Valley-byen San José.

“Hvis vi ikke havde besluttet os for at hyre flere folk, havde vi nok været profitable i dag. Men lige nu er det vigtigere at skabe vækst end overskud. Vores mål er at skabe en virksomhed, der har værdi, en masse brugere og en stor omsætning,” lyder det fra Steven Ray Boye.

En tankegang, der ifølge Steven Ray Boye afspejler en investerings-tankegang, som i høj grad findes i Silicon Valley, hvor Soonr også har hentet sine investeringer hos virksomheder som Intel, Cisco og investeringsfirmaet Highbar Partners.

“Soonr er ikke en traditionel dansk virksomhed, der først bruger en krone, når den har tjent den. I finansieringsmæssig forstand er Soonr nok mere en traditionel amerikansk tech-virksomhed, der investerer for at skabe vækst og være på forkant med markedet,” siger han.


Artiklen fortsætter på næste side…


Posted in computer.

Open source-sårbarhed omsider lappet efter 20 år




Efter 20 år er en sårbarhed i kompressions-algoritmen Lempel-Ziv-Oberhumer (LZO) omsider blevet lappet.

Det har taget så længe at få hullet lukket, fordi koden har flydt rundt i udvikler-miljøet, hvor den er blevet genbrugt igen og igen.

Det betyder, at sårbarheden i årevis har været særdeles udbredt i eksempelvis massevis af open source-libraries, Android-telefoner, Samsung-telefoner og en række andre enheder.

Den anvendes i eksempelvis det amerikanske rumfarts-agentur Nasas Mars-robot, OpenVPN, Mplayer2, FFmpeg og Linux-kernen, mens varianten LZ4 anvendes til kompression i Solaris’ ZFS, Apaches Hadoop samt FreeBSD.

Kompressions-algoritme
LZO-algoritmen blev skrevet i 1994 af Markus Oberhumer. Det er en kompressions-algoritme, der sætter skub i hastigheden i en række funktioner.

Algoritmen er mest anvendt i applikationer til video-transmissioner eller lignende, hvor der er behov for at sende store billed-filer.

Sårbarheden er blevet opdaget af sikkerhedsmanden Don Bailey efter en manuel gennemgang af hele koden.

“På grund af den stigende popularit er LZO blevet omskrevet af masser af udvikler-firmaer med henblik på både lukkede og åbne systemer. Disse omskrivninger har imidlertid altid været baseret på Oberhumers open source-implementering. Det betyder, at de alle har arvet sårbarheden,” skriver Don Baily i en blog-post.

Her skriver han også, at stort set det samme hul i koden er blevet overført til LZ4.

Ifølge Don Bailey gør sårbarheden, at koden er åben, når der afvikles en Literal Run.

“Ved at angribe denne funktionalitet kan en hacker få adgang til data, der kan udnyttes til at overtage kontrollen over applikationer. Det giver potentielt mulighed for at kompromitere systemet,” lyder det fra Don Bailey.

Hackere kan eksempelvis få adgang via skannere og lignende.

Langt de fleste af de ramte open source-distributioner, der anvender LZO og LZ4 er opmærksom på sårbarheden og er i fuld gang med at implementere rettelser. Du kan læse om deres patches her.



Posted in computer.

Blog: Blog-politik på bredbåndsområdet





I september 1999 blev det fortsat gældende teleforlig indgået blandt en række politiske partier på Christiansborg. Jeg har tidligere blogget om forliget og dets åbenlyse mangler. Siden da er det dog kun blevet endnu mere tydeligt, at teleforliget – som det står i dag – gang på gang kommer til kort, når det gælder om at løse bredbåndsudfordringerne i Danmark anno 2014 og frem.

En lang række interessenter har påpeget behovet for et nyt forlig, og nogle har endda sendt en direkte opfordring til erhvervs- og vækstministeren om, at sætte sig i spidsen for en proces, hvor forliget bliver bragt fra fortiden og op til nutiden.

Blandt aktørerne som har efterspurgt et nyt forlig er Dansk Energi, Dansk IT, Forbrugerrådet, Landbrug & Fødevarer, Dansk Erhverv, Håndværksrådet, Dansk Metal, Landdistrikternes Fællesråd, Foreningen af Kommunale IT-chefer og KL.

Et forlig skal skabe stabile rammer for investeringer

For enhver branche som investerer milliarder – og for samfundet som helhed – er brede politiske forlig at foretrække. De sikrer en stabilitet i de rammevilkår, som ligger til grund for investeringerne og som på det digitale område, skal sikre udbredelsen af en digital infrastruktur i verdensklasse – i hele landet.

Samtidig skal politiske forlig være med til at fremme udviklingen af det område forliget vedrører. Ellers er forliget næsten per definition uden værdi.

Derfor er det også en skam, når erhvervs- og vækstministeren giver udtryk for, at det nugældende teleforlig ikke “er en barriere for, at vi kan fremme en moderne og tidssvarende bredbåndsinfrastruktur” i Danmark.

Det er nemlig ikke et spørgsmål om, hvorvidt forliget er en barriere og står i vejen for noget, men hvorvidt forliget fremmer udviklingen. Og gør forliget så det – fremmer udviklingen?

Eksempler hvor teleforliget står af

For at besvare det spørgsmål kan man blot se nærmere på den politik som er ført på bredbåndsområdet den seneste tid og hvorvidt det har kobling til teleforliget.

I 2013 blev der iværksat to tiltag, som har til hensigt at fremme bredbåndsudviklingen, blandt andet der hvor markedskræfterne er udfordret.

I Vækstplan DK fra februar måned 2013 blev der afsat 60 mio. kr. til at sikre bedre bredbånd på Bornholm. Årsagen: regeringen konstaterede, at bredbåndet på Bornholm var ringere end i andre dele af landet. Millionerne til Bornholm havde intet med teleforliget at gøre, og udmøntningen af midlerne er ikke forankret i teleforligskredsen, men forankret i kredsen bag Vækstplan DK.

En af årsagerne hertil er, at teleforliget ingen rettesnor giver, når det gælder om at rette op på områder, hvor markedskræfterne ikke slår til.

I juni måned 2013 indgik regeringen og KL så en aftale om kommunernes økonomi for 2014, og i den aftale blev der etableret en lånepulje på 50 mio. kr. til bedre bredbånd i land- og yderkommunerne. Heller ikke dette tiltag har noget med teleforliget at gøre. Det er alene baseret på en aftale mellem regeringen og kommunerne.

Igen giver teleforliget ingen svar på, hvorvidt og hvordan kommunerne skal og kan spille en aktiv rolle for at fremme bredbåndsudviklingen. Senest har det vist sig, at kommunerne per 1. maj 2014 har søgt mere end 3 gange så mange midler i lånepuljen, som oprindeligt afsat. Mere præcist 161 mio. kr.

Derudover er der regeringens bredbåndsplan fra marts 2013. Planen består af en række glimrende initiativer, som fremmer bredbåndsudviklingen i Danmark, men ej heller den plan binder teleforligskredsen, da det ene og alene er regeringens plan.

Teleforliget på Nationalmuseet

I dag ligger opfølgningen på teleforliget solidt plantet på Nationalmuseet sammen med en ældgammel computer. Som et symbol på fortidens spæde digitale udvikling. Slå endelig vejen forbi, næste gang du er på de kanter, og tag eventuelt en selfie.

Måske det var på tide at få lavet et forlig som ikke er museumsegnet, for på museer er det per definition ikke fremtiden der ligger til skue – men fortiden.

Og én ting er helt sikker.

Vi får ikke udbredt en digital infrastruktur i verdensklasse på et politisk fundament fra år 1999, og blokpolitik på bredbåndsområdet gavner ingen.

Posted in computer.