Daily Archives: July 9, 2014

Flere eksperter Version2 har talt med forstår simpelthen ikke, hvordan CSC kunne have en server stående, som ikke var krypteret.

»En intern server bør være krypteret. Især hvis den ligger inde med følsomme oplysninger,« siger Lars Ramkilde Knudsen, forsker i kryptologi og sikkerhed ved DTU Compute.
»Kryptering er ikke nogen ny opfindelse, og hvis det passer, at CSC ikke havde krypteret sin FTP-server, er det simpelthen både for dumt og for dårligt,« siger han til Version2.

CSC besidder en stor mængde data om danskerne, og Lars Ramkilde Knudsen finder det bestemt ikke betryggende, hvis virksomheden ikke har mere styr på sikkerheden.

»Desværre er det sådan mange steder i det danske system. Vi stoler på hinanden og tror ikke, det er nødvendigt at kryptere. Men det er det,« siger han.

Samme reaktion kommer fra Version2-blogger og it-specialist Poul-Henning Kamp, efter vi i går her på sitet kunne bringe en artikel om, hvordan døren stod vidt åben til en uktypteret FTP-server hos CSC, hvor blandt andet kildekoden til Polsag lå frit fremme.

»Det er dybt kritisabelt. Det koster altså ikke meget at sætte en Linux-maskine op, som kan kryptere FTP’en. Det skal der bare være styr på.«

Sikkerhedshullet blev i 2011 opdaget af Anders Jensen, der i sin tid var medarbejder i en virksomhed, der har adgang til CPR-udtræk fra CSC, og selvom han straks alarmerede CSC, måtte der gå et år og endnu en henvendelse, før hullet blev lukket.

Poul-Henning Kamp, der ligesom Version2 har været i kontakt med Anders Jensen mener ikke, at der er nogen undskyldninger for, at CSC ikke havde krypteret sin FTP-server.

Ifølge Poul-Henning Kamp giver det indtryk af en virksomhed, der ikke tager sikkerheden seriøst. Ikke mindst fordi alt tyder på, at CSC ikke reagerede på Anders Jensens advarsler, før der var gået op mod et år.

Samme indtryk fik en kollega til Anders Jensen, der ved et tilfælde havnede i CSC-serveren.

»Da Anders kontaktede CSC, blev han sendt rundt mellem flere forskellige medarbejdere. De lovede til sidst at lukke hullet, men det virkede som om, de ikke tog det alvorligt,« siger Mads Thomsen, der i sin tid sad på kontor med Anders Jensen. Ingen af de to arbejder længere i den pågældende virksomhed.

Under alle omstændigheder er det dybt kritisabelt, at CSC ikke reagerer på henvendelsen med det samme og får hullet lukket, mener Poul-Henning Kamp. Det glæder ham dog, at der endelig er én, der tør at stå frem med en sag som denne.

»Jeg har hørt om flere af den slags sager blandt folk derude, men denne er unik, fordi der endelig er én, der tør stå frem. Nu kan vi bare håbe, at Datatilsynet reagerer. Noget tyder på, at der er en generel, ligegyldig holdning hos CSC, som ikke mener, at der skal komme nogen og banke på deres dør. De kører løbet selv,« siger han

Også internetaktivisten Torben Andersen fik i 2013 adgang til flere ubeskyttede FTP-servere hos CSC ved hjælp af det gratis værktøj ShodanHQ – uden at anvende hverken brugernavn eller password. Der lå data som alle i princippet kunne få adgang til.

På reddit.com skriver han tirsdag i kølvandet på den nye sag, at han ligeledes forsøgte at trænge i gennem til CSC for at fortælle om de pivåbne servere, han havde fundet.

»Men jeg blev kastet rundt i deres system i flere timer. Det var som om, at de ikke fattede alvoren,« skriver han.

Ifølge Anders Jensen har CSC sidenhen ændret sit system, så det er bedre beskyttet.

Også i dag har Version2 forgæves forsøgt at få kommentarer fra CSC – både i forhold til denne sag og for at høre, hvorvidt de efterfølgende har rettet op på sikkerheden.

Aarhus Universitet vil i slutningen af året indvie et nyt pilotanlæg, der skal gøre bioolie til en kommerciel succes. På nuværende tidspunkt er teknologien nemlig for dyr, skriver dr.dk.

Både Aarhus og Aalborg Universitet eksperimenterer med at omsætte biomasse som for eksempel hønsemøj til brændstof. Til formålet anvender de danske forskere i samarbejde med Steeper Energy ApS HTL-metoden.

Metoden går kort fortalt ud på, at man koger våd biomasse op til en temperatur på omkring 400 grader under højt tryk. På den måde bliver biomassen omdannet til tyk råolie, som minder om almindelig nordsøolie. Den nye råolie kan så raffineres og anvendes direkte i skibe, fly eller biler.

Metoden er dog temmelig energikrævende. Det koster nemlig at opvarme biomassen til den høje temperatur, og det forhindrer indtil videre, at metoden får kommerciel succes.

Det skal det nye pilotanlæg lave om på ved at genanvende mere varme, forklarer Ib Johannsen fra Institut for Ingeniørvidenskab:

»Det er målet at kunne genanvende helt op til 85 procent af varmen. Hvis ikke vi kan det, så bliver det ikke muligt at gå videre med denne teknologi som et alternativ til fossile energikilder,« siger han til dr.dk.

Det kommende pilotanlæg er dog ikke det eneste ambitiøse HTL-projekt. I 2013 indviede Aalborg Universitet et anlæg, hvor forskerne for alvor kan producere større mængder bioolie.

En række tekniske fejl endte med et nedbrudt IT-system, der førte til store forsinkelser tirsdag. Op til 25.000 togpassager blev ramt, skriver Berlingske.

»Årsagen var et sammenfald af flere tekniske omstændigheder,« forklarer direktør for teknisk drift i Banedanmark, Søren Boysen til Berlingske.

»I går (mandag, red.) havde vi et strømudfald, og det ødelægger en central router i vores IT-netværk. Det er i sig selv ikke noget problem, bortset fra at systemet er mere sårbart. Så opstår der en tredje fejl i kabelanlægget, som påvirker netværket i det østlige Danmark, og så er det, at systemet bryder ned,« siger Søren Boysen.

De østdanske togpassagerer blev hårdeste ramt af forsinkelser, men både jyder og fynboer måtte kæmpe med store forsinkelser mellem landsdelene. Informationstavler og højttalersystemer brød sammen på de jyske og fynske togstationer.

Det får nu Banedanmark til at evaluerer om fremtidige nedbrud kan undgås.

»Vi vil evaluere alt det, vi kan på baggrund af hændelsen for at finde ud af, om noget af vores teknik ikke er tilstrækkelig robust, eller om arbejdsgange skal laves om,« siger Søren Boysen.

Togtrafikken kørte som den plejer tirsdag eftermiddag omkring klokken 16.

EU-Kommissionen har nu fundet 112 millioner kroner til en ny Storstrømsbro. Pengene kommer fra programmet for det transeuropæiske transportnet (TEN-T), skriver dr.dk.

»Det er et projekt, som gør, at hele Femern Bælt-projektet bliver endnu bedre. Der er en forudsætning, at der er en ordentlig forbindelse. Det også er et projekt, som i høj grad har europæisk interesse, fordi det er med til at binde Europa bedre sammen. At vi så får dette rygstød fra EU, det er rigtig positivt,« siger den socialdemokratiske transportordfører Rasmus Prehn.

Vejdirektoratet forventer at en ny Storstrømsbro kan stå klar senest i 2021 til en pris på omkring fire milliarder kroner. Derfor kan 112 millioner kroner lyde som en lille sum i den sammenhæng.

»Man kan sige, at det er et lille bidrag, men det er nu engang de midler, der er sat af. Der skal vi danskere selvfølgelig også kende vores besøgelsestid og række ud efter de midler, der måtte være,« lyder det fra transportordføreren.

De 112 millioner kroner til bruges til projekteringsfasen i perioden 2013 til 2015, og dækker omkring halvdelen af projekteringsomkostningerne. På et senere tidspunkt er det muligt at søge støtte til selve anlægsfasen.

Under et halvt år gik der, før det europæiske prestigeprojekt Human Brain Project (HBP) eksploderede i skænderier mellem forskerne. HBP er ellers planlagt til at løbe frem til 2023 med en kapitalindsprøjtning på hele syv milliarder kroner og et mål om at genskabe en computermodel af hjernen baseret på den eksisterende hjerneforskning.

Men den begrænsede gruppe af kritikere, der svagt brummede under lanceringen i oktober, er nu vokset til over 250 forskere. Tallet stiger for hver dag i form af underskrifter på et åbent brev til EU-kommissionen, og den svage brummen er vokset til en hyletone som både kommissionen og ledelsen bag HBP har svært ved at ignorere.

I et åbent brev til kommissionen skriver forskerne, at projektet ‘ikke er på rette kurs’, og at der er ‘substantielle fejl’ i ledelsen, fleksibiliteten og åbenheden i projektet. Kritikken drejer sig om en helt central pointe, nemlig at det er naivt og spild af penge at tro, at man i en computer med den nuværende viden kan genskabe hele menneskets hjerne – f.eks 100 milliarder neuroner i centralnervesystemet og 100.000 milliarder synapser. Hele grundpræmissen om, at vi allerede ved nok som forskere til at genskabe en hjerne er tosset, lyder det fra flere kritikere.

Handler bare om it

Hjerneforskerne mener, at projektet slet ikke handler om hjerneforskning, men om it, og de oplever at flere projekter om f.eks indlæring bliver afvist. De nævner blandt andet afvisningen af projektet Cognitive Architectures, der repræsenterede al hjerneforskning i Europa som ikke arbejder på et synaptisk, eller molekylært, niveau, lyder det fra hjerneforsker Zachary Mainen fra Champalimaud-centret i Lisabon i en kommentar til Science AAAS.

Leder af HBP, Henry Markram, er dog ikke overrasket over reaktionen fra kritikerne. Han havde faktisk forventet den, fordi HBP markerer et paradigmeskift i hjerneforskningen, hvor målet er klart: at genskabe en computermodel af hjernen.

»De (forskerne bag projektet Cognitive Architectures, red.) ville bare fortsætte med den samme forskning, de hele tiden havde bedrevet, men HBP handler i virkeligeheden om at bygge en platform for at udveksle og integrere data, og skabe en fælles platform for alle hjerneforskere. Det er et metodisk paradigmeskift, og det er et vældigt spændende et af slagsen, men ikke for folk, der laver traditionel individuel forskning i laboratoriet,« siger han til Science.

Forfejlet kritik

Men Zachary Mainen fra Champalimaud-centret er vred:

»Det er ikke et demokrati. Det er Henrys spil, og du kan enten lade dig overbevise af hans argumenter eller forsvinde,« siger han til Science AAAS.

Henry Markram mener dog, at det meste af kritikken er forfejlet og kalder det en misforståelse, når HBP’s ledelse bliver beskyldt for at fjerne al forskning i indlæring. Ifølge ham er der stadig projekter på det område, siger han til BBC.

De seneste dage er antallet af underskrifter på det åbne brev til EU-Kommissionen blot steget støt, og det var en tydeligvis nedslået Henry Markham, der i mandags udtalte sig til Scientific American.

»Det ser ud til at ville tage årtier for feltet af hjerneforskere at modne sig til samme niveau som andre forskningsdicipliner. Det er så spændende en retning, som eller kan bringe alle sammen om den her store udfordring. Men bare ærgeligt, at det bliver revet i stykker af forskere, der ikke vil forstå, som tror på andenhånds-rygter og bare vil have penge til deres næste eksperiment. For første gang i min karriere som en hjerneforsker mister jeg håb for, at hjerneforskningen nogensinde svarer på rigtige spørgsmål om, hvordan hjernen virker og dens mange sygdomme,« lyder det fra Henry Markhram.

Angiveligt er det gruppen Anonymous, der orkestrerer massive DDOS-angreb mod en række finansvirksomheder samt SAS i Norge. Nyhedssitet E24.no var første til at berette om angrebene, der indledtes i går og især synes at være rettet mod den store it-virksomhed Evry

Evry er leverandør af centrale it-tjenester for den norske storbank DNB og en række andre bankkunder, der overfor det norske nyhedsmedie digi.no i går bekræftede, at deres sites er nede på grund af angreb.

Evrys kommunikationsdirektør Geir Remman ønsker ikke fortælle, hvilke kunder der er ramt men overlader det til den enkelte kunde at gå ud med information om dette.

Ifølge Ritzau gælder det under alle omstændigheder, at de norske afdelinger af SAS, Danske Bank og Nordea samt Norges Bank, Telenor, DNB, Sparebank 1, flyselskaberne Norwegian og Widerøe samt forsikringsselskaberne Storebrand og Gjensidige alle har været mål for angrebene, der betegnes som de største mod nordens finanssektor.

Angrebene begyndte tirsdag og natten til onsdag var det eksempelvis fortsat ikke muligt at komme ind på SAS’ norske hjemmeside. Virksomhedernes sites synes at være oppe at køre igen onsdag formiddag.

Til den norske avis Dagens Næringsliv siger Evrys sikkerhedschef, at omfanget ikke er det største, der har set, men at det er første gang, det har ramt så mange centrale aktører i finanssektoren i Norge.

Ifølge nyhedsmediet digi.no er det medlemmer af gruppen Anonymous Norway, der står bag angrebene. I går gik følgende melding ud til en række norske medier:

«http://www.sas.no/ | Tango Down | Status OFFLINE. http://www.norwegian.no/ | Tango Down | Status OFFLINE. http://www.wideroe.no/ | Tango Down | Status OFFLINE. http://www.supersaver.no/ | Tango Down | Status OFFLINE. “We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.” Med vennlig hilsen, Anonymous Norway»

Efterfølgenede gennemførte digi.no et chat-interview med en af medlemmerne af gruppen, hvis identitet er uverificeret.

Om motivet til angrebene fremgår det af interviewpersonen:, “at det handler om at få samfundet til at vågne op. Antallet af store it-sikkerhedsangreb øges og der er ingen ting, der bliver gjort for at forhindre det.”

To år efter hendelsen og et år efter efterforskningens afslutning har Københavns Politi nu rejst tiltale mod fire personer for et omfattende hackerangreb på blandt andre 3F i 2012.

Ifølge anklager Ebbe Arentoft er det første gang, en sag om DDoS-angreb ender i en dansk retssal.

»Det bliver et førstegangstilfælde af den her type sag, og på den måde kommer den til at danne præcedens. Men det er samtidig også et signal om, at retsordenen ikke vil tolerere den her type kriminalitet«, siger han til Politiken.

Udover de såkaldte DDoS-angreb er også et enkelt decideret hackerangreb og forsøg på flere en del af anklagen mod de tiltalte.

Politiets beviser stammer fra logfiler fra chatrum, der benyttes af gruppen Anonymous, oplyser Ebbe Arentoft til Politiken.

Sagen venter på at blive berammet i Københavns Byret.

Det er let og smart at kunne styre lyset i huset på sin smartphone. Men sikkerhedseksperter har for nyligt demonstreret, hvor let det er at hacke de netværksforbundede LED-pærer, de såkaldte LIFX-pærer, skriver BBC News

Firmaet Context Security har udsendt detaljer omkring, hvordan det var muligt for firmaet at hacke ind i wifi-netværket til en udgave af netværks-aktiverede pærer, hvor det også lykkedes dem at kontrollere lyset, ved at hacke det.

LIFX-pærerne, som også kan købes i Danmark, har mesh-netværksforbindelser, som gør det muligt at tænde og slukke dem via smartphones.
Firmaet bag pærerne har siden fixet svagheden.

http://www.version2.dk/artikel/ny-gruppe-melder-sig-med-standard-til-internet-things-67785

Snød systemet

Michael Jordan, researchdirektør hos Context, forklarer hvordan han kunne opfange wifi-netværkets brugernavn og adgangskode i den husholdning, som lyset var forbundet til.

»Vi købte nogle pærer og undersøgte, hvordan de talte sammen og så, at en af meddelelserne handlede om brugernavn og adgangskode,« fortalte han BBC.

»Ved at lade som om en ny pære tilsluttede sig netværket, var det muligt for os at få informationen,« tilføjer han.

Hold din software opdateret

»Det gav os mulighed for at stjæle brugeroplysningerne til wifi-netværket, hvilket betød, at vi kunne kontrollere lyset,« lyder det fra Michael Jordan.

Systemet fungerer ved, at en master-pære får kommandoer fra en smartphone-app, og efterfølgende sender kommandoerne til netværkets øvrige pærer over et trådløst mesh-netværk.

I en blog har virksomheden bag pærerne skrevet, at der har været en potentiel sikkerhedsrisiko, men at ingen brugere, hvad firmaet ved af, har været ramt af problemet. Samtidig opfordrer de til, at man holder sin software opdateret.

LIFX er del af samarbejdet med Googles Nest og Whirlpool, der forsøger at skabe standard for, hvordan fremtidens husholdnings-elektronik kommunierer online.

Makroviruser – den slags, der inficerer ved at man eksempelvis åbner en inficeret wordfil – havde sin storhedstid i slutningen af 90erne, men virusgenren gik tilbage, mens tekniker og teknologi blev bedre, skriver The Register

»I de sidste fem år har makro malware været betragtet som uddød – takket være de fleste sikkerhedsforbedringer i Microsoft Office-produkter. Men i de seneste måneder er en genopblussen af ​​ondsindede VBA-makroer (Visual Basic for Applications) observeret. Denne gang, er det ikke en selvreplikerende virus, men en simpel trojan-kode,« forklarer sikkerhedsefterforsker, Gabor Szappanos fra Sophos til Virus Bulletin

Brugere som åbnede et inficeret dokument blev udsat for en ondskabsful kode, som inficerede Windows PC’er, som oftest var skrevet i programmeringssproget VBA. Virusen spredte sig ind i brugerens Office-program inden den sneg kopier af sig selv ind i alle senere ændrede dokumenter. Eksempler på macro-baserede malware inkluderer den hurtigt spredende Melissa e-mail-orm fra 1999.

Udnytter manden i stedet for systemet

På det seneste er macro-malware – altså malware eller virus, som er bygget ind i fx en wordfil – kommet tilbage. Gabor Szappanos rapporterer, at mere end halvdelen af de dokumentbaserede angreb, som er set på det seneste, indeholder VBA-makroer, som sigter efter at snyde brugere, frem for de mere esoteriske koder, som er designet til at snyde Office.

Virus-udviklerne bruger udnytter folkene, som sidder ved computeren, frem for at udnytte software-bugs og sikkerhedshuller for at sprede de seneste generationer af makro-viruser.

»Forbrydere bruger ofte tilstedeværelse af makroer i deres dokumenter som en undskyldning for, at deres dokumenter er mere sikre end normalt, og påstår at dokumentet på en eller anden måde er ‘beskyttet’ indtil du slår makroerne til eller dekrypterer det,« siger anti-virus veteran Poul Ducklin på en post på Sophos’ Naked Security Blog.

Sådan undgår du dem

Sikkerhedssoftware burde fange de seneste generationer af macroviruser i de fleste tilfælde, men det vil være dumdristigt at sætte sin fulde lid til dette. Gabor Szappanos giver en idiotsikker måde at undgå at få computeren inficeret. Nemlig ved at deaktivere makroer.

»Der er ingen grund til, at indholdet af et dokument kun kan vises ordentligt, hvis eksekveringen af makroer er sat til. Hvis du modtager en dokument med dette råd, så vær på vagt; så er du formodentligt ved at blive angrebet,« siger han.

Flere eksperter Version2 har talt med forstår simpelthen ikke, hvordan CSC kunne have en server stående, som ikke var krypteret.

»En intern server bør være krypteret. Især hvis den ligger inde med følsomme oplysninger,« siger Lars Ramkilde Knudsen, forsker i kryptologi og sikkerhed ved DTU Compute.
»Kryptering er ikke nogen ny opfindelse, og hvis det passer, at CSC ikke havde krypteret sin FTP-server, er det simpelthen både for dumt og for dårligt,« siger han til Version2.

CSC besidder en stor mængde data om danskerne, og Lars Ramkilde Knudsen finder det bestemt ikke betryggende, hvis virksomheden ikke har mere styr på sikkerheden.

»Desværre er det sådan mange steder i det danske system. Vi stoler på hinanden og tror ikke, det er nødvendigt at kryptere. Men det er det,« siger han.

Samme reaktion kommer fra Version2-blogger og it-specialist Poul-Henning Kamp, efter vi i går her på sitet kunne bringe en artikel om, hvordan døren stod vidt åben til en uktypteret FTP-server hos CSC, hvor blandt andet kildekoden til Polsag lå frit fremme.

»Det er dybt kritisabelt. Det koster altså ikke meget at sætte en Linux-maskine op, som kan kryptere FTP’en. Det skal der bare være styr på.«

Sikkerhedshullet blev i 2011 opdaget af Anders Jensen, der i sin tid var medarbejder i en virksomhed, der har adgang til CPR-udtræk fra CSC, og selvom han straks alarmerede CSC, måtte der gå et år og endnu en henvendelse, før hullet blev lukket.

Poul-Henning Kamp, der ligesom Version2 har været i kontakt med Anders Jensen mener ikke, at der er nogen undskyldninger for, at CSC ikke havde krypteret sin FTP-server.

Ifølge Poul-Henning Kamp giver det indtryk af en virksomhed, der ikke tager sikkerheden seriøst. Ikke mindst fordi alt tyder på, at CSC ikke reagerede på Anders Jensens advarsler, før der var gået op mod et år.

Samme indtryk fik en kollega til Anders Jensen, der ved et tilfælde havnede i CSC-serveren.

»Da Anders kontaktede CSC, blev han sendt rundt mellem flere forskellige medarbejdere. De lovede til sidst at lukke hullet, men det virkede som om, de ikke tog det alvorligt,« siger Mads Thomsen, der i sin tid sad på kontor med Anders Jensen. Ingen af de to arbejder længere i den pågældende virksomhed.

Under alle omstændigheder er det dybt kritisabelt, at CSC ikke reagerer på henvendelsen med det samme og får hullet lukket, mener Poul-Henning Kamp. Det glæder ham dog, at der endelig er én, der tør at stå frem med en sag som denne.

»Jeg har hørt om flere af den slags sager blandt folk derude, men denne er unik, fordi der endelig er én, der tør stå frem. Nu kan vi bare håbe, at Datatilsynet reagerer. Noget tyder på, at der er en generel, ligegyldig holdning hos CSC, som ikke mener, at der skal komme nogen og banke på deres dør. De kører løbet selv,« siger han

Også internetaktivisten Torben Andersen fik i 2013 adgang til flere ubeskyttede FTP-servere hos CSC ved hjælp af det gratis værktøj ShodanHQ – uden at anvende hverken brugernavn eller password. Der lå data som alle i princippet kunne få adgang til.

På reddit.com skriver han tirsdag i kølvandet på den nye sag, at han ligeledes forsøgte at trænge i gennem til CSC for at fortælle om de pivåbne servere, han havde fundet.

»Men jeg blev kastet rundt i deres system i flere timer. Det var som om, at de ikke fattede alvoren,« skriver han.

Ifølge Anders Jensen har CSC sidenhen ændret sit system, så det er bedre beskyttet.

Også i dag har Version2 forgæves forsøgt at få kommentarer fra CSC – både i forhold til denne sag og for at høre, hvorvidt de efterfølgende har rettet op på sikkerheden.