Daily Archives: September 25, 2014

Deloitte godkender DSB’s materielplan

De politiske forhandlinger i Folketinget om DSB’s kontrakt med staten er rykket et skridt nærmere. Det stod klart ved torsdagens samråd med Magnus Heunicke (S) i Folketingets transportudvalg. DSB publicerede i august et beslutningsoplæg, som indeholder den længe ventede materielstrategi, der har forsinket forhandlingerne om den nye DSB-kontrakt. Magnus Heunicke fortalte inden sommerferien, at han har hyret Deloitte til at kvalitetssikre materielstrategien.

»Den eksterne kvalitetssikring er på plads. Den siger, at vi godt kan gå videre. Men der er også en række forhold, som DSB skal være opmærksomme på i materielarbejdet (…) Men nu er den sten på plads, og nu kan vi komme videre. Og har det taget lang tid? Jeg er fuldkommen enig i, at det har taget lang tid. Men man kunne også ønske, at man havde været lige så grundige, da man lagde strategien for IC4,« sagde Magnus Heunicke ved samrådet.

Læs også: Venstre: DSB springer let hen over IC4-balladen

Ingeniøren skrev i august, at Transportministeriet er forsinket i forhold til ministeriets egen plan. Transportministeriets tidsplan fra 2013 indebar, at kontrakten skulle være færdigforhandlet i juni 2014. Det fremgår af en vejledende forhåndsmeddelelse fra ministeriet til EU fra juni 2013.

Magnus Heunicke fortalte ved samrådet, at han forventer, at partierne i efteråret bliver indkaldt til de politiske forhandlinger om DSB’s kontrakt, som udløber med 2014.

Læs også: Tidsplanen skrider for ny DSB-kontrakt

Han åbnede dog også op for, at kontrakten kan forlænges med ét år, hvis den nye kontrakt ikke kommer på plads tids nok.

»Hvis det skulle ske, at man ikke kan lande en aftale inden 1. januar 2015 – og det er mod min forventning, men det kan jo ikke afvises, at de politiske forhandlinger går i knude, eller at der bliver præsenteret helt nye ting for mig – så er det muligt at forlænge den eksisterende kontrakt med ét år. I det tilfælde er det min opgave som transportminister at pålægge DSB en sådan forlængelse. Så vil kontraktgrundlaget for køreplanen være det samme som i dag,« sagde Magnus Heunicke.

Det var Transportudvalgets medlemmer, Kim Christiansen (DF), Kristian Pihl Lorentzen (V), Mike Legarth (KF) og Villum Christensen (LA), der havde indkaldt til dagens samråd.

»Der er rigtig mange spørgsmål omkring vores jernbane, der hænger i luften, og som vi er nødt til at få en afklaring på. Vi har i nogle måneder ventet på at blive inviteret til forhandlinger omkring disse store spørgsmål, hvor vi kan sætte nogle politiske pejlemærker for fremtidens jernbane. Men det lader sig vente på sig,« sagde Kristian Pihl Lorentzen ved samrådet.

Læs også: Minister: Jeg forhandler ikke DSB’s fremtid, før vi har styr på IC4

Her sagde Magnus Heunicke også om forberedelserne til de politiske forhandlinger, at de skal være så grundige, at man kan undgå en gentagelse af IC4-skandalen.

»Jeg kommer først til at lægge et oplæg til forhandlinger frem til Folketingets partier, når det er så solidt, at vi er sikre på ikke at gentage fortidens fejl,« sagde han.

Se samrådet i transportudvalget på: http://www.ft.dk/webTV/Tidligere.aspx

Posted in computer.

Postens nye el-knallert laster 200 kg og sparer CO2

Den tid, hvor posten i rød uldfrakke svang benet elegant over sadlen på den gule postcykel, er for længst forbi. Væk er også den sorte lædertaske foran på styret og de grønne kanvastasker på bagagebæreren. Først blev cyklen erstattet af larmende og benzinforbrugende knallerter – som der stadig er mange af – og senere er den trehjulede elcykel kommet til.

Nu forsøger Post Danmark sig med endnu et eldrevet pakæsel i form af el-knallerten Paxster. Foreløbig er der indkøbt ti styk, som har deres daglige rute på Bornholm og Fredensborg i Nordsjælland.

Læs også: Dansker udvikler trehjulede elscootere til pakkeposten

En Paxster er indregistreret som en bil, men kan kun køre 45 km/h. Rækkevidden er 70 km på en opladning, og så kan den transportere 200 kg breve og pakker. Det skal sammenlignes med en almindelig knallert, der højst kan transportere 60 kg. Den model, Post Danmark har indkøbt, er udviklet af den norske virksomhed Loyds Industri as.


Postens nye el-knallert kan laste 200 kg breve og pakker i lastrummet. Faktisk kan den laste helt op til 300 kg, men ifølge EU-regler, må den type køretøjer ikke transportere mere end 200 kg last. Foto: Post Danmark

Ifølge Post Danmark vil det spare depotskabe ude på ruten, transport af post til depotskabene samt en masse af- og påstigninger, ompakning og balanceren med en tohjulet knallert.

Læs også: Minitest: Imponerende elektrisk motorcykel

Post Danmark understreger, at Paxster blot er én mulighed for at dække køretøjsbehov mellem en trehjulet elcykel og en mindre varebil. Efterfølgende vil der blive taget stilling til udbud, så alle leverandører i segmentet får mulighed for at byde ind. Først derefter kan yderligere køb komme på tale.

Elkøretøjer er centrale elementer i Postens mål om at reducere CO2-udledningen med 40 procent i 2020 set i forhold til 2009. På nuværende tidspunkt består el-flåden af 1.850 elcykler, 50 elbiler og 100 el-scootere. Det forventes, at hver Paxster kan spare cirka ét ton CO2 om året.

Posted in computer.

Kronik: Politikerne gør livet surt for biogassen

Biogassens fornemste opgave er at mindske de negative miljøpåvirkninger fra landbruget ved at omdanne gylle til værdifuld gas. Men der er ikke meget energi i gylle, så biogasanlæggene er nødt til at booste gyllen i reaktoren med mere energiholdige biomasser som fedt, slagteriaffald eller andet madaffald, ellers hænger anlæggenes energiregnskaber og økonomi simpelthen ikke sammen.

Selv om flere sygehuse, restauranter og andre virksomheder med storkøkkener er begyndt at installere affaldskværne, som opsamler affaldet i et lukket system, hvorefter det køres til et biogasanlæg, så batter det alt for lidt. Biogasreaktorerne hungrer efter letomsætteligt organisk materiale.


Sven G. Sommer er professor ved Syddansk Universitet, Michael Støckler er bioenergichef ved Videncentret for Landbrug, Jørgen E. Olesen er professor ved Aarhus Universitet og Sander Bruun er lektor ved Københavns Universitet

Når biogasanlæggene ikke kan få madaffald, så må de lede andre steder for at give gyllen en energiindsprøjtning. Her er energiafgrøder som roer, majs og græs velegnede, fordi de giver et stort energiafkast i biogasreaktoren. Men selv om politikerne ved, at det er nødvendigt at tilsætte mere energirig biomasse til gyllen, har partierne bag energiforliget begrænset brugen af afgrøder til biogas. Det væsentligste argument er, at vores energiforbrug ikke skal konkurrere med fødevareproduktionen.

Politikerne har derfor besluttet, at fra 2015 må højst 25 procent af det, som hældes i biogasanlægget, være roer og andre energiafgrøder, og fra 2018 må højst 12 procent være energiafgrøder. Flere biogasanlæg kører i dag med underskud, og realistisk set vil en betydelig del af anlæggene gå konkurs under de kommende regler.

Som forskere har vi meget svært ved at forstå fornuften bag den politiske beslutning om at begrænse energiafgrøder til biogas. For samtidig med at der indføres restriktioner for, hvad biogasanlæggene må booste deres gylle med, så har partierne bag energiforliget på Christiansborg store ambitioner på biogasområdet, som de har meget svært ved at leve op til.

Regeringen og de øvrige partier bag energiforliget har som målsætning, at 50 procent af Danmarks gylle senest i 2020 skal anvendes til energiformål. Ifølge Brancheforeningen for Biogas er det pt. kun cirka syv procent af gyllen, der udnyttes. Der er altså meget lang vej, til at ambitionerne bliver opfyldt.

Anderledes ser det ud i Tyskland, som er kendt som det land i EU, som har den største biogasproduktion. Biogasforeningen i Tyskland opgør, at der i 2013 findes 7.850 biogasanlæg i Tyskland, og omkring halvdelen af den forgærede biomasse stammer fra energiafgrøder, mest majsensilage.

Biogassens succes i Tyskland rækker langt op i Danmark. Mange sønderjyder har bemærket, at der er mange majsmarker i Sønderjylland, men majsen ender ikke i danske komaver eller biogasanlæg, men bliver fragtet til tyske biogasanlæg i lastbiler. Det er en indbringende forretning for landmændene, men helt i modstrid med de danske politiske målsætninger.

Samtidig med at sønderjysk majs ender i biogasreaktorer, så er der også andre ting, som ikke hænger sammen. For hvis regeringen ønsker at værne om den danske landbrugsjord som et fødevarekammer, hænger det ikke sammen med, at mange marker bliver beplantet med energipil, som ikke ender på spisebordet, men ender på et varmeværk.

Erhvervsorganisationen Landbrug og Fødevarer forventer at nå et mål om at høste energipil på 100.000 hektar dansk landbrugsjord i 2020. Den danske regering støtter altså, at der plantes energipil til energiformål, men den samme regering indfører skrappe sanktioner mod energiafgrøder til biogas.

En af de væsentligste grunde til dyrkning af energipil er, at den gavner miljøet i forhold til lav kvælstofudvaskning og lav drivhusgasudslip. Men vi kan sagtens dyrke andre afgrøder til biogas, som har tilsvarende fordele, for eksempel roer, som er en af de mest effektive energiafgrøder til biogas. Udbyttet er mindst 50 procent højere end i majs, og roerne omsættes lettere i biogasanlægget. Med ny teknologi kan hele roen endda bioraffineres, så der produceres både energi og foder.

Vi efterlyser grundlæggende en ny diskussion om, hvordan vi bedst bakker op om biogas, så politikken på området hænger sammen. Det nytter ikke noget, hvis politikerne med den ene hånd giver massive mængder af støttekroner til drift af biogasanlæg, mens de samme politikere gør det nærmest umuligt at drive anlæggene.

Alle er enige i, at biogas mindsker klima- og miljøpåvirkningerne fra husdyrproduktionen betydeligt. Men vi bliver nødt til at tænke nye og mere sammenhængende tanker omkring biogas, hvis det skal lykkes at komme bare i nærheden af at indfri de politiske ambitioner og anvende halvdelen af gyllen til grøn energi i 2020.

Posted in computer.

Nu tester Europa produkter for hormonforstyrrende stoffer

Det har indtil nu været lovligt at sende kemikalier på markedet i EU, uden at de er testet for, om de indeholder stoffer, der kan skade hjernens udvikling eller være hormonforstyrrende.

Men i starten af det nye år skal det være slut. EU’ kemikalieagentur ECHA har netop vedtaget, hvad Danmark har presset på for at få gennemført i ti år: at kemikalieindustrien skal teste sine produkter for netop disse effekter.

»Det er en stor sejr, at vi nu endelig får testet mange stoffer, om de er hormonforstyrrende. Der er grund til at være bekymret for de hormonforstyrrende stoffer, som blandt andet kan påvirke vores evne til at få børn,« siger miljøminister Kirsten Brosbøl om den nye EU-lovgivning i en pressemeddelelse.

Læs også: Minister: EU sylter kampen mod hormonforstyrrende stoffer

Der er med det nye test-krav tale om en udvidelse af EU’ eksisterende kemikalielovgivning kaldet REACH, som går ud på, at industrien skal teste deres kemikalier for en række skadelige virkninger og opgive resultaterne i et register.

Det er i forvejen et krav at teste stoffer for, om de kan skade reproduktionsevnen. Men ikke for om de er hormonforstyrrende, som længe har været mistænkt for blandt andet at give misdannede kønsorganer hos drenge og forårsage brystkræft hos kvinder.

Hos miljøorganisationen Det Økologiske Råd er kemikaliemedarbejder Lone Mikkelsen ligesom miljøministeren også begejstret for, at det endelig er lykkedes at få inkluderet hormonforstyrrende stoffer i REACH.

»Det er et meget positivt skridt i den rigtige retning, som vi har kæmpet for i flere år,« siger Lone Mikkelsen.

Læs også: Rigshospitalet: Udbredte industrikemikalier skader sædkvaliteten

Selve testmetoden har ligget klar siden 2011 og går ifølge Lone Mikkelsen ud på, at man måler afstanden mellem kønsorganet og anus på hanrotter. Hvis afstanden er kortere end den burde, er det en indikator på, at hannen er blevet feminiseret, som kan skyldes hormonforstyrrelser.

»I den perfekte verden burde man teste videre herefter, om stoffet påvirker udviklingen af astma hos børn, testikelkræft eller nogle af de mange andre effekter, som stofferne kan have,« siger hun.

Men efter den første test, er det op til medlemslandene at vurdere, om de vil kræve flere tests, og på den baggrund forsøge at få indført et nationalt forbud mod stoffet.

Læs også: EU: Derfor afviste vi dansk særforbud mod phthalater

Kravet om test for hormonforstyrrende stoffer får ikke tilbagevirkende kraft, hvilket vil sige, at stoffer som er testet retmæssigt i henhold til REACH i dag, ikke vil blive tilbagekaldt for at blive testet, om de har hormonforstyrrende effekter.

Derimod vil det blive obligatorisk at teste alle stoffer, som kemikalieindustrien vil sende på markedet i EU fremover. Herudover ligger der en liste på omkring 200 stoffer hos EU’s kemikalieregister, der allerede er i handlen, men som ikke er færdigtestede og dermed vil blive omfattet at det nye krav.

Læs også: Ekspert-panel: Bisphenol A-grænseværdi skal sænkes til en tiendedel

»Vi har ikke kendskab til, hvilke stoffer listen indeholder. Men vi håber, at den omfatter stoffer som Bisphenol A og parabener, der kan være hormonforstyrrende, så de også bliver testet, selvom de allerede er på markedet,« siger Lone Mikkelsen.

Posted in computer.

Hackersagen dag 9: CSC-brugeroplysninger stadig tilgængelig online

En chat-log mellem de to aliasser My Evil Twin og Advanced Persistent Terrorist Thread er et centralt bevis i sagen om hacking af CSC’s mainframe. Den danske tiltalte JT har erkendt at være den ene halvdel af samtalen. I loggen deler JT oplysninger om brugernavne til CSC’s systemer.

JT har tidligere forklaret, at alle oplysningerne han deler, er nogen han har fundet frit tilgængeligt på nettet. Men det var CSC’s Martin Gobs dog ikke enig i, da han i dag vidnede i Retten på Frederiksberg.

I chatten deles tre brugeroplysninger. Den første af disse havde ligget på CSC’s egen hjemmeside, erkendte Gobs, der er chef i CSC’s sikkerheds-strikforce i Europa.

»Det har desværre været en del af en dokumentation for, hvordan man logger på systemet. Den lå på Infotorv, som er en ressource til CSC-kunder,« fortalte Gobs.

De øvrige oplysninger fra chatten var dog ikke offentligt tilgængelige, mente Gobs. Det drejede sig blandt andet om en passage, der ligner en FTP-serverlog, som rummer et brugernavn og et kodeord.

Internetarkiv afslører sikkerhedssjusk

Lidt internetsnilde fra JT’s forsvarsadvokat Michael Juul Eriksen kunne dog dokumentere, at man sagtens kunne komme hæderligt til oplysningerne.

På siden SDN.dk, som CSC beskriver som selskabets center for datakommunikation, viste Michael Juul Eriksen, at en side krævede password. Men ved at bruge internetarkivet Waybackmachine.com, der gemmer, hvordan millioner af hjemmesider har set ud, viste advokaten SDN.dk anno 2012. Og på det tidspunkt krævede siden med de omdiskuterede brugeroplysninger intet kodeord.

»Er det noget, I har lavet om efter den her sag,« spurgte Michael Juul Eriksen, hvilket blev bekræftet af Gobs.

»Er vi enige om, at det er offentligt tilgængeligt,« sagde advokaten med et smil.

»Ja,« medgav Gobs.

Martin Gobs bedyrede desuden, at log ind overhovedet ikke er blevet anvendt i hacking af CSC’s mainframe. I stedet har hackeren gjort brug af to sårbarheder i den IBM-producerede mainframe. Den bemærkning taler til fordel for danske JT, som i chatten ikke diskuterer de anvendte sikkerhedshuller.

Center for Cybersikkerhed: Usandsynligt, at Wargs computer blev styret af Python-script

I dagens retmøde har også Thomas Krismar fra Center for Cybersikkerhed indtaget vidnestolen. Han forklarede, hvorfor myndigheden ikke mener, at Wargs computer har været fjernstyret ved hjælp af et Python-script. Python-scriptet er blevet fremhævet af it-ekspert Jacob Appelbaum som et eksempel på, hvordan fjernstyring kunne finde sted.

Men ifølge Thomas Krismar er det ikke en sandsynlig mulighed af en række årsager. Dels brugte Wargs computer en dynamisk IP-adresse, som skulle have gjort fjernstyring sværere. Og dels er scriptet ikke lavet til at starte op, når computeren starter. Wargs computer var indstillet til at gå i dvale efter 30 minutter.

Thomas Krismars forklaring fik flere gange Warg til at gestikulere og hviske intenst til sin forsvarsadvokat Luise Høj, tydeligvis frustreret over vidnets fremlægning.

Tidligere i retssagen har Jakob Appelbaum kritiseret Center for Cybersikkerheds rapport for at være vildledende.

»Man ville ikke acceptere en biologisk rapport, som er helt forkert. Eller hvis man kom med et DNA-spor og påstod, at det matchede den tiltalte, hvis det i virkeligheden ikke gjorde,« sagde it-eksperten efter at have afgivet sit vidneudsagn tidligere på måneden.

Retssagen mod Warg og JT fortsætter i morgen. De risikerer begge op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i retten.

Posted in computer.

Blog: Hvilken idiot fik den ide ?

Der er ingen relevant forskel på Windows autorun.inf, SQL injections og den totalt roelamme idiotiske ide at environment variabler skal kunne exekveres i /bin/bash.

Alle tre ting baserer sig på den samme fundamentale hjerneblødning: At exekvere data som kode uden at være blevet bedt om det.

Og længere er den ikke.

Software Tools filosofien gør meget ud af at der kan være fordele ved at behandle programmer som data, f.eks til at lade andre programmer analysere en kildetekst for problemer og fejltagelser.

Men der er aldrig nogen der nogensinde i ramme alvor har argumenteret for fornuften i at behandle data som programmer og give sig til at exekvere alt hvad der ligner noget exekverbart uden at nogen har bedt om det.

Microsoft gjorde det i Windows, fordi “det skulle være ekstremt brugervenligt” og derfor har vi idag en tabt generation der klikker på hvad som helst der dukker op på skærmen, uden overhovedet at tænke på hvad de ønsker eller kan opnå eller risikere derved.

SQL injections skyldes det forudsigelige impedans-mismatch når man indlejrer et programmeringssprog i et andet. Det var en dum ide i 1980erne og det er en dum ide idag.

Her er en god grundregel hvis du er i tvivl: Hvis det ikke ligger i en fil med ‘x’ bit, skal du ikke exekvere noget uden explicit at være blevet bedt om det.

phk

PS: For folk med det rigtige ordforråd lyder reglen: “There is no ambient authority for execution”.

Posted in computer.

Faldende chancer for at blive glemt af Google

Googles nye ufrivillige tilbud til de europæiske borgere om, at de kan blive »glemt« af søgemaskinen har taget kontinentet med storm.

I alt har virksomheden på omkring fire måneder modtaget over 120.000 ansøgninger, der gennemsnitligt anmoder om at få fjernet fire links fra søgemaskinen. Det giver lige knap en halv mio. links, som firmaet indtil videre har skulle vurdere.

Men hvor ofte får borgerne egentlig medhold i ansøgningerne?

Google oplyste i slutningen af juli, at selskabet i over halvdelen af tilfældene godkendte ansøgningerne, men noget tyder på, at det er gået den anden vej siden da.

Læs også: Du kan kun blive glemt på google.dk – google.com husker dig stadig

Nu får omkring 59 pct. afslag, 36 pct. bliver godkendt, og 5 pct. bliver sendt tilbage til ansøgeren på grund af manglende oplysninger, skriver Quartz.

Tallene stammer fra det famøse site Forget.me, der forsøger at gøre en forretning ud af at håndtere EU-borgernes anmodninger om at blive glemt af Google. Forget.me har indtil videre behandlet ansøgninger om at få fjernet 15.000 links, hvilket svarer til et udsnit af lidt over tre pct. af det samlede antal links. Ud af de 15.000 anmodninger, har Forget.me fået svar på udfaldet fra omkring halvdelen.

I langt størstedelen af tilfældene (26 pct.) skyldtes afslagene ifølge Quartz, at den information, der skulle fjernes, var relevant for forbrugerne.

I 22 pct. af tilfældene skyldtes afslagene, at ansøgeren selv var forfatter til det materiale, vedkommende ville have fjernet henvisningen til.

Google har desuden afvist mange borgeres ansøgninger om at få fjernet henvisningen til deres sociale medie profil. Denne årsag står for 13 pct. af afslagene.

Der er dog også ansøgninger i den mere kuriøse ende, hvor de indsendte links ikke refererer til virkelige personer. Denne type afslag er gældende i fire pct. af tilfældene.

Mens det kunne tage op mod 50 dage at få besked fra Google i starten af perioden, så er den gennemsnitlige svartid på en ansøgning nu omkring fem dage ifølge Quartz.

Posted in computer.

Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Et nyopdaget sikkerhedshul kan true et hav af Unix-lignende systemer. Det vil sige alt fra webservere, routere og desktop-maskiner med Mac og Linux. Det drejer sig om en sårbarhed, opdaget af opdaget af Stephane Chazelas, i den terminalbaserede kommandofortolker Bash.

Og da Bash er et endog særdeles udbredt program i et hav af miljøer, er omfanget af systemer, der kan være ramt af sårbarheden nærmest uoverskueligt.

Sikkerhedshullet gør det muligt for en angriber af udforme en særlig miljøvariabel og derefter afvikle shell-kommandoer på et sårbart system. Det oplyser blandt andet den danske it-sikkerhedsvirksomhed CSIS i en advisory, hvor sårbarheden bliver beskrevet som ‘superkritisk’.

Der er frigivet patches til flere Linux-distributioner, men sikkerhedsekspert Peter Kruse fra CSIS gætter på, at der de kommende måneder vil blive ved med at dukke eksempler op på, hvordan sårbarheden bliver udnyttet.

Blandt andet fordi en lang række systemer, herunder routere, formodes at køre sårbare Linux-versioner, som ikke nødvendigvis bliver patchet lige med det samme.

Læs også: Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat

Derudover vil der også være adskillige servere, som ikke nødvendigvis har fået sikkerhedsopdateringer automatisk installeret, og som derfor også vil være sårbare. Eksempelvis af driftshensyn.

»Det er vigtigt at være bevidst om, hvor man måtte have potentielt sårbare systemer stående, så man kan få hentet opdateringer til dem.«

Peter Kruse påpeger, at sårbarheden er helt enkel at udnytte. Og han vurderer, at det vil resultere i deciderede orme, altså kode, der selv kan finde sårbare enheder, inficere dem og sprede sig videre derfra.

»Det er en grim sårbarhed, fordi den er så enkel at udnytte. Dermed er det også en sårbarhed, der lægger op til, at der vil komme selvreplikerende kode. Vi vil se en masse scanninger efter sårbarheden komme nu. Og jeg er bange for, vi i kølvandet på det, vil se noget kode, der automatisk vil forsøger at udnytte det her. Og det kan altså blive til en rigtig modbydelig orm, for at sige det ligeud,« siger han.

CSIS har registreret et stigende antal scanninger efter systemer, der indeholder Bash-sårbarheden.

Hvis en angriber overtager et system via Bash-sårbarheden, som er blevet navngivet Shell shock, vil angriberen i udgangspunktet kunne afvikle kode med samme rettigheder, som eksempelvis en webserver kører med.

»Det er det, der gør den rigtig slem. Den leder direkte til fuld system-kompromittering. Så det er i den rigtigt tunge kategori.«

Læs også: Danske myndigheder forbigår historisk stor internettrussel i tavshed

Det britiske teknologi-medie The Register har også beskæftiget sig med sagen. De fortæller, at Bash op til version 4.3 er sårbar.

Eksempelvis kan en webserver være sårbar overfor bash-hullet, hvis den anvender CGI-scripts, der udfører Bash-kommandoer på nogen måde. Også DHCP-klienter og OpenSSH-klienter vil være sårbare på maskiner, der anvender bash.

CSIS oplyser, at følgende eksempel, kan anvendes til at teste sårbarhedens eksistens via cgi-bin. Eksemplet vil spawne en shell på TCP port 55555:

Sikkerhedshullet har ifølge The Register eksisteret i 22 år tilbage til version 1.13 af Bash og relaterer sig til, at når en miljøvariabel bliver tildelt en funktion, vil koden indeholdt i funktionen blive eksekveret.

Peter Kruse vurderer, at der ikke er tale om en bevidst indbygget sårbarhed, men snarere et uheld.

»Jeg tror, det er kompleksiteten i softwaren. Og når der er mennesker involveret, så bliver der begået fejl.«

It-sikkerhedseksperten Robert Graham skriver følgende opfordring på sin blog:

»Scan dit netværk for ting som Telnet, FTP og gamle versioner af Apache. (masscan er ekstremt brugbart til dette). Alt hvad der responderer er formentlig en gammel enhed, er har behov for en patch til Bash. Og eftersom mange af dem sikkert ikke kan patches, er du formentlig på røven.«

Shellshock, der flere steder bliver sammenlignet med det frygtede Heartbleed sikkerhedshul, der fik 11-tal på en skala fra 1 til 10 over alvorlighed af den anerkendte sikkerhedsmand Bruce Schneier.

Posted in computer.

CSC-vidne i hackersag: Sårbarheder i mainframen havde en patch måneder før hullet blev lukket

En patch til et alvorligt sikkerhedshul var tilgængelig hos IBM flere måneder inden CSC blev underrettet om hackermistanke af dansk politi. Patchen havde fået rating-graden 10, der indikerer, at den lukker et meget alvorligt sikkerhedshul.

Men da CSC ikke umiddelbart kunne få noget at vide om, hvad patchen gk ud på, blev patchen planlagt til at indgå i den almindelige patch-cyklus. Patchcyklussen er på mellem 3 og 12 måneder, forklarer CSC’s Martin Gobs på hackersagens niende dag. Patchen blev frigivet fire måneder efter det sidste hackerangreb øjensynligt fandt sted i august 2012.

Martin Gobs, der er chef for CSC’s sikkerheds strikforce i Europa, har i Retten på Frederiksberg i dag forklaret, at det var to ’zero day’-sårbarheder som gav hacker adgang til CSC’s mainframe i 2012. Tiltalt i sagen er svenske Gottfrid Svartholm Warg samt danske JT.

Den første sårbarhed blev anvendt til at skaffe den indledende adgang, og den anden til at udvide brugerrettighederne for hackeren, forklarede Gobs. Fra vidnestolen kunne Gobs fortælle, hvad sårbarhederne i udgangspunktet bestod af.

I begge tilfælde tillod sikkerhedshullerne en bruger at give webserveren en get-kommando. Med kommandoen har hackeren kunne forespørge CSC’s webserver om at lave kommandoer på mainframen frem for at vise en hjemmeside.

»Man kan bede webserveren om at udføre en kommando uden for den normale arbejdsområder, hvis systemet ikke er beskyttet godt nok,« lød det fra Gobs.

Patch eksisterede måneder inden CSC lukkede hul

CSC blev ifølge Martin Gobs opmærksom på et sikkerhedsproblem, da dansk politi i slutningen af februar 2013 tog kontakt til CSC. Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.

»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gobs

»Vi laver en fejlsag og spørger IBM, om det er en fejl, der er kendt, eller en fejl, der ikke er kendt. Og det er en kendt fejl, og der er en patch, som vi så kan installere,« fortsatte han.

Anklager Maria Cingari spørger om patchen lukker den såkaldte ’zero day’-sårbarhed, hvilket bekræftes af Martin Gobs.

»I har ikke selv opdaget noget usædvanligt inden da,« spurgte anklageren

»Når det er en ’zero day’ så er den i sagens natur ukendt for os og leverandører. Og hackeren har gjort en stor indsats for at passe ind i systemet og bevæge sig inden for rammerne,« svarede Gobs.

Patchen, som lukkede hullerne, var frigivet fra IBM d. 19. december 2012. Men der er ifølge Gobs ingen information om, hvad der har ledt til at patchen er blevet sendt ud.

CSC vil kaste slør over retssag

Ved Martin Gobs side sad i dag advokat Hans Jakob Folker som repræsentant for CSC. I et stopfyldt ringbind, havde advokaten markeret alle de informationer, som virksomheden ikke ønsker offentliggjort.

»Det vi markerer med gult, er noget vi betragter som erhvervshemmeligheder. Vi vil selvfølgelig gerne lade retten behandle dem, men vi vil ikke have dem ud i offentligheden,« indledte advokaten.

Oplysningerne drejede sig om de tekniske detaljer omkring sårbarhederne og om brugeroplysninger til CSC’s systemer. Både anklager og forsvarer gjorde CSC’s advokat opmærksom på, at flere af oplysningerne allerede havde været fremme i sagen og oppe på de skærme, som deler sagens dokumenter med tilhørerne.

De aktuelle brugernavne er ikke længere i brug, men de siger stadig noget om strukturen i brugernavnene, forklarede advokaten. Han ville dog ikke insistere på at lukke dørene for tilhørere for at skjule oplysninger, der allerede har været fremme i sagen.

21-årige JT og 29-årige Warg risikerer op til seks års fængsel, hvis de kendes skyldige.

Version2 er til stede i Retten på Frederiksberg.

Posted in computer.

Fejl i endnu et system til indkaldelser til kræft-screening: 23.500 indkaldt for sent

Cirka 23.500 kvinder i Region Nordjylland har siden 2009 modtaget indkaldelser til screening for brystkræft senere, end de burde i forhold til anbefalingerne. Det skyldes en fejl i den algoritme, som skulle sørge for de automatiske indkaldelser.

Indkaldelserne sker via et modul til regionens bookingsystem, som sørger for at lave et udtræk af de personer, som skal indkaldes. Den skulle have sørget for, at kvinder, som for nylig var fyldt 50 år, eller havde ventet længst, blev indkaldt først, men det har ikke fungeret korrekt nok. Derfor er nogle af de kvinder, som har ventet længe, blevet skubbet bagud i køen og har først fået en indkaldelse senere, end de burde.

Region Nordjylland oplyser, at fejlen nu er rettet i samarbejde med leverandøren, og alle har modtaget indkaldelser. For en mindre gruppe på cirka 700 kvinder var indkaldelserne udsendt mere end 12 måneder for sent.

»Vi har sikret, at alle kvinder nu bliver rettidigt inviteret til screening. Årsagen til fejlen var primært, at de rettelser, vi havde lavet sammen med leverandøren, ikke fik systemet til at invitere de kvinder, der havde ventet længst tid. Det er vi dybt utilfredse med. Vores testsystem har samtidig ikke været tilstrækkeligt, og vi har haft for få muligheder for at kontrollere systemet,« udtaler direktør for it i Region Nordjylland, Dorte Stigaard, ifølge en pressemeddelelse.

Region Nordjylland oplyser til Version2, at problemerne i Region Nordjylland ikke har nogen forbindelse til de problemer, Region Midtjylland havde med indkaldelser til screening for livmoderhalskræft, hvor op mod 27.000 kvinder ikke fik rettidige indkaldelser.

Læs også: Mystisk ‘WM-kode’ afslørede fejl i kræftscreeningssystem

Læs også: Ekspert: It-system burde have fanget fejl i kræftscreening

Posted in computer.