Monthly Archives: September 2014

Med et solvarmeanlæg på 70.000 kvadratmeter og et nedgravet varmtvands-lager på 203.000 kubikmeter lægger Vojens Fjernvarme sig frem i førerfeltet, hvad angår størrelsen af solvarmeanlæg i Danmark – og dermed også i verden.

Hullet til det store varmelager er netop gravet, og entreprenør på opgaven, Per Laustsen fra Chr. Johannsen A/S, er nu i gang med at beklæde bunden og de skrå sider med en tæt gummimembran. Næste skridt bliver at etablere et 70 cm tykt, isoleret låg over hele bassinet.

Anlægget, som tages i brug i 2015 og koster 120 mio. kroner, kan forsyne de 2.000 fjernvarmeforbrugere hos Vojens Fjernvarme med solvarme, der svarer til 45 pct. af varmeforbruget på årsbasis.

Når det kæmpestore, 14 meter dybe bassin er færdigt, skal det fyldes med vand. Det tager cirka fem måneder ved en pumpekapacitet på 50.000 liter vand i timen.

Forbrugere sparer 10-15 pct.

Forretningsfører i Vojens Fjernvarme, Arne Holm, oplyser i en pressemeddelelse, at investeringen vil give forbrugerne en besparelse på 10-15 pct.

Ifølge projektleder Jesper Lund Nielsen fra Rambøll sparer solvarmeanlægget i Vojens samtidigt miljøet for 6.000 ton CO2 årligt:

»Vi forventer, at denne nye metode til langtidslagring af sommeropvarmet vand til den kolde årstid vil boome de kommende år,« siger han.

Varmelageret har en overflade på 23.500 kvadratmeter og en omkreds på 610 meter samt et tværmål på 200 meter.

Jesper Lund Nielsen forklarer, at lageret ’oplades’ fra april til midt september, hvor vand på 80-90 grader pumpes ind i toppen af lageret. Dog må man i perioder med lav solindstråling pumpe vand med lavere temperatur ind i midten af lageret.

I september er lageret helt varmet op med 80-90 grader næsten helt til toppen og 40-60 grader i bunden. Sideløbende med opladningen af lageret dækker solvarmeanlægget også det løbende varmebehovet til fjernvarmenettet.

Henter varmen fra toppen

Fra midt september starter afladning af lageret ved at veksle vand fra toppen af lageret med returvand fra fjernvarmenettet, så vandet i damvarmelageret nedkøles til 40-45 grader

Returvandet pumpes ind i bunden af lageret og trykker dermed det varme vand op.

De første måneder kan vandet fra damvarmelageret pumpes direkte ud til forbrugerne. Efter et par måneders afladning er det tid til at supplere med værkets kedler og motor på naturgas.

I november-januar produceres der højere temperatur med naturgasenhederne, end der er behov for på fjernvarmenettet, og den lavere temperatur fra damvarmelageret blandes i. I løbet af januar er damvarmelageret så helt afkølet til 40-45 grader.

Vojens Fjernvarme havde i forvejen et solfangeranlæg på 17.500 kvm, som nu bliver suppleret med et nyt anlæg på 52.500 kvm. Den angivne pris er eksklusiv det gamle anlæg.

Ingen mistænkeligt netværksaktivitet. Sådan sluttede dansk politi sin ”online” undersøgelse af computeren, hvorfra hacking af CSC fandt sted. Sagens svenske tiltalte, Gottfrid Svartholm Warg, har erklæret, at hackercomputeren tilhører ham, men at den blev fjernstyret til at udføre hackerangrebet. Men uden usædvanlig netværksaktivitet fra computeren, mener politiet ikke at den forklaring holder vand.

Men den undersøgelsen er ikke retvisende, mener it-eksperten Lars Ole Petersen, der i dagens retsmøde vidnede på vegne af forsvaret. Sammen med danske JT er Warg tiltalt for at have hacket CSC’s mainframe i 2012.

Vidnet kritiserede, hvordan politiet har undersøgt om Wargs computer forsøger at oprette forbindelse til internettet. Det har man ifølge politiets rapport gjort i et ’internetlignende netværk’. Hvad det betyder, er uvist, forklarede Lars Ole Petersen.

»Der er ikke nogen definition på et ’internetlignende netværk’, og rapporten giver ingen forklaring. Det virker utrolig dårligt i forhold til at undersøgelsens konklusioner, at det ikke er dokumenteret,« sagde Petersen, der arbejder som sikkerhedschef i en større kommunikationsvirksomhed.

Han konkluderer selv, at der er flere ting, der kan muliggøre fjernstyring af hackercomputeren.

Online undersøgelse var muligvis ikke online

Det ‘internetlignende netværk’ lader ikke til at være reel internet tilslutning, vurderer Lars Ole Petersen i en rapport, som han har lavet om politiets undersøgelser. Politiet har i undersøgelsen af
netværksaktiviteten anvendt open source-programmet WireShark. Men ifølge ekspertvidnet har undersøgelsen kun givet en brøkdel af den datamængde, som den burde have gjort.
I en lignende undersøgelse på sin egen computer genererede Lars Ole Petersen på et kvarter godt fire megabyte data. Det svarer til en tredjedel af den mængde data, politiet loggede på 48 timer.

»Hvad fortæller det dig,« spurgte Wargs forsvarsadvokat Luise Høj.

»At computeren ikke har haft adgang til internettet,« svarede vidnet, der selv har en baggrund som it-efterforsker hos politiet.

Og det er problematisk, mener han.

»Man kan ikke undersøge noget, hvis det ikke er samme miljø og ikke har samme muligheder. Det svarer til at tage en panda fra Kina og låse den inde i en zoologisk have og sige, man vil betragte den i sit naturlige miljø,« forklarede Lars Ole Petersen til retten og de godt 15 tilhørende.

Mistænkelig vira ikke undersøgt

En virusskanning af Wargs computer viste over 500 trusler. Politiet har ifølge Luise Høj forklaret, at de ikke har ressourcer til at undersøge alle 500. Men nogle af dem er meget relevante, fortæller Lars Ole Petersen fra vidnestolen.

I en gennemgang har eksperten fundet seks alvorlige stykker malware. Heriblandt en såkaldt Agent-BIX og win32/bafruz.b. De to kan ifølge Symantecs definitioner begge give en tredjepart adgang til computeren.

Agent-BIX blev desuden fundet installeret på computerens administrator-bruger.

»Hvad betyder det for computeren,« ville Luise Høj vide.

»Den virus kan stjæle passwords og stjæle skærmbilleder. Og den kan også installere programmer,« lød det fra Lars Ole Petersen.

Han kritiserer politiet for det første for først at foretage en virusskanning på forsvarets opfordring. Det burde have været standard procedure, mener han. Endvidere kan han ikke forstå, hvorfor politiet efterfølgende ikke reagere på de mange virafund.

»Man skal lave en undersøgelse af, hvilke services der er blevet inficeret. Det er ikke blevet gjort,« sagde Petersen.

Gottfrid Svartholm Warg og JT risikerer op til seks års fængsel, hvis de findes skyldige.

Version2 er til stede i Retten på Frederiksberg.

Mindst to botnets, som i forvejen rummer et større antal kaprede Linux-servere, udnytter nu den alvorlige sårbarhed i Bash-kommandofortolkeren, som er blevet kendt under navnet Shellshock. Det oplyser sikkerhedsfirmaet CSIS.

Flere sikkerhedseksperter vurderede allerede tidligere på ugen, at det blot ville være et spørgsmål om tid, før sårbarheden dukkede op i malware-form, og torsdag blev de første eksempler så fundet i det fri.

Shellshock-sårbarheden skyldes en fejl i den måde, hvorpå Bash håndterer indkommende kommandoer fra eksempelvis cgi-scripts, og det kan udnyttes til at få adgang til en Bash-kommandoprompt på en sårbar server.

Ifølge CSIS udnytter to botnets Shellshock-sårbarheden ved at scanne store IP-adresseområder og sende den ondsindede kode mod de systemer, som ser ud til at være sårbare. CSIS oplyser, at mange firewalls med intrusion detection kan opdage forsøg på at udnytte sårbarheden, men selve malwaren er der endnu ingen antivirusprogrammer, som kan spore.

Blot 36 dage før alle danskere skal være tilmeldt Digital Post, er E-Boks ramt af et længerevarende nedbrud, som betyder, at det i øjeblikket ikke er muligt at anvende den digitale postkasse hos E-Boks.

Hjemmesiden har meget lange svartider eller møder brugerne med fejlmeddelelser, men E-Boks oplyser ikke om årsagen til problemerne på hjemmesiden.

Flere kommuner har for få dage siden udsendt digitale breve til borgerne for at informere dem om overgangen til Digital Post, men det er uvist, og driftsproblemerne skyldes mange besøgende på E-Boks.

E-Boks har også været i færd med at indføre et nyt design på hjemmesiden. Version2 forsøger at få oplyst nærmere om årsagen til driftsproblemerne.

Der er i øjeblikket problemer med at logge på e-Boks og Digital Post. Vi beklager og arbejder på at løse fejlen hurtigst mulig #Digitalpost

— DigstStatus (@DigstStatus) September 26, 2014

Der skal ikke mange fejltrin til, før man er ude i kulden.

Denne bitre erfaring fik en norsk Android-udvikler, da han ifølge eget udsagn blev uskyldigt anklaget af Google for blandt andet plagiering og derefter fik sin udviklerkonto spærret på livstid.

Det skriver det norske it-medie Digi.no på baggrund af et interview med Android-udvikleren, der har valgt at være anonym.

»Hvis Google mener, at en app bryder med deres retningslinjer, vil den blive fjernet. Gentager det sig, vil også udviklerkontoen blive spærret på livstid. Det er umuligt at appellere,« siger den anonyme udvikler til Digi.no., og hævder at flere tusinde udviklere har oplevet at stå i samme situation som ham.

»Når de fjerner en app og henviser til retningslinjerne, så siger de ikke, hvad det gælder. Det er helt umuligt at forstå, hvad den egentlig årsag til reaktionen er.«

Udvikler: Falske anklager

Udvikleren fortæller, at han først var blevet anklaget af en indisk udvikler for at have kopieret vedkommendes app gennem reverse engineering. Trods den norske udviklers påstand om, at han var uskyldig, fjernede Google automatisk hans app med henvisning til den amerikanske lov om ophavsret (DMCA). Den endelige afgørelse mellem de to app-udviklere skulle således falde i retten, men den norske udvikler fik aldrig nogen stævning.

Hans app var dog stadig fjernet fra Google Play, mens inderen havde fået en konkurrent mindre fortæller den norske udvikler.

»Google træffer ofte afgørelser baseret på automatisk kontrol uden menneskelige indgreb,« siger han.

Efterfølgende fik udvikleren fjernet en anden af sine apps, fordi den efter sigende skulle indeholde en form for malware. Det nægtede udvikleren, som forsøgte at få fjernet hans app fra Googles sortliste, men det hele endte med, at også udviklerkontoen blev spærret – permanent.

»… det er ikke sådan, at det er en menneskeret at kunne sælge produkter i Google Play. Vi har retningslinjer, og bryder man dem, risikerer man at blive smidt ud. Og når man først er smidt ud, er det ikke muligt at følge op på det – det skal nok stemme, « har Google chef i Norge, Jan Grønbech, efterfølgende sagt til Digi.no.

Det er ikke første gang, at Android-udviklere har stået frem og kritiseret Googles.

En amerikansk udvikler fra Silicon Valley fortalte i marts på sitet medium.com, hvordan han var blevet udelukket fra Google Play på livstid, uden at han – ifølge eget udsagn – var blevet advaret om det på forhånd. Og det på trods af, at han gentagne gange havde spurgt selskabet om, hvordan han skulle forholde sig til Googles retningslinjer.

Den amerikanske udvikler skriver, at han også fik spærret sin digitale pengepung Google Wallet samtidig med, at hans udviklerkonto blev lukket ned.

Historien er efterfølgende blevet slettet fra medium.com, men kan stadig læses i en cached version her.

En række Android-udviklere har nu skubbet gang i en underskriftindsamling til Google. Udviklerne kræver at blive behandlet med respekt og få ordentlige advarsler, før de bliver smidt ud af klubben og får lukket deres udviklerkontoer.

Der er i skrivende stund 1.600, der har skrevet under.

Siden 2010 har det værets Googles politik, at man måtte oprette en profil på deres sociale netvæk Google+, hvis man prøvede at oprette en gratis mailkonto hos selskabets mailtjeneste, Gmail.

Det er nu slut, skriver Arstechnica.com

Den tvunge Google+ konto førte blandt andet i en periode til, at journalister skulle oprette sig på det sociale netværk for overhovedet at få artikler indlemmet i søgestrømmen på Google, skriver Arstechnica.com.

Da Google købte termostatproducenten Nest, gik joken på nettet, at det var nødvendigt at oprette sig på Google+, hvis man ville skrue op og ned for varmen derhjemme.

Grunden til opslitningen mellem de to Google services er angiveligt, at manden bag G+, Vic Gundotra, forlod Google i april i år. Efter hans afgang er det nemlig heller ikke været nødvendigt at være logget ind med Gmail for at bruge Youtube.

Arstechnica.com har som dokumentation lagt en screendump-serie op, der bekræfter, at det er muligt at oprette en Gmail-konto, uden at skulle være tilstede på G+. Man bliver stadig tilbudt at oprette en samlet G+ profil til brug i alle Googles forskellige platforme, men som nedenstående eksempel viser, kan det nu lade sig gøre at springe det over.

Se det i bunden af artiklen her

Softwareudvikler Ibrahim Balic fra London skrev til Apple, at han havde fundet en sikkerhedsbrist i Icloud allerede et halvt år før celebgate – en læk på hundredevis af kendtes nøgenbilleder tidligere i denne måned, som alle angiveligt var lagret på Apples Icloud-service. Det skriver The Daily Dot.

Ibrahim Balic er citeret for at sige, at den formodede sikkerhedsbrist, der førte til offentliggørelsen af de mange nøgenbileder, minder forbavsende meget om den, som han meddelte Apple om allerede i marts i år i en e-mail.

I mailen til Apple fortæller han, at han har fundet en metode til at omgås den foranstaltning, der skal forhindre brute force attacks – en metode hvor hackere systematisk prøver tusindevis af kodeord for at komme ind med en brugers profil. Ibrahim Balic kunne prøve 20.000 kodeord på massevis af konti, angiveligt uden at log-in processen af sikkerhedsmæssige årsager blev afbrudt som følge af det.

Læs korrespondance her

Selvom Apple senere har hævet, at det ikke var deres system, der var noget galt med, førte det alligevel til en automatisk to-trins-bekræftelse for brugerne fremover, lige som de rettede i et script.

Ibrahim Balic har før fundet fejl hos Apple, hvor de har været lang tid om at anerkende de påpegede huller i sikkerheden, skriver The Daily Dot.

Danmarks største våbenproducent, Terma, blev over en fire-årig periode hacket med avanceret software, som analytikere og sikkerhedseksperter mener peger tilbage til en kinesisk hacker med forbindelse til det kinesiske militær. Det skriver DR Nyheder.

Version2 beskrev angrebet i februar 2013 men den gang afviste Terma direkte adspurgt, at det var dem, der var under angreb.

Angrebene på fem danske forsvarsvirksomheder foregik ifølge en aktindsigt til Center for Cybersikkerhed i perioden 2008 til 2012. En udenlandsk efterretningstjeneste tippede den Forsvarets Efterretningstjeneste, der derefter kunne rette henvendelse til de danske firmaer, hvoraf flere ikke vil udtale sig om cyberangrebet. Herunder Terma.

Se DR’s tidslinje over angrebene her

Angiveligt skulle spionagen være kinesisk baseret og blandt andet gå efter underleverandører – blandt andet Terma – til Joint Strike Fighter-udviklingsprogrammet – det måske kommende danske kampfly – og et af de mest kendte avancerede kampflyprojekter i verden.

Kopier af flyene er tidligere blevet set flyve i Kina.

Ved angrebene blev der brugt to forskellige våben til at trænge ind i virksomhedernes computersystemer.

Det første hedder Poison Ivy og er en meget almindelig type såkaldt ‘malware’ – en særlig slags ondsindet software, der er beregnet til enten at forstyrre en computer eller samle information.

Den anden malware bærer navnet PlugX og er langt mindre udbredt i hackermiljøet. Det var fundet af denne spion-software, der førte til optrævlingen af spionagen.

Hvordan de to cybervåben præcist blev plantet i de danske forsvarsvirksomheder vides ikke, men PlugX er tidligere blevet brugt på meget sofistikerede måder.

Blandt andet har IT-sikkerhedsfirmaet Symantec undersøgt et angreb i denne artikel.

DR skriver, at det ifølge det private sikkerhedsfirma Alienvault er muligt direkte at spore PlugX tilbage til en kinesisk hacker mod kodenavnet Whg0001, der ifølge kilden måske har forbindelse til det kinesiske militær.

Som Version2 tidligere har beskrevet er denne bevisbyrde dog svært at løfte.