Daily Archives: October 3, 2014

Mars’ overflade er bedre kortlagt end havbundene på jorden, men satellitten CryoSat-2 er ved at udjævne den forskel. CryoSat-2 blev sendt op i april 2010 for at holde øje med polerne, men samtidig havde den udstyr med om bord til at kortlægge topografien på bunden af verdenshavene.

Forskere fra Scripps Institut for Oceanografi ved University of California i San Diego har brugt data fra satellitten til at udarbejde et nyt kort over havbunden, som er meget mere detaljeret end de hidtidige. Deres resultater er publiceret i tidsskriftet Science.

Tusindvis af tidligere ukendte bjerge rejser sig fra havbunden, ligesom nye spor angående kontinenternes opståen er kommet frem. Måleteknologien er blevet en del bedre, og fra kun at have kortlagt bjerge, som rejser sig to kilometer fra havbunden, har forskerne nu været i stand til at kortlægge ned til halvanden kilometer høje bjerge.

»I vores tidligere radar-datasæt kunne vi se alt, der var højere end to kilometer, og der var 5000 undersøiske bjerge. Med vores nye datasæt – og vi er ikke helt færdige med arbejdet endnu – gætter jeg på, vi kan se ting, der er halvanden kilometer høje. Det lyder måske ikke som en stor forbedring, men antallet af undersøiske bjerge går eksponentielt op, når vi sænker højden,« siger professor Dave Sandwell til BBC News.

»Så vi har kunnet finde yderligere 25.000 bjerge, ud over de 5000 vi allerede kender,« siger forskeren fra Scripps-instituttet, som har været med til at undersøge billederne fra satellitten.

Forskerne har desuden identificeret højderygge og fordybninger i havbundene, som ikke tidligere har været kendte. Blandt andet enorme kløfter i den Mexikanske Golf, som blev formet for 150 millioner år siden, men som siden er blevet begravet i et kilometertykt lag af sediment.

Den europæiske CryoSat-2′s primære opgave er at undersøge islaget over polerne. Men samtidig affotograferer den verdenshavene, hvor den måler havbunden ved hjælp af en speciel radarteknologi, som blandt andet er udviklet på Danmarks Tekniske Universitet.

Den nye viden om havbundenes bjerge kan blandt andet benyttes til forvaltningen af fiskeressourcer og til viden om bevaring af naturen. Det er nemlig omkring bjergene dyreliv ofte befinder sig.

Samtidig er havbundens form vigtig i forhold til, hvordan havstrømmene bevæger sig og dermed hvordan oceanerne transporterer varme og påvirker klimaet.

Der er god grund til at være på vagt over for lommelygte-apps til Android.

Man kan undre sig over, hvorfor en app, der kun sørger for at tænde og slukke for LED-lyset på en smartphone, skal have adgang til at ændre på telefonens systemindstillinger eller lokalisere brugeren ved hjælp af GPS’sen.

Ikke desto mindre er det tilfældet for en lang række lommelygte-apps til Android, som er blevet gennemgået af mobilsikkerhedsfirmaet Snoopwall.

Flere af de omtalte apps, ser ud til at være designede efter at samle og blotlægge fortrolige informationer om brugerne til it-kriminelle ifølge rapporten.

Blandt de ti mest populære lommelygte-apps, er der ikke én, som kun har adgang til at styre appens vigtigste funktion: LED-lyset på telefonen. Samtlige apps kræver, når de bliver installeret, adgang til en mængde andre funktioner på telefonen, der ikke umiddelbart har noget at gøre med at styre lyset.

Tre af de gennemgåede apps har eksempelvis adgang til at ændre på telefonens systemindstillinger, og ligeledes har tre apps adgang til brugerens præcise position ved hjælp af GPS’en.

Fem apps har desuden adgang til telefonens IMEI-nummer og anden information om telefonens identitet.

Den app, der kræver adgang til de fleste funktioner, er Super Bright LED Flashlight.

Windows og iOS-apps skulle ikke være lige så eksponerede for misbrug som Android-apps ifølge Snoopwall.

Et hackerangreb på den amerikanske bank JPMorgan Chase har i juni kompromitteret kundeoplysninger for 76 millioner husholdninger og 7 millioner mindre virksomheder. Det skriver New York Times.

Angrebet er dermed langt større end banken i første omgang vurderede. Så sent som i sidste uge lød meldingen at blot en million konti skulle være berørt. De nye tal bringer bank-hackerangrebet op i samme vægtklasse som hacking af de amerikanske selskaber Target og Home Depot, der fandt at hackere havde fået adgang til informationen på henholdsvis 40 millioner og 56 millioner kortholdere.

Hackerne af JPMorgan Chase fik adgang til navne, adresser, telefonnumre og e-mails på bankens kunder. Men ingen kontooplysninger, lyder det fra Wall Street-selskabet.

Angrebet menes at være udført fra Sydeuropa, hvor gerningsmænd har skaffet sig adgang til en oversigt over de programmer, banken anvendte. Derfra har de fundet ud af, hvor potentielle sikkerhedshuller kunne blive udnyttet. Gerningsmændene fik adgang til mere end 90 servere, men har tilsyneladende ikke stjålet noget. Hackerangrebet fandt sted i juni, men blev først opdaget måneden efter.

Banken har nu planer om at bruge 250 millioner dollars – svarende til 1.473 millioner kroner – på it-sikkerhed om året.

Nu kommer Adobe Photoshop til Chromebooks. Det skriver digi.no. Adobe har bekræftet, at deres Creative Cloud lanceres til Chromebook, og Photoshop er først ude.

Programmet skal streames til computeren, og skal ifølge Adobe være så godt som fuldt funktionelt, og tilbyde den samme oplevelse, som Photoshop-brugere er vant til.

”Så godt som…” dækker over, at der er nogle funktioner, som Photoshop normalt sender til grafikprocessoren på kraftige maskiner, og disse funktioner vil ikke være tilgængelige på Chromebook-udgaven.

Hidtil har et af de bedste argumenter mod at benytte Chromebooks været, at der findes for få programmer til platformen.

Men noget tyder nu på, at det er ved at ændre sig. I hvert fald har Adobe besluttet sig for at udsende deres populære billedbehandlingsprogram, Photoshop, til Chrome.

Programmet vil også være integreret i Google Drive (eller drev), og det vil – da det streames – altid være opdateret til den nyeste version.

Photoshop til Chromebook er fortsat kun en betaversion, og Digi.no skriver, at det endnu ikke er specielt let at få fat i i dag. Det er kun tilgængeligt for USA-basrede brugere og de skal være registrerede uddannelseskunder (med et fungerende Creative Cloud-medlemsskab).

Digi.no mener dog – på trods af, at det endnu ikke er tilgængeligt – at det er et skridt på vejen for Chromebooks.

ET 3G-modul, som måler bare 16 gange 26 millimeter, skal få alle mulige forskellige enheder på nettet. SARA-U260 er det mundrette navn, på den lille chip, som U-blox har udviklet, skriver ITWorld.com.

ITWorld.com skriver, at den amerikanske telegigant AT&T har certificeret 3G-chippen, som er designet til at bære små mængder data, som maskiner sender til hinanden på det såkaldte ”Internet of Things”, hvor geografisk dækning, hvilket også er 3Gs stærke side, er vigtigere end hastighed.

I dag er der tale om elektriske målere, fitness-ure og forskellige enheder i biler, som forsikringsselskaber bruger til at overvåge bilistens kørsel, som er på nettet. Men med den nye mindre chip er mulighederne større.

Mens de fleste går efter at surfe på 4G og historier om 5G begynder at poppe op, så er 2G- og 3G-netværkene stadig fungerende, og de er hurtige nok for mange ”Internet of Things”-applikationer.

Når AT&T har certificeret de små chips, er det for at producenter af forskellige enheder, kan begynde at bygge enheder op omkring chippene. Og den lille U-blox SARA-U260 er i stand til at benytte 3G-netværk, og 2G, hvor det er nødvendigt.

IDC – International Data Corporation, der overvåger informationsteknologier, telekommunikation og teknologimarkeder – estimerer at der på verdensplan er 1,4 milliarder non-phone enheder, som er tilsluttet mobile netværk, og de regner med, at der er otte milliarder i slutningen af 2018.

De fleste af den slags enheder, der er på markedet i dag, er med 3G eller 2G tilslutninger, som oftest er billigere end 4G, og som kan arbejde med mindre energi og er i stand til at transportere små mængder data omkring hastigheder, bevægelse og energiforbrug.

Og med den nye enhed, er det altså nu muligt at lave den slags enheder endnu mindre.

Danske myndigheder nøler med at melde ud om alvorlige sårbarheder i udbredte it-systemer.

Hos den statslige varslingstjeneste for internettrusler, GovCert, der hører under Center for Cybersikkerhed, advarer man først om sårbarheder, når nogen forsøger at udnytte dem.

Virksomheder og borgere har selv ansvar for at holde sig orienterede, lyder meldingen.

Seneste eksempel er den berygtede Shellshock-sårbarhed, hvor GovCert først reagerede flere dage efter lignende sikkerhedstjenester i andre lande.

»Vi er ikke en organisation, der går ud og råber ulven kommer, før vi har set ulven. Det var ikke fordi, der manglede offentlighed om den her sårbarhed,« siger chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen, til Version2.

Da nyheden om den alvorlige Shellshock-sårbarhed i Unix-lignende systemer kom offentligt frem onsdag den 24., var blandt andet den statslige amerikanske varslingstjeneste USCert ude og advare mod buggen den samme dag. Og både de amerikanske og engelske varslingstjenester kom efterfølgende med løbende opdateringer over, hvordan man som bruger skulle forholde sig til sårbarheden.

Fra de danske myndigheder var der anderledes stille. GovCert advarede således først de driftsansvarlige for den kritiske it-infrastruktur i Danmark om sårbarheden en dag senere, torsdag den 25. september. Offentligheden fik først besked efter endnu en dag, fredag den 26. september.

Siden har der været tavst fra GovCert, selvom det så sent som lørdag den 27. september lykkedes for it-sikkerhedseksperten Peter Kruse at finde sårbarheder i statslige it-systemer på mainframes hos både IBM og CSC.

Begrundelsen for de sene meldinger er ifølge Center for Cybersikkerhed, at det først venter med at give besked, til der er nogen, som forsøger at udnytte sårbarheden eller scanne efter sårbare systemer. Og det skete først dagen efter lyder meldingen.

»Det ligger ikke inden for vores opgave at informere bredt om nye sårbarheder. Vi varsler, når der er tale om noget, som der ikke er offentlig opmærksomhed omkring, og som kan ramme især den offentlige sektor bredt. Og det, vi bidrager med, er for eksempel, at vi kan se, at der er nogen, der forsøger at scanne efter sårbarhederne,« siger Thomas Lund-Sørensen.

»Center for Cybersikkerhed har været for langsomme«

Selvom GovCert ikke varsler om alle sårbarheder, så burde man have været hurtigere på aftrækkeren, når det gjaldt Shellshock, lyder det fra postdoc på DTU og it-sikkerhedsekspert Luke Thomas Herbert

Trusselsniveauet for Shellshock er blevet vurderet til 10/10 af den amerikanske database over sårbarheder, NVD, som blandt andet er varetaget af det statslige USCert. Og det burde Center for Cybersikkerhed have kunnet gennemskue ifølge Luke Thomas Herbert:

»Der burde ikke gå mere end et kvarter, fra du hører om Shellshock til du har en klar idé om, at det kan angribes. Og med en generel viden burde du øjeblikkelig have set, at det er stort, og de her shells kan udnyttes,« siger han og fortsætter:

»Den her gang har Center for Cybersikkerhed været for langsomme.«

Version2’s blogger Poul-Henning Kamp har også kritiseret GovCerts handlemåde i et blogindlæg:

Den korrekte og ansvarlige handling havde været, hvis GovCert, så snart de havde verificeret, at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT, der lød:
»Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen, når I har overbevist os om, at I har lukket alle eventuelle huller i denne kontekst.«

Dette afviser chefen for Center for Cybersikkerhed dog blankt:

»Nej, det vil vi ikke sige. Det er i sidste ende op til hver enkelt myndighed at overveje, hvad man vil gøre i forhold til en given sårbarhed, og de systemafhængige risici der er forbundet med udnyttelsen af sårbarheden. Vi har derudover intet mandat til at pålægge dem noget i sådan en forbindelse og ser heller ikke noget behov for at få det,« siger Thomas Lund-Sørensen.

GovCert ventede også med at advare om Heartbleed

Det ikke første gang, at myndighederne venter med at advare om grelle it-sårbarheder. GovCert ventede også fire dage med at melde offentligt ud om den alvorlige Heartbleed-bug.

Buggen blev offentligt kendt den 7. april i år og ramte tusindvis af servere gennem en fejl i open-source krypteringsbiblioteket OpenSSL. GovCert meldte først offentligt ud om sårbarheden den 11. april.

»Med Heartbleed-sårbarheden så vi fx ikke nogen scanninger på vores systemer, og derfor var vi tilbageholdende med at udtale os om den,« siger Thomas Lund-Sørensen og lægger ansvaret over på de enkelte virksomheder og myndigheder:

»Vi mener, at vi er kommet ud med det her til vores kunder i rette tid. Vi driver ikke it-sikkerhed for en virksomhed eller statslig myndighed – det gør de selv.«

Hos IT-Branchen lyder anbefalingen, at virksomhederne bør benytte sig af de mange private varslings- og sikkerhedstjenester, der er til rådighed for at holde sig opdateret og systemerne beskyttet.