Daily Archives: October 7, 2014

General Electrics har produceret verdens største og mest effektive gasturbine, som lige nu er ved at få testet sine 397 MW og 532.000 hestekræfter i Greenville, South Carolina, efter at have rejst knap 10.000 km. fra sin ‘fødeby’ Belfort i Frankrig.

9HA er turbinens officielle navn, men den 360 ton tunge ‘dame’ har fået tilnavnet Harriet og er tilmed indehaver af sin egen Twitter-profil, hvor interesserede har kunnet følge hendes interkontinentale rejse, der er foregået med skib, tog, pram og lastbil.

Når Harriet er færdigtestet, vender hun tilbage til Frankrig, hvor hun ifølge General Electrics skal være ‘det bankende hjerte’ i et kombineret gas-damp kraftværk, der skal erstatte et kulkraftværk i byen Bouchain og levere strøm til omkring 600.000 husstande.

Kraftværket, der er planlagt til at åbne i 2015, forventes at have en energieffektivitet på 61 procent. Til sammenligning har et kraftværk, der kun opererer med naturgas, en energieffektivitet på omkring 30 procent, mens effektiviteten med brændselsolie ligger på ca. 25 procent.

Det nye kombinerede kraftværk i Bouchain vil dermed halvere CO2-udledningen i forhold til det nuværende, mens udledningen af NOx falder til en tiendedel.

Fire turbiner skal levere strøm til to mio. amerikanere

Det amerikanske energiselskab Exelon har også fået øjnene op for den kombinerede teknologi og har bestilt fire gasturbiner af modellen 7HA, som svarer til 9HA – dog ‘kun’ med et output på 330 MW.

General Electrics leverer de fire gasturbiner sammen med to dampturbiner og seks generatorer i 2016, og fra 2017 skal de producere to GW strøm til to millioner texanere. Handlen koster Exelon omkring tre milliarder danske kroner.

Gasturbinerne er udviklet på baggrund af et oprindeligt design til supersoniske jetmotorer, og næste generation af turbiner vil ligeledes indeholde 3D-printede dele, oplyser General Electrics.

Klip fra ‘Harriets’ 10.000 kilometer lange rejse:

DSB er overordnet set enig i kritikken fra revisionsfirmaet Deloitte, som i en ny rapport konkluderer, at DSB ikke ved nok om markedet for elektriske tog.

Deloitte, som har gransket DSB’s nye oplæg til milliardindkøbet af fremtidens elektriske tog, konkluderer blandt andet, at DSB’s viden om markedet for eltog hverken er fyldestgørende eller tidssvarende.

‘Det er Deloittes vurdering, at beslutningsoplægget er forankret på en viden om markedet for eltog, der ikke er fuldstændig og aktuel’, konkluderer Deloitte således i sin rapport om DSB’s beslutningsoplæg.

Derfor er det ifølge revisorerne helt afgørende, at DSB foretager en uddybende markedsanalyse. Deloitte konkluderer dog, at DSB med mange justeringer vil være i stand til at gennemføre togindkøbet selv.

Anders Egehus, driftschef i DSB, forholder sig ikke direkte til kritikken i Deloittes rapport, men skriver i en email til Ingeniøren, at man hos DSB er enige i, at skal laves en ny tilbundsgående markedsanalyse.

‘Vi er glade for rapportens hovedkonklusion, der viser, at DSB vil kunne forestå indkøbet af Fremtidens tog, og at anskaffelsesprojektet kan fortsætte. Vi arbejder nu videre med rapportens anbefalinger, og hvordan de helt konkrete opgaver løses’, skriver han.

‘Blandt andet er vi enige i, at der skal laves en ny tilbundsgående markedsundersøgelse, der tager højde for den seneste udvikling. Den undersøgelse, der kommenteres i rapporten, er gennemført inden for de rammer, vi hidtil har haft’, skriver Anders Egehus.

Læs Deloittes rapport her.

Læs DSB’s beslutningsoplæg her.

Teknik- og miljøborgmester i København, Morten Kabell (Ø) er alt andet end begejstret for konklusionerne i Varmeplan 3, som de tre fjernvarmeselskaber, CTR, Hofor og Veks, har udarbejdet for varmeforsyningen i Hovedstadsområdet.

Rapporten, som blev præsenteret på en konference tirsdag, konkluderer, at det er fornuftigt, at mellem 78 og 92 pct. af varmen i hovedstadsområdet i 2035 fabrikeres med biomasse og affald.

Morten Kabell – som ud over sin borgmesterpost er formand for det ene af de tre fjernvarmeselskaber, CTR – kalder rapporten alt for ukritisk og skråsikker i sin konklusion om, at der er biomasse nok:

»Vi har endnu ikke nogen kriterier for bæredygtighed af biomasse, og den faglige debat omkring spørgsmålet kører stadig. Derfor skal vi være ærlige omkring biomassens svagheder og de faldgruber, der kan være ved at satse så meget på den, og sådan blev det ikke lagt frem her på mødet i dag,« sagde han til Ingeniøren efter mødet.

Morten Kabell mener, at man bør lytte nøje til den faglige debat og tage uenighederne til efterretning. Og at man bør anvende forsigtighedsprincippet, når der ikke findes nogen klare retningslinjer.

I stedet bør man ifølge teknik- og miljøborgmesteren begynde på at få flere alternativer ind i varmeforsyningen:

»Jeg vil gennem Københavns Kommunes engagement i CTR opfordre selskabet til at intensivere teknologiudviklingen i for eksempel geotermi og store varmepumper, så vi kan gøre varmeforsyningen mindre afhængig af biomasse og dermed mere bæredygtig,« siger han.

Teknik- og miljøborgmesteren mener dog ikke, at hans kritik dermed gør rapporten værdiløs.

»Vi kan bruge rapporten til at sørge for, at vi bevæger varmeforsyningen i en grøn retning, og så er rapporten også udtryk for et enestående samarbejde mellem 17 kommuner, som vi skal fortsætte og styrke,« siger han.

Affald overflødiggør solvarme

Ifølge rapporten er geotermi ikke hverken samfunds- eller selskabsøkonomisk bæredygtig med den nuværende teknologi, men kan dog komme i betragtning som varmekilde til store varmepumper.

På konferencen blev der også stillet spørgsmål om, hvorfor der ikke er mere solvarme i planen – for eksempel etableret på tagarealer – og hvorfor biogas af madaffald ikke indgår.

Med hensyn til solvarmen svarede områdechef Morten Stobbe fra Hofor, at den ikke er interessant, fordi man har rigelig varme om sommeren fra affaldsforbrændingsanlæggene – sådan som kontrakterne er skruet sammen.

Hvad biogas angår, lød svaret, at det ikke er varmeselskabernes opgave at etablere biogasanlæg, og at den eksisterende biogasproduktion fra rensningsanlæg allerede i dag renses og distribueres via naturgasnettet, hvor det anvendes i husholdningerne eller til transport.

Bevisførelsen er afsluttet i danmarkshistorien største hackersag, hvor 21-årige JT sammen med den svenske it-ekspert Gottfrid Svartholm Warg er tiltalt for at have hacket CSC’s manframe og kopieret tusinder af dataset ud. Anklagemyndigheden har på sagens tolvte retsmøde fremlagt sit syn på sagens beviser. Og budskabet er klart: De tiltalte er skyldige.

»Sagen bygger på en række beviser, der kun peger en vej, netop imod de tiltaltes skyld,« sagde sagens ene anklager, Maria Cingari.

På Wargs computer har man fundet filer fra CSC, et script, som udnytter en sårbarhed på mainframen, der blev hacket, og en række chatlogs, som anklageren mener, har Warg som den ene part.

Gottfrid Svartholm Warg har forklaret, at hackercomputeren var fjernstyret. Men den forklaring er så usandsynlig, mener anklagerne, at den ikke kan falde ind under rettens princip om rimelig tvivl.

»Hvis bevisførelsen efterlader rimelig tvivl, så skal tvivlen komme den tiltalte til gode. Men det er ikke enhver tvivl. Kun den rimelige og begrundede,« forklarede Anders Riisager og brugte en analogi, hvor en forældre finder en tom kagedåse og sit eneste barn med krummer rundt om munden.

»Barnet fortæller, at det var fire venner, der tog kager og stoppede dem ind i sin mund. I denne sag kommer Warg ligesom barnet med en usandsynlig forklaring. Warg har ikke bare krummer rundt om munden, men også ned af tøjet og op ad armene,« sagde Riisager.

Anklagermyndigheden medgav, at man aldrig kan udelukke muligheden for fjernstyring, men at det blot måtte anses som meget usandsynligt.

Anklager: Warg burde være dømt for Nordea-hacking

Maria Cingari tog i sin del af anklagemyndighedens procedure skridtet længere end sagen om hacking af CSC. Her forklarede hun, at Warg burde have været dømt for hacking af Nordea. Den sag blev Warg ellers frikendt for i Sverige – netop på baggrund af argumentet om, at computeren muligvis havde været fjernstyret eller brugt af andre.

Men den fjernstyring, som blev fremlagt i den svenske retssal, kan ikke lade sig gøre, mente Cingari på baggrund af politiets undersøgelser.

»Det er anklagemyndighedens opfattelse, at Warg også stod bag Nordea-forholdet. Der skal ikke ledes efter en ukendt gerningsmand, fordi den ukendte gerningsmand findes ikke – det er Warg,« sagde Maria Cingari til retten.

Chafanklageren medgav, at fjernstyring aldrig kan undersøges i bund, fordi mulighederne er ubegrænsede.

»Men forklaringen om fjernstyring er i sig selv utroværdig, når gerningsperioden strækker sig over flere måneder. Warg er med sikkerhed skyldig. Han skal domfældes,« lød meldingen.

JT er skyldig selvom hacking mislykkes

Selvom Warg betragtes som hovedskurken, så er den 21-årige dansker ligeledes skyldig, sagde anklagerne. Det bygges hovedsageligt på en chat mellem danskeren og en person, der fremstår som My Evil Twin, der ifølge anklageren er Warg. I chatten deler JT brugeroplysninger til CSC’s FTP-server. I sine afhøringer har JT’s forsvarsadvokat, Michael Juul Eriksen, lagt vægt på, at brugeroplysninger ikke spiler nogen rolle i det egentlige hackerangreb. Men det er underordnet, mente anklageren.

»Hvis jeg vil begå indbrud i et villakvarter og beder min kollega om at købe et brækjern til formålet, så er hun også medvirkende. Også selv om brækjernet var ubrugeligt, og jeg ender med at bryde ind på en anden måde,« forklarede Riisager.

På samme måde er det heller ikke vigtigt, at JT forsøgte at hacke CSC’s FTP-server, mens det egentlige hackerangreb gik igennem webserveren, mener anklageren.

»Hans mål var maksimal ødelæggelse. Det gjorde da ingen forskel, om det skete gennem den ene eller den anden server,« sagde Riisager.

JT har desuden forklaret, at han blot var nysgerrig på, om det kunne lade sig gøre at hacke en mainframe. Men heller ikke det skal gøre nogen forskel i domsfældelsen, sagde Anders Riisager.

»Motivet er ligegyldigt. Om man hacker for at tjene penge, om man gør det af politiske grunde, eller om man gør det af akademiske grunde, har ingen betydning,« lød det fra vicestatsadvokaten.

På fredag fortsætter hackersagen med præsentationer fra forsvaret.

Version2 er til stede i retten.

To it-sikkerhedseksperter løftede i august sløret for en alvorlig sikkerhedsbrist i usb-teknologien, der gør det muligt at snige malware ind på computere ved hjælp af usb-enheder.

Fejlen er blevet kaldt for uoprettelig, da den ligger i selve firmwaren på usb-enhederne, og nu har de to sikkerhedsresearchere Adam Caudill and Brandon Wilson lagt koden til malwaren ud på den offentlige kodedelingstjeneste GitHub og dermed givet alle fri adgang til at udnytte hullet.

Det skriver BBC.

Sikkerhedshullet, der også har fået øgenavnet BadUSB, blev oprindelig offentliggjort under Black Hat sikkerhedskonferencen af Karsten Nohl and Jakob Lell i august. De holdt dog koden til at udnytte bristen hemmelig i et forsøg på at få producenterne til at sikre sig mod den.

Det har dog siden vist sig at være lettere sagt end gjort, da hullet ligger integreret i firmwaren på usb-enhederne og derfor ikke uden videre kan patches.

BadUSB udnytter, at det er let at omprogrammere de såkaldte controller chips på usb-enheder som mus, keyboards og nøgler, som dermed kan benyttes til at inficere forbundne computere med malware.

Brandon Wilson og Adam Caudill offentliggjorde koden under DerbyCon hackerkonferencen i sidste uge med formålet om få det bredt ud i sikkerhedskredse.

»Vi har offentliggjort alt, hvad vi har gjort her – der er intet, der bliver holdt tilbage,« sagde Brandon Wilson under DerbyCon.

»Vi tror på, at denne viden ikke bør være begrænset til en lukket kreds, som nogle har forsøgt at gøre det. Det bør være tilgængeligt for offentligheden,« sagde han.

Den svenske It-aktivist Gottfrid Svartholm Warg og danske JT har begge løjet for retten om deres indbyrdes forhold og deres forbindelse med hacking af CSC’s mainframe, som de er tiltalt for. Det sagde Anders Riisager i første del af anklagemyndighedens procedure, hvor han har givet anklagemyndighedens syn på sagens beviser.

»Tiltalte har ret til at lyve i retten,« forklarede Riisager sagens nævninge, og uddybede:

»I alle sager har tiltalte lov til at lyve, og jeg kan love for, at de har gjort det i denne sag. De har ikke nogen interesse i at medvirke til opklaringen.«

Riisager mener først og fremmest, at de to har løjet om deres indbyrdes relation. Begge har sagt at, de ikke kender hinanden. Det finder Riisager usandsynligt, fordi JT har besøgt en ven af Warg i Cambodja og også været på et værtshus, der lå meget tæt på Wargs bopæl.

Også de tiltaltes forklaring om en chatlog fundet på Wargs computer, mener Riisager er usand. De tiltalte har forklaret, at My Evil Twin, som JT chatter med, ikke er Warg, sådan som anklagemyndigheden mener. My Evil Twin fremstår i tråden som en it-ekspert, der forstår dansk, ved meget om svenske forhold og har programmet Hercules installeret. My Evil Twin henviser desuden til en tysk server, der blev anvendt til at udkopiere filer fra både CS og Logica.

»Man kan spørge sig selv, at hvis ikke det er Warg, hvem det så er,« sagde Riisager, der mener, at de to tiltalte har svaret meget undvigende på spørgsmålet, om de kender hinanden.

Tiltaltes tavshed kan bruges imod dem

Riisager anklagerkollega, Maria Cingari formulerede det mere kontant.

»Selvfølgelig har de mødt hinanden. De har måske endda siddet sammen og forsøgt at logge på CSC,« sagde hun.

Og det er ikke uden konsekvenser, forklarerede Riisager, at de tiltalte ikke svarer åbent på spørgsmålene. De to tiltalte har ret til ikke at udtale sig, men ifølge de gældende retsprincipper, kan stilheden godt tale imod deres sag, fortalte han.

Det gælder ifølge anklageren for eksempel, når Warg ikke vil svare på, hvem der skulle have fjernstyret hackercomputeren, sådan som det svenskerens forsvar lyder. Forklaringen har været, at Warg frygter repressalier. Men det betyder også, at forklaringen ikke kan efterprøves, sagde Riisager. Han opfordrede derfor retten til at lade stilheden tale imod den tiltaltes sag.

»Det virker utroværdigt, at man ved, hvem der har gjort det, men ikke vil sige det,« tilføjede Maria Cingari.

Version2 er til stede i Retten på Frederiksberg.

I syv år har Tom Lisborg, der ejer virksomheden Divine Software Solutions, forgæves kæmpet for at få ret i, hvad der begyndte som en sag om softwaretyveri mod hans virksomhed.

I går besluttede et enigt folketing at nedsætte en undersøgelse, der skal granske, om myndighederne har handlet uvildigt i sagen der begyndte, da Tom Lisborg anmeldte to selskaber under VKR Holding – bedst kendt for sine Velux-vinduer – for softwaretyveri for et tocifret millionbeløb.

Ifølge Enhedslistens Frank Aaen, der sammen med sin partifælle Pernille Skipper har skubbet på sagen, bliver der ikke tale om en kommission, men ‘at der er enighed om en advokatundersøgelse eller noget tilsvarende,’ oplyser han til Ritzau.

Tom Lisborg oplyser til Version2, at hvis undersøgelsen falder ud til hans fordel, nærer han håb om, at alle straffesagerne kan genåbne, og at der kan indledes straffesager mod de implicerede embedsmænd, som har været ansvarlige for at efterforskningen har været præget af fejl, forsinkelser og direkte forkerte oplysninger, som tilsammen ifølge Tom Lisborg har svækket sagen.

Starter i 2007

Udgangspunktet i sagen er en politianmeldelse fra 2007 mod Divine Business Solutions tidligere tekniske direktør og chefprogrammør Jesper Mo Hansen.

Ifølge Tom Lisborg, der er stifter og direktør i Divine Business Solutions, har Jesper Mo Hansen brudt sin konkurrenceklausul ved først at opsige sin stilling og derefter arbejde i det skjulte for virksomhedens største kunder. Her har han ifølge Lisborg anvendt den knowhow og de data og programmer, han har arbejdet med og haft ansvaret for som teknisk direktør ved Divine Business Solutions.

Softwaren, der var en videreudvikling af Microsoft Navisions økonomistyringssystem, var beregnet til de to virksomheder General Solar Systems samt SolarCap, der begge er en del af VKR Holding. Koncernen havde i 2007 en omsætning på mere end 17 milliarder kroner og er bedst kendt for også at eje Velux.

I et interview med Version2 i 2010 oplyser Tom Lisborg, at SolarCap og General Solar Systems bruger de programmer, som Divine Business Solutions skulle udvikle. SolarCap og General Solar Systems har betalt for en del af programmerne, men ikke det hele, hvilket også betyder, at de kun har brugsretten til den betalte del. Ejendomsretten tilhører Divine Business Solutions, oplyser Tom Lisborg.

Læs resume af sagen her:

Efter Tom Lisborg politianmeldte sin tidligere kollega Jesper Mo Hansen og firmaet Munk IT til politiet er det kommet frem, at der skete en hel del fejl hos politiet i efterforskningen af den anmeldte Jesper Mo Hansen.

Politiet reagerer først på anmeldelserne efter 400 dage, så dokumentation når at blive slettet, og en politikommissær afgiver falske oplysninger om årsagen hertil. Politiet planlagde også at ransage syv lokaliteter den 11. juni 2008. Men der kunne ikke skaffes en dommerkendelse, fordi det endnu ikke var afgjort, hvilken politikreds sagen skulle høre under. Den juridiske detalje ender med, at ransagningerne blev droppet og aldrig genoptaget.

Tom Lisborg klager til Statsadvokaten for Midt-, Vest og Sydøstjylland, som uden yderligere undersøgelser og afhøringer siger god for politiets arbejde. Sagen ender hos Rigsadvokaten, der i 2012 afgør, at vinduesproducenten VKR Holding ikke kan retsforfølges i en årelang sag om tyveri af software fra det lille it-firma.

Tom Lisborg anmoder i 2012 derefter Folketinget om at nedsætte en undersøgelseskommission til at gennemføre en uvildig undersøgelse af sagen. Det skete så i mandags.

Interessen i Folketinget er især holdt fast af over 100 spørgsmål fra retsudvalget til justitsminsiteren. I nogle af de svar, der har været fortrolige for offentligheden, fremgår det blandt andet, at der har været kontakt mellem de politianmeldte og politidirektør i Sønderjyllands politi Lone Sehested.

I et andet svar fra Justitsministeriet kommer det frem, at direktør i VKR Holding Leif Jensen under efterforskningen direkte har kontaktet politidirektør Johan Reimann fra Nordsjællands Politi. Justitsministeriet oplyser også, at politidirektøren ikke gjorde notat om samtalen, ‘da der ikke blev meddelt politidirektøren oplysninger af betydning for sagen.’
Leif Jensen har en fortid som embedsmand i Statsministeriet

Tom Lisborg mener omvendt, at den magtfulde VKR Holdning har haft held til at påvirke efterforskningen.

Endnu en brik styrker Tom Lisborg i sin antagelse af, at han har været udsat for en større uretfærdighed, der rækker højere op i systemet. Den er antydet i en artikel i Berlingske Tidende fra marts 2010. Både avisen og DRs daværende søndagsmagasin “21”, var blevet kontaktet af en kilde, der havde overhørt en telefonsamtale med en departmentchef, hvor sagen blev omtalt. Vidnet skulle have hørt, at ‘en stor del af forsinkelsen skyldes politisk pres fordi sagen skal forplumres og glemmes.’

Det er nu det som Folketingets undersøgelse skal forsøge at afklare.

På hjemmesiden Parlamentet.dk har Tom Lisborg skrevet hvilke ministerier, myndigheder og personer, der bliver omfattet af undersøgelsen:

Følgende ministerier myndigheder er omfattet af undersøgelsen:

• Justitsministeriet (primær periode 2008-2014)
• Rigsadvokaten (primær periode 2008-2014)
• Statsadvokaten for Særlig Økonomisk og International Kriminalitet (primær periode 2008-2014)
• Statsadvokaten for Midt-, Vest- og Sydøstjylland (primær periode 2008-2013)
• Sydøstjyllands politi (2007-2009)
• Nordsjællands politi (2008-2009)
• Københavns Vestegns politi (2007)
• Civilstyrelsen under Justitsministeriet (2011-2014)
• Procesbevillingsnævnet (2012-2013)
• Skifteretten i Kolding vedr. behandling af Done IT under konkurs (2010-2011)
• Sø- og Handelsretten (februar 2014 – april 2014)
• SKAT (primær periode 2009-2014)
• Akter fra Statsministeriet

Primære tjenestemænd som er omfattet af undersøgelsen

Justitsministeriet:

• Departementschef Anne Kristine Axelsson.

• Tidligere Departementschef Michael Lunn.

Rigsadvokaten:

• Rigsadvokat Ole Hasselgaard.

• Tidligere Rigsadvokat Jørgen Steen Sørensen.

• Statsadvokat Mohammad Ahsan.

• Statsadvokat Lennart Hem Lindblom.

• Vicestatsadvokat Hans Fogtdal.

Statsadvokaten for Særlig Økonomisk og International Kriminalitet:

• Tidligere statsadvokat Jens Madsen.

• Vicestatsadvokat Henrik Helmer Steen.

Statsadvokaten for Midt- Vest- og Sydøstjylland:

• Statsadvokat Peter Brøndt Jørgensen.

• Vicestatsadvokat Anne-Mette Wiese.

Politiet:

• Tidligere Politidirektør Johan Reimann, Nordsjællands Politi.

• Tidligere Politidirektør Lone Sehested, Sydøstjyllands Politi.

• Vicepolitidirektør Lene Volke Roesen, Sydøstjyllands Politi

Mulig implicering af to departementschefer:

Det fremgår af en avisartikel i Berlingske Tidende den 9. marts 2010, at Berlingske Tidende og DR 21 Søndag i februar 2009 blev kontaktet af et vidne. Vidnet havde overhørt en telefonsamtale med en departementschef, hvor sagen blev omtalt jf. REU Alm. Del. bilag 407 (Samling 2012-2013).

Vidnet skulle have hørt, at »en stor del af forsinkelsen skyldes politisk pres for at sagen skal forplumres og glemmes«. Ifølge det oplyste skulle denne departementschef have talt med en anden departementschef jf. REU Alm. Del. bilag 194 (Samling 2010-2011 (1.samling)).

Virksomheden Billy’s Billing stod over for en udfordring: Dens cloud-baserede regnskabsprogram gemte på adskillige virksomheders fortrolige oplysninger, men udviklerne var i tvivl om, hvor sikre oplysningerne var over for eventuelle hackerangreb.

Den første indskydelse, som blev diskuteret i virksomheden, var at ansætte en sikkerhedsekspert, men den tanke blev hurtigt skubbet væk:

»Det virkede ikke så let at gå i gang med. Det var noget af en showstopper at skulle hyre et team af sikkerhedseksperter. Du betaler måske 100.000 kr., og så er du ikke sikker på at få noget ud af det,« siger teknologichef og medstifter af Billy’s Billing, Sebastian Seilund til Version2.

Han valgte i stedet en alternativ løsning, der endte med at koste firmaet lige omkring 4.000 kr. i alt, og som hjalp Billy’s Billing med at lokalisere og lukke omkring 10 sikkerhedshuller.

Løsningen bestod i at lade en hær af white hat-hackere fra hele verden gå til angreb på virksomhedens platform i forsøget på at finde sikkerhedsbrister. Hver gang en hacker rapporterede et hul tilbage til virksomheden, fik vedkommende en dusør alt efter, hvor alvorlig bristen var.

Trend blandt mindre virksomheder

Fænomenet med at crowdsource it-sikkerheden og benytte sig af dusørprogrammer er som sådan ikke nyt – store virksomheder som Google og Facebook har begge officielle programmer – men nu er også de mindre virksomheder ved at komme med på vognen.

»Det er en meget tydelig trend,« siger professor i it-sikkerhed ved DTU, Lars Ramkilde Knudsen og uddyber:

»Det er en god måde for virksomheder at demonstrere, at deres service er sikker.«

Det har virksomheden CrowdCurity forstået at udnytte. Bag firmaet står fire danske fyre, der har bygget deres eget netværk op af mere end 1500 hackere, som de nu tilbyder andre virksomheder, som for eksempel Billy’s Billing, at benytte sig af.

»Når man ikke er Google eller Facebook, er det urealistisk at kunne sætte programmer op med dygtige testere selv. Så uden CrowdCurity var det nok ikke noget, vi havde forfulgt,« siger Sebastian Seilund.

Hackere har mere kreativitet og fantasi

CrowdCurity’s hackere, eller sikkerhedstestere om man vil, kommer fra hele verden, og flere af dem er blevet rekrutteret direkte fra de større virksomheders dusørprogrammer.

Hackerne benytter sig af alverdens metoder lige fra cross-site scripting (XSS) til brute force-angreb, når de forsøger at lirke sig ind i virksomhederne. Og der er en klar fordel ved at vælge hackere frem for dyre sikkerhedskonsulenter ifølge Lars Ramkilde Knudsen:

»Den her metode er mere hands-on og real-life. Hackerne er altid en smule foran anti-hackerne – de har kreativiteten og fantasien til at prøve noget nyt,« siger han.

Og hvis virksomhederne er nervøse for at invitere en flok hackere inden for, så kan man i det mindste berolige sig med, at der ikke bliver videregivet fortrolige oplysninger, som kan misbruges ifølge CrowdCurity.

»Det er jo klart, at man inviterer folk til at se på ens virksomhed, men hvis man var en ondsindet hacker, ville det være en dårlig idé at gå igennem vores platform,« siger CrowdCurity’s adm. direktør og medstifter, Jacob Hansen.

Han pointerer desuden, at hvis en sikkerhedstester skulle opdage et sikkerhedshul og vælge at fortie det med skumle hensigter, så risikerer vedkommende, at de andre testere kommer ham i forkøbet og napper dusøren for næsen af ham

Før sikkerhedstesterne kan få deres dusør udbetalt, skal de desuden igennem et baggrundstjek af både navn og adresse. Og man kan som virksomhed også vurdere hackernes kvalitet ud fra anmeldelser af deres tidligere arbejde.

»Det er lidt det samme som AirBnB. I starten spurgte folk også, hvorfor jeg skal have en fremmed hjem i sofaen, men nu rater man hinanden, og så siger folk, at det er fint nok,« siger Jacob Hansen.

Bitcoin-virksomheder populært mål

Virksomheden med de danske grundlæggere har haft meget efterspørgsel fra især Bitcoin-tjenester, der i sagens natur er oplagte mål for ondsindede hackere.

Da bitcoinbørsen Mt. Gox lukkede i starten af 2014, skyldtes det blandt andet et påstået hackerangreb, hvor det lykkedes at stjæle bitcoins for en værdi af omkring 2,7 mia. kr. Og efter en anden børs Poloniex også blev hacket tidligere i år og mistede bitcoins til en værdi af knap 300.000 kr., valgte ejeren at henvende sig til CrowdCurity for at lade hackercrowden gennemteste platformen.

»Vi er selvfølgelig kede af det, når virksomheder bliver hacket, men det er med til at skabe opmærksomhed omkring nødvendigheden for bedre IT sikkerhed – og for at bruge løsninger som vores for at undgå at blive hacket,« siger Jacob Hansen og fortsætter:

»Pengene er måske sikre i bitcoin-protokollen, men vi bruger stadig gamle web-teknologier til at holde bitcoins, og de er stadig usikre så at sige,« siger Jacob Hansen.

Dette er særligt vigtigt for blandt andet bitcoin-wallets, og af samme årsag har verdens største af slagsen, Blockchain, også valgt at bruge CrowdCurity’s hackerskare til at sikkerhedsteste dens brugeres digitale pengepunge.

CrowdCurity har senest tiltrukket investeringer på knap 6 mio. kr. fra en række bitcoin-investorer sidst i juli. Virksomheden tjener penge ved at tage 20 pct. af den dusør, som sikkerhedstesterne får udbetalt.

Capture the Coin

Da sikkerhedstesterne gik løs på Billy’s Billing, fandt de blandt andet frem til en række mindre brister ved hjælp af cross-site scripting. Derudover opdagede de også et par huller i mellemklassen, blandt andet af typen open url-redirection, click-jacking, og at det var muligt at lave et brute force-angreb på loginformularen.

Hver fejl udløste en dusør til hackeren, og nu har Billy’s Billing valgt at sætte præmierne i vejret, så hackerne stadig er motiverede til at finde nye huller. En lille bug giver således en dusør på ca. 300 kr., en i mellemklassen giver ca. 1700 kr., mens en stor bug kaster næsten 6.000 kr. af sig.

Se Billy’s Billings bounty-program.

»Vi har ikke lært af hackerne, hvordan vi overordnet skal opbygge vores sikkerhed. Men en god rapport indeholder også en anbefalet løsning på det problem, som hackeren finder,« siger Sebastian Seilund.

Nogle gange arrangerer CrowdCurity også små konkurrencer for dens sikkerhedstestere, der med det Capture the Flag-inspirerede navn Capture the Coin går ud på, at der er en række private bitcoin-nøgler, som er skjult på virksomhedens hjemmeside. Det er så hackernes opgave, at forsøge at finde huller i sikkerheden, der leder ind til nøglerne. Den første, der kommer igennem, får så mulighed for at overføre bitcoinen til sig selv.

»Vores testere bliver både motiveret af pengene, men også af den anerkendelse, de får. Og så er det sjovt at få lov til at hacke virksomhederne. Nogle gør det endda gratis,« siger Jacob Hansen.

Luise Høj, der er forsvarsadvokat for Gottfrid Svartholm Warg, er i dag blevet nægtet at dokumentere en artikel over for retten. Artiklen stammer fra Version2.

Sammen med danske JT er Warg tiltalt for at have hacket CSC’s mainframe og på den måde tiltvunget sig adgang til tusinder af personlige dataset.

Version2 kunne i sidste uge berette, at en IP-adresse, der knyttes til den kendte svenske hacker MG, ikke blev efterforsket i hackersagen. MG blev sammen med Warg dømt for hacking af svenske Logica. I år er MG igen blevet sigtet for hacking i en ny sag i Sverige.

Det er tilsyneladende den artikel, der nu ikke må dokumenteres i retten. Dommertrioen gav ikke yderligere forklaring på beslutningen over for retten og tilhørerne.

Anklager Anders Riisager har dog i dag fremhævet, at MG var frihedsberøvet i en stor del af den periode, hvor filer blev kopieret ud af CSC’s mainframe, og at han i den periode ikke har haft adgang til en computer. Anklageren understregede også, at MG modtog en behandlingsdom for hacking af Logica.

Luise Høj fik dog lov at dokumentere, at MG var i den nye sag var sigtet for hacking af svensk politis navne- og personregister.

Anklagermyndigheden havde forklaret Luise Høj, at såfremt hun ville bruge artiklen, ville anklageren dokumentere en artikel fra et cambodjansk medie. Luise Høj forklarede, at hun ikke kunne se relevansen af en artikel fra det, hun betegner som et sladderblad.

Version2-artikel med i chat

Det er ikke første gang, at Version2 er blevet drøftet i Retten på Frederiksberg.

I chatten mellem den danske tiltalte JT og en person, der benævnes My Evil Twin, deler JT en artikel fra Version2 om politiets it-systemer. Et ekspertvidne fra forsvaret har dog i dag argumenteret for, at de oplysninger, JT deler, ikke teknisk hænger sammen med det egentlige hackerangreb.

Bevisførelsen i Danmarkshistoriens største hackersag er nu afsluttet, og sagen fortsætter i dag med procedure fra anklageren.

Version2 er til stede i retten.