Daily Archives: October 10, 2014

Biologer og ingeniører fra amerikanske universiteter er gået sammen om at finde principper for optimal bevægelse i sand.

Det har gjort det muligt at udvikle robotter, der kan kravle op ad stejle sandskrænter ved at benytte samme metoder, som anvendes af klapperslanger.

Som alle ved, er bevægelse i sand meget vanskelig, da sand er et materiale, der glider og flyder næsten som en væske.

I en artikel i Science beskriver Daniel Goldman fra Georgia Institute of Technology i Atlanta sammen med ni kolleger, hvordan Crotalus cerastes – en klapperslange der findes i den sydvestlige del af USA – flytter sig fremad sig i s-formede bevægelser.

En række forsøg ved den zoologiske have i Atlanta bl.a. med sand hentet fra Yuma-ørkenen i Arizona viste, at når den amerikanske klapperslange elegant kan krydse gennem ørkenen og bevæge sig op ad stejle skrænter skyldes det, at den kan øge længden af den del af sin krop, der er i kontakt med sandet.

Når slangerne bevægede sig fremad i sand uden hældning var omkring 30 pct. af kroppen i kontakt med sandet hele tiden – når de bevægede sig op ad en 20 grader hældning galdt det omkring 45 pct.

Den del af kroppen, der ikke var i kontakt med sandet, var tydeligt løftet op over sandet. Den maksimale hældning for den pågældende sandtype var 27 grader.

Andre slanger, der ikke udnytter den s-formede bevægelse, kan ikke udnytte dette princip, og de vil rutsje ned ad sandskrænten, når hældningen bliver for stor.

Et alternativ til denne metode til at opnå bedre kontakt med sandet ville være for slangerne at grave sig dybere ned i sandet. Men det er mere energikrævende.

Slangerobotten

Forskere fra Carnegie Mellon University, der er medforfattere til den videnskabelige artikel, har udnyttet denne viden til at designe en slangerobot, der kan kravle op ad sandskrænter med en hældning, der er meget tæt på den størst mulige.

Både slanger og robotter kravler langsommere opad end ligeud, men forskerne tillægger dette forskellige årsager.

Når slangerne sætter hastigheden ned, skyldes det en nedgang i frekvensen af de s-formede bevægelser, der kan hænge sammen med begrænsninger i musklerne.

Når robotterne bevæger sig langsommere opad, skyldes det, at afstanden mellem de s-formede spor i sandet bliver mindre, når robotten kravler opad, end når den bevæger sig lige ud.

I denne video forklarer forskerne om deres undersøgelser og deres robotdesign:

»Denne her bil er vanvittig. Det er ligesom at lette fra dækket på et hangarskib. Det er helt vildt.«

Sådan sagde Elon Musk, grundlæggeren af Tesla Motors, da han torsdag aften i Los Angeles kunne løfte sløret for firmaets nye topmodel ‘Model S P85D’. Den nye ‘performance-model’ er ikke bare blandt de hurtigst accelererende biler i verden – det er også lykkedes at forbedre effektiviteten, så elbilen har fået endnu længere rækkevidde.

Tesla har nemlig valgt at udstyre hele sin nye D-serie med to motorer, hvilket gør, at bilerne trækker på alle fire hjul. Den bagerste motor på 350 kW og motoren ved forhjulene på 165 kW giver tilsammen bilen vanvittige 691 hestekræfter.

Grundlæggeren selv hævder, at den forbedrede energieffektivitet skyldes, at bilens elektroniske system med millisekunders nøjagtighed udnytter energien fra henholdsvis for- og bag-hjulsmotoren, så de begge konstant bidrager til fremdriften på mest effektive vis.

Rækkevidden på den dyreste af modellerne er dermed oppe på 442 kilometer – godt 16 kilometer længere end forgængeren, mens modellen under, Model S 85D, faktisk klarer sig endnu bedre og holder batteri i knap 460 kilometer. Tallene er fra det amerikanske miljøagentur EPA, der har testet specifikationerne.

Det nye firehjulstræk er især en god nyhed for Tesla-fans i lande med tendens til glat føre, da den tidligere model kun havde træk på baghjulene. Men det er også en god nyhed for fartdjævle.

Fuld fart og autopilot

Ifølge forskellige medier er Elon Musks beskrivelse af bilens accelerationsevne ingen overdrivelse. Bilen går fra 0 til 60 mph (knap 100 km/h) på 3,2 sekunder. Det er en forbedring på et helt sekund i forhold til forgængeren P85 og placerer bilen på omgangshøje med nogle af de hurtigste biler nogensinde produceret.

Ligeledes har tophastigheden fået et nøk opad og P85D’eren topper ved 250 km/h. Topmodellen bliver den første på markedet og forventes i USA til december, mens de lavere ydende 85D og 60D skulle komme på gaden fra februar.

Derudover er de nye udgaver også udstyret med sikkerhedsmæssige features og har blandt andet 360 graders sonar og et væld af kameraer og sensorer, der gør bilerne i stand til automatisk at sætte hastigheden efter skiltene og sågar skifte vognbane.

Teknologi-mediet The Verge har fået lov at tage en prøvetur i den nye topmodel, som du kan se på videoen herunder.

Spar 20 procent på dine ombygningsudgifter. Det lyder måske som et tilbud fra et byggemarked, men i dette tilfælde er det resultatet af en undersøgelse som rådgivningsfirmaet Cowi står bag.

I samarbejde med ejendomsadministrationsselskabet Datea har Cowi beregnet, hvor meget man kan spare ved at vælge materialer, der kan genbruges under den næste ombygning. Og der er meget at hente, forklarer chief innovation manager Jasper Steinhausen fra Cowi.

»Lejemål bliver kortere og kortere. I dag er de fleste måske fem år, men flere og flere vælger 3-årige lejemål. Derfor bliver der bygget om hyppigere og hyppigere. Ved at vælge materialer, som er lette at pille ned, skille ad og bruge igen, kan man spare rigtig meget.«

Cowi har kigget på fem af de komponenter, der næsten altid bliver ændret ved ombygninger: trægulve, tæpper, lette vægge, tilhørende glasvægge og døre, loftsplader og ophæng/skinnesystemer og lysarmaturer og lyskilder.

»I dag sker der typisk det, at man flår tæppet af, river væggene ned og måske også tager loftet med. Så smider man det ud, og bygger noget nyt op i stedet.«

Selv om materialeomkostningen i den løsning umiddelbart er billigere i indkøb, så er den det ikke på sigt.

»Hvis du køber modulvægge, bruger et trægulv, der er tykt nok til at blive slebet, olieret, lakeret og tonet flere gange, opsætter lofter, der er lette at ændre, og tæpper, der ikke er limet fast, men som kan tages op og lægges ned igen, så skal du betale 10 procent mere i indkøb, men din næste ombygning vil blive 50 procent billigere og den næste igen vil være 20 procent billigere.«

Set over en 15-årig periode, hvor et lejemål typisk bliver ombygget tre gange, vil man derfor kunne spare 20 procent af omkostningen til de fem komponenter. Og de samlede omkostninger til hele ombygningen vil være omkring 10 procent lavere.

»Og hvis du eksempelvis skal bygge om hvert tredje år, så bliver fortjenesten endnu større,« understreger Jasper Steinhausen.

Men hvis det er så god forretning, og ombygningsklare komponenter allerede findes på markedet, hvorfor bruger ejendomsselskaberne dem så ikke bare?

»Vi er nødt til at starte med at tage en dialog med vores kunder – altså ejendomsejere – om det. For der følger mange ting med, som rykker på den måde, hele branchen fungerer på i dag,« siger projektleder og teamchef Martin L. Christensen fra Datea.

»Eksempelvis skal man diskutere selve håndteringen. Eksempelvis logistiken ved nedtagning, transport og lagerføring af de materialer, som ikke direkte kan genbruges i samme lejemål.«

Logistikken er et potentielt problem medgiver Jasper Steinhausen, men det er til at løse.

»Norges største ejendomsselskab, Entra Ejendomme, vil meget gerne begynde at bruge denne strategi og har indledt forhandlinger med komponentleverandørerne, hvor det bliver en del af kontrakterne, at de skal stå for logistikken omkring mellemlagring af komponenterne. Det koster selvfølgelig lidt penge, men det bliver formentlig ikke meget.«

I Jasper Steinhausens optik ligger den største barriere for at tænke mere helhedsorienteret omkring ombygningsprojekter i at potentielle besparelser på driftsbudgettet sjældent giver mulighed for at øge anlægsbudgettet. Derfor kræver det en beslutning på ledelsesniveau hvis eksempelvis sygehuse, plejehjem, institutioner og andre bygningstyper, der hyppigt bygges om, skal kunne høste gevinsterne.

»Der er en masse forhold, der gør det svært at konvertere fremtidige besparelser på driftsbudgettet til et øget anlægsbudget. Blandt andet skal man tænke noget mere langsigtet, end man er vant til. Hvis besparelsen først kommer efter fem år – som er længere end både valgperioder og de sædvanlige budgetlægningsperioder – så bliver det svært at overbevise beslutningstagerne om, at de skal satse på de langsigtede besparelser, men det er det, der skal til, hvis vi skal kunne rykke på det.«

Cowi holder i dag et seminar for beslutningstagere om fordelene ved at tænke i cirkulær økonomi.

Det kan være afsindigt svært at navigere i straffeloven, når du som projektleder skal enten handle eller fragte i lande, hvor korruption dukker op ved hvert gadehjørne.

For hvordan finder man ud af, hvad man må og ikke må? Er det okay, at betale sig ud af en klemt situation, hvis man møder en tolder, der beder om et ekstra ”gebyr”? Og bryder du loven, hvis du inviterer en samarbejdspartner ud at spise i håb om en bedre aftale?

Find dit næste job på Jobfinder

Partner Lisa Bo Larsen og advokatfuldmægtig Nicholas Ørum Keller fra advokatfirmaet Kromann Reumert gav et bud, da Ingeniøren og projekt:netværkets event projects:acrossbounderies løb af stablen d. 7. oktober.

Hvad gør du for eksempel, hvis en tolder beder dig om et gebyr for at sende dine vare til en kunde, selvom du ved, at du allerede har betalt alle tænkelige gebyrer? Svaret er enkelt. Hvis du bestikker tolderen, bryder du loven.

Men hvordan ved man, at der er tale om bestikkelse? Jo, hvis man betaler en person for at udføre en handling, de ellers ikke ville have udført, eller ikke udføre en handling, de ellers ville have foretaget, er der tale om bestikkelse.

»I Danmark må man ikke bestikke en offentlig ansat og den offentligt ansatte må ikke bede om bestikkelse for en ydelse. Det står i straffelovens §122 og §144. Nogenlunde samme regler gælder for privatansætte under §299,« forklarer Nicholas Ørum Keller ved firmaets oplæg.

LÆS OGSÅ: Ledelsesrådgiver: Moderne ledelse er livsfarlig

En deltager foreslår at man altid skriver ind i kontrakter, at varer kan risikere forsinkelse, hvis man møder udfordringer (korruption red.) på vejen. En anden deltager spørger, om man ikke bare skal bede om en kvittering. Det bifalder de to oplægsholdere.

»Dokumentation er fuldkommen essentiel, når man står i en situation, hvor man kan risikere at blive beskyldt for at være korrupt. Hvis du kan dokumentere med en kvittering, at du er blevet opkrævet et gebyr, som du i god tro har betalt, så er det sværere at anklage dig for bestikkelse,« siger Lisa Bo Larsen.

Dokumentation er vigtig, da både danske (Straffeloven), engelske (Anti-Bribery Act) og amerikanske (Foreign Corrupt Policies Act) love slår hårdt ned på korruption.

Én ting kan dog overskygge reglerne, og det er fare for liv og helbred. Hvis militær eller politi kræver bestikkelse for at lade dig gå, er det i alles interesse, at du kommer derfra i god forvaring.

Forskel på ”smørelse” og ”bestikkelse”

Der er ingen tvivl om, at der er tale om korruption, når man giver penge for en ulovlig ydelse. Men hvad hvis man betaler en offentlig ansat for at udføre et lovligt job hurtigere? Her er der ikke tale om bestikkelse, da man ikke påvirker modtageren til at handle anderledes end normalt ved at ‘smøre’ dem.

»Smørelse er at give en embedsmand penge for noget, der ikke er ulovligt, men som han skulle gøre i virkeligheden. I nogle lande er dette lovligt. I Storbritannien er det ulovligt, men i USA er det okay. I Danmark har der været meget diskussion, fordi straffeloven ikke tager entydigt stilling,« konstaterer Nicholas Ørum Keller.

Ifølge Lisa Bo Larsen er der dog ingen tvivl om, at det er ulovligt. Men det kan ikke udelukkes, at man vil kunne være straffri, hvis man tager forbehold. Reglerne omkring smørelse i Danmark er nemlig stadig lidt uklare. Her pointerer partneren igen, at det handler om dokumentation.

Smørelse eller ikke smørelse

Kromann Reumert har derfor formuleret en rettesnor for, hvornår smørelse er rimelig:

»”Gaven” skal have en rimelig værdi og ikke være ekstravagant. Både modtager og giver skal forstå sammenhængen. Man skal bruge sin sunde fornuft og tidspunktet kan også spille ind. Hvis du f.eks. giver dine medarbejdere julegaver hvert år anses dette ikke for smørelse af medarbejderne,« siger Nicholas Ørum Keller.

Man må derfor gerne invitere sine kunder eller samarbejdspartnere ud og spise, på sightseeing eller til fodboldkamp, så længe det har et forretningsmæssigt formål og ikke påvirker kunden til at handle drastisk anderledes end de ellers ville have gjort.

Du kan komme langt med stædighed

På workshoppen præsenteres lederne for en række scenarier, der skal få dem til at gruble over, hvor grænsen går mellem bestikkelse og smørelse. Enkelte deltagere har selv stået i scenarier, hvor de er blevet bedt om at betale ekstra. Men ifølge Kromann Reumert kan man i nogle tilfælde undgå det fuldkommen.

Et kendt eksempel på, at stædighed ind imellem er vejen frem i korruptions-landskabet er Mærsk. Virksomheden besluttede sig kort og godt for, at de ikke ville betale ”smørelses-gebyrer” mere – koste hvad det koste vil.

»De stod fast og tjener voldsomt mange penge på det. Så det kan godt lade sig gøre at bryde med korruptionen, hvis man er stædig og tålmodig nok. Og hvis man har kræfterne i virksomheden,« siger Lisa Bo Larsen.

De 5 skarpe: Sådan forholder du dig til korruption
› Sæt dig ind i reglerne – og din virksomheds retningslinjer
› Pas på ikke at få vekslet samfundets/branchens udfordringer til et
personligt problem!
› Hvis du er i tvivl – så spørg din chef
› Hvis det er ulovligt – så lad vær!
› Hvis du er på den rigtige side af grænsen – så dokumenter!

Til næste år vedtager Folketinget efter planen anlægsloven for den fire milliarder kroner dyre Storstrømsbro, så den kan stå færdig, når den faste femernbæltforbindelse er klar i 2021. Så inden VVM-redegørelsen, der skulle have været klar i september, er sendt på gaden, er Vejdirektoratet ved at gøre licitationsmaterialet klar og har i den forbindelse inviteret otte entreprenører, der er storspillere på den globale anlægsscene, til teknisk dialog om projektet.

Den tekniske dialog handler om så vigtige emner som frihedsgraden i den endelige opgave, nye tekniske løsninger, betalingsbetingelser og ikke mindst at skærpe Vejdirektoratets rolle som bygherre, har Vejdirektoratets anlægschef, Erik Stoklund Larsen, som står i spidsen for byggeriet af Storstrømsbroen, tidligere forklaret:

»Jo større kendskab til markedet vi har, jo bedre udbudsmateriale kan vi skrive, hvilket betyder, at vi i sidste ende får bedre bud. Det ville være uklogt ikke at lytte til, hvad markedet har at sige om opgaven.«

Blandt deltagerne er, ifølge Berlingske, verdens største entreprenør, franske Vinci Construction, der har næsten 180.000 ansatte og en omsætning i fjor på over 40 milliarder euro, samt Sydkoreas største entreprenør, Hyundai Engineering & Construction, som har erfaring fra en række mellemøstlige udviklingsprojekter og sidste år vandt en kæmpeordre på Doha New Port i Qatar.

Spanien deltager med Acciona Infraestructuras, der blandt andet har bygget Hong Kongs sekssporede Ting Kau-bro og står bag den tyske kanslerbygning i Berlin. Fra Holland kommer BAM Civiel, som har anlagt Amsterdam Arena med plads til over 50.000 tilskuere. Fra Italien deltager to selskaber, Gruppo de Eccher, der både er aktive hjemme og i Rusland og Salini Impregilo, der er i færd med at anlægge Cityringen i København og fra Danmark Per Aarsleff samt makkerparret MT Højgaard og schweiziske Züblin, der er prækvalificeret til Banedanmarks Masnedsundbro.

Ud over en tosporet landevej og dobbeltrettet cykel/gangsti får Storstrømsbroen elektrificeret jernbane i to spor, hvor togene kan køre op til 200 kilometer i timen.

Den nye, knapt fire kilometer lange, storstrømsbro afløser den udslidte model fra 1937, som kun har ét jernbanespor og en tosporet landevej. I 2011 blev der konstateret revner i broen, der skyldes metaltræthed i stålkonstruktionerne. Og senere undersøgelser har vist, at den vil være alt for dyr at renovere.

Halvdelen af omkostningerne til projekteringsfasen kommer fra EU, der har bevilget 112 millioner kroner. Formålet med EU’s TEN-T-midler er at styrke det indre europæiske marked ved at støtte grænseoverskridende transportkorridorer.

Regningen for IC4 og IC2 er nu oppe på 6,8 milliarder kroner. Det viser en ny opgørelse, som Transportministeriet har sendt til Folketingets transportudvalg.

Dermed er regningen for IC4-sagen på bare et år steget med godt 600 millioner kroner. Beløbet var på 6,2 milliarder kroner, da DSB lavede samme opgørelse for ét år siden.

Den oprindelige pris på togene lød på 5,3 milliarder kroner. Det præcise beløb i dag er 6.825 millioner kroner, og det dækker over, at DSB ved årets start har brugt 4.725 millioner kroner på IC4 og 768 millioner kroner på IC2.

Beløbet dækker også over, at IC4 og IC2 ikke er blevet indsat i passagertrafikken som forudsat, og DSB derfor har brugt 1.332 millioner kroner på at leje og opgradere erstatningstog.

IC4-sagen har udviklet sig til en eftertrykkelig hovedpine for både DSB og skiftende regeringer, siden de første togsæt blev leveret med flere års forsinkelse i 2007. DSB skriver selv i sin seneste halvårsrapport:

“IC4/2 er der derimod ikke meget glædeligt at berette om”.

IC4 døjer stadig med problemer med bremserne, aksellejekasserne og sammenkoblingsmekanismen.

1,4 milliarder ikke inkluderet

DSB betaler stadig af på kontrakten med producenten, italienske Ansaldobreda, og stigningen i omkostningerne siden sidste år omfatter blandt andet 84 millioner kroner i kontraktsbetalinger i 2013 for IC4 og 133 millioner kroner i kontraktsbetalinger for IC2. Stigningen omfatter også 220 millioner kroner for et års leje af de dobbeltdækkertog, der har erstattet IC4 på flere strækninger.

Beløbet omfatter vel at mærke ikke købet af 46 dobbeltdækkervogne, som DSB tidligere har lejet, til en samlet pris på 649,4 millioner kroner i 2012.

Lægger man dét beløb til, kommer den samlede regning op over 7,4 milliarder kroner. Det har ikke været muligt at få en forklaring fra DSB på, hvorfor købet af de 46 dobbeltdækkervogne ikke er indregnet som omkostning til erstatningstog. Venstres transportordfører, Kristian Pihl Lorentzen har nu stillet spørgsmålet til transportminister Magnus Heunicke (S).

Eftersom opgørelsen kun går frem til nytår, omfatter den heller ikke forårets indkøb af yderligere 67 af disse dobbeltdækkere for 780,1 millioner kroner.

DSB indgik i 2009 forlig med Ansaldobreda, som indebar, at Ansaldobreda leverede togene i en ufærdig stand, og at DSB derfor modtog økonomisk kompensation. Deraf har DSB afsat 700 millioner kroner til at finansiere erstatningstogene, og DSB har indtil videre brugt 681 af de 700 millioner kroner i puljen.

DSB har nu igangsat en uafhængig undersøgelse, der én gang for alle skal afgøre, om IC4 og IC2 kan indgå i fremtidens togtrafik. Resultatet ligger klar i januar 2015.

Ansaldobreda skriver fortsat på sin hjemmeside, at IC4-leverancen ‘førte til en reduktion i rejsetiden, et højt komfortniveau, en høj grad af pålidelighed, lave omkostninger til drift og vedligehold samt lav miljøbelastning’.

Konstruktionen af kæmpeteleskopet Thirty Meter Telescope (TMT) kan nu for alvor komme i gang. Første spadestik er taget på toppen af den fire kilometer høje udslukte vulkan Mauna Kea på Hawaii, så teleskopet kan stå klar om otte år.

Det otte milliarder kroner dyre teleskop bygges af amerikanske og canadiske universiteter i samarbejde med de nationale astronomiorganisationer i Japan, Kina og Indien. Teleskopet får et hovedspejl med en diameter på 30 meter, så det bliver næsten tre gange større end Gran Telescopio Canarias, der med et spejl på 10,4 meter har rekorden i dag.

Et 30 meter stort spejl kan ikke fremstilles i ét stykke, så det samles i stedet af 492 sekskantede segmenter med 144 cm mellem modsatrettede hjørner.

Jo større spejlet er, desto mere af det ekstremt svage lys fra fjerne himmellegemer kan teleskopet opfange. TMT skal fange lys fra planeter, der kredser om andre stjerner end Solen, så det for eksempel bliver muligt at afgøre sammensætningen af disse exoplaneters atmosfærer.

Desuden vil astronomerne bruge teleskopet til at blive klogere på de fjerneste objekter i universet – det er samtidig dem, der opstod tidligst i universets historie.

Spadestikket og den tilhørende ceremoni blev forsinket et par timer, fordi vejen op til bjergtoppen blev spærret af en lille gruppe aktivister, skriver Space.com. Opførslen af teleskopet har bragt sindene i kog hos medlemmer af Hawaiis oprindelige befolkning, der betragte bjergtoppene som hellige steder.

Det er nu ikke fordi, TMT bliver det eneste teleskop på Mauna Kea. Faktisk ligger der i forvejen ni optiske eller infrarøde teleskoper på bjerget, her iblandt tre af verdens største – Keck, Subaru og Gemini. Den tørre og stabile luft i højderne, hvor der sjældent er skyer, gør Mauna Kea til et oplagt sted at bygge observatorier.

TMT er et af de tre enorme optiske teleskoper, der kommer til at give helt ny viden om universet i løbet af 2020′erne. De to andre, det europæiske European Extremely Large Telescope (E-ELT) med et spejl på 39,3 meter og Giant Magellan Telescope (GMT) på 24,5 meter, bliver opført på bjergtoppe i Atacama-ørkenen i Chile.

Alle tre teleskoper skal stå klar i starten af det kommende årti, og det er svært at spå om, hvilket af dem, der bliver først færdigt. Men der er i hvert fald ingen tvivl om, at TMT bliver det suverænt største teleskop på den nordlige halvkugle.

2014 har foreløbig budt på to alvorlige sikkerhedshuller i it-verdenen, som har vakt så meget opsigt, at de har fået deres egne navne. I foråret var det Heartbleed i sikkerhedsprotokollen OpenSSL, og nu er det Shellshock i Bash – et program, der bruges til at fortolke kommandoer i Unix-lignende systemer, og som derfor findes på bl.a. computere med styresystemerne Mac OS X og Linux.

Men hvad er risikoen for at blive ramt af netop Shellshock – og hvad er konsekvenserne, hvis det sker?

I starten var Shellshock navnet på én sårbarhed, men der opstod hurtigt forvirring, fordi en sikkerhedsekspert mente, at den fejlrettelse, som var udarbejdet, alligevel ikke lukkede sikkerhedshullet. Det viste sig så, at der var tale om to forskellige sårbarheder, og i skrivende stund er der fundet seks sårbarheder i Bash i kølvandet på Shellshock.

»Vi forventer, at der dukker flere op. Efter 25 år var der én, som fandt en sårbarhed lidt ud af det blå og åbnede for Pandoras æske,« siger research-chef Kasper Lindgaard fra sikkerhedsfirmaet Secunia.

Det første sikkerhedshul, som blev fundet, var en dum, lille fejl i 25 år gammel programkode, som ingen havde opdaget, selvom kildekoden lå frit tilgængelig. Sårbar­heden lå lige for næsen af enhver, som skulle finde på at kigge nærmere på kildekoden til Bash.

Det var der imidlertid ingen, der gjorde, før sikkerhedseksperten Stéphane Chazelas gik grundigt til værks, efter at han havde fundet en anden fejl i Bash. Ingen ved med sikkerhed, hvornår sårbarheden opstod, eller hvem der kom til at lave fejlen. Nogle peger på en tidlig ver­sion fra 1989, mens andre mener, den først dukkede op i 1993. Til sammenligning blev World Wide Web åbnet for offentligheden i 1991.

Alvorlige følger

Uanset oprindelsen så vakte Shellshock omgående stor opmærksomhed i sikkerhedskredse. Der er nemlig tale om et sikkerhedshul i et udbredt stykke software, som kan udnyttes til at få fuld adgang til systemer med masser af data. Sårbarheden blev først rapporteret til den ansvarlige for vedligeholdelsen af Bash-koden og blev ikke offentliggjort, før en opdatering, som kunne lukke hullet, var klar.

Da sårbarheden blev offentliggjort, gik der ikke længe, før sikkerhedseksperter forudså, at det kunne få alvorlige følger, hvis systemerne ikke blev opdateret i tide.

»Det er en grim sårbarhed, fordi den er så enkel at udnytte. Dermed er det også en sårbarhed, der lægger op til, at der kommer selvreplikerende kode. Vi vil se en masse scanninger efter sårbarheden, og jeg er bange for, at vi i kølvandet på det vil se noget kode, der automatisk vil forsøge at udnytte det her,« sagde sikkerhedskonsulent Peter Kruse fra it-sikkerhedsfirmaet CSIS dagen efter offentliggørelsen.

Dén forudsigelse skulle vise sig at holde stik. Sikkerhedsfirmaerne Cloudflare og FireEye har registreret tusindvis af automatiske forsøg på at finde sårbare systemer med forbindelse til internettet. En af disse scanninger har været rettet mod netværkslagringsenheder (NAS) fra firmaet QNAP. Det illustrerer også en af de ting, eksperterne frygtede ved Shellshock: at der var tale om en sårbarhed, som fandtes i mange forskellige typer systemer.

Forbrugere går fri

Dommedagsscenariet er heldigvis ikke indtruffet. Mange af de systemer, som ville være mest udsatte på grund af en sårbarhed som Shellshock, bruger nemlig ikke Bash men derimod nogle af de alternativer, som findes. Bredbåndsroutere kunne have anvendt Bash, men de fleste bruger BusyBox, som ikke indeholder Shellshock-sårbarheden.

Et system skal også være sat op på en måde, så det er muligt at få adgang til Bash og ændre miljøvariable. Det er heldigvis ikke muligt i standardopsætningen på eksempelvis pc’er med Apples Mac OS X, hvor Bash ellers også findes.

Derfor er Shellshock foreløbig endt med at være endnu en alvorlig advarsel. De systemer, som var sårbare, kan i dag opdateres, så sikkerhedshullet lukkes, men der er en risiko for, at mange overser, at deres systemer skal opdateres, fordi opmærksomheden hidtil mest har været rettet mod webservere.

Der findes nemlig en anden angrebsvinkel gennem protokollen DHCP (Dynamic Host Configuration Protocol), som en pc eksempelvis anvender til at få tildelt en IP-adresse, når den forbinder til et trådløst netværk. Hvis en hacker kontrollerer netværket og DHCP- serveren, kan DHCP udnyttes til at udløse Bash-sårbarheden. Derfor bør man opdatere sin Mac- eller Linux-baserede pc, inden man kobler sig på fremmede netværk.

Flere huller udløste forvirring

Helt præcist er der dog tale om flere sårbarheder. I de første dage efter offentliggørelsen af sårbarheden 24. september var det med til at forstærke panikken, fordi der løbende indløb meldinger om, at en opdatering ikke lukkede sikkerhedshullet fuldstændigt. Det skyldtes, at det først var efter et par dage, at det stod klart, at der var flere sårbarheder i spil, og at en enkelt opdatering derfor ikke var tilstrækkelig.

Langt de fleste producenter af systemer, hvor der var potentiale for at blive ramt af Shellshock, var dog hurtige til at melde ud, hvorvidt deres produkter var sårbare, eller endda frigive en opdatering.

Som forudset dukkede der også hurtigt eksempler på ondsindet kode (malware) op, som udnyttede Shellshock.

Heldigvis var der ikke tale om en decideret orm, der automatisk spredte sig fra én inficeret vært til den næste. Men selvom der er frigivet opdateringer, er faren ikke helt overstået. Lige nu er sikkerhedseksperter verden over i færd med at finkæmme Bash-kildekoden for flere fejl, men Bash er blot ét af mange stykker software, som indeholder programkode, der ikke er blevet set igennem for fejl gennem det 21. århundredes sikkerheds­mikroskop.

*
Godt og skidt

• Mac OS X er sårbar, men sårbar­heden kan ikke udnyttes i standardkonfigurationen.
• Bredbåndbåndsroutere bruger typisk BusyBox i stedet for Bash og er derfor ikke sårbare.
• Der er frigivet opdateringer, som lukker sikkerhedshullerne til de fleste ramte systemer.
• Sårbarheden blev overset i 25 år.
• Indtil videre er der fundet seks sikkerhedshuller i Bash i kølvandet på den første Shellshock-sårbarhed.
• Visse filservere – NAS-systemer – med Linux er sårbare, men risikerer at blive overset i patch-processen.

Hvad er Bash?

Bash er en kommandofortolker, som både brugere og applikationer kan benytte til at køre programmer og ændre konfigurationen af et Unix-lignende system. Bash blev lanceret i 1989 som en videreudvikling af flere andre kommandofortolkere, bl.a. Bourne
shell (sh). Bash er open source og er derfor blevet brugt i mange open source-styresystemer.*

Microsofts direktører har det med at havne i uheldige situationer på en scene. Ved en konference for kvinder i teknologisektoren fik Satya Nadella ført traditionen videre, da han udtalte, at kvinder i it-branchen bør stole på, at systemet vil give dem den løn, de fortjener. Det skriver blandt andre Recode.

Udtalelsen kom som svar på et spørgsmål om, hvordan kvinder skulle forholde sig, hvis de ikke var trygge ved at bede om lønforhøjelse.

Satya Nadella måtte efterfølgende forklare sig både på Twitter og i en e-mail til Microsofts ansatte. Svaret skulle ifølge Satya Nadella forstås ud fra, at mænd og kvinder skal have ligeløn i it-branchen.

Problemet med den oprindelige udtalelse er, at it-branchen i dag er en branche, som domineres af mænd. Det gælder også på lederniveau. Dermed er ligeløn netop et systemproblem, og derfor vil kvinder ikke kunne forvente, at systemet automatisk vil sikre dem ligeløn.

Udtalelsen er særlig uheldig fra en direktør for Microsoft, som normalt regnes for at være én af de teknologivirksomheder, der gør mest for at sikre mangfoldighed blandt medarbejderne og lige vilkår for de ansatte.

Fremover vil Satya Nadella nok være mere opmærksom på sine udtalelser inden for dette felt. I hvert fald påpeger han, at han har lært sin lektie:

»Jeg sagde, at jeg så frem til Grace Hopper-konferencen for at lære noget, og jeg har bestemt lært en værdifuld lektie,« skriver Satya Nadella i e-mailen til Microsofts ansatte.

Forsvaren for svenske Gottfrid Svartholm Warg har netop afsluttet sin præsentation af sin syn på hackersagens beviser. Warg er sammen med danske JT anklaget for at have hacket CSC’s mainframe og kopieret bunkevis af personfølsomme oplysninger ud. Selv siger Warg, at computeren blev fjernstyret til at udføre hackerangrebet. Den påstand finder anklagemyndigheden usandsynlig.

»Man kan ikke stole på politiets konklusioner om fjernstyring. De er overfladiske og fejlbehæftede,« sagde Luise Høj i sin procedure.

Ifølge advokaten mangler politiets undersøgelser basal videnskabelig metode.

»Når man har fysik i 8. klasse, så ved man, at man skal skrive alle forsøgets forhold ned, så det kan genskabes. Det sker ikke,« fortæller Høj.

Hun henviser til, at politiet i én undersøgelse af gerningscomputeren er logget ind som ’Administrator’ og i en anden er logget ind som brugeren ’A’. Derudover fremhæver advokaten, at politiet i sin netværkstest tilsyneladende ikke har sat computeren til internettet

»Jeg kunne have ønsket mig, at den grundighed, som man skal bruge i fysik i 8. klasse, havde smittet lidt af på politiet,« fastslog Luise Høj.

Ingen undersøgelse af virtuelle maskiner

På Wargs computer, der blev brugt i hackerangrebet, havde flere virtuelle maskiner installeret. De gør, at man for eksempel kan køre flere styresystemer på Mac’en. Men de er ikke blevet undersøgt i efterforskningen af sagen. Luise Høj sammenligner det med, at man ikke kan finde sine nøgler i et toetagers hus.

»Kan jeg konkludere, at nøglerne er væk, hvis jeg nøjes med at kigge i stueetagen,« spurgte hun.

Vicestatsadvokat Anders Riisager fortalte i sin procedure tirsdag, at tvivl skal komme den tiltalte til gode. Men kun hvis der er tale om begrundet og rimelig tvivl. Riisager mente desuden at fjernstyrings-forklaringen var unormal.

»Hvordan kan man vide, om noget er normal, når man ikke forstår det miljø, min klient arbejder i,« ville Luise Høj vide.

Hun mener netop, at tvivlen er begrundet. Det bygges blandt andet på, at sagens teknisk kyndige vidner er kommet med vidt forskellige udsagn. For eksempel fortalte flere at anklagemyndighedens vidner, at PuTTY kun kan styres gennem en grafisk brugergrænseflade, mens det fra forsvarets it-ekspert lød, at programmet sagtens kunne styres gennem terminalen.

»Retten står i en vanskelig situation når teknikerne er uenige. Og der må jeg sige, at hvis der er en tvivl må den komme min klient til gode,« fastslog Høj.

Beviser er belastede

Flere af sagens beviser blev problematiseret af Luise Høj. Blandt andet har anklageren fremhævet, at der i politiets register på CSC’s mainframe var blevet søgt på Wargs fødselsdato. Men den oplysning er offentlig tilgængelig, understregede Høj.

»Det havde været langt mere sikkert, hvis der var søgt på min klients pasnummer. Det er der ikke gjort. Til gengæld er der blevet søgt på pasnummeret for Fredrik Neij,« fortalte Luise Høj.

Fredrik ”TiAMO” Neij har sammen med Warg grundlagt fildelingstjenesten The Pirate Bay.

Luise Høj afsluttede med at fortælle retten, at Warg kun skulle dømmes, hvis man kunne udelukke, at det var andre der stod bag hackerangrebet.

»Hvis ikke politiet objektivt og loyalt efterforsker spor i sagen, hvis resultaterne af politiets undersøgelser kan anfægtes, og hvis der ikke er taget stilling til spørgsmål om alternative gerningsmænd, så bør retten allerede nu frifinde min klient,« lød det fra forsvarsadvokaten.

Version2 er til stede i retten.