Daily Archives: October 24, 2014

En digital besked fra det offentlig kan havne i E-boksen med forkert afsender. Digital Post får nu kritik af Ombudsmanden, for ikke at leve op til kraven i forvaltningsloven. Det skriver Information.

I Digital Post kan kun myndigheder med CVR-nummer stå som afsender. Det vil sige for eksempel kommuner, regioner og Rigspolitiet. Derfor er afsenderen forkert, hvis man kommunikerer med en undermyndighed.

En digital besked fra Glostrup Sygehus, vil således fremstå med afsenderen Region Hovedstaden, mens en mail fra Københavns Politi vil komme frem med Rigspolitiet som afsender.

I et brev fra Folketingets Ombudsmand til Digitaliseringsstyrelsen, som Ritzau har fået indsigt i, fremgår det, at Digital Post ikke overholder forvaltningsloven. Den kræver nemlig, at det skal være tydeligt for borgeren, hvem de kommunikerer med, lyder det.

Trods kritikken er Digitaliseringsstyrelsen ikke klar på at rette fejlen foreløbigt.

»Problemet er selve den måde, som Digital Post løsningen er konstrueret på. Hvis vi skulle ændre det nu, vil det kræve en helt fundamental ændring af systemet. Det vil være både omfangsrigt og dyrt, og da det er skatteborgernes penge, vi har med at gøre, mener vi, det er bedre at vente, til vi alligevel skal implementere et nyt system,« siger Lone Berglykke, der er kontorchef i Digitaliseringsstyrelsen.

Det skal nu være et krav i udbuddet til den næste Digitale Post-løsning, at det fremgår klart, hvem der er afsenderen. Det opdaterede system forventes at være i drift i 2016.

Fra midten af 2016 vil også buspassagerne på Fyn kunne bruge rejsekort. Når Fynbus tilslutter sig det elektroniske billetkort, bliver det landsdækkende.

Fynboerne har hidtil stået uden for samarbejdet om rejsekort, fordi Fynbus har haft sine egne, elektroniske billetter, Kvikkortet. Men nu er det ved at være nedslidt og udskiftningsmodent. Samtidig henviser bestyrelsesformand Morten Andersen fra FynBus til, at Rejsekortet endelig ser ud til at være ovre sine værste børnesygdomme og er blevet mere troværdigt.

»Fynbus har i flere år været skeptisk i forhold til Rejsekortets driftssikkerhed. Der har været for mange sygdomme. Heldigvis ser det nu ud til, at systemet fungerer langt bedre, også på tværs af eksempelvis bus og tog. Derfor tilslutter vi os fra 2016,« siger han.

Tilslutningen vil i udgangspunktet koste FynBus i omegnen af 121,6 millioner kroner. Carsten Hyldborg, der er direktør for FynBus, mener dog, at det bliver en god forretning.

»Gør man det op, så giver det både teknologisk og økonomisk bedst mening for Fynbus, at vi tilslutter os nu,« siger han.

Fra den første november bliver alt post fra det offentlige sendt digitalt. Men når korrespondancen fra kommunen omhandler et barn, vil den typisk kun havne i morens E-boks. Det skriver Berlingske.

De fleste børn er kun tilknyttet deres mors CPR-nummer, og det kan derfor blive svært for faren at følge med i kommunens henvendelser om barnet.

»Hvis kommunens psykologer eksempelvis indkalder begge forældre til et møde om et barns adfærdsproblemer, vil kun en forælder få besked. Vi har desværre nok glemt det,« siger Ole Hansen, Kommunernes Landsforening.

Ligebehandlingsnævnet har vurderet, at kommuner bryder ligestillingsloven, når de kun sender post til mødre.

Rigtig mange smartphones er udstyret med en processor fra den amerikanske chipproducent Qualcomm, og hidtil har også sydkoreanske LG benyttet Qualcomm-chips i stor stil. Men det ændrer sig nu, i hvert fald når det gælder de kommende topmodeller. LG har nemlig lanceret smartphone-processoren Nuclun, som firmaet selv fremstiller.

Nuclun er baseret på ARM-arkitekturen og har otte processorkerner. LG benytter ARM’s big.Little-teknologi. Det betyder, at processoren enten kan være langsom og strømbesparende eller hurtig og strømslugende – alt efter behovet.

I processoren klarer fire Cortex-A15-kerner med en frekvens på 1,5 GHz regnearbejdet, når det skal gå stærkt. Hvis der ikke er brug for så meget regnekraft, benyttes i stedet fire 1,2 GHz Cortex-A7-kerner, som er langsommere, men også langt mindre strømkrævende.

Regnekraft efter behov

På den måde kan man få et godt kompromis mellem ydelse og strømforbrug. Hvis man bare skriver en sms eller hører musik, er der ikke brug for ret meget regnekraft, og så er det kun de langsomme processorkerner, der er i brug. Hvis man vil spille et beregningskrævende spil, så tager de hurtige kerner over.

Et andet eksempel: Når man bruger mobilen til at surfe på nettet, trækker de hurtigere kerner læsset, mens websiten bliver renderet, men så snart den er klar på skærmen, og man blot sidder og scroller på siden, klarer de langsomme kerner arbejdet, så der spares på strømmen.

Med Nuclun vil LG gå ærkerivalen Samsung i bedene, for Samsung har længe haft succes med produktion af mikrochips til smartphones, ikke mindst til Apples iPhone og til Samsungs egne mobiltelefoner. Samsung benytter da også big.Little-teknologien i Exynos-processorerne til Galaxy 4 og Galaxy 5.

Nuclun understøtter den nyeste 4G-teknologi for mobilt internet, LTE Advanced kategori 6, så hastigheden for dataoverførsel kan komme op på 225 megabit i sekundet – hvis mobilnettet altså understøtter standarden.

Første mobil med Nuclun bliver LG G3 Screen, som har en skærm på 5,9 tommer. Denne model bliver sandsynligvis kun introduceret på det koreanske marked.

En sårbarhed har ramt det udbredte CMS, Drupal, der anvendes på et hav af hjemmesider verden over. Sårbarheden, der nu er lukket, har blandt andet betydet, at hackere har kunnet tilgå brugerinformationer på berørte hjemmesider.

Mediehuset Ingeniøren, som Version2 er del af, anvender netop Drupal, og er som følge af sårbarheden blevet udsat for et hackerangreb på flere af de hjemmesider, som mediehuset står bag.

Det drejer sig om Ingeniørens hjemmeside ing.dk, it-mediet Version2′s hjemmeside version2.dk, konferencesitet jobtraef.dk og rekrutteringsbuearets Capax’ hjemmeside capax.dk.

Sårbarheden er blevet udnyttet til at oprette brugere med administrator-adgang på hjemmesiderne. Det konkrete angreb er foregået via en såkaldt SQL-injection-sårbarhed. Det vil sige, at hackeren har kunnet køre SQL-forespørgsler i de bagvedliggende databaser.

I forbindelse med angrebet har hackeren haft adgang til de brugeroplysninger, der er knyttet til de forskellige sites. Det vil typisk sige brugernavn og mail. Passwords har været opbevaret kryptereret.

Teknisk har brugerpasswords været kørt gennem en SHA-512-algoritme, som har været ‘salted’ med en tilfældig værdi. Det er normalt en af de mest sikre og anerkendte metoder til sikring af kodeord, fortæller digital udviklingschef og driftsansvarlig i Mediehuset Ingeniøren Jesper Bille Haun.

Skift password for en sikkerheds skyld

For en sikkerheds skyld opfordrer han dog alle brugere med profiler på ing.dk og version2.dk til at skifte kodeord – og kodeord på andre sites, hvor de samme login-oplysninger er anvendt.

»Når et site har været kompromitteret, bør man altid skifte kodeord på de ramte hjemmesider og andre steder, hvor samme login-oplysninger må være anvendt. Der findes metoder, der kan knække den sikkerhed, der ligger i password-krypteringen, hvis der har været brugt forholdsvis simple kodeord,« siger Jesper Bille Haun.

Brugere er der har oprettet profiler via Facebook har i udgangspunktet ikke fået kompromitteret deres oplysninger.

Udover oplysninger om brugere oprettet på de forskellige Drupal-hjemmesider, så har hackeren via Version2 i princippet også haft adgang til oplysninger på Version2′s Job-side.

»Hackeren kan også have hentet informationer om de profiler, der er oprettet på Version2 Job. Det er oplysninger som arbejdserfaring, uddannelse og den slags. Vi ved ikke, om disse oplysninger faktisk er blevet tilgået,« siger Jesper Bille Haun.

Sikkerhedshullet i Drupal er patched og dermed lukket med version 7.32 af cms’et. Tidligere versioner af Drupal core 7 formodes er ramt af sårbarheden. Drupals sikkerhedshold sendte en meddelelse ud om sårbarheden, som blev beskrevet som yderst kritisk i onsdag i sidste uge, 15. oktober, omkring klokken 18 dansk tid.

Mediehuset Ingeniørens servere blev øjensynligt angrebet natten til torsdag 16. oktober cirka syv timer senere.

Oprettede bagdør

Efter at have brugt sikkerhedshullet til at oprette administratorbrugere på de forskellige sites, har hackeren oprettet sin egen bagdør på Version2′s hjemmeside. Herefter har hackeren lukket sikkerhedshullet på hjemmesiderne, så den kendte SQL-sårbarhed ikke har kunnet anvendes af andre.

Bagdøren på Version2 har gjort det muligt for hackeren at afvikle blandt andet php-kode via specifikke og skjulte url-adresser.

Den ondsindede kode og hackerens adgang skulle nu være ryddet helt af vejen.

»Vi vil forsøge at undgå lignende angreb ved minutiøst at gennemgå og evaluere vores beredskab og om nødvendigt tage yderligere skridt for at sikre data,« siger Jesper Bille Haun.

Den uafhængige new zealandske ekspert Bevan Rudge anslår, at 100.000-vis af sites har været ramt verden over af sikkerhedshullet og nu har fået installeret bagdøre i hackersagen, der har fået navnet Drupageddon.

»Der er i øjeblikket mange danske sites hos store og kendte virksomheder, der stadig kører ældre versioner af Drupal. De kan naturligvis være patchet af anden vej, men det er ikke sikkert, at Drupageddon er slut endnu,« siger Jesper Bille Haun, som opfordrer til større åbenhed blandt de ramte virksomheder for bedre i fællesskab at bekæmpe uvæsenet.

Den danske business intelligence-virksomhed d60 har indgået en aftale med Statsanklageren for Særlig Økonomisk og International Kriminalitet (SØIK), også kaldet Bagmandspolitiet, om at levere software, der skal hjælpe med opklaringsarbejdet.

Løsningen fra d60, der bliver leveret i samarbejde med den internationale virksomhed Nuix, skal ifølge en nyhed på d60′s hjemmeside hjælpe SØIK med at gennemføre hurtigere og mere effektiv efterforskning af sager inden for organiseret kriminalitet, bedrageri, karteldannelse, finansiering af terror og hvidvaskning af penge.

Manager i d60′s afdeling i København, Jacob Isaksen, siger til Version2, at han ikke må fortælle detaljeret om den konkrete aftale, d60 har indgået med SØIK. Men Jacob Isaksen kan dog godt fortælle generelt om den type løsning, den danske virksomhed leverer.

Det drejer sig overordnet om software, der kan indsamle data fra eksempelvis computere, telefoner og andre enheder, krydsreferere dem, og præsentere dem visuelt. Så det eksempelvis er muligt at se på en tidslinje, hvornår forskellige personer har foretaget opkald eller sendt mails til andre personer i en organisation, som eventuelt indeholder bestemte ord.

»Man kan eksempelvis se, hvem der har været i kontakt med hinanden omkring hvilke emner. Man kan også se, hvem der har sendt billeder og dokumenter til hinanden på et givent tidspunkt,« siger Jacob Isaksen og tilføjer:

»Så hvis man har en sag, man undersøger internt i en virksomhed, eller hvis man er en en offentlig myndighed og har behov for at foretage efterforskning af en given sag, så vil man kunne søge og visualisere på tværs af enheder og andre datakilder.«

Af EU-udbudsportalen, Tenders Electronic Daily (TED), fremgår det, at kontrakten har en værdi på over 13 mio. kroner plus moms.

Når Rigspolitiet ikke har styr på IT sikkerheden tager man sig uvilkårligt til hovedet.

Men er det egentlig så svært at forstå hvorfor ?

Her er Rigspolitichefens officielle hjemmeside

Nu ved jeg godt han er nogenlunde ny i jobbet, men kig på hans mini-CV og spørg så dig selv om du med den baggrund ville være i stand til at omsætte de meget generelle, men bestemt ikke helt ubrugelige, krav i lovgivningen til organisatoriske tiltag ?

Selvfølgelig ikke.

Men vi kommer ikke uden om at det er hans job at gøre det, med eller uden Rigsrevisionen kritiske kommentarer, er det hans job at sikre at politiet overholder landets lov.

Omvendt, hvis han havde en solid IT sikkerhedsmæssig baggrund, ville han sikkert kigge på MF’ernes iPads og sukke “Nå, mere vigtigt end som så er det altså heller ikke ?”

I netop tilfældet Rigspolitiet er sagen utroligt speget, for vi kommer ikke udenom POLSAG, der skulle løse alle politiets IT problemer.

Men i min optik understreger det blot min pointe: At indføre regler om (person)datasikkerhed, uden at sikre at der var de nødvendige resourcer og penge til rådighed var bare luftkartofler og vindfrikadeller.

Det tror jeg godt Folketinget vidste, for ingen af de relevante love indeholder sanktioner der kommer i nærheden af hvad man kan risikere ved at køre for hurtigt på landets landeveje.

Frustrationen hos de myndigheder der skal holde øje med datasikkerheden, primært Datatilsynet, men kun i svagt mindre grad Rigsrevisionen, Digitaliseringsstyrelsen og Center for Cybersikkerhed var til at tage og føle på til høringen i forgårs.

I mange år har skiftende politikere peget på antallet af overbetalte ADSL linier og PC-kørekort og kaldt Danmark et IT foregangsland mens IT folket vantro har rystet på hovedet af flosklerne.

Hvor er uddannelsen der producerer systemadministratorer til driften af kritiske IT systemer ?

Hvor er uddannelsen der proucerer IT arkitekter ?

Hvor kom IT-principper, IT sikkerhed og persondatasikkerhed ind i Cand Polit. studiet ?

Hvor er den ansvarsgivende autorisationsordning for persondataansvarlige ?

Inden længe kommer EUs persondatadirektiv. Det var der ikke megen entusiame for fra statsadministrationen i forgårs og ifølge mine kontakter i kommissionen har Danmark modarbejdet enhver form for bid eller konsekvens i direktivet fra start til slut.

Jeg ved ikke om det er frygt for at alle skelletterne skal vælte ud af skabene, hvilket de utvivlsomt vil gøre hvis direktivets krav om indberetning bliver til noget, eller om det er bekymring for hvad det kommer til at koste faktisk at implementere datasikkerhed, frem for bare at pege på de love ingen, selv ikke statens egne organisationer, overholder og lade som om vi har løst problemet for længst.

Men tiden er langt over inde til at tage emnet seriøst og det vil primært sige at give lovene og tilsynsmyndighederne det nødvendige bid.

Men sekundært betyder det også at Folketinget skal holde op med at behandle IT som et mirakelmiddel der kan skære 12% af ethvert budget, bare man skriver “IT-rationaliseringer” i finanslovens noter.

IT er en samfundstransformativ teknologi på niveau med ild, elektricitet og automobiler og den skal behandles med samme seriøse tilgang.

Vi har funktionelle brandkrav, brandindspektører, brandslukningsudstyr, brandvæsner og brandforsikringer.

Vi har elektricitetslov, autorisationskrav, kortslutningssikringer, fejlstrømsafbrydere, netansvarlige, CE mærker og sikkerhedsstyrelsen.

Vi har færdselsloven, færdselspolitiet, skolepatruljer, cykelstier, gangbroer, motorveje, kørekort, typegodkendelser, forureningskrav og obligatoriske syn.

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

De love vi har kan omkostningsfrit ignoreres, problemerne uanset størrelsen kan frit begraves i baghaven, ingen er nogensinde ansvarlige og der er intet produktansvar overhovedet.

Men vi nærmer os en kant, den kant hvor computerne er årsag til så meget ragnarok at politikerne bliver tvunget til at reagere.

Forskellige overlæger jeg har talt med, anslår at de forskellige EPJ systemer allerede har slået ca. 400 danskere ihjel før de ellers ville være døde. (Præcis hvor mange dage, måneder eller år det i det enkelte tilfælde drejer sig om er de ikke meget for at skyde på.)

Inden længe vil vi se de første folkepensionister der dør fordi de ikke kan finde ud af kommunens IT selvbetjening, eller fordi der sker “en computerfejl” — det er udelukkende et spørgsmål om tid, alle dominobrikkerne er linet op og står klar til at vælte.

Det ville klæde vores MF’er at de for en gangs skyld handlede uden at gøre det i panik over at Ekstrabladet har pisket en stemning når “det er også alt for galt”.

Her er nogle forslag:

1. Produktansvar for software. (Mere konkret forslag her)

2. Strafansvar og erstatningsansvar ved læk af persondata. (Som et absolut minimum på linie med miljølovgivningen.)

3. IT Havarikommission, så vi alle kan lære af vores fejltagelser.

4. Autorisationsordning for IT sikkerhedsansvarlige. (lige som for elinstallatører, VVS osv.)

5. Tilsyns og kontrolmyndigheder med magt og bid.

6. IT uddannelser der kan klæde folk på til at leve op til lovens bogstav.

Hvis vi gjorde noget i den stil ville Danmark faktisk blive et IT foregangsland og ikke bare det land der først havnede i IT-grøften.

phk

Microsofts Code Challenge implementerer uden tvivl interfacet ‘overspringshandlinger’, men det danskudviklede projekt gør det muligt at konkurrere med sine kolleger i noget, der trods alt er mere fagligt relevant end Pet Rescue Saga.

Code Challenge, som Microsoft Danmark har udviklet, er foreløbig en udvidelse til Visual Studio, hvor man kan bede om en udfordring, som man så skal løse for at få point. Man kan så konkurrere mod sine kolleger eller blot andre udviklere.

»Vi synes selv, det er sjovt at skrive kode, så vi fik den idé, at man skulle kunne hente en lille udfordring, hvor man skulle skrive noget kode for at løse den,« siger direktør for platform og udviklere, Jasper Hedegaard Bojsen, fra Microsoft Danmark til Version2.

Udfordringerne består af en lille opgave, som eksempelvis skal løses ved at skrive en metode, der kan hente et vilkårligt tal i Fibonacci-sekvensen.

»For en erfaren programmør tager det måske kun et par minutter. Når man uploader sin løsning, så laver vores backend unit tests på løsningen, og hvis man har løst den rigtigt, får man point,« forklarer Jasper Hedegaard Bojsen.

Lige nu er projektet i en testfase, hvor Visual Studio-udviklere i Danmark og på Island kan deltage, men hvis det bliver populært, kan det blive udbredt til flere lande. Jasper Hedegaard Bojsen oplyser også, at udviklerne undersøger muligheden for at distribuere kodeudfordringer via eksempelvis Mono til Linux. Lige nu kræver det Visual Studio Professional eller større, men Express-udgaverne er også noget, Microsoft vil se på.

Hos eBays danske udviklingsafdeling dyster en snes af udviklerne om point i Code Challenge.

»Man holder selvfølgelig øje med, hvem der ligger hvor i stillingen. Niveauet er sådan, at man ikke bruger flere timer på det, men det er da en form for overspringshandling,« siger seniorudvikler Michael Skarum fra eBay til Version2.

Udviklerne arbejder i forvejen med Visual Studio og C# til de bagvedliggende systemer til eksempelvis Bilbasen.dk.

»Vi sidder alle med forskellige store systemer. Her er der et simpelt problem, som man kan lave en elegant løsning til, som ikke ville være realistisk i et stort produktionssystem. Og så er det sjovt at se nogle af de andre muligheder, der ligger i det sprog, vi arbejder med til daglig,« fortæller Michael Skarum.

Sikkerhedsfirmaet Akamei Technologies fortæller i deres årlige sikkerhedsrapport torsdag, at mængden og størrelsen af DDoS-angreb er steget voldsomt, faktisk med hele 22% siden sidste år. Og den gennemsnitlige båndbredde brugt til DDos er steget med 389 procent i forhold til for et år siden. Det skriver Computerworld.com

DDoS, eller Distributed Denial of Service, som det hedder på engelsk, går ud på at storme en hjemmeside med forespørgler på opslag fra en hær af andre computere. Helst så mange, at siden går ned af den massive overbelastning.

I Akamei Technologies rapport gennem går det rækken af angreb, som dets udstyr har stået imod det sidste år. 17 angreb på over 100 Gbps og et enkelt helt oppe at ringe på 321 Gbps, er det blandt andet blevet til på de digitale slagmarker.

Ifølge vicepræsident i AKamai Technologies John Summers kommer den øgede volumen i angreb som følge af let tilgængeligt angrebskits med nem brugerflade, en voksende kriminel industri, der vil arbejde for penge og en masseudnyttelse af diverse sikkerhedshuller på nettet, der gør DDos-angriberne i stand til at bygge kæmpe netværk af bots af infiltrerede computere, der kan skabe de mange internetforespørgsler på en adresse.

I følge med den seneste udvikling, er det ikke bare computere, der bliver overtaget. Også smartphones, kabelmodem og ARM mikroprocessoren, som blandt andet bruges i digitale fjernsyn, spillekonsoller og smarte sensorer.

John Summers er bekymret for, om hackere på sigt vil hacke sig ind på enhederne og installere software, der kan hjælpe til i et DDoS-angreb og dermed åbne for et helt nyt landskab af hackermuligheder.