Daily Archives: December 8, 2015

I 19 år har Rigspolitiet fornyet en række kontrakter om drift af it-systemer med CSC, selv om reglerne på området kræver, at kontrakterne sendes i udbud.

Rigspolitiet har blandt andet forklaret forløbet med, at CSC leverede utilstrækkelig systemdokumentation til, at driftopgaverne kunne beskrives i udbudsmateriale.

Først sidste år skrev Rigspolitiet et krav om tilstrækkelig systemdokumentation ind i kontrakterne med CSC, hvilket betyder, at de kan komme i udbud i 2019, hvis alt går som planlagt.

Klart lovbrud
Rigspolitiet vil ikke svare på, om der er tale om et lovbrud eller ej, men hos Konkurrence- og Forbrugerstyrelsen vurderer kontorchef Kenneth Skov Jensen, at Computerworlds oplysninger peger på en ovetrædelse af udbudsreglerne.

“Jeg må tage forbehold for, at jeg ikke kender sagens detaljer. Men hvis det er, som Computerworld siger, at man i 19 år gentagne gange har vurderet, at man ikke har kunnet udbyde en opgave, fordi man ikke har haft dokumentation, så må man bare sige, at man haft 19 år til at fremskaffe den dokumentation. Det er ordregivers pligt, at gøre det,” siger han.

Christina Bagger fra UdbudsVagten, som rådgiver virksomheder om offentlige udbud, kan heller ikke se, hvordan den forklaring, Rigspolitiet har forelagt Computerworld, er nok til at overholde loven.

“Det er ikke bare dårlig praksis. Det er et klart lovbrud, hvis det er, som du forklarer forløbet,” lyder det Fra Christina Bagger.

Eller er det?
Det er dog muligt, at Rigspolitiet faktisk har overholdt loven.

For hvis de systemer, som CSC drifter, falder ind under særlige omstændigheder som for eksempel force majeure eller rigets sikkerhed, er de omfattet af en undtagelse fra udbudsreglerne, forklarer Kenneth Skov Jensen fra Konkurrence- og Forbrugerstyrelsen.

“Der er undtagelsesmuligheder. For eksempel kan der opstå uforudsete begivenheder. Det kan være et flygtningepres eller lignende. Så vil man kunne købe ind uden at benytte de normale udbudsprocedurer. Men der er ingen undtagelsesmuligheder, hvis det er noget, som man selv er herre over,” siger han.

Så meget for force majeure. Men hvad med rigets sikkerhed?

“Der kan gøres undtagelse fra udbudsreglerne. Hvis der er tale om hemmelige kontrakter, der kræver særlige sikkerhedsforanstaltninger, kan der gøres undtagelse fra udbudsreglerne,” uddyber Christina Bagger fra UdbudsVagten.

Men der er der ikke noget, der tyder på, at kontrakterne falder i den kategori. Faktisk peger meget på, at kontrakterne ikke falder i nogen af de kategorier, som kan berettige en udtagelse fra udbudsreglerne.

“Det, der taler imod, at der skulle være tale om en undtagelse fra udbudsreglerne, er, at Rigspolitiet nu har skrevet ind i kontrakten, at den nuværende leverandør skal levere beskrivelser, der definerer opgaveudførelsen på en måde, der gør Rigspolitiet i stand til at udarbejde et udbud og en kravspecifikation med henblik på en konkurrenceudsættelse,” forklarer Christina Bagger.

Rigspolitiet har sagt, hvad der skal siges i den sag
De oplysninger, som danner grundlaget for Computerworlds artikler om Rigspolitiets manglende udbud, er et resultat af flere måneders mailkorrespondance med Rigspolitiets Koncern IT.

Du kan se hvordan historien begyndte her: Rigspolitiet har ikke sendt CSC-opgaver i udbud i årevis: System-dokumentation mangler på 19. år

Oplysningerne førte dog til flere spørgsmål. Derfor har Computerworld talt med kontitueret direktør for Rigspolitiets Koncern IT, John Vestergaard, om lovligheden af forløbet, og hvorfor Rigspolitiet ventede 18 år, før CSC blev forpligtet til at levere systemdokumentation.

Du kan læse den samtale her: Rigspolitiets it-chef under pres i udbudssag: Her er hans svar om 19 års lovbrud

Du kan læse to bud på, hvordan det kan være gået så galt her: 19 års it-kontrakt-kaos i Rigspolitiet: Derfor kan det være gået så galt for politiet

Den 29-årige Hunter Moore er manden bag hævnporno-sitet Is Anyone Up, hvor man kunne finde nøgenbilleder plus kontaktinformationer på de intetanende og udstillede ‘modeller’ på sitet.

Misbruget af folks privatbilleder koster nu Hunter Moore to et halvt år i fængsel.

Dertil kommer en efterfølgende periode på tre år, hvor al hans kontakt med computere herunder blandet andet brug af computerenheder, brugernavne og mailservices skal meldes til en tilsynsværge.

Udover driften af det famøse hævnpornosite frem til 2012, er han desuden beskyldt for sidste år at betale en person for at hacke sig ind på folks computere med det formål at stjæle nøgenbilleder.

Det skriver BBC.

Alle har blokeret ham
FBI arresterede Hunter Moore tilbage i 2014 efter flere sager om identitetstyveri og sikkerhedsbrud.

Arrestation kom efter, at Hunter Moore tidligere er blevet døbt ‘internettets mest hadede mand’, da han på hævnporno-sitets højeste havde omkring 30 millioner månedlige besøgende og efterfølgende ganske pæne reklameindtægter.

Flere store spillere har i tidernes løb vendt ham ryggen.

Eksempelvis har Facebook ifølge livsstilsmagasinet Rolling Stone bandlyst ham på livstid, hvilket også gjaldt hans kat. PayPal har blokeret ham, og han har haft hackergruppen Anonymous på nakken.

Hunter Moore har tidligere forklaret motivet bag at oprette hævnpornositet med, at en pige knuste hans hjerte, hvorefter han har forårsaget ydmygelse, chikane og sågar overfald på de folk, der siden er blevet udstillet på sitet.

Flere forbyder uautoriserede sexbilleder
Sitet og konceptet har i tidernes løb resulteret i flere kopisites.

Ifølge Huffington Post var der da også før 2013 kun tre amerikanske stater, der har forbudt uautoriseret distribution af private sexbilleder.

Det tal var så i juni 2015 vokset til 23 stater, mens yderligere 17 stater arbejder på at indføre forbud.

Udover at have modtaget mails med nøgenfotos fra vrede eks-kærester er Hunter Moore fundet skyldig i at betale en hacker for at bryde ind på hundredvis af computere for at lede efter nøgenbilleder. 

I den nuværende sag har Hunter Moore erklæret sig skyldig i hackerforbrydelserne og skal nu udover sin fængselsstraf på 30 måneder også betale omkring 1.000 kroner i erstatning til sine ofre, hvilke flere Twitter-brugere anser som en alt for mild straf. 

Læs også:
Så mange år i fængsel ville Edward Snowden stå til hvis han var dansk

Jeg var en pirat-hykler – for inderst inde vidste jeg godt, at det var forkert

Distributed Denial of Service-angreb er et problem, som alt for mange danske virksomheder har prøvet at stifte bekendtskab med.

Konsekvensen af DDoS-angreb kan være alt fra, at websider- og -servere brager ned til, at de kriminelle bruger angrebet til at maskere det egentlige angreb, eksempelvis forsøget på at stjæle følsomme data.

Der findes dog metoder til at bekæmpe DDoS-angreb. Typisk skal man op på operatørniveau for for alvor at kunne dæmme op for den uønskede trafik.

Læs også: Fire rødglødende trends presser internettet: Derfor har det svært ved at følge med

Og faktisk var det netop DDoS-problematikken, der i 2011 fik TDC til at oprette en ny sikkerhedsafdeling, Security Operations Center (SOC). Det fortæller Lars Højberg, der er chef for afdelingen.

“Med hensyn til DDoS-angreb så er det jo ikke blevet mindre. Vi ser stadig de store oversvømmelsesangreb mod vores erhvervskunder. Der er vi så inde og fjerne den ondsindede trafik i vores backbone,” fortæller han til Computerworld.

Lars Højberg er chef for TDC’s Security Operations Center. Foto: Torben Klint.  

Sådan kan man bekæmpe DDoS-angreb
Lars Højberg beskriver, hvordan man på operatørniveau kan bekæmpe et konkret DDoS-angreb:

“Der vil ske det, at trafik-volumenen ud mod kundens netværk overstiger en tærskelværdi, som udløser en alarm.”

Når TDC har oplyst kunden om det formodede angreb, og kunden har bekræftet, at denne også selv oplever at være under angreb, så er fremgangsmåden følgende:

“Al den trafik, der går til den IP-adresse i kundens netværk, der er under angreb, router vi via en såkaldt scrubber-boks – en vaskemaskine – i vores backbone, altså i vores core net-værk.”

“Det er en dedikeret boks, hvor trafikken bliver routet igennem. Den fjerner den ondsindede trafik og lader den legale trafik passere igennem til kundens netværk, forklarer han og tilføjer, at systemet også kan indstilles til automatisk at aktivere bekæmpelse af et DDoS-angreb, uden at kunden først skal bekræfte.

Lars Højberg forklarer, at TDC Security Operations Center sammen med boksen har cirka 25 ‘håndtag’, man kan gøre brug af, afhængig af hvilken type angreb, der er tale om.

“I en angrebssituation kan vi eksempelvis blokere for al trafik, der kommer fra bestemte geografiske områder i verden,” siger han.

Bot-pc’er kan også blokeres
“En anden mulighed er at blokere alle de IP-adresser, der sender med en vis volumen mod kunden.”

Lars Højberg forklarer, hvordan man kan spotte og blokere for trafikken fra en bestemt maskine:

“For en typisk webserver er det begrænset, hvor meget trafik en enkelt almindelig bruger vil generere op imod den webserver.”

“Er der en eller anden IP-adresse ude på det store internet, der sender med for eksempel to megabit i sekundet op imod denne her webserver, er det med stor sandsynlighed en ondsindet maskine, en bot-pc. Trafikken fra den maskine vil boksen så fjerne.”

Læs også: Se oversigten her: Sådan rammes du af DDoS-angreb

Sikkerhedschefen forklarer, at den mest almindelige type DDoS-angreb fortsat er de såkaldte oversvømmelsesangreb.

“Cirka 84 procent af de DDoS-angreb, vi ser, er oversvømmelsesangreb, hvor de ondsindede sender mere trafik ind mod kunden, end kunden har båndbredde til at håndtere.”

“Når det er den type angreb, er der kun et sted at fjerne trafikken, inden den lammer kundens netværk – og det er i operatørens netværk.”

Kan være en afledningsmanøvre
Lars Højberg peger samtidig på, at man skal være opmærksom på, at et DDoS-angreb ikke nødvendigvis handler om at lægge ofrets servere ned – men derimod om noget helt andet.

Læs også: Pas på: DDos-angreb ofte skalkeskjul for langt mere alvorlige angreb i skjul

“Det bliver brugt som en afledningsmanøvre, eksempelvis fordi man vil forsøge at stjæle personfølsomme data fra virksomheden. Så prøver man at lamme virksomheden og få driftsafdelingen til at fokusere på DDoS-angrebet, og så går man ind ad en dør i den anden side.”

TDC bliver vel også selv udsat for DDoS-angreb – hvem beskytter jer som operatør?

“Vi er ligesom andre virksomheder, så vi er også udsat for angreb. Man kan sige, at vi beskytter os selv, og at vi tager vores egen medicin.”

“I den her verden er det så også sådan, at der er angreb, der er så store, at vi ikke tager dem ind i vores eget net for at bekæmpe dem, for så skaber det en tsunami-effekt gennem hele vores netværk.”

“Så der er vi nødt til at blokere det på kanten af vores net. Eller vi kan gå ud til nogle af de udbydere, vi får trafik fra, og sige til dem, at de skal blokere.”

Flere og mere avancerede trusler
TDC’s Security Operations Center blev oprettet i 2011 og har siden udviklet sig i takt med skiftet i trusselsbilledet og TDC’s øgede fokus på it-sikkerhed.

Lars Højberg venter at have 11 medarbejdere i centret ved årets udgang. De arbejder ikke kun med bekæmpelse af DDoS-angreb, men alle former for cyber-angreb. 

“Kva vores størrelse har vi kunder fra alle segmenter, og derfor ser vi også den tendens, man ser i markedet i det hele taget. Virksomhederne bliver ramt bredt og ikke kun af DDoS-angreb. Det er også mere eller mindre avancerede hackerangreb, ransomware, spear phishing og så videre.”

“Der er i det hele taget flere angreb, og de bliver også mere avancerede og målrettede.”

Læs også:

Fire rødglødende trends presser internettet: Derfor har det svært ved at følge med

Pas på: DDos-angreb ofte skalkeskjul for langt mere alvorlige angreb i skjul

Se oversigten her: Sådan rammes du af DDoS-angreb