Daily Archives: June 22, 2016

Det må have vakt bestyrtelse, da et antal politifolk tidligt tirsdag morgen i en koordineret aktion anholdte og sigtede 26 offentligt ansatte it-folk og dernæst ransagede deres hjem for at sikre bevismateriale.

Det kan du læse mere om her: 27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget bestikkelse.

Anholdelserne – med afhøring og efterfølgende sigtelse – kommer i kølvandet på den store bestikkelsessag, der tidligere på året ramte Region Sjælland.

Her er adskillige it-folk ligeledes blevet sigtet. Flere er blevet bortvist fra deres stillinger.

Fra 4.000 kroner
Ifølge Bagmandspolitiet er det langt fra sikkert, at de nuværende 27 sigtelser (de 26 anholdte plus yderligere en sigtelse) vil føre til domfældelse og straf.

Men Bagmandspolitiet vurderer, at de har været nødvendige for at få hver ‘en sten vendt,’ som politiet formulerer det.

Hertil kommer ganske givet, at anholdelserne tjener til skræk og advarsel.

Bagmandspolitiet mener, at de sigtede – der alle har bestredet positioner, hvor de har haft indflydelse på valg af it-leverandører – har modtaget forskelligt elektronisk udstyr til privat brug fra leverandører.

De sigtede arbejder i prominente organisationer som Forsvarets Efterretningstjeneste, Udenrigsministeriet, Rigsadvokaten, Københavns Kommune og DSB.

Udstyrets værdi svinger fra 4.000 kroner til helt op til 50.000 kroner, og gaverne er ofte blevet givet i forbindelse med handler, lyder det fra Bagmandspolitiet.

Det er i strid med reglerne for gaver til offentligt ansatte at modtage gaver af denne størrelse.

Foregår i det private
Udvekslingen af gaver har vist altid foregået mellem handlende, hvor leverandørerne søger et godt og venskabeligt forhold til kunderne for på denne måde at fremme egen sag.

I det private erhvervsliv er det udbredt, at der udveksles forskellige former for gaver mellem parter, der indgår i et sælger/kunde-forhold.

Det går hurtigt under radaren, og der omsættes alligevel ofte for så store beløb, at en smartphone eller en tablet-computer til nogle tusind kroner ikke regnes for det store.

Det åbne spørgsmål er, om udvekslingen af gaver kan påvirke valget af leverandør.

Hvor går grænsen for at modtage en gave fra en leverandør?

Må man efter din mening modtage en smartphone til 4.000 kroner eller en tablet til 10.000 kroner? 12.000? Eller slet ikke?

Hvor går grænsen?

Giv dit besyv med i debatten herunder.

Læs også: Den store it-bestikkelses-sag: Problemet rækker langt dybere end bare Region Sjælland

Krypterede chat-apps på russiske computere skal kunne tilgås med en bagdør af den russiske efterretningstjeneste FSB, som er efterfølgeren til KGB.

Det er visionen bag et nyt lovforslag, som vil gøre det obligatorisk at bygge kryptografiske bagdøre ind alle chat-apps som WhatsApp, Viber og Telegram, der alle tilbyder varierende grader af krypterede beskeder mellem brugere.

I forslaget, som allerede er godkendt af den russiske sikkerhedskomité, lyder det også, at hvis man forbryder sig mod at bygge bagdøre, kan det resultere i en bøde på en millioner rubler svarende til 100.000 kroner.

Det skriver The Daily Dot.

De myrder politibetjente
Den russiske politiker Yelena Mizulina argumenterer for, at forslaget skal være en del af den russiske lovgivning, fordi teenagere bliver hjernevasket i lukkede grupper via chat-apps, hvor det blandt andet aftales dræbe politibetjente.

Og så er hun klar til at gå minimum et skridt videre i den mulige overvågning af borgerne. 

“Måske skulle vi genbesøge ideen om at pre-filtrere beskeder. Vi kan ikke bare sidde i stilhed og kigge på dette her,” siger hun om mulige næste skridt ifølge The Daily Dot.

Hvorvidt der skal indføres decideret censur af chat-beskeder i krypterede chat-apps, uddyber hun ikke.

Det er dog en kendt sag, at regeringer over hele verden gerne vil have snablen ned i de krypterede beskeder, efter store it-spillere som Apple og Google har indført kryptering som standard i selskabernes smartphones.

Blandt andet var der i USA for nyligt en stor sag om, hvorvidt Apple skulle kunne åbne en iPhone, der var i lommen på en senere gerningsmand for masseskyderi i byen San Bernardino i den amerikanske stat Californien.

Læs også: 

Flertal af amerikanerne – og Bill Gates – vil have Apple til at åbne krypteret iPhone

Hvert år i april deltager jeg i FSFE European Legal Networks konference, hvor alle os open source jura-nørder fra universiteter, advokatkontorer og virksomheder mødes for at snakke om det seneste inden for open source licenser og relaterede juridiske udfordringer.

Dette netværk er et neutralt, upartisk og privat forum, der faciliteres af Free Software Foundation Europe.

Over sommeren vil jeg komme med en fire-fem blogindlæg med emner fra den seneste FSFE European Legal Networks konference afholdt i april i år i Barcelona for at give et indtryk af, hvad der fra en juridisk og licensretlig vinkel rører sig på open source-fronten.

Kan man forestille sig, at fremtidens selvkørende biler havde Linux som operativsystem? Det kan man selvfølgelig godt.

Open source-software er grundlaget for næste al software nyudvikling inden for alle gamle og nye industrier.

Det er der som bekendt mange gode grunde til: Åben innovation, fælles betaling af udviklingsomkostninger og så videre.

Men hvad med sikkerheden? For bilindustrien er det af afgørende betydning, at de underliggende it-systemer virker. Computer-crash betyder ikke kun reboot af computeren. Et bil-crash kan betyde død og ødelæggelse.

Betyder det øget sikkerhed?
Vil anvendelse af open source i bilindustrien betyde øget sikkerhed?

Vil man ikke kunne skabe mere sikre løsninger, som alle bilfabrikanterne kan anvende og forbedre i fællesskab med færre omkostninger som et fundament for udviklingen af deres egne særlige egenskaber?

En sådan gennemprøvet kernesoftware vil potentielt kunne gøre det nemmere for lovgiverne generelt at forholde sig til spørgsmål om ansvar og sikkerhed og dermed bane vejen for en hurtigere accept af teknologien.

Kunne alle disse skandaler om falske test for udledning af gas og så videre fra biler ikke være undgået, hvis test-softwaren havde været open source?

Bilindustrien har i de forgangne fem år også generelt gjort mere brug af FOSS, men det har stort set udelukkende været til brug for brugerservices såsom navigation og underholdningssystemer. 

Men bilfabrikanternes har haft en særlig modstand mod at bruge open source-software frigivet under General Public license version 3 (GPLv3).

Denne modstand skyldes GPLv3s såkaldte  “anti-tivoization”-klausul i licensens pkt. 6. Om baggrunden for denne klausul kan du se her.

Mange bilfabrikanter bruger hardware, som forhindrer brugerne i at køre modificerede versioner af fabrikantens software.

Den nævnte klausul i GPLv3 forbyder producenterne at lave sådanne restriktioner i deres hardware, hvis de bruger GPLv3-software i de systemer, som køres på hardwaren.

De bliver nemlig gennem licensen forpligtede til at stille installationsinformation til rådighed for brugerne, som muliggør installation og kørsel af brugernes egne modificerede udgaver af fabrikantens software.

Bilfabrikanterne begrunder hovedsageligt modstanden mod GPLv3-software med hensynet til sikkerhed.

Det skal efter deres mening ikke være muligt for bilejerne at modificere bilens software, fordi det vil kunne medføre fare for brugerne selv og andre trafikanter.

Der kan dog for det første stilles spørgsmålstegn ved, om hensynet til sikkerheden reelt er baggrunden for bilindustriens frygt for brugernes mulighed for at køre deres egen software på bilernes hardware.

Bilejere har i mange år udskiftet dele af deres biler, herunder dæk, bremser og sågar software, hvilket støttes af bilindustrien.

For eksempel er der et stort marked for udskiftning eller modificering (“remapping”) af softwaren bilers Engine Control Units (“ECU”), der er computere, som styrer bilernes motorer, herunder bl.a. brændstofblandingen, brændstoftilførslen og gearingen af bilen.

Bilindustrien rådfører sig med og bruger data fra virksomheder, der tilbyder ECU remapping, og støtter således indirekte denne praksis, selvom ændringer i motorens ydeevne potentielt kan medføre sikkerhedsricisi.

For det andet er det ikke den fulde sandhed, at GPLv3 absolut forbyder fabrikanterne at forhindre brugernes kørsel af egen software på deres bilers hardware.

Licensens pkt. 7 gør det muligt for ophavsmanden til GPL-programmet at give bilfabrikanterne en ekstra tilladelse at bruge GPLv3-software i deres biler uden at overholde forpligtelsen til at levere installationsinformation til køberne af bilerne.

Bilindustrien muliggør i forvejen modificeringer af biler, som kan medføre tab af sikkerhed; det er muligt at udvikle GPLv3-software, som bilfabrikanter kan bruge uden at skulle tillade bilejernes modifikationer heraf; og endelig er det kun GPLv3 – også dermed ikke andre FOSS-licenser – som generelt tvinger bilfabrikanterne til at tillade modifikationer i deres software.

Spørgsmål om bilernes sikkerhed bør derfor næppe være til hinder for brug af FOSS i selvkørende biler. Hvis bilfabrikanterne kan og vil indse dette, vil de mange fordele ved den frit tilgængelige kildekode kunne bane vejen for, at teknologien hurtigt vil kunne blive taget i brug.

 
æs mere om brug af GPL v3 i bilindustrien i artiklen “Driven to Tears – GPLv3 and the Automotive Industry.”

Tak til stud.jur. Victor Emil Clausen, der har hjulpet med dette indlæg.

Apple udsender i al hast firmware-opdateringer til selskabets AirPort-routere, som skal lukke et alvorligt sikkerhedshul i routerne.

Ifølge selskabet er det muligt at eksekvere indficeret og farlig kode via sårbarheden.
Sikkerhedshullet skyldes ifølge Apple et forhold i hukommelsen og ligger i den måde, som DNS læser data på.

Det kan føre til afvikling af fjendtlig kode, hedder det.

Apple har i den forbindelse frigivet firmware-opdateringerne 7.6.7 og 7.7.7 til AirPort Express, AirPort Extreme og AirPort Time Capsule til 802.11n samt til Airport Extreme og AirPort Time Capsule med 802.11ac
Ifølge Apple kan AirPort Utility 6.3.1 eller senere til OS X samt AirPort Utility 1.3.1 eller senere til iOS anvendes til at installere den nye firmware på AirPort-enhederne.

Det anbefales kraftigt, at alle AirPort-brugere omgående installerer den pågældende firmware.

I modsætning til de fleste andre software-selskaber inddeler Apple ikke ‘sine’ sårbarheder og sikkerhedsopdateringer i kategorier efter alvorlighed, og det gælder da også denne sårbarhed, som Apple ikke kategoriserer.

Det betyder, at det kan være svært at vurdere, hvor alvorlig, den egentlig er, men normalt regnes muligheden for atvikle fremme og vilkårlig kode via en remote vektor som DNS for at være blandt de mest alvorlige former for sårbarheder, da de er relativt nemme at udnytte.

Ifølge Computerworld amerikanske nyhedsbureau er det uklart, om forholdet med data-parsing findes i DNS-serveren eller i DNS-klientens funktionalitet.

Begge dele er dog alvorlige nok, hvis de udnyttes af hackere, som i værste fald vil kunne søsætte forskellige former for angreb mod computere i et angrebet netværk.

De vil eksempelvis kunne hijacke søge-forespørgsler, indsætte forskellige former for indhold på websider og omdirigere brugere til inficerede websites.

Du kan se en advisory om emnet fra Apple her.

Dong Energy har ansat en ny CIO.

Det er Michael Biermann, der hidtil har været CIO i PFA, der nu får it-ansvaret i Dong Energy.

Det oplyser selskabet til Computerworld. 

Som CIO i Dong Energy kommer Michael Biermann til at stå i spidsen for 400 it-medarbejdere lokalt plus 150 it-folk i offshoring-delen.

Det blev fra nogle uger siden bekræftet af PFA i Børsen, at Michael Biermann havde valgt at forlade pensionsselskabet på grund af et nyt jobtilbud – uden at hans nye job dog blev afsløret.

Men det bliver altså Dong Energy, han nu kan skrive på visitkortet.

Mens folk i it-branchen måske ikke kender så meget til Michael Biermann fra hans tid i PFA, så har han faktisk også en lang fortid i KMD.

Var en årrække hos KMD
Michael Biermann kom nemlig til PFA fra en stilling som afdelingsdirektør for technical projects hos KMD.

I KMD arbejdede han blandt andet med ledelse inden for produktmarketing, softwareudvikling, softwareforvaltning og drift fra 1997 og frem til skiftet til PFA i 2010, fremgår det af Computerworlds navnenyt.

Michael Biermann er oprindeligt cand. scient. i datalogi fra Københavns Universitet.

Stillingen i Dong Energy blev ledig, da selskabets mangeårige CIO, Michael Moesgaard, sagde op for i stedet at sige ja til jobbet som CIO i DSB, hvor han begynder 1. juli.

DSB stod og manglede en CIO, fordi Martin Börjesson havde valgt at skifte til en stilling som executive partner i Gartner.

Læs også:

Han skal stå i spidsen for DSB’s it-løsninger: Derfor skifter dansk top-CIO fra Dong Energy til DSB

CIO i Dong Energy forlader selskabet: Har fået nyt it-topjob i dansk erhvervsliv

DSB’s CIO stopper – har fået ny topstilling i it-branchen

Her er Danmarks bedste CIO 2010

Bagmandspolitiet har ved en stor aktion tirsdag morgen anholdt og sigtet i alt 26 it-folk, der er enten er eller har været offentligt it-ansatte.

Dog er ingen af de pågældende blevet fængslet, men alene afhørt og dernæst sigtet.

Politiet har samtidig med anholdelserne ransaget alle de anholdtes boliger for at lede efter bevismateriale, som politiet vil sikre til videre behandling.

Samtidig med aktionen har Forsvarets Auditørkorps ransaget boliger og materiale, der tilhører ansatte i Forsvaret.

De 26 anholdte – samt yderligere en sigtet – er alle mistænkt for at have modtaget bestikkelse i forbindelse med den store bestikkelsesag i Region Sjælland.

Her spiller it-selskaberne og de indædte konkurrenter Atea og 3A-it væsentlige roller. En længere række højtprofilerede it-folk er sigtet i sagen, hvor der er nedlagt navneforbud. Flere af dem har i dag mistet deres job.

Det kan du læse mere om i boksen til højre.

Har modtaget computere og mobiltelefoner
Bagmandspolitiet mener, at de sigtede har modtaget eksempelvis mobiltelefoner, tablet-computer og andet udstyr fra en it-leverandør, der har arbejdet på at fremme egen sag.

Det er i strid med reglerne for gaver til offentligt ansatte. Ifølge Bagmandspolitiet har de 26 it-folk modtaget elektronik for mellem 4.000 kroner og 50.000 kroner – ofte i forbindelse med handler med den pågældende it-virksomhed.

Ifølge Bagmandspolitiet har alle de sigtede haft job, hvor de har haft indflydelse på it-indkøb for deres organisationer.

Morten Niels Jakobsen, der er chef i Bagmandspolitiet, meddeler, at det meget vel kan være, at nogle af de sigtede får lov til at slippe, når først efterforskningen kommer lidt længere.

De mange sigtelser er således sket for at sikre, at ‘hver sten bliver vendt,’ meddeler han.

“Men der vigtigt at understrege, at der i det videre forløb kan komme oplysninger frem blandt andet fra de mistænkte, der betyder, at sigtelserne ikke kan opretholdes,” siger Morten Niels Jakobsen.

De sigtede har arbejdet eller arbejder med it-indkøb og lignende i Udenrigsministeriet, Rigspolitiet, Rigsadvokaten, Københavns Kommune, DSB, Kriminalforsorgen og Forsvarets Efterretningstjeneste.

Computerworld har tidligere beskrevet ’tilbagebetalings’-mekanismer, hvor indkøb og lignende honoreres med gaver af forskellige art, som en kultur, der findes alle steder.

Det kan du læse mere om her: Den store bestikkelsessag: Problemet rækker langt dybere end bare Region Sjælland.

Læs også:

Den store it-bestikkelses-sag: Problemet rækker langt dybere end bare Region Sjælland

Topchef i politiet bortvist efter bedrageri-sag i Region Sjælland

It-chef i Region Sjælland blev bortvist for bestikkelse

Løsladt top-chef i 3A-it: Det var ikke bestikkelse – sådan hang ordningen sammen

Bestikkelsessag: Nu efterforskes også indkøb af iPads for 50 millioner kroner til politiet