Category Archives: computer

Holder din svigermor – eller du selv – fast i Windows XP, selvom styresystemet nu er sendt på pension og ikke længere får sikkerhedsopdateringer fra Microsoft?

Så er det som minimum en god idé at droppe Internet Explorer og skifte til Firefox, Chrome eller andre alternativer. Det skriver Infoworld.com.

Når Microsoft fremover sender patches ud en gang om måneden til alle nyere styresystemer og til en stribe forskellige versioner af Internet Explorer, vil det være en fest for hackere, som kan bruge opdateringerne til at spotte huller i Windows XP.

Mange af de huller, der bliver lappet, vil nemlig gå igen mellem XP og de nyere versioner af Windows, og så kan hackere ved at kigge nærmere på den løsning på et sikkerhedshul, som Microsoft sender ud, ofte gennemskue og misbruge hullet gennem reverse engineering.

Det samme gælder huller i Internet Explorer, som vil blive lappet, hvis browseren kører på Windows Vista eller nyere, men altså ikke på Windows XP-installationer. Dermed får hackerne løbende et større og større katalog af sikkerhedshuller, som står åbne hos XP-brugerne.

En gennemgang af alle sikkerhedsopdateringer fra Microsoft i perioden juli til december 2013 viser, at over halvdelen af de huller, som gik igen på alle platforme, var i Internet Explorer, mens under halvdelen var i styresystemet selv. Dermed kan man ved at skifte browser i hvert fald få elimineret en del af de potentielle angreb, en hacker vil kunne forsøge sig med.

Andre browsere vil typisk selv håndtere egne sikkerhedsopdateringer direkte fra producenten.

Microsoft lappede i øvrigt et kritisk hul i Internet Explorer 1. maj, uden for den normale månedlige rytme, og valgte her også at patche hos XP-brugerne. Men det var en undtagelse, som man ikke skal forvente at se gentaget.

Det bedste sikkerhedsråd er selvfølgeligt at stoppe med at bruge Windows XP, men nogle bliver på grund af gammel hardware uden drivere til nyere styresystemer eller gammel software nødt til at fortsætte brugen af styresystemet, som blev lanceret i 2001.

Skyd ikke på budbringeren – vi afspejler bare, hvad der ligger offentligt tilgængeligt på nettet.

Sådan har det lydt i årevis fra Google, der som leverandør af internettets helt dominerende søgemaskine har en helt central rolle for, om oplysninger på en hjemmeside bliver fundet af andre eller ej.

Og netop denne position på internettet giver Google et stort ansvar, lyder det nu i en opsigtsvækkende dom fra EU-Domstolen, der tvinger Google til i nogle situationer at fjerne søgeresultater, hvis en person ønsker dem væk.

»Søgemaskiner er hjertet og motoren i internettet i dag, og dommen bekræfter den centrale rolle, som søgemaskiner nu spiller. Denne centrale rolle gør, at der i visse situationer kan være pligt til at fjerne søgeresultater,« fortæller Michael Hopp, partner hos advokatfirmaet Plesner og ekspert i persondataret, til Version2.

Hvor man tidligere måtte gå efter den hjemmeside – for eksempel en netavis – som havde offentliggjort informationer, man ikke ønskede lå offentligt på nettet, mener EU-Domstolen altså nu, at en søgemaskine som Googles også har et stort ansvar for, at oplysninger bliver kendt offentligt. Det er nemlig gennem de ’alvidende’ søgemaskiner, at selv obskure hjemmesider med gamle drukhistorier fra ungdommen kan dukke op i al fremtid, når man googler et navn.

»Den slags er meget svært at finde frem til uden en søgemaskine. Så en søgemaskine er reelt forskellen på, om de oplysninger bliver fundet eller ej,« forklarer Michael Hopp.

I sagen, som EU-Domstolen skulle behandle, ønskede en spansk mand at få fjernet oplysninger om en tvangsauktion, han var igennem i 1998. Disse data lå på en avis-hjemmeside, som Google havde indekseret, og tvangsauktionen dukkede derfor op, når man googlede den spanske mands navn.

Der var intet ulovligt isoleret set i hverken avisens offentliggørelse eller Googles indeksering. Men ifølge den nye dom skal man som borger altså i visse situationer kunne få fjernet den slags fra listen med søgeresultater. Det betyder dog ikke, at der er frit slag for at få fjernet alverdens uheldige historier, man ikke bryder sig om ligger offentligt på nettet.

»Der er tale om en helhedsvurdering, hvor det blandt andet vil være relevant, om oplysningerne har en negativ påvirkning af din fremtidige livsførelse, og hvor gamle oplysningerne er. Det er på den ene side en afvejning mellem individets integritetsbeskyttelse og privatlivets fred og på den anden side søgemaskinens lovlige virksomhed og andre internetbrugeres interesse i at kunne finde disse oplysninger,« fortæller Michael Hopp.

»Er man en offentlig person, vil man derfor ikke have samme adgang til at få fjernet noget fra søgemaskinerne, mens ’almindelige borgere’ bedre kan argumentere for, at det ikke er i offentlighedens interesse, at gamle private oplysninger om dem stadig kan findes på nettet,« fortsætter han.

I EU-dommen går dommerne ind i en helhedsvurdering af den konkrete sag og siger, at 16 år gamle oplysninger om en tvangsauktion over personens hus på grund af gæld til en social sikringsordning skal slettes, med mindre der er en vægtig interesse for offentligheden i at få adgang til oplysningerne – og overlader det herefter til den spanske domstol at vurdere, om det er tilfældet.

Heartbleed-sårbarheden findes i OpenSSL-versionerne 1.0.1 til og med 1.0.1f. OpenSSL 1.0.1g er ikke sårbar. Men en Ubuntu-bruger kom alligevel i tvivl, da han installerede Ubuntu 14.04 LTS. Det skriver Digi.no

Brugeren kunne nemlig se, at hans nye version af Ubuntu indeholdt OpenSSLs version 1.0.1f, og mistænkte derfor versionen for at indeholde Heartbleed-sårbarheden.

Men det gør den ifølge Ubuntu Norge ikke.

»Vi ser at han har OpenSSL 1.0.1f installeret – og hvis det er noget de fleste har fanget, så er det, at den version er sårbar. Men vi ser også at det er Ubuntus version er 1.0.1f-1ubuntu2.1, og da kan vi se på ændringene i den versionen her. Vi kan se den lukker CVE-2010-5298 og CVE-2014-0198, som ikke er Heartbleed. Men lidt længere nede på siden kan vi se at forskellen blev gjort i forrige version, altså 1.0.1f-1ubuntu2«, forklarer teamleder i Ubuntu Norge, Jo-Erlend Schinstad til digi.no.

Rettet efter få timer

Jo-Erlend Schinstad påpeger, at Ubuntu var hurtige til at rette fejlen, da den blev kendt.

»Det tog altså ikke mere end nogle få timer fra fejlen blev offentliggjort og til den blev sendt ud til Ubuntus brugere«, skriver han i en mail til digi.no.

Jo-Erlend Schinstad vil gerne frem til, at det i Ubuntu – og en del andte Linux-distrubtioner – ikke er versionsnummeret til upstream – eller kilden til komponenten – som er afgørende om en fejl er blevet rettet i distrubtionen, men distrubtionens eget versionsnummer.

Ændrer mindst muligt

Det, Ubuntu har gjort, kaldes backporting, og det betyder, at de har rettet problemerne i en ældre software, og efterfølgende rettet den ældre softwares navn til, i dette tilfælde til navnet 1.0.1f-1ubuntu2..

Hensigten med backporting er, at man i stedet for at bruge nye versioner af programmet, sørger for at systemet ændres så lidt som overhovedet muligt mellem i dag og slutningen af supportperioden.

»Backporting er det, som gør at systemet virker mandag morgen, og at din butikken ikke må holde lukket i en uge,« siger Jo-Erlend Schinstad.

Det kan ikke komme bag på Nets, at det har været muligt for en medarbejder som Se og Hørs tys-tyskilde at tappe dybt fortrolige oplysninger om, hvor meget og hvordan danskerne svinger dankortet. Sådan skriver Berlingske, som er kommet i besiddelse af en ekstern it-revision af sikkerheden af dankortsystemet.

»Sammenfattende er det vores vurdering, at de svagheder, som beskrives, er alvorlige, ligesom der er rapporteret rigtig mange svagheder,« lyder det i notatet fra revisionen, som blev foretaget for året 2007, da IBM overtog it-driften af daværende PBS – i dag Nets. Revisionen oplister samtidig adskillige såkaldte findingskategori 1 – altså særligt kritisable forhold.

Revisionen kritiserer blandt andet, at de ikke har haft en funktionsadskillelse, hvor man ikke har haft den nødvendige forebyggende adskillelse mellem dem, der kontrollerer
operativsystemet, og dem, der udvikler og vedligeholder systemet.

Flere brister

Det betyder helt konkret, at Se og Hørs tys-tys-kilde formentlig uopdaget har ændret opsætningen af OPC-systemet, som dankortet kører på. Af revisionen, som revisionsfirmaet PriceWaterhouseCooper lavede sammen med intern revision i Nets, fremgår det videre, at for mange med forskellige stillingsbetegnelser har haft adgang til at ændre i dankortsystemet. En adgang, som ledelsen i IBM godkendte, men det var den eksterne revisor uenig i, fremgår det af revisionen.

Også i bestyrelsen i Nets har man kendt til konklusionerne om de omfattende sikkerhedsbrister i perioden 2007 og frem til i dag, siger flere kilder tæt på bestyrelsen til Berlingske.

»Det kuriøse var, at der var ganske mange anmærkninger derude og især på noget, som en it-organisation burde have styr på. Funktionsadskillelse var et gennemgående problem på kryds og tværs af organisationen. Det vil sige, at man ikke har haft den nødvendige forebyggende adskillelse mellem dem, der kontrollerer tingene, og dem, der udvikler dem,« siger en kilde tæt på Nets’ bestyrelse til Berlingske.

Må ikke kunne finde sted

Peter Lybecker har været bestyrelsesformand for Nets, siden IBM i 2007 overtog it-driften for virksomheden. For første gang kommenterer han nu Se og Hør-skandalen:

»Den informationsudlevering til Se og Hør, som vi har set, må ikke kunne finde sted, uden at det kan blive opdaget,« skriver han til Berlingske, som oplyser, at han ikke havde lyst til at stille op til interview.

Det er uklart, præcis om og hvornår de konkrete advarsler om brist i sikkerheden i betalingskortsystemet har ført til ændringer:

»Nets har løbende fulgt op på systemrevisionsrapporter, hvor vi har kunnet konstatere, at IBM på enkelte områder har haft brug for mere faste processer, end de har haft. Vi har anset dette for værende løst i 2011, men på baggrund af denne sag har vi bedt IBM om et gennemgående review af sikkerhedsforanstaltninger og adgangen til fortrolig information, og vi agter at indarbejde skærpede krav og ekstern revision af dette,« skriver Peter Lybecker i en mail til Berlingske.

En tidligere it-chef med speciale i it-sikkerhed og indgående kendskab til drift i større virksomheder som IBM, CSC med flere siger anonymt til Berlingske, at det simpelthen ikke kan passe, at Nets ikke har været bekendt med de mange alvorlige, rapporterede sikkerhedsbrister. Brister, der i sidste ende gjorde afluring og eventuel kopiering af kreditkortoplysninger mulig.

»Det gør mig harm, at Nets ikke bare går ud og erkender, at de ikke har styret det her ordentligt. I stedet væver de om, at de skal have en anden form for kontrol fremadrettet. Det skal de i hvert fald, for de har ikke haft nogen forebyggende kontrol. Det er helt åbenlyst,« siger den tidligere it-chef.

Venstres medlem af Europa-Parlamentets civilretsudvalg, Jens Rohde, vil have EU-Kommissionen til at vurdere, hvorvidt den danske regerings forslag til en ny lov om Center for Cybersikkerhed er i overensstemmelse med EU-traktaten, og hvorvidt loven går imod en nylig afgørelse fra EU-domstolen.

EU-domstolen fastslog, at masseindsamling of borgeres privatdata uden konkret mistanke om ulovligheder, er i strid med borgernes retssikkerhed, hvilket nu udfordrer de danske krav til teleselskaberne om at logge danskernes telefonopkald og trafik på internettet.

Den nye lov, som blev stemt igennem folketinget den 9. maj – med et ’ja’ fra Venstre – giver det nationale beredskab mod cybertrusler, Center for Cybersikkerhed, videre beføjelser end tidligere.

»Masseovervågning hører ikke hjemme i et retssamfund. Det kan være fristende at gøre det i terror-bekæmpelsens navn. Men menneskets ret til privatliv og retssikkerhed er en grundpille i vort samfund. Og tryghed forudsætter jo også, at der ikke sidder forbrydere på den side af bordet, hvor data indsamles. Og det har vi efterhånden en del eksempler på, at man absolut ikke har sikkerhed for. Jeg er meget betænkelig ved regeringens udspil«, siger Jens Rohde i en meddelelse.

Med loven vil centret også juridisk blive placeret under Forsvarets Efterretningstjeneste og kan derfor overvåge den danske del af internettet mere omfattende, end hvis arbejde skulle foregå i civilt regi. Ved at blive en del af landets forsvar, skal Center for Cybersikkerhed ikke længere leve op til persondataloven, forvaltningsloven eller offentlighedsloven, og indsamlede oplysninger kan blive delt med andre landes efterretningstjenester.

Det er denne manøvre, som Jens Rohde nu vil have regeringen til at stoppe, indtil EU har vurderet, om den nye lov lever op til EU’s regler for beskyttelse af privatlivets fred.

»Det er et underligt hasteværk, regeringen har. Lige netop når det handler om borgernes retssikkerhed, skal vi være ekstremt forsigtige. Derfor vil jeg gerne have Kommissionen til at vurdere regeringens forslag, så vi sikrer os, at det stemmer overens med såvel vores fælles retsprincipper og de initiativer, som vi i forvejen har i støbeskeen,« siger Jens Rohde i meddelelsen.

Rent juridisk kan det dog blive rigtig svært for Jens Rohde at få sit forslag igennem. I spørgsmål om national sikkerhed – som et cyberforsvar mod trusler fra udlandet må siges at falde under – har EU-retten nemlig ingen betydning. Det er faktisk føjet ind i EU’s traktater, at medlemslandene helt selv må forvalte juraen, når det handler om national sikkerhed.