Category Archives: computer

Den danske komet-startup Airtame er nu løbet ind i et klassisk crowdfunding-problem. Holdet bag har været nødt til at udskyde leveringen af den populære HDMI-dongle fra maj måned til oktober.

De unge danskere, der vandt prisen for årets startup på den internationale CES-messe i Las Vegas, er blevet overvældet af den store efterspørgsel på det lille produkt, der trådløst deler dit skærmbillede fra pc’en med dit tv.

Da Airtame gik live på Indiegogo, hvor kampagnen kørte, var målet at indsamle godt 870.000 kroner, som lynhurtigt blev indfriet, og det totale beløb endte på 7 millioner kroner. Samtidig havde holdet i sin oprindelige køreplan regnet med at skulle levere 1.800 enheder, men det tal er nu på 15.000.

»Vi ville have haft produkterne ude ved jer inden sommer, men endnu mere end det, ønsker vi at sende jer den bedste trådløse HDMI-dongle på markedet,« skriver Airtame som begrundelse i en pressemeddelelse, hvor det understreges, at der ikke er problemer med hverken udviklingen eller produktionen af donglen.

Den populære dongle skal konkurrere direkte med giganter som Googles Chromecast, der netop er kommet til salg i Danmark, og Apple TV. Mere end 9.000 mennesker fra hele verden har støttet det danske projekt via crowdfundingsitet Indiegogo.

Valg af skrifttyper kan nærmest udløse religionskrige mellem Helvetica og Baskerville, men hidtil har argumenterne hovedsageligt været æstetik og læsevenlighed. Men den rigtige skrifttype kan også spare penge, skriver CNN.

Den konklusion kommer fra en amerikansk skoleelev, som i sit naturfagsprojekt i sjette ville se på, hvordan skolen kunne spare på de mange papirer, han fik udleveret. Mens mange allerede havde lavet projekter om selve papiret, valgte Suvir Mirchandani i stedet at koncentrere sig om forbruget af printerblæk.

Ved at udskrive store forstørrelser af de mest anvendte bogstaver, skære dem ud og veje dem for at måle størrelsen, viste det sig, en skrifttype med en tyndere streg som Garamond brugte 24 procent mindre blæk end Times New Roman.

I forhold til udgifterne til indkøb af printerblæk i den offentlige sektor i USA kunne den besparelse omsættes til cirka to milliarder kroner, som skulle bruges på blæk.

Valg af skrifttyper kan nærmest udløse religionskrige mellem Helvetica og Baskerville, men hidtil har argumenterne hovedsageligt været æstetik og læsevenlighed. Men den rigtige skrifttype kan også spare penge, skriver CNN.

Den konklusion kommer fra en amerikansk skoleelev, som i sit naturfagsprojekt i sjette ville se på, hvordan skolen kunne spare på de mange papirer, han fik udleveret. Mens mange allerede havde lavet projekter om selve papiret, valgte Suvir Mirchandani i stedet at koncentrere sig om forbruget af printerblæk.

Ved at udskrive store forstørrelser af de mest anvendte bogstaver, skære dem ud og veje dem for at måle størrelsen, viste det sig, en skrifttype med en tyndere streg som Garamond brugte 24 procent mindre blæk end Times New Roman.

I forhold til udgifterne til indkøb af printerblæk i den offentlige sektor i USA kunne den besparelse omsættes til cirka to milliarder kroner, som skulle bruges på blæk.

Yousee har kort tid efter lanceringen måttet lukke for mere end 100.000 kunders hotspots, fordi der er fundet flere sikkerhedshuller i Yousees implementering. Det har gjort det muligt at få adgang til delte filer på Yousee-kundernes netværk.

Sikkerhedshullerne blev fundet af et par medarbejdere hos it-sikkerhedsfirmaet CSIS, som rapporterede dem til TDC, der ejer Yousee.

»Vi havde et par medarbejdere, som selv er kunder hos Yousee, og når man arbejder med it-sikkerhed, så er man jo nysgerrig,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Yousee har efter en pilottest rullet hotspot-løsningen ud til selskabets bredbåndskunder. Den gør det muligt for Yousee at tilbyde kunderne, at de kan bruge et ekstra wifi-netværk på bredbåndskundernes trådløse routere til at få hotspot-adgang, når de ikke er hjemme, hvis de er i nærheden af en Yousee-router.

Løsningen er blevet rullet ud til alle Yousee-bredbåndskunder, men kunderne har mulighed for at afmelde sig tjenesten, hvis de ikke ønsker at dele deres router.

Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.

»Der er tale om flere typer sårbarheder, og mindst én af dem – den som også er den mest alvorlige – ville jeg forvente, at man havde fundet i et review af sikkerheden. De andre kan være lidt mere tricky at finde, men når man først har fået blod på tanden, så fortsætter man med at grave,« siger Peter Kruse.

Hverken CSIS eller Yousee ønsker på nuværende tidspunkt at afsløre de nærmere detaljer omkring, hvilke typer sikkerhedshuller der er tale om, eller hvordan de kunne udnyttes.

»Vi kontaktede TDC i sidste uge og forelagde dem dokumentationen. Vi aftalte, at vi ikke ville offentliggøre detaljer om sårbarhederne, og TDC’s respons har været at lukke for al offentlig adgang til routerne,« siger Peter Kruse.

Ifølge Yousee indebar sårbarhederne, at en person udefra kunne få adgang til filer, der blev delt på det private trådløse netværk. Det kunne være delte mapper eller filer på netværkshardiske. Præcis hvordan adgangen til filerne kunne ske, har Version2 ikke kunnet få oplyst.

Allerede umiddelbart efter Yousees lancering af hotspot-tjenesten, blev løsningen kritiseret for, at det blandt andet var for besværligt at framelde sig, så man fik lukket sin forbindelse for eksterne brugere.

Og inden lanceringen havde Yousee forsikret om, at det kun ville være Yousee-kunder, der kunne få adgang, og at det private netværk og det åbne hotspot ville være adskilt.

Yousee har nu lukket for hotspot-tjenesten på alle kundernes routere, og selskabet vil først åbne for adgang igen, når sikkerhedshullerne er lukket.

Yousee har kort tid efter lanceringen måttet lukke for mere end 100.000 kunders hotspots, fordi der er fundet flere sikkerhedshuller i Yousees implementering. Det har gjort det muligt at få adgang til delte filer på Yousee-kundernes netværk.

Sikkerhedshullerne blev fundet af et par medarbejdere hos it-sikkerhedsfirmaet CSIS, som rapporterede dem til TDC, der ejer Yousee.

»Vi havde et par medarbejdere, som selv er kunder hos Yousee, og når man arbejder med it-sikkerhed, så er man jo nysgerrig,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Yousee har efter en pilottest rullet hotspot-løsningen ud til selskabets bredbåndskunder. Den gør det muligt for Yousee at tilbyde kunderne, at de kan bruge et ekstra wifi-netværk på bredbåndskundernes trådløse routere til at få hotspot-adgang, når de ikke er hjemme, hvis de er i nærheden af en Yousee-router.

Løsningen er blevet rullet ud til alle Yousee-bredbåndskunder, men kunderne har mulighed for at afmelde sig tjenesten, hvis de ikke ønsker at dele deres router.

Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.

»Der er tale om flere typer sårbarheder, og mindst én af dem – den som også er den mest alvorlige – ville jeg forvente, at man havde fundet i et review af sikkerheden. De andre kan være lidt mere tricky at finde, men når man først har fået blod på tanden, så fortsætter man med at grave,« siger Peter Kruse.

Hverken CSIS eller Yousee ønsker på nuværende tidspunkt at afsløre de nærmere detaljer omkring, hvilke typer sikkerhedshuller der er tale om, eller hvordan de kunne udnyttes.

»Vi kontaktede TDC i sidste uge og forelagde dem dokumentationen. Vi aftalte, at vi ikke ville offentliggøre detaljer om sårbarhederne, og TDC’s respons har været at lukke for al offentlig adgang til routerne,« siger Peter Kruse.

Ifølge Yousee indebar sårbarhederne, at en person udefra kunne få adgang til filer, der blev delt på det private trådløse netværk. Det kunne være delte mapper eller filer på netværkshardiske. Præcis hvordan adgangen til filerne kunne ske, har Version2 ikke kunnet få oplyst.

Allerede umiddelbart efter Yousees lancering af hotspot-tjenesten, blev løsningen kritiseret for, at det blandt andet var for besværligt at framelde sig, så man fik lukket sin forbindelse for eksterne brugere.

Og inden lanceringen havde Yousee forsikret om, at det kun ville være Yousee-kunder, der kunne få adgang, og at det private netværk og det åbne hotspot ville være adskilt.

Yousee har nu lukket for hotspot-tjenesten på alle kundernes routere, og selskabet vil først åbne for adgang igen, når sikkerhedshullerne er lukket.

Hvis et slagteri sender kontamineret fars på markedet og/eller har problemer med egenkontrollen, kan fødevarestyrelsen idømme en bøde.

Hvorfor er der ikke en tilsvarende styrelse der kan idømme YouSee en bøde for ikke at have styr på sikkerheden ?

Den bedste måde at forbedre IT-sikkerheden, er at indføre et 100% erstatningsansvar, så dem der tager beslutningen om sikkerheden også bærer konsekvensen af forkerte beslutninger.

phk

Hvis et slagteri sender kontamineret fars på markedet og/eller har problemer med egenkontrollen, kan fødevarestyrelsen idømme en bøde.

Hvorfor er der ikke en tilsvarende styrelse der kan idømme YouSee en bøde for ikke at have styr på sikkerheden ?

Den bedste måde at forbedre IT-sikkerheden, er at indføre et 100% erstatningsansvar, så dem der tager beslutningen om sikkerheden også bærer konsekvensen af forkerte beslutninger.

phk

Den udskældte beskatning af ‘fri telefon’ får igen hårde ord med på vejen. Dansk Byggeri har fået Skat til at offentliggøre, hvad der inddrives fra beskatningen af arbejdstelefoner, der også bruges privat. Tallet lyder på omkring 500 millioner, og dem vil Dansk Byggeri nu have tilbage, skriver epn.dk.

Da den nyeste lov omkring beskatning af arbejdstelefoner, døbt smartphone-skatten, trådte i kraft 1. januar 2012, skete det som reaktion på stor kritik af multimedie-skatten, der inddrev en halv milliard til statskassen. Erhvervslivet fandt det urimeligt, at ansatte skulle brandbeskattes for at være i besiddelse af et uundværligt arbejdsredskab.

Derfor meldte daværende skatteminister Thor Möger Pedersen dengang ud, at den nye såkaldte smartphone-beskatning kun ville inddrive i omegnen af 50 millioner. Smartphone-skatten skal betales af alle, der har betalt telefon af arbejdsgiveren, der også kan bruges privat. I 2014 skal der svares skat af 2600 kroner uanset, hvor meget telefonen bruges privat.

Men de nye tal, som Dansk Byggeri er i besiddelse af, viser, at den totale skattemæssige værdi af de ‘frie telefoner’ udgør 1 milliard i Danmark, hvilket giver omtrent samme provenu for staten, som under den tidligere multimedie-skat.

Med de nye tal fra Skat, der viser, at indtjeningen i virkeligheden har været en faktor 10 højere, mener Dansk Byggeri, at det er på sin plads, hvis de overskydende penge sættes tilbage i omløb.

»Regeringen har hevet en halv milliard kroner ud af borgerne og erhvervslivets lommer. Når et politisk område hvert eneste år overfinansieres med så stort et beløb, er det kun rimeligt at bruge det til at finansiere en vækstpakke. Hvorfor ikke lade det komme borgerne til gavn,« spørger cheføkonom Bo Sandberg fra Dansk Byggeri ifølge epn.dk.

Men skatteminister Morten Østergaard (RV) har ikke tænkt sig at føje Dansk Byggeris krav om tilbagebetaling, da han mener, det allerede er sket i form af vækstpakker og skattelettelser, skriver epn.dk

»Regeringen har taget en lang række initiativer til at sætte gang i væksten og har løbende fokus på, hvordan vi kan forbedre erhvervslivets rammevilkår. De initiativer er ikke afhængige af, om der kommer færre eller flere penge ind i den ene eller anden type skat,« siger Morten Østergaard ifølge epn.dk.

Den udskældte beskatning af ‘fri telefon’ får igen hårde ord med på vejen. Dansk Byggeri har fået Skat til at offentliggøre, hvad der inddrives fra beskatningen af arbejdstelefoner, der også bruges privat. Tallet lyder på omkring 500 millioner, og dem vil Dansk Byggeri nu have tilbage, skriver epn.dk.

Da den nyeste lov omkring beskatning af arbejdstelefoner, døbt smartphone-skatten, trådte i kraft 1. januar 2012, skete det som reaktion på stor kritik af multimedie-skatten, der inddrev en halv milliard til statskassen. Erhvervslivet fandt det urimeligt, at ansatte skulle brandbeskattes for at være i besiddelse af et uundværligt arbejdsredskab.

Derfor meldte daværende skatteminister Thor Möger Pedersen dengang ud, at den nye såkaldte smartphone-beskatning kun ville inddrive i omegnen af 50 millioner. Smartphone-skatten skal betales af alle, der har betalt telefon af arbejdsgiveren, der også kan bruges privat. I 2014 skal der svares skat af 2600 kroner uanset, hvor meget telefonen bruges privat.

Men de nye tal, som Dansk Byggeri er i besiddelse af, viser, at den totale skattemæssige værdi af de ‘frie telefoner’ udgør 1 milliard i Danmark, hvilket giver omtrent samme provenu for staten, som under den tidligere multimedie-skat.

Med de nye tal fra Skat, der viser, at indtjeningen i virkeligheden har været en faktor 10 højere, mener Dansk Byggeri, at det er på sin plads, hvis de overskydende penge sættes tilbage i omløb.

»Regeringen har hevet en halv milliard kroner ud af borgerne og erhvervslivets lommer. Når et politisk område hvert eneste år overfinansieres med så stort et beløb, er det kun rimeligt at bruge det til at finansiere en vækstpakke. Hvorfor ikke lade det komme borgerne til gavn,« spørger cheføkonom Bo Sandberg fra Dansk Byggeri ifølge epn.dk.

Men skatteminister Morten Østergaard (RV) har ikke tænkt sig at føje Dansk Byggeris krav om tilbagebetaling, da han mener, det allerede er sket i form af vækstpakker og skattelettelser, skriver epn.dk

»Regeringen har taget en lang række initiativer til at sætte gang i væksten og har løbende fokus på, hvordan vi kan forbedre erhvervslivets rammevilkår. De initiativer er ikke afhængige af, om der kommer færre eller flere penge ind i den ene eller anden type skat,« siger Morten Østergaard ifølge epn.dk.

Jeg vil lige dele en idé, i håb om andre kan bruge og gerne forbedre den. Kort fortalt er jeg kommet op med en relativt dynamisk metode til at blokere kommunikation med alverdens hackeres foretrukne netværk, nemlig Tor.

Løsningen skal i nuværende form betragtes som et “proof of concept”, baseret på et Windows PowerShell script, der styrer et Active Directory »Group Policy Object« (GPO), som igen styrer »Windows Firewall with Advanced Security« (WFAS) konfigurationen på linkede Windows servere og klienter (Windows Vista og op).

Hvem er denne Tor?

Tor-netværket er en bekvem måde at gemme sig på for en angriber, da man herfra kan optræde stort set anonymt. Jeg skal ikke her gå i detaljer med teknologien bag Tor. Det vigtigste er at vide, at »Exit Nodes« er de servere, hvor Tor-klienterne routes ud anonymt.

Jeg er ganske klar over, at Tor kan anvendes til helt legitime forhold, og at det kan have sin berettigelse i mange sammenhænge, men desværre er det overvejende brugsmønster af mistænkelig karakter. En sikkerhedsbevidst virksomhed kan derfor forsvare et strategisk valg om helt at fravælge kommunikation med Tor-brugere.

Gammel vin på nye flasker?

For nogle år siden skrev jeg et VBScript, som downloadede en liste over Tor »Exit Nodes« og oprettede eksplicitte Deny-regler for hver af disse IP-adresser i regelsættet på Microsoft ISA og TMG firewalls.

Formålet med mit script var dengang at sikre, at der ikke kunne oprettes forbindelse til eller fra Tor »Exit Nodes« for interne klienter og servere på det firewall-beskyttede lokalnetværk.

I disse tider, hvor mobilitet er i højsædet i de fleste virksomheder, så er perimeter-tankegangen ikke længere tilstrækkelig. Det er ikke nok at blokere adgang i den centrale firewall, selvom det selvfølgelig stadig kan være gavnligt. Med WAN-tilsluttede laptops, split-tunneling VPN, DirectAccess og lignende teknologier, så er det i høj grad op til klienterne selv (typisk Windows) at gardere sig mod angreb.

Formålet med det nye script var derfor først og fremmest at få funktionaliteten ud på klienterne. Som en lille bonus blev det med central administration og mulighed for jævnlige opdateringer, da Tor netværket jo er relativt dynamisk.

Det kan gøres på mange måder

Jeg har gjort mig nogle forskellige overvejelser omkring hvordan funktionaliteten skulle implementeres.

Hvilken blokeringsmekanisme?

Først er der selve blokeringsmekanismen. Der er flere måder at sikre, at en Windows klient ikke kan kontakte (initiere forbindelse til) – eller kontaktes af – en given IPv4-adresse.

Først overvejede jeg faktisk at oprette »null routes« på klienten. Det findes dog ikke rigtig under Windows, men funktionaliteten kan dog emuleres med »Route Add« kommandoen. Med denne kommando kan man sikre, at en klient benytter en bestemt IP som gateway til en given destination (host eller subnet). Det kunne så være en »dummy« gateway adresse, hvilket svarer lidt til en »null route«.

Som alternativ kunne den lokale host firewall anvendes. Den indbyggede firewall i Windows (WFAS) er en oplagt kandidat, da det rent faktisk en rigtig fornuftig lokal firewall – hvis den altså er konfigureret korrekt. Dertil er den (forhåbentlig) aktiveret på alle Windows klienter og servere i forvejen (hvis ikke der anvendes 3. parts host firewalls).

Da route-tilgangen syntes lidt skrøbelig, og længst fra “best practice”, gik jeg efter en løsning baseret på WFAS.

Hvordan styrer vi så firewallreglerne?

Dernæst måtte jeg finde ud af hvordan disse firewallregler skulle oprettes og opdateres.

Én metode er at gå efter en lokal processtyring via »Task Scheduler«, hvor klienten selv henter en liste over Tor »Exit Nodes« jævnligt og ud fra denne opdaterer sin lokale WFAS konfiguration, f.eks. med »Netsh Advfirewall« kommandoen.

I stedet for »Nesh«, så kan der under Windows 8.1 og Windows Server 2012 R2 benyttes en ny PowerShell cmdlet kaldet »New-NetFirewallRule«. Hermed ville alle andre Windows klienter dog blive udelukket, hvilket er lidt synd når så mange stadig er på Windows 7 – og forhåbentlig ikke Windows XP, vel

En absolut fordel ved den lokale tilgang er, at computere som ikke er medlem af et Active Directory domæne (hovedparten af private computere er standalone klienter), også ville have mulighed for at anvende scriptet. Dog vil det for virksomheden resultere i en alt for dynamisk og ukontrolleret tilgang til netværkssikkerheden.

Jeg valgte at fokusere på en typisk virksomheds behov, men det vil være relativt enkelt at skrive scriptet om til at virke for standalone klienter.

Synergien mellem Group Policy og PowerShell

Selve konfigurationen af WFAS kan snildt foregå fra en central Group Policy under Active Directory. Langt de fleste virksomheder er familiære med denne administrationsmetode.

En anden fordel med Group Policy er, at man ikke behøver at opdatere firewallpolitikkerne manuelt via Group Policy Management Editor. Mange policy-settings kan opdateres vha. et PowerShell script, som eksempelvis kan eksekveres fra en »scheduled task«, i kontekst af en brugerkonto som har skriveadgang til den pågældende GPO (og ikke så meget andet).

Det kræver blot, at der én gang oprettes en GPO til formålet, linker den til rette containere og/eller Organizational Units for Windows computerobjekter, og til sidst sætter korrekte filtre og rettigheder på.

Hvad har vi og hvad mangler der?

Mit script er som sagt alene udarbejdet som en inspiration til andre. Det medfører bl.a., at der formentlig er masser af ting som kan gøres mere elegant, smartere og hurtigere. Jeg har prioriteret en vis læsevenlighed, således at andre nemt kan modificere, hvor der måtte være specielle forhold, ønsker eller krav.

Scriptet har i nuværende form følgende funktioner:

• downloader en opdateret liste over »Exit Nodes« fra Tor-projektet
• udtrækker relevante IPv4-adresser fra listen
• validerer disse og konfirmere at de er offentlige (“IPv4AddressIsPublicHost”-funktionen kan pudses gevaldigt)
• opdaterer et nærmere specificeret Group Policy Object med de udtrukne IPv4-adresser (tilføje nye og slette gamle)
• skriver en logfil over processen

Der foretages minimal error handling, langt fra nok af til et professionelt driftsmiljø.

Jeg håber, at andre vil forbedre koden – og dele med os andre her på siden!

Ansvarsfraskrivelse

Enhver anvendelse af scriptet foregår på eget ansvar. Til gengæld kan det anvendes og redigeres uden omkostninger.

Funktionaliteten er testet på en Windows Server 2008 R2 Domain Controller, en Windows Server 2012 R2 Domain Controller og en Windows 7 klient med RSAT.

Download scriptet

Du kan hente scriptet i seneste version her!

Relevante links og artikler

• How to add a Null route in Windows
• Windows Firewall with Advanced Security Administration with Windows PowerShell
• How can I define null route on Windows Server 2008 R2 Standard
• Powershell: Use GPO to configure firewall settings
• Set-GPRegistryValue
• Max 1000 IPs in a WFAS rule

Skærmbilleder

GPO Unique ID (Guid) findes under Group Policy Management Console > Details fanebladet:

Under Group Policy Management Console > Settings kan man se de automatisk oprettede regler:

Her ses de oprettede inbound-regler under Group Policy Management Editor:

På de klienter og/eller servere, som rammes af GPO’en, vil de oprettede regler kunne ses under »Windows Firewall with Advanced Security«:

Scriptet opretter som standard en samlet log-fil og filer med de downloadede Tor-lister (én for hver kørsel):

Update: 31-03-2014 kl. 11:49, rettet slåfejl “Windows Server 2010″ til 2012.