Category Archives: computer

Danskernes nøglekort til banken og det offentlige, NemID, har før været under beskydning for at være uvirksomt.

Nu viser det sig også, at Nets, selskabet bag NemID, ikke har levet op til Digitaliseringsstyrelsens driftmål i 8 ud af 12 måneder i 2013, og det betyder helt konkret, at NemID sammenlagt har været nede i godt tre døgn.

Det viser en aktindsigt, som Berlingske har fået i en række interne rapporter, som Nets hver måned skal sende til Digitaliseringsstyrelsen.

Af rapporterne fremgår det, at de 70 timer, hvor det var umuligt for danskerne at logge på NemID, skyldtes en række DDoS-angreb fordelt på seks måneder, ligesom en opdatering af Java ikke fungerede med nøglekortet, og problemer i underleverandørens infrastruktur også har besværliggjort det at komme på.

Rapporterne taler deres tydelige sprog: Nets lever ikke op til servicebetingelserne for danskerne. Og det kan undre, når noget som DDos-angreb alene kan frembringe så meget nedetid.

»Det er overraskende, for man må forvente, at en organisation, der byder på en opgave, også kan løfte opgaven. Når de næsten tre år efter opstarten pludselig opdager, at nogle problemer skyldes såkaldte DDoS-angreb, virker det underligt, for det er noget, som man i sikkerhedsbranchen har talt om de seneste ti år,« siger Christian Damsgaard Jensen, lektor i it-sikkerhed på DTU, til Berlingske.

Ifølge formanden for Rådet for Digital Sikkerhed, Birgitte Kofod, er rapporternes indhold et udtryk for, at samfundet er ved at blive for afhængig af et system, der ikke virker til fulde. Hun ønsker derfor at få brudt NemID’s monopol.

»Når togene ikke kører, sætter vi busser ind i stedet. Den mulighed har man ikke med den nuværende model, hvor NemID er eneste mulighed for at komme i kontakt med banken og det offentlige. Sårbarheden er for stor, fordi der kun er én udbyder og dermed én løsning. Det er ikke tilfredsstillende,« siger Birgitte Kofod.

Også de it-politiske ordførere fra Venstre og Enhedslisten, Michael Aastrup Jensen og Stine Brix, lufter ideen om, at der bør være et alternativ til NemID.

»Det er alt for dårligt, at der er så store problemer. NemID skal være indgangen til det offentlige, og derfor er det simpelthen ikke i orden, at der er så mange timer, hvor der er problemer med at logge på. Regeringen er slet ikke indstillet på at kigge på muligheden for en backupløsning, men sådan en bør vi have,« siger Michael Aastrup Jensen ifølge Berlingske.

Ingeniørledigheden rokker sig ikke ud af stedet. I løbet af den seneste måned er den steget svagt med mikroskopiske 0,2 procentpoint – fra 2,5 procent i januar til 2,7 procent ifølge februartallene. Det fremgår af de seneste ledighedstal fra Akademikerne (AC), som netop er offentliggjort.

Og kigger vi et år tilbage til februar sidste år, viser statistikken også 2,7 procent.

Vil du videre med din karriere? Læg dit cv på Jobfinder.

I dag venter alt i alt 1.584 ingeniører i arbejdsløshedskøen. Det er blot fire flere end sidste år på samme tid. Men den ser anderledes ud, for der er kommet flere unge mennesker i køen.

Mens der samlet set er tale om status quo for ingeniørledigheden, er situationen nemlig forværret for dimittenderne (yngste ingeniørårgang) i forhold til samme tid sidste år. Dengang ventede 23,5 procent på at komme i arbejde, mens tallet er steget til 26,8 procent i dag.

Det betyder, at der nu er 484 nyuddannede i arbejdsløshedskøen. 49 flere end samme tid sidste år.

Og alene i løbet af den seneste måneds tid er 94 ingeniørdimittender kommet på dagpenge. Det er dog en helt naturlig udvikling på denne tid af året, forklarer sekretariatschef Jens Mølbach, Akademikernes:

»Det skyldes sandsynligvis, at ingeniører primært dimitterer to gange om året, nemlig i december-januar og i juni. Hvis flere er blevet færdige i januar i år end sidste år, er nogle af dem nok først kommet med i statistikken fra februar,« siger han.

Tallene viser, at den voldsomme arbejdsløshed blandt yngste årgang relativt hurtigt jævner sig ud. Blandt ingeniører med mellem et-to års anciennitet er 8,2 procent ledige. Ingeniører med mellem to og fire års anciennitet ligger næsten på gennemsnittet med 2,8 procent.

De erfarne årgange med mere end fem års anciennitet sidder sikkert i sadlen.

Bedst ser det ud for ingeniører med mellem 10 og 14 års anciennitet. Her er kun 1,4 procent ledige, mens de øvrige grupper ligger på 1,6 procent.

Statistikken viser, at 27 arbejdsløse ingeniører mistede deres ret til at modtage dagpenge, fordi de har gået ledige i mere end to år. Det er væsentligt færre end i januar i år, hvor 48 enten overgik til kontanthjælp eller egen forsørgelse.

Ifølge Jens Mølbach er forskellen formentlig udtryk for, at mange begynder deres liv som arbejdsløs i januar, enten fordi de dimitterer, eller fordi mange virksomheder har fyringsrunde i december:

»Når de bliver tilmeldt som ledige i januar og ikke når at få job, ryger de ud efter to år, og det er så også i januar,« forklarer han.

Statistikken fra Akademikernes viser, at akademikerledigheden samlet set er faldet i løbet af det seneste år fra 5,1 procent til 4,3 procent. Det dækker over, at arbejdsløsheden blandt djøf’erne er faldet fra 5,3 til 4,4 procent. Magistrene oplever et lille fald fra 5,9 til 5,2 procent, mens tallet for ingeniørerne som nævnt er status quo.

Hvis man vil vide, hvor stor en del af privatbudgettet der går til forsikringer i forhold til cykelreparationer, så kan man eksempelvis bruge den danske tjeneste Spiir, som kan indhente dine bankoplysninger og kategorisere dine indtægter og udgifter. Men det med at indhente bankoplysningerne har nu ført til en politianmeldelse, skriver Jyllands-Posten.

Jyske Bank har meldt Spiir til politiet, fordi Spiir benytter sig af bankens mobiladgang til at hente oplysningerne. Brugerne skal således give Spiir adgang via deres mobilbank, men det har Jyske Bank forsøgt at blokere for.

Den blokering har Spiir omgået, og nu har Jyske Bank altså meldt firmaet bag til politiet.

Paradoksalt nok har Jyske Bank ikke umiddelbart noget imod den funktionalitet, som Spiir tilbyder. Derimod mener banken, at det kan være ulovligt, at Spiir indhenter data og gemmer brugernes loginoplysninger.

»Vi er af den opfattelse, at så længe det er uafklaret, om Spiirs handlemåde er lovlig, ønsker vi ikke, at Spiir henter data hos os,« siger juridisk direktør Peter Stig Hansen fra Jyske Bank til Jyllands-Posten.

Blandt ejerne af Spiir-tjenesten er finansmanden Lars Kolind, som afviser Jyske Banks kritik.

»Vi gør ikke noget galt. Dette er en dårlig sag for dem, for det er Jyske Banks egne kunder, der betaler prisen. Hvis de mener, vi hacker dem, må de dokumentere det, eller trække beskyldningen tilbage,« siger Lars Kolind til DR.dk.

Nogle gange er det nærmest umuligt at genskabe de betingelser, som fik et program til at fejle, og det gør det svært at finde årsagen og rette fejlen. Det vil Mozilla forsøge at gøre lidt lettere med et nyt open source-værktøj til fejlfinding kaldet Rr.

Værktøjet er udviklet til at hjælpe udviklerne af Firefox-browseren med at finde fejl, som eksempelvis kun opstår hos én ud af 10.000-brugere.

Hvis en udvikler skal prøve at finde sådan en fejl, så skal han prøve at finde de rigtige parametre og betingelser, som udløser fejlen. Men selv hvis det lykkes, så skal processen måske gentages flere gange, og det er vanskeligt.

Rr gør det muligt så at sige at optage en kørsel af en applikation og afspille den igen under nøjagtigt de samme betingelser, så eksempelvis præcis de samme adresser i hukommelsen bliver brugt.

Når man først har fundet en bestemt afvikling af applikationen, som giver en fejl, kan man altså arbejde med optagelsen, indtil man har fundet og rettet fejlen.

Det kan kombineres med værktøjer til fuzzing, som kan skyde sig ind på parametre, der udløser fejl og ved at køre og optage flere test ved hjælp af et script kan man se, hvilke der udløser fejlen, hvorefter man så kan fejlrette på optagelsen.

Der kan være mere grund til at frygte datadrevne Googles indsamling af vores personlige data, end overfor efterretningstjenester som NSA’s virke inden for samme område. Det gav den internationalt anerkendte it-sikkerhedsekspert Bruce Schneier under hans indlæg på konferencen hos ‘Digital Threats and Solutions’, som InfinIT havde arrangeret sammen med WAYF, DI ITEK og IDA-IT.

Version2 bad ham uddybe udsagnet efterfølgende.

Du nævnte Google i forbindelse med NSA, og du lyder nærmest som om, du mener, vi bør frygte Google mere end NSA?

»Ved du hvad, det tror jeg fra tid til anden, fordi Google faktisk forsøger at lave psykologisk massemanipulation. Det er Googles forretningsmodel. Så ja, jeg tror, virksomhedsmæssig overvågning er omfattende, og jeg tror, det er noget, vi i høj grad bør frygte. Til tider gælder der sågar færre regler for virksomheder end for regeringer,« siger han med henvisning til efterretningstjenesterne.

Schneier henviser, at Google tilpasser søgeresultater, og hvad folk bliver præsenteret for på nettet, eksempelvis reklamer. Og det giver ifølge Schneier forskellige muligheder for manipulation.

I forlængelse af Schneiers oplæg havde en anden personlighed inden for it-sikkerhedsbranchen, Mikko Hypponen fra finske F-Secure, holdt sit oplæg. Her gav han udtryk for, at Google (modsat, NSA) bare havde som målsætning at tjene penge, og at Google som sådan ikke er ‘fjenden’ i overvågnings-sammenhæng.

Men sådan har Bruce Schneier det ikke.

»Jeg føler mig ikke overbevist. Jeg synes, de (Google, red.) også er fjenden. De prøver ikke bare på at tjene penge, de prøver at tage penge fra DIG. De forsøger at tage dine penge, det er Googles forretningsmodel. Ja, altså faktisk hjælper de andre virksomheder med at få fat i dine penge. Det er en grundlæggende ekstraktiv forretningsmodel, og det er psykologisk manipulation … overtalelse, reklame – kald det hvad du vil.«

Lige nu er én af de populære teknikker til at tvinge en server i knæ de såkaldte forstærkede DDoS-angreb, hvor man får en server til at bombardere en anden server med netværkstrafik i stedet for selv at skyde på den direkte.

Forsvarets Center for Cybersikkerhed, som overvåger it-sikkerheden på netværket hos danske ministerier og andre offentlige institutioner, har da også målt en stigning i antallet af denne type angreb. Det fremgår af centrets seneste situationsbillede.

Antallet af DDoS-angreb i Danmark er som helhed ikke steget, men det er heller ikke faldet, og Center for Cybersikkerhed har altså set, at servere hos danske myndigheder og virksomheder ufrivilligt bliver brugt til angreb.

Det kan både være servere med netværksfunktioner som NTP eller DNS, som i forkerte konfigurationer kan forstærke et angreb, og så kan det være især webservere med PHP-baserede applikationer, som ikke er blevet opdateret.

Ud over DDoS-angrebene vurderer Center for Cybersikkerhed også, at der bliver udført flere målrettede hackerangreb mod danske interesser, og flere af dem bliver ikke opdaget.

Køleskabet med internetadgang har i mange år været lidt af en vittighed med rod i 1990′ernes spæde begejstring over internettet. Men selvom køleskabet måske ikke kommer til selv at bestille frisk mælk eller komme med forslag til madplanen, så er internettet på vej ind i flere apparater, og det vækker bekymring hos sikkerhedseksperten Jerry Irvine, skriver CIO.com.

»Det er skræmmende som bare fanden. Internettet er i sig selv et usikkert og risikabelt sted. De første apparater, som kunne fjernstyres, var industrielle produktionsanlæg og ventilationsanlæg. De skulle bare indsamle data og give teknikerne fjernadgang. Men der blev aldrig truffet sikkerhedsforanstaltninger,« siger Jerry Irvine til CIO.com.

Jerry Irvine sidder blandt andet i bestyrelsen for den amerikanske privat-offentlige tænketank for cybersikkerhed NCSP, som beskæftiger sig med beskyttelsen af kritisk infrastruktur.

Begrebet ‘Internet of Things’ er lige nu ét af de store buzzwords, selvom det har været talt om siden før dot-com-krakket. Internet of Things dækker over, at flere apparater i eksempelvis husholdningen bliver forbundet til internettet.

Det ses eksempelvis i tyverialarmer, som kan betjenes fra en smartphone ved hjælp af en app. Internet of Things har potentiale til at brede sig til hundredevis af apparater hjemmet og i virksomheder, og det kan være et sikkerhedsproblem.

Meget af dette udstyr har meget små computere, hvor sikkerhed ikke er givet højeste prioritet. Og selvom det ikke direkte er interessant for en hacker at overtage kontrollen med komfuret eller rullegardinerne, så udgør det stadig en risiko.

»Som hacker vil jeg måske ikke bruge din tyverialarm, som jeg kan se på dit trådløse netværk. Men jeg vil måske lave en virus, som kan komme ind på dit netværk, og så er jeg i stand til at opsnappe dine brugernavne, adgangskoder og kreditkortoplysninger,« siger Jerry Irvine.

Det bedst kendte eksempel på malware, som har inficeret type udstyr, var Stuxnet-ormen. Den inficerede dog systemerne fra en pc, men i fremtiden kan det scenarie altså blive vendt om, hvis producenterne af Internet of Things-udstyr ikke tænker sikkerhed ind i designet.

Er teknologi ikke bare fantastisk? Internettet nedbryder barrierer, underbygger nye fællesskaber, eliminerer fordyrende mellemhandlere og gør geografiske afstande irrelevante. Information bliver fri, og vi får en gaveøkonomi, hvor de fleste har gratis services, finansieret af nogle få betalende kunder. Alt går godt (bortset fra nogle overvågnings-udfordringer), og vi kan som teknologi-nørder klappe hinanden på skulderen i gensidig lykønskning af, at det hele drives frem af udviklingen i teknologi.

Ude i verdenen ser det dog knapt så godt ud med frihed, lighed og broderskab – ikke mindst lighed. I de seneste ti år er 9 ud af 10 amerikanere blevet fattigere mens de øverste 0,01 % næsten har fordoblet deres indkomst. The winner takes it all:

Udviklingen er næppe et bump på vejen. Økonomen Thomas Piketty, peger ligefrem på, at USA er på vej mod hyperulighed. I halvfjerdserne tjente den mest vellønnede promille af amerikanerne i alt ca. 2 % af al indkomst, i dag tjener de 8 %. I resten af jobmarkedet står næsten halvdelen amerikanske jobs foran at forsvinde over de næste tyve år.

Herhjemme er det ”kun” 37 procent af alle danske job som overflødiggøres i løbet af få år, skriver Børsen. Allerede i dag har vi problemet helt inde på tæt hold, for selvom Danmark har vækst, er det en jobløs vækst, som Berlingske fortalte i sidste uge.

Det er teknologiens skyld, ikke mindst internettets.

Googles bestyrelsesformand, Eric Schmidt advarede i januar i Davos om, at teknologi nu for alvor truer samfundets udvikling, hvor lønniveauet i middelklassen er så presset, at det går ud over afsætningsmulighederne på markedet.

Ironien er til at føle på, for Google har om nogen fjernet barriererne for the winner takes it all som har holdt den selvsamme middelklasse oppe. Tænk på, at vi via Google finder og køber vores varer på nettet det billigste sted i landet, eller endda i verden, i stedet for at handle hos den lokale middelklasses butikker. Tænk på, at Google sidder solidt på indtjeningen i online-annoncemarkedet, som tidligere var fordelt ud på mange små aktører. Eller tænk bare på, at vi alle vælger blandt de første 3-5 links når vi søger uden at orke at bladre så meget som en side videre til de mange forskellige kilder til viden.

Jamen har vi ikke også fået skabt et nyt og spændende marked i den lange hale – de rigtigt mange niche-sælgere, som via internettet sættes i forbindelse med lige så mange smågrupper af kunder til gensidig glæde og gavn? Jo, det har vi da. En ældre opgørelse fra 2008 viser, at over en tredjedel af Amazons salg af bøger stammede fra et gigantisk udvalg af små niche-udgivelser, som ikke føres i mainstream boghandlere. En Amazon-ansat formulerede det på denne lidt kringlede måde:

“We sold more books today that didn’t sell at all yesterday than we sold today of all the books that did sell yesterday.”.

Alverdens niche-sælgere, eksempelvis musikere, har altså i teorien fri adgang til at sælge til hele verdenen på de globale markedsplatforme.

Desværre er der tegn på, at den lange hale er flad – meget flad. Et studie af en af disse markedsplatformen, en anonym musiktjeneste viste, at 10 af 13 millioner numre i kataloget ikke var blevet solgt én eneste gang. Den slags tal er svære at finde for tilsvarende tjenester, så vi må nøjes med det eksempel.

Teknologien understøtter på samme gang den ekstreme eksponering af de meget få vindere og giver plads til de uendeligt mange, som forsøger lykken. Teknologien flytter konkurrencen fra at være lokal til at være global inden for et stigende antal felter og jobkategorier. Det giver øget ulighed og mindre retfærdighed.

For hvor er retfærdigheden i, at folkene bag lige netop WhatsApp scorer en jackpot på svimlende 16 milliarder $ efter blot ca. 5 års arbejde når der nu er så mange andre tilsvarende tjenester på markedet?

Eller hvad med retfærdigheden i, at ukendte Dong Nguyen efter blot ca. tohundreder timers arbejde med Flappy Bird fik en pludselig jackpot på 50.000 $ pr. dag når min Scratchy Kitten ikke engang har tjent én krone? (Her lader vi for argumentationens skyld et øjeblik som om jeg rent faktisk har kodet et nuttet killingespil – ideen er din mod 10 % af omsætningen.)

Problemet her er ikke, at nogle dygtige mennesker tjener afsindigt gode penge, men at der er så uendeligt få vindere i horden af free agents som hælder millioner af arbejdstimer i håbefulde produkter uden at få andet end håndører ud af sliddet.

I dag er markedet sådan på internettet – i morgen gælder det i stigende grad for hele arbejdsmarkedet. Og dermed også for dig og mig.

Jackpot payroll, som vi kunne kalde fænomenet, er en direkte konsekvens af den barriere- og grænseløse økonomi som internettet har skabt. Glæder du dig til at skulle tjene din løn i dét marked?

PS: Tak til Morten Bay for at kæde omtalen af WhatsApp sammen med retfærdighed.

Udenlandske efterretningstjenester er kommet i søgelyset for at stå bag industrispionage mod andre lande, og 86 procent af danske it-chefer og it-sikkerhedschefer mener, at efterretningstjenesterne i lande som USA og Kina forsøger at spionere.

Det fremgår af en stikprøveundersøgelse blandt 46 danske it-chefer, som Dansk It har foretaget.

I kølvandet på først Stuxnet-ormen og siden dokumentationen for flere af NSA’s aktiviteter er der kommet mere opmærksomhed på, at efterretningstjenesterne af forskellige grunde spionerer mod udenlandske virksomheder.

De danske it-chefer med ansvar for it-sikkerhed er dog delte i spørgsmålet om, hvorvidt deres egen virksomhed kan være mål for industrispionage. Cirka halvdelen af de adspurgte vurderede risikoen til at være stor, mens næsten lige så mange vurderede den til at være lille.

29 procent havde selv oplevet forsøg på industrispionage, hvor medarbejdere eksempelvis var blevet kontaktet direkte i et forsøg på at få foden inden for i organisationen. Det er en almindelig fremgangsmåde at sende en mail med et vedhæftet dokument, som forsøger at udnytte et sikkerhedshul i eksempelvis Adobe Reader og få installeret et spionprogram på først én medarbejders pc for derfra at kunne samle oplysninger ind, der kan bruges til nye angreb dybere inde i organisationen.

Version2 skrev tirsdag om et sikkerhedshul i WPA2-protokollen, som forskere fra universiteter i England og Grækenland havde offentliggjort en akademisk artikel om.

Her lød advarslen fra forskerne, at et nyt sikkerhedshul gjorde det muligt for hackere at bryde den ellers stærke kryptering i WPA2. Det bedste ville være en helt ny protokol, lød anbefalingen i forskningsartiklen, der blev gengivet af en stribe it-medier verden rundt.

Men der er ingen grund til at skrotte WPA2 og forsøge lynhurtigt at finde på en ny protokol til at beskytte den trådløse kommunikation mellem routeren og de tilkoblede enheder, siger Andrey Bogdanov, adjunkt på DTU Compute med speciale i kryptering.

»Det er en sårbarhed, der har været kendt i mindst fem år. I en helt sikker protokol ville den ikke være der, men det er i praksis mere et teknisk spørgsmål end et sikkerhedsspørgsmål. Så længe du har et stærkt password, er du sikker,« siger han til Version2.

Angrebet mod WPA2, som bliver beskrevet i artiklen i det akademiske tidsskrift ’International Journal of Information and Computer Security’, gør det muligt for en hacker at forsøge et brute-force-angreb, hvor passwordet til netværket bliver knækket ved at afprøve alverdens forskellige kombinationer.

Det er muligt, fordi man udefra kan tvinge en re-autentifikation igennem, altså en ny godkendelse af en enheds adgang til netværket.

»Man bruger en svaghed i protokollen til at sende en falsk re-autentifikations-besked, som skaber en ny re-autentifikation mellem access-point og klient. Så observerer angriberne denne re-autentifikation, der indeholder data, der kan bruges til deres ordbogsangreb,« siger Andrey Bogdanov.

Bruger man et dårligt password, vil hackere med gode ordbøger, altså lister over mulige passwords, hurtigt kunne gætte sig frem og få adgang. Det vigtigste er derfor at sørge for at bruge tilfældige tegn i sit password.

»Hvis det er helt tilfældigt, og det er langt nok, er det ok, og du er sikker. Men hvis der er meget struktur og lav entropi i passwordet, for eksempel en kombination af populære ord, kan det være i hackernes ordbøger,« siger Andrey Bogdanov.

Da WPA2 tillader passwords på op til 63 ASCII-tegn eller 64 hexadecimale tegn, er en anden sikker mulighed at bruge en sætning – bare ikke en kendt sætning – hvis man så når op på 50 eller 60 tegn. Det er nemmere at huske end helt tilfældige tal og bogstaver.

Har du tilmeldt dig Version2s daglige nyhedsbrev? Gør det her.