Category Archives: computer

Facebook har i dag annonceret en ny app, som skal sikre, at brugerne ikke går glip af det gode indhold på nettet. Der er tale om en særlig nyhedslæser kaldet Paper, der både samler indhold fra Facebooks nyhedsfeed, men også fra andre kilder på nettet ud fra en række kategorier. Det skriver Techcrunch.

Appen præsenterer indholdet i en række sektioner. Den første sektion indeholder brugerens nyhedsfeed fra Facebook, hvis indhold bliver præsenteret i appens nye designsprog.

Men ud over de nye grafiske tiltag giver appen også mulighed for at tilføje andre sektioner ud fra brugerens egne interesser. Indholdet i disse interessesektioner, som eksempelvis tæller sport, nyheder og mad, bliver indsamlet i en kombination af Papers algoritmer, men også udvalgt af en række af Facebooks egne redaktører.

Ideen er i følge Techcrunch at skabe sektioner med indhold, der ikke kun er domineret af de gængse medier, men som også har indhold, holdninger og blogindlæg fra eksperter, offentlige personer og privatpersoner.

Paper er det første resultat af Facebooks startup-inspirerede initiativ, Facebook Creative Labs, der lader mindre grupper ansatte i virksomheden arbejde med projekter, som var de en selvstændig startup-virksomhed.

Appen bliver lanceret i USA den 3. februar og markerer dermed 10 årsdagen for Facebooks begyndelse.

Version2 har tidligere bragt en historie, der fortæller om resultaterne af backupfirmaet Backblazes egen interne logs over levetiden for de harddiske, som firmaet bruger.

Virksomheden benytter sig af billige almindelige harddiske, der er målrettet forbrugersegmentet, som sikres via RAID-redundans. Undersøgelsen viste, at drevene fra Hitachi havde den mindste fejlrate i forhold til Seagate-drevene, hvis fejlrate var 3 til 14 gange så høj som Hitachis.

Men it-ekspert og blogger Henry Newman er langt fra tilfreds med analyseniveauet i undersøgelsen, som han mener undlader flere vigtige elementer.

Eksempelvis kritiserer han, at backupfirmaet ikke har taget højde for harddiskenes udgivelsesår, da et af de mere udskældte Seagate-drev på 1,5TB har omkring 8 år på bagen.

Desuden pointerer han, at det er et grundlæggende problem for undersøgelsen, at firmaet ikke oplyser, hvor stor en mængde data, der er blevet skrevet på de drev, der fejler.

»Hvis drevet overgår producentens specifikation, og fejler, mens et andet drev der ikke er blevet læst og skrevet lige så meget på ikke fejler, er det så virkelig et problem?,« spørger han i sit blogindlæg.

Læs flere af Henry Newmans kritikpunkter i blogindlægget her.

Onsdag skulle Billetlugen afvikle anden runde af forsalget til det europæiske melodi grand prix, men fordi systemet ikke var sat til at forstå engelsk blev ivrige billet-købere smidt ud af køen og bombet tilbage til start, når de endelig kom igennem.

Billetlugen gør brug af kø-systemet Queue-it, der kan skaleres op alt efter behov. Når et billetsalg er populært og belastningen stor, sikrer systemet, at brugere kommer til, når det er deres tur.

»Vi har tre billet-portaler i henholdsvis Danmark, Sverige og Norge, og som udgangspunkt er sproget sat til det land, portalen befinder sig i, men fordi det her billetsalg er internationalt og kører på engelsk, gik det galt i kommunikationen mellem vores kø-system og selve billetmaskinen,« forklarer Jordi Roig, der er kommerciel direktør for Venuepoint, som står bag Billetlugen system.

Han forklarer, at brugeren bliver sendt videre fra kø-systemet til selve billetmaskinen med et link, der skal identificere brugerens plads i køen.

»Fordi det var et ikke-dansk link, gjorde det, at man som bruger kom fint igennem køen, men når man kom ind i vores billetmaskine, blev man sendt tilbage i køen, fordi systemet ikke kunne genkende URL’en,« siger Jordi Roig til Version2.

»Vores islandske udviklingsafdeling var heldigvis på seminar hernede og var i stand til at finde frem til fejlen, og så valgte vi at suspendere salget og starter så forfra i dag klokken 14,« siger han.

Jordi Roig forklarer, at billetterne til det europæiske Melodi Grand Prix er så populære, at efterspørgslen ligger omkring 100.000. DR, der er arrangør, har af samme årsag valgt at udstede billetterne ad flere omgange.

Det foregår på den måde, at musikglade danskere har kunnet skrive sig op til et af de to forsalg, der indtil videre har været afholdt. Det er således kun de kunder, der skrev sig op efter sidste forsalg i december, der har haft adgang til salget, der gik galt i går.

Der var knald på dataoverførslen, da Alcatel-Lucent og British Telecon (BT) for nylig demonstrerede, at de kunne presse datahastigheden helt op mod 1,4 Tbit/s i ganske almindelige fiberkabler.

Overførselshastigheden svarede til at overføre 44 ukomprimerede film i HD-kvalitet i sekundet, skriver Alcatel-Lucent i en pressemeddelelse.

Med 5,7 bit/s pr. hertz betyder det en stigning i spektrumeffektiviteten på 42,5 procent sammenlignet med standardnetværk, lyder det fra virksomhederne selv.

Hemmeligheden ligger i et nyt fleksibelt ‘grid’, som gør det muligt at bundle kanaler mere effektivt, så det ikke er nødvendigt at lægge flere kabler, end der ligger i forvejen.

Og vigtigt er det for virksomhederne at understrege, at der ikke er tale om et teoretisk eksperiment udført i et laboratorium – det er udført ude i den virkelige verden på eksisterende kabler.

Den benyttede forbindelse ligger mellem British Telecoms kommunikationstårn, BT Tower, i London og selskabets forskningsfaciliteter i Adastral Park nær Ipswich. Der er her tale om en distance på over 140 km, men en fiberlængde på 410 km.

Forsøget blev udført i efteråret 2013 med syv kanaler på hver 200 Gbit/s – deraf den samlede hastighed på 1,4 Tbit/s. Ved at reducere afstanden mellem kanalerne fra 50 GHz til 35 GHz lykkedes det at øge effektiviteten med næsten 43 procent.

Læs mere om teknologien bag forsøget her.

I England ønsker flere ministre at spare millioner af britiske pund, ved at droppe dyre proprietære softwareprodukter som Microsoft Office. Det skriver The Guardian.

På Office-pakken alene har det offentlige i landet siden 2010 brugt i omegnen af 200 millioner pund. Det er et tal, som man ønsker at sænke drastisk ved at gå over til open source.

Forslaget, der har minister Francis Maude i spidsen, peger dog ikke nødvendigvis på at indføre et specifikt open source-produkt. Derimod ønsker man i første omgang at indføre brugen af åbne dokumentformater, såsom ODF, på tværs af de offentlige myndigheder, for at bryde de store softwarefirmaers oligopol.

»Jeg ønsker at se en anvendelse af en bredere vifte software, så embedsmænd kan få adgang til de informationer, de har brug for, og kan udføre deres arbejde uden at være nødt til at købe et specifikt mærke software,« udtaler Francis Maude i følge The Guardian.

Francis Maude forventer, at brugen af de åbne filformater med tiden vil skabe et grundlag for større konkurrence blandt andre softwareleverandører.

Har du set information.dk idag vil du vide at de har breaking historier angående NSA spionage på COP15 topmødet i København.

Det lyder måske for nogen som James Bond og sølvpapirshatte, men i realiteten er det overvejende sandsynligt at NSA/USA har både muligheden og gør det. Dem der blot vil finde andre artikler og referencer end nedenstående kan søge på IMSI catcher, GSM hacking, Kraken, Karsten Nohl, m.v.

I det følgende vil jeg blot forsøge at give nogle pointere og måske en lille smule overblik, som erfaret med et mindre research survey som jeg foretog i denne uge.

Hardware til GSM aflytning

Først og fremmest skal man bruge noget hardware til GSM hacking, og det kan være

Specialiseret hardware som er indkøbt til formålet. Det kan være bygget sammen i en lækker platform med retningsbestemte antenner – altså kommercielle systemer.

Jeg fandt et tilfældigt system som VME Dominator fra http://www.meganet.com/meganet-products-cellphoneinterceptors.html

The VME Dominator is far superior to passive systems in being able to intervene and manipulate calls and sms, working with up to 4 base stations concurrently, and up to 20 users in the system at any one time.

Ulempen ved disse systemer er at de er dyre og ofte “kun” sælges til regeringer, agenter, og formentlig til dem der vil betale nok for det

Næste skridt er diverse GSM labsystemer hvor der specielt lader til at være en god support for GSM sjov med Ettus Research USRP, og der er nice videoer med dette udstyr, som en IMSI catcher Hacking GSM . Det demonstrerer at man ikke kræver det store setup, og man kan nemt lave et transportabelt system.

Fordelen ved dette udstyr at vi snakker $2.000-$3.000 som er overkommeligt, specielt vil det jo være overkommeligt for NSA og andre tilsvarende organisationer. Når det samtidig kan demonstreres på youtube og til konferencer af “almindelige” konsulenter som dig og mig så er det en helt reel trussel. Jeg tror ligeledes heller ikke der sker den store registrering af hvem der køber, og eventuelt kan man købe på Ebay med en mellemmand. Det er efter min mening helt rimeligt at antage at industrispionage vil kunne foregå med denne type udstyr.

Protokoller og software

Der er mange spændende ting at fortælle med mobiltelefoner og der er allerede et væld af artikler på Version2.dk omkring disse emner, søg på Karsten Nohl eller SIM så finder du noget af det. Basalt set står vi med en ekstremt populær kommunikationsplatform som daglig benyttes af milliarder af brugere med milliarder af håndsæt, aka telefoner. Vi står dog samtidig med en ældre teknologi som knirker voldsomt.

Specielt er krypteringen brudt og Karsten Nohl m.fl. er kommet langt i implementering af angreb der kan udføres i praksis. Jeg var faktisk tilstede på HAR2009 konferencen hvor Karsten Nohl annoncerede projektet Cracking A5 GSM encryption og downloadede programmet som blev kørt i et par uger på en GPU. Resultatet efter dette projekt, og nogle års arbejde er rainbowtables til GSM A5/1 cracking.

Der findes nyere præsentationer og film med Karsten Nohl og de kan varmt anbefales.
* fra 2009 26C3 Talk: GSM: SRSLY? MP4 video
* fra 2010 Wideband GSM Sniffing MP4 video

I beskrivelsen fra den sidste står der

GSM is still the most widely used security technology in the world with a user base of 5 billion and a quickly growing number of critical applications. 26C3′s rainbow table attack on GSM’s A5/1 encryption convinced many users that GSM calls should be considered unprotected. The network operators, however, have not woken up to the threat yet. Perhaps the new capabilities to be unleashed this year – like wide-band sniffing and real-time signal processing – will wake them up.

Så har vi allesammen fået nye telefoner som understøtter stærk kryptering? Nej. Betyder det at man kan benytte disse angreb idag, ja. Er det sandsynligt at PET/FE, NSA, m.fl. kan benytte disse angreb til real-time intercept af GSM telefoni – ja, det virker MEGET sandsynligt. Det betyder i praksis at hverken SMS, GPRS data, eller tale over GSM er en sikker kanal. Blot hvis du ikke vidste det i forvejen.

There is more, and it is cheap

Nu lyder det jo spændende, men skulle vi ikke mødes og prøve det af i praksis? (IANAL det er nok ulovligt, men who dares wins).

Tjoeh, men kunne vi ikke finde en billigere metode end $x.000 som jeg synes er mange penge! Jo, vi kunne jo tage en billig kina DVB-T og noget open source software som sættes sammen?

Jo da, check siderne:

• http://sdr.osmocom.org/trac/wiki/rtl-sdr DVB-T dongles based on the Realtek RTL2832U can be used as a cheap SDR, since the chip allows transferring the raw I/Q samples to the host, which is officially used for DAB/DAB+/FM demodulation.
• http://bb.osmocom.org/trac/ OsmocomBB is an Free Software / Open Source GSM Baseband software implementation. It intends to completely replace the need for a proprietary GSM baseband software, such as drivers for the GSM analog and digital baseband (integrated and external) peripherals
  the GSM phone-side protocol stack, from layer 1 up to layer 3
• http://hackaday.com/2013/10/22/cracking-gsm-with-rtl-sdr-for-thirty-doll… Theoretically, GSM has been broken since 2003, but the limitations of hardware at the time meant cell phone calls and texts were secure from the prying ears of digital eavesdroppers and all but the most secret government agencies. Since then, the costs of hardware have gone down, two terabytes of rainbow tables have been published, and all the techniques and knowledge required to listen in on cell phone calls have been available. The only thing missing was the hardware. Now, with a super low-cost USB TV tuner come software defined radio, [domi] has put together a tutorial for cracking GSM with thirty dollars in hardware.

Super low cost og bemærk også tutorial links i sidste link!

Så for ~$20 kan du købe to DVB-T kort og komme igang med en makker.

Til at starte med har jeg lånt et DVB-T kort af min gode ven Thomas og det dukker ihvertfald op i dmesg på Kali Linux:

endda med den “bedste” E4000 så det bliver spændende, tak Thomas!

Opdateret med sidste afsnit, måske mere, ellers bliver det næste blogindlæg.

Edit: youtube link er vist fixet

70 procent af danskerne kan nu få 100 megabit-bredbånd, lød budskabet fra Erhvervsstyrelsen, da en bredbåndskortlægning baseret på mere præcise skøn så dagens lys i sidste uge.

Men det glade budskab er mere teori end det er praksis, lyder vurderingen fra Thomas Hyldgaard, it-chef i Lemvig Kommune, efter at have kigget på kortlægningens tal for postnummer 7620 Lemvig. Her fremgår det for eksempel, at mindst 80 procent af borgere og virksomheder kan få internet med 10 megabit download, og at mindst 40 procent kan få forbindelser med 10 megabit upload.

»Det er ikke et billede, jeg kan genkende. Tallene er et skøn, ud fra hvad leverandørerne fortæller, og jeg er ikke så sikker på, at det er helt så retvisende, i forhold til hvis det blev gjort op på adresseniveau. Jeg mener, at det giver et pænere billede, end hvad der reelt er tilgængeligt,« siger it-chefen til Version2.

Som eksempel nævner han en hos Lemvig Kommune, der ifølge TDC kunne få bredbånd på 5/1 megabit. Efter flere udbedringer af kablet, et gammelt aluminiumskabel fra en ældre central, kom der hul igennem, men ikke med den hastighed.

»Det var muligt at presse maksimalt 3 megabit download og 366 kilobit upload ud af den. Men hvad værre er – forbindelsen var meget ustabil og dermed i praksis uanvendelig. Så TDC har nok meldt de 5/1 megabit ind, men ét er teori, og et andet er praksis,« siger Thomas Hyldgaard.

For at få en bedre idé om, hvordan bredbånds-situationen i virkeligheden er, og hvor der især er problemer for Lemvig-borgerne, åbner kommunen for tilbagemeldinger fra kommunens virksomheder og indbyggere, der så kan plotte ind på et kort, om der er ‘huller’ i internet- og mobildækningen. Foreløbigt er mobildækningskortet kommet på kommunens hjemmeside.

Lidt for godt nyt for Samsø

På Samsø, hvor frivillige kræfter siden 2012 har udbredt hurtigt internet gennem en lokal forening, er opfattelsen den samme som i Lemvig. Tallene i bredbåndskortlægningen afspejler ikke virkeligheden.

»At over 99 procent på Samsø kan få 2 megabit-forbindelse, og at over 80 procent kan få 10 megabit – det tror jeg ikke på. De tal tvivler jeg på,« siger Thorsten Arnold, der er formand for Samsø Bredbånd,

Foreningen opstod i protest mod de håbløse internetforhold, og via langtrækkende wifi-teknologi har over 700 husstande eller virksomheder på Samsø nu en 20/20-forbindelse gennem Samsø Bredbånd. Da Erhvervsstyrelsen midt i 2013 indhentede tal til kortlægningen, var tallet omkring 500, og med i alt 2.400 husstande og virksomheder på øen svarer det til en dækning på godt en femtedel af Samsøs indbyggere.

For Thomas Hyldgaard er et urealistisk positivt billede af muligheden for bredbånd for danskerne dårligt nyt. Den slags kortlægninger bliver brugt som beslutningsgrundlag, når tiltag til forbedringer bliver diskuteret politisk.

»Med sådan en rapport får politikerne ikke noget incitament til at gøre noget ved problemet, hverken nationalt eller lokalt. Det er ærgerligt, når billedet er et andet i praksis,« siger it-chefen.

Næste kortlægning fra Erhvervsstyrelsen bliver i øvrigt væsentligt mere detaljeret, hvor data på adresseniveau bliver samlet i ’pixels’ på 100 x 100 meter over hele Danmark.

Ombudsmanden stiller nu spørgsmål til Digitaliseringsstyrelsen efter flere eksperter har kritiseret en særlig funktion i Digital Post. Det skriver Politiken.

Funktionen betyder, at systemet automatisk og med tilbagevirkende kraft kan ændre en myndigheds navn i modtager/afsender-feltet i borgernes beskeder, hvis denne skulle skifte navn.

Kritikken blev oprindeligt frembragt på Version2 tilbage i november 2013. Dengang kritiserede professor i datalogi Peter Axel Nielsen funktionen for at reducere tilliden til systemet og for at underminere en af hovedpointerne ved digital kommunikation.

»Det betyder jo, at den information, man kan gå tilbage og slå op, ikke længere er troværdig og repræsentativ for, hvad der rent faktisk har fundet sted. Hele ideen ved digital post er jo, at man ikke skal printe ud for at dokumentere,« udtalte han til Version2.

Kontorchefen i Digitaliseringsstyrelsen Lone Berglykke forsvarede dengang funktionen med, at den skulle hjælpe borgerne med at finde rundt i beskederne fra de offentlige myndigheder, når de skifter navn. Hun henviste desuden til, at myndighederne ofte indsætter det aktuelle styrelsesnavn og logo i mailteksten, som altså ikke kan ændres.

Men sagen har altså fået ombudsmandens opmærksomheden, som nu vil undersøge, om funktionen er lovlig.

Har du set information.dk idag vil du vide at de har breaking historier angående NSA spionage på COP15 topmødet i København.

Det lyder måske for nogen som James Bond og sølvpapirshatte, men i realiteten er det overvejende sandsynligt at NSA/USA har både muligheden og gør det. Dem der blot vil finde andre artikler og referencer end nedenstående kan søge på IMSI catcher, GSM hacking, Kraken, Karsten Nohl, m.v.

I det følgende vil jeg blot forsøge at give nogle pointere og måske en lille smule overblik, som erfaret med et mindre research survey som jeg foretog i denne uge.

Hardware til GSM aflytning

Først og fremmest skal man bruge noget hardware til GSM hacking, og det kan være

Specialiseret hardware som er indkøbt til formålet. Det kan være bygget sammen i en lækker platform med retningsbestemte antenner – altså kommercielle systemer.

Jeg fandt et tilfældigt system som VME Dominator fra http://www.meganet.com/meganet-products-cellphoneinterceptors.html

The VME Dominator is far superior to passive systems in being able to intervene and manipulate calls and sms, working with up to 4 base stations concurrently, and up to 20 users in the system at any one time.

Ulempen ved disse systemer er at de er dyre og ofte “kun” sælges til regeringer, agenter, og formentlig til dem der vil betale nok for det

Næste skridt er diverse GSM labsystemer hvor der specielt lader til at være en god support for GSM sjov med Ettus Research USRP, og der er nice videoer med dette udstyr, som en IMSI catcher Hacking GSM . Det demonstrerer at man ikke kræver det store setup, og man kan nemt lave et transportabelt system.

Fordelen ved dette udstyr at vi snakker $2.000-$3.000 som er overkommeligt, specielt vil det jo være overkommeligt for NSA og andre tilsvarende organisationer. Når det samtidig kan demonstreres på youtube og til konferencer af “almindelige” konsulenter som dig og mig så er det en helt reel trussel. Jeg tror ligeledes heller ikke der sker den store registrering af hvem der køber, og eventuelt kan man købe på Ebay med en mellemmand. Det er efter min mening helt rimeligt at antage at industrispionage vil kunne foregå med denne type udstyr.

Protokoller og software

Der er mange spændende ting at fortælle med mobiltelefoner og der er allerede et væld af artikler på Version2.dk omkring disse emner, søg på Karsten Nohl eller SIM så finder du noget af det. Basalt set står vi med en ekstremt populær kommunikationsplatform som daglig benyttes af milliarder af brugere med milliarder af håndsæt, aka telefoner. Vi står dog samtidig med en ældre teknologi som knirker voldsomt.

Specielt er krypteringen brudt og Karsten Nohl m.fl. er kommet langt i implementering af angreb der kan udføres i praksis. Jeg var faktisk tilstede på HAR2009 konferencen hvor Karsten Nohl annoncerede projektet Cracking A5 GSM encryption og downloadede programmet som blev kørt i et par uger på en GPU. Resultatet efter dette projekt, og nogle års arbejde er rainbowtables til GSM A5/1 cracking.

Der findes nyere præsentationer og film med Karsten Nohl og de kan varmt anbefales.
* fra 2009 26C3 Talk: GSM: SRSLY? MP4 video
* fra 2010 Wideband GSM Sniffing MP4 video

I beskrivelsen fra den sidste står der

GSM is still the most widely used security technology in the world with a user base of 5 billion and a quickly growing number of critical applications. 26C3′s rainbow table attack on GSM’s A5/1 encryption convinced many users that GSM calls should be considered unprotected. The network operators, however, have not woken up to the threat yet. Perhaps the new capabilities to be unleashed this year – like wide-band sniffing and real-time signal processing – will wake them up.

Så har vi allesammen fået nye telefoner som understøtter stærk kryptering? Nej. Betyder det at man kan benytte disse angreb idag, ja. Er det sandsynligt at PET/FE, NSA, m.fl. kan benytte disse angreb til real-time intercept af GSM telefoni – ja, det virker MEGET sandsynligt. Det betyder i praksis at hverken SMS, GPRS data, eller tale over GSM er en sikker kanal. Blot hvis du ikke vidste det i forvejen.

There is more, and it is cheap

Nu lyder det jo spændende, men skulle vi ikke mødes og prøve det af i praksis? (IANAL det er nok ulovligt, men who dares wins).

Tjoeh, men kunne vi ikke finde en billigere metode end $x.000 som jeg synes er mange penge! Jo, vi kunne jo tage en billig kina DVB-T og noget open source software som sættes sammen?

Jo da, check siderne:

• http://sdr.osmocom.org/trac/wiki/rtl-sdr DVB-T dongles based on the Realtek RTL2832U can be used as a cheap SDR, since the chip allows transferring the raw I/Q samples to the host, which is officially used for DAB/DAB+/FM demodulation.
• http://bb.osmocom.org/trac/ OsmocomBB is an Free Software / Open Source GSM Baseband software implementation. It intends to completely replace the need for a proprietary GSM baseband software, such as drivers for the GSM analog and digital baseband (integrated and external) peripherals
  the GSM phone-side protocol stack, from layer 1 up to layer 3
• http://hackaday.com/2013/10/22/cracking-gsm-with-rtl-sdr-for-thirty-doll… Theoretically, GSM has been broken since 2003, but the limitations of hardware at the time meant cell phone calls and texts were secure from the prying ears of digital eavesdroppers and all but the most secret government agencies. Since then, the costs of hardware have gone down, two terabytes of rainbow tables have been published, and all the techniques and knowledge required to listen in on cell phone calls have been available. The only thing missing was the hardware. Now, with a super low-cost USB TV tuner come software defined radio, [domi] has put together a tutorial for cracking GSM with thirty dollars in hardware.

Super low cost og bemærk også tutorial links i sidste link!

Så for ~$20 kan du købe to DVB-T kort og komme igang med en makker.

Til at starte med har jeg lånt et DVB-T kort af min gode ven Thomas og det dukker ihvertfald op i dmesg på Kali Linux:

endda med den “bedste” E4000 så det bliver spændende, tak Thomas!

Opdateret med sidste afsnit, måske mere, ellers bliver det næste blogindlæg.

Edit: youtube link er vist fixet