Category Archives: computer

En sårbarhed har ramt det udbredte CMS, Drupal, der anvendes på et hav af hjemmesider verden over. Sårbarheden, der nu er lukket, har blandt andet betydet, at hackere har kunnet tilgå brugerinformationer på berørte hjemmesider.

Mediehuset Ingeniøren, som Version2 er del af, anvender netop Drupal, og er som følge af sårbarheden blevet udsat for et hackerangreb på flere af de hjemmesider, som mediehuset står bag.

Det drejer sig om Ingeniørens hjemmeside ing.dk, it-mediet Version2′s hjemmeside version2.dk, konferencesitet jobtraef.dk og rekrutteringsbuearets Capax’ hjemmeside capax.dk.

Sårbarheden er blevet udnyttet til at oprette brugere med administrator-adgang på hjemmesiderne. Det konkrete angreb er foregået via en såkaldt SQL-injection-sårbarhed. Det vil sige, at hackeren har kunnet køre SQL-forespørgsler i de bagvedliggende databaser.

I forbindelse med angrebet har hackeren haft adgang til de brugeroplysninger, der er knyttet til de forskellige sites. Det vil typisk sige brugernavn og mail. Passwords har været opbevaret kryptereret.

Teknisk har brugerpasswords været kørt gennem en SHA-512-algoritme, som har været ‘salted’ med en tilfældig værdi. Det er normalt en af de mest sikre og anerkendte metoder til sikring af kodeord, fortæller digital udviklingschef og driftsansvarlig i Mediehuset Ingeniøren Jesper Bille Haun.

Skift password for en sikkerheds skyld

For en sikkerheds skyld opfordrer han dog alle brugere med profiler på ing.dk og version2.dk til at skifte kodeord – og kodeord på andre sites, hvor de samme login-oplysninger er anvendt.

»Når et site har været kompromitteret, bør man altid skifte kodeord på de ramte hjemmesider og andre steder, hvor samme login-oplysninger må være anvendt. Der findes metoder, der kan knække den sikkerhed, der ligger i password-krypteringen, hvis der har været brugt forholdsvis simple kodeord,« siger Jesper Bille Haun.

Brugere er der har oprettet profiler via Facebook har i udgangspunktet ikke fået kompromitteret deres oplysninger.

Udover oplysninger om brugere oprettet på de forskellige Drupal-hjemmesider, så har hackeren via Version2 i princippet også haft adgang til oplysninger på Version2′s Job-side.

»Hackeren kan også have hentet informationer om de profiler, der er oprettet på Version2 Job. Det er oplysninger som arbejdserfaring, uddannelse og den slags. Vi ved ikke, om disse oplysninger faktisk er blevet tilgået,« siger Jesper Bille Haun.

Sikkerhedshullet i Drupal er patched og dermed lukket med version 7.32 af cms’et. Tidligere versioner af Drupal core 7 formodes er ramt af sårbarheden. Drupals sikkerhedshold sendte en meddelelse ud om sårbarheden, som blev beskrevet som yderst kritisk i onsdag i sidste uge, 15. oktober, omkring klokken 18 dansk tid.

Mediehuset Ingeniørens servere blev øjensynligt angrebet natten til torsdag 16. oktober cirka syv timer senere.

Oprettede bagdør

Efter at have brugt sikkerhedshullet til at oprette administratorbrugere på de forskellige sites, har hackeren oprettet sin egen bagdør på Version2′s hjemmeside. Herefter har hackeren lukket sikkerhedshullet på hjemmesiderne, så den kendte SQL-sårbarhed ikke har kunnet anvendes af andre.

Bagdøren på Version2 har gjort det muligt for hackeren at afvikle blandt andet php-kode via specifikke og skjulte url-adresser.

Den ondsindede kode og hackerens adgang skulle nu være ryddet helt af vejen.

»Vi vil forsøge at undgå lignende angreb ved minutiøst at gennemgå og evaluere vores beredskab og om nødvendigt tage yderligere skridt for at sikre data,« siger Jesper Bille Haun.

Den uafhængige new zealandske ekspert Bevan Rudge anslår, at 100.000-vis af sites har været ramt verden over af sikkerhedshullet og nu har fået installeret bagdøre i hackersagen, der har fået navnet Drupageddon.

»Der er i øjeblikket mange danske sites hos store og kendte virksomheder, der stadig kører ældre versioner af Drupal. De kan naturligvis være patchet af anden vej, men det er ikke sikkert, at Drupageddon er slut endnu,« siger Jesper Bille Haun, som opfordrer til større åbenhed blandt de ramte virksomheder for bedre i fællesskab at bekæmpe uvæsenet.

Den danske business intelligence-virksomhed d60 har indgået en aftale med Statsanklageren for Særlig Økonomisk og International Kriminalitet (SØIK), også kaldet Bagmandspolitiet, om at levere software, der skal hjælpe med opklaringsarbejdet.

Løsningen fra d60, der bliver leveret i samarbejde med den internationale virksomhed Nuix, skal ifølge en nyhed på d60′s hjemmeside hjælpe SØIK med at gennemføre hurtigere og mere effektiv efterforskning af sager inden for organiseret kriminalitet, bedrageri, karteldannelse, finansiering af terror og hvidvaskning af penge.

Manager i d60′s afdeling i København, Jacob Isaksen, siger til Version2, at han ikke må fortælle detaljeret om den konkrete aftale, d60 har indgået med SØIK. Men Jacob Isaksen kan dog godt fortælle generelt om den type løsning, den danske virksomhed leverer.

Det drejer sig overordnet om software, der kan indsamle data fra eksempelvis computere, telefoner og andre enheder, krydsreferere dem, og præsentere dem visuelt. Så det eksempelvis er muligt at se på en tidslinje, hvornår forskellige personer har foretaget opkald eller sendt mails til andre personer i en organisation, som eventuelt indeholder bestemte ord.

»Man kan eksempelvis se, hvem der har været i kontakt med hinanden omkring hvilke emner. Man kan også se, hvem der har sendt billeder og dokumenter til hinanden på et givent tidspunkt,« siger Jacob Isaksen og tilføjer:

»Så hvis man har en sag, man undersøger internt i en virksomhed, eller hvis man er en en offentlig myndighed og har behov for at foretage efterforskning af en given sag, så vil man kunne søge og visualisere på tværs af enheder og andre datakilder.«

Af EU-udbudsportalen, Tenders Electronic Daily (TED), fremgår det, at kontrakten har en værdi på over 13 mio. kroner plus moms.

Når Rigspolitiet ikke har styr på IT sikkerheden tager man sig uvilkårligt til hovedet.

Men er det egentlig så svært at forstå hvorfor ?

Her er Rigspolitichefens officielle hjemmeside

Nu ved jeg godt han er nogenlunde ny i jobbet, men kig på hans mini-CV og spørg så dig selv om du med den baggrund ville være i stand til at omsætte de meget generelle, men bestemt ikke helt ubrugelige, krav i lovgivningen til organisatoriske tiltag ?

Selvfølgelig ikke.

Men vi kommer ikke uden om at det er hans job at gøre det, med eller uden Rigsrevisionen kritiske kommentarer, er det hans job at sikre at politiet overholder landets lov.

Omvendt, hvis han havde en solid IT sikkerhedsmæssig baggrund, ville han sikkert kigge på MF’ernes iPads og sukke “Nå, mere vigtigt end som så er det altså heller ikke ?”

I netop tilfældet Rigspolitiet er sagen utroligt speget, for vi kommer ikke udenom POLSAG, der skulle løse alle politiets IT problemer.

Men i min optik understreger det blot min pointe: At indføre regler om (person)datasikkerhed, uden at sikre at der var de nødvendige resourcer og penge til rådighed var bare luftkartofler og vindfrikadeller.

Det tror jeg godt Folketinget vidste, for ingen af de relevante love indeholder sanktioner der kommer i nærheden af hvad man kan risikere ved at køre for hurtigt på landets landeveje.

Frustrationen hos de myndigheder der skal holde øje med datasikkerheden, primært Datatilsynet, men kun i svagt mindre grad Rigsrevisionen, Digitaliseringsstyrelsen og Center for Cybersikkerhed var til at tage og føle på til høringen i forgårs.

I mange år har skiftende politikere peget på antallet af overbetalte ADSL linier og PC-kørekort og kaldt Danmark et IT foregangsland mens IT folket vantro har rystet på hovedet af flosklerne.

Hvor er uddannelsen der producerer systemadministratorer til driften af kritiske IT systemer ?

Hvor er uddannelsen der proucerer IT arkitekter ?

Hvor kom IT-principper, IT sikkerhed og persondatasikkerhed ind i Cand Polit. studiet ?

Hvor er den ansvarsgivende autorisationsordning for persondataansvarlige ?

Inden længe kommer EUs persondatadirektiv. Det var der ikke megen entusiame for fra statsadministrationen i forgårs og ifølge mine kontakter i kommissionen har Danmark modarbejdet enhver form for bid eller konsekvens i direktivet fra start til slut.

Jeg ved ikke om det er frygt for at alle skelletterne skal vælte ud af skabene, hvilket de utvivlsomt vil gøre hvis direktivets krav om indberetning bliver til noget, eller om det er bekymring for hvad det kommer til at koste faktisk at implementere datasikkerhed, frem for bare at pege på de love ingen, selv ikke statens egne organisationer, overholder og lade som om vi har løst problemet for længst.

Men tiden er langt over inde til at tage emnet seriøst og det vil primært sige at give lovene og tilsynsmyndighederne det nødvendige bid.

Men sekundært betyder det også at Folketinget skal holde op med at behandle IT som et mirakelmiddel der kan skære 12% af ethvert budget, bare man skriver “IT-rationaliseringer” i finanslovens noter.

IT er en samfundstransformativ teknologi på niveau med ild, elektricitet og automobiler og den skal behandles med samme seriøse tilgang.

Vi har funktionelle brandkrav, brandindspektører, brandslukningsudstyr, brandvæsner og brandforsikringer.

Vi har elektricitetslov, autorisationskrav, kortslutningssikringer, fejlstrømsafbrydere, netansvarlige, CE mærker og sikkerhedsstyrelsen.

Vi har færdselsloven, færdselspolitiet, skolepatruljer, cykelstier, gangbroer, motorveje, kørekort, typegodkendelser, forureningskrav og obligatoriske syn.

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

De love vi har kan omkostningsfrit ignoreres, problemerne uanset størrelsen kan frit begraves i baghaven, ingen er nogensinde ansvarlige og der er intet produktansvar overhovedet.

Men vi nærmer os en kant, den kant hvor computerne er årsag til så meget ragnarok at politikerne bliver tvunget til at reagere.

Forskellige overlæger jeg har talt med, anslår at de forskellige EPJ systemer allerede har slået ca. 400 danskere ihjel før de ellers ville være døde. (Præcis hvor mange dage, måneder eller år det i det enkelte tilfælde drejer sig om er de ikke meget for at skyde på.)

Inden længe vil vi se de første folkepensionister der dør fordi de ikke kan finde ud af kommunens IT selvbetjening, eller fordi der sker “en computerfejl” — det er udelukkende et spørgsmål om tid, alle dominobrikkerne er linet op og står klar til at vælte.

Det ville klæde vores MF’er at de for en gangs skyld handlede uden at gøre det i panik over at Ekstrabladet har pisket en stemning når “det er også alt for galt”.

Her er nogle forslag:

1. Produktansvar for software. (Mere konkret forslag her)

2. Strafansvar og erstatningsansvar ved læk af persondata. (Som et absolut minimum på linie med miljølovgivningen.)

3. IT Havarikommission, så vi alle kan lære af vores fejltagelser.

4. Autorisationsordning for IT sikkerhedsansvarlige. (lige som for elinstallatører, VVS osv.)

5. Tilsyns og kontrolmyndigheder med magt og bid.

6. IT uddannelser der kan klæde folk på til at leve op til lovens bogstav.

Hvis vi gjorde noget i den stil ville Danmark faktisk blive et IT foregangsland og ikke bare det land der først havnede i IT-grøften.

phk

Microsofts Code Challenge implementerer uden tvivl interfacet ‘overspringshandlinger’, men det danskudviklede projekt gør det muligt at konkurrere med sine kolleger i noget, der trods alt er mere fagligt relevant end Pet Rescue Saga.

Code Challenge, som Microsoft Danmark har udviklet, er foreløbig en udvidelse til Visual Studio, hvor man kan bede om en udfordring, som man så skal løse for at få point. Man kan så konkurrere mod sine kolleger eller blot andre udviklere.

»Vi synes selv, det er sjovt at skrive kode, så vi fik den idé, at man skulle kunne hente en lille udfordring, hvor man skulle skrive noget kode for at løse den,« siger direktør for platform og udviklere, Jasper Hedegaard Bojsen, fra Microsoft Danmark til Version2.

Udfordringerne består af en lille opgave, som eksempelvis skal løses ved at skrive en metode, der kan hente et vilkårligt tal i Fibonacci-sekvensen.

»For en erfaren programmør tager det måske kun et par minutter. Når man uploader sin løsning, så laver vores backend unit tests på løsningen, og hvis man har løst den rigtigt, får man point,« forklarer Jasper Hedegaard Bojsen.

Lige nu er projektet i en testfase, hvor Visual Studio-udviklere i Danmark og på Island kan deltage, men hvis det bliver populært, kan det blive udbredt til flere lande. Jasper Hedegaard Bojsen oplyser også, at udviklerne undersøger muligheden for at distribuere kodeudfordringer via eksempelvis Mono til Linux. Lige nu kræver det Visual Studio Professional eller større, men Express-udgaverne er også noget, Microsoft vil se på.

Hos eBays danske udviklingsafdeling dyster en snes af udviklerne om point i Code Challenge.

»Man holder selvfølgelig øje med, hvem der ligger hvor i stillingen. Niveauet er sådan, at man ikke bruger flere timer på det, men det er da en form for overspringshandling,« siger seniorudvikler Michael Skarum fra eBay til Version2.

Udviklerne arbejder i forvejen med Visual Studio og C# til de bagvedliggende systemer til eksempelvis Bilbasen.dk.

»Vi sidder alle med forskellige store systemer. Her er der et simpelt problem, som man kan lave en elegant løsning til, som ikke ville være realistisk i et stort produktionssystem. Og så er det sjovt at se nogle af de andre muligheder, der ligger i det sprog, vi arbejder med til daglig,« fortæller Michael Skarum.

Sikkerhedsfirmaet Akamei Technologies fortæller i deres årlige sikkerhedsrapport torsdag, at mængden og størrelsen af DDoS-angreb er steget voldsomt, faktisk med hele 22% siden sidste år. Og den gennemsnitlige båndbredde brugt til DDos er steget med 389 procent i forhold til for et år siden. Det skriver Computerworld.com

DDoS, eller Distributed Denial of Service, som det hedder på engelsk, går ud på at storme en hjemmeside med forespørgler på opslag fra en hær af andre computere. Helst så mange, at siden går ned af den massive overbelastning.

I Akamei Technologies rapport gennem går det rækken af angreb, som dets udstyr har stået imod det sidste år. 17 angreb på over 100 Gbps og et enkelt helt oppe at ringe på 321 Gbps, er det blandt andet blevet til på de digitale slagmarker.

Ifølge vicepræsident i AKamai Technologies John Summers kommer den øgede volumen i angreb som følge af let tilgængeligt angrebskits med nem brugerflade, en voksende kriminel industri, der vil arbejde for penge og en masseudnyttelse af diverse sikkerhedshuller på nettet, der gør DDos-angriberne i stand til at bygge kæmpe netværk af bots af infiltrerede computere, der kan skabe de mange internetforespørgsler på en adresse.

I følge med den seneste udvikling, er det ikke bare computere, der bliver overtaget. Også smartphones, kabelmodem og ARM mikroprocessoren, som blandt andet bruges i digitale fjernsyn, spillekonsoller og smarte sensorer.

John Summers er bekymret for, om hackere på sigt vil hacke sig ind på enhederne og installere software, der kan hjælpe til i et DDoS-angreb og dermed åbne for et helt nyt landskab af hackermuligheder.

Vi møder dem hver dag. Boks efter boks på hjemmeside efter hjemmeside beder brugerne om at klikke OK til, at disse hjemmesider lagrer små filer på vores computer. Så kan hjemmesiderne hjælpe os til at finde det indhold, vi har mest brug for.

Samtidig kan de kommercielle af dem vise os reklamer, ikke bare på deres egne hjemmesider, men også på andre og internationale sites via eventuelle reklamenetværk. Konsekvensen er, at mange har oplevet at blive bombarderet med reklamer for skjorter, mobiltelefoner eller plejeartikler, som de har set på eller købt i en dansk netbutik, på hjemmesider fra et helt andet sted i verden.

Så godt som ingen af os læser cookie­advarslerne på de hjemmesider, vi besøger – vi vil bare af med de irriterende bokse. En undtagelse skulle lige være Erhvervsstyrelsen, som vogter nidkært over, at lovgivningen bliver fulgt. Cookiereglerne bygger på en EU-paragraf fra 2009. Men ifølge erhvervsorganisationerne er den danske fortolkning væsentligt striksere end i andre lande, så danske butikker skal bruge flere ressourcer på at efterleve reglerne end deres konkurrenter i udlandet.

Det er helt ude i skoven. Cookie­reglerne er et misfoster, både for forbrugerne, som er blevet tone­døve over for advarslerne og ikke har reel mulighed for at gennemskue konsekvenserne af deres OK, og for butikkerne, som bruger unødige ressourcer på en meningsløs implementering af lovgivningen. Flere politikere har indrømmet, at cookie­reglerne aldrig er kommet til at virke, som de havde troet og håbet. Derfor har myndighederne grund til at fare med lempe, til de bliver ændret.

Der er flere grunde til, at den opgave haster. For cookies er langtfra den eneste sporingsteknologi, som følger brugernes færden på internettet. Device fingerprinting, hvor oplysninger om computerens hardware og software giver et unikt finger­aftryk, kan lige så vel som en fil på harddisken benyttes til at tracke os. I over et halvt år har europæiske myndigheder forsøgt at afklare, om den slags teknologier overhovedet er omfattet af de nuværende regler, men svaret blæser fortsat i vinden.

Samtidig giver vi rask væk tjene­steudbydere som Google og Face­book lov til at lagre data om vores færden og udveksle dem med alle deres samarbejdsparter og annoncører. En ladeport står derfor åben for internettets giganter, mens myndighederne jagter danske småbutikker. Og så mangler vi helt at åbne posen for, hvad de apps, vi installerer på vores smartphones, har adgang til af funktioner.

Som brugere kan vi naturligvis sige nej til betingelserne. Men i praksis vil det indebære at koble sig af udviklingen på store dele af nettet. Derfor må det være en af de højest prioriterede opgaver for den nye EU-Kommission at skabe klare regler om sporing. De skal ikke forholde sig til konkrete teknologier, men give os frihed og brugbar information, så vi reelt har mulighed for at undgå at blive sporet på kryds og tværs af udbydere og tjenester. Det skal vi turde stille krav om, også til Google og Facebook.

Mod 5,5 millioner dollars i indskud til udvikling fra en venture kapital fond, har anti-facebook mediet Ello skrevet under på et charter om, at de ikke vil sælge brugernes data og ikke vil sælge reklameplads. Det skriver Betabeat.com

Ello, der foreløbig har en million brugere og tre millioner på venteliste til deres site, hvor man ikke behøver bruge sit rigtige navn, har modsat et almindeligt profitsøgende firma oprettet sig som for »for-public-benefit« (i almenhedens interesse, red.) firma. Det tillader dem at abstrahere fra bundlinjen og investorernes forretningskrav, som almindelige firmaer eller juridisk er forpligtet til, og fokusere på konceptet, de jo har skrevet under på ikke må modtage penge for spalteplads og data.

I charteret står der også, at de ikke må sælge til et andet firma, der så efterfølgende kan blæse på charteret. Forpligtelsen følger kort sagt med et eventuelt salg en dag.

Ifølge Betabeat bliver Ello efter oprettelsen som for-public-benefit en del af en skare på kun 1140 firmaer i hele USA. De investerede midler ventes at blive brugt på at ansætte udviklere, der kan skubbe konceptet frem og opskalere til at håndtere det stigende antal ansøgninger.

På længere sigt hviskes der om at Ello skal finansieres gennem en freemium-model, hvor Ello som udgangspunkt er gratis at bruge, men hvor man mod beskedne dollarbeløb kan tilkøbe en række små ekstra features.

Læs Betabeats guide til for-public-benefit og Ellos charter her

Den 31. oktober i år udløber fristen for afgivelse af tilbud til det amerikanske forsvarsministerium på, hvad vi i Danmark ville kalde en IT-sundhedsplatform.

Tidligere kaldte man i Danmark denne type løsninger for elektroniske patientjournalsystemer, men det udtryk er man nu tilsyneladende gået bort fra herhjemme.

I USA kalder man fortsat denne type systemer for “Electronic Health Record (EHR) systems”.

Den nye IT-sundhedsplatform til det amerikanske forsvarsministerium skal betjene knap 10 millioner personer i aktiv militærtjeneste. Systemet skal støtte arbejdet for et sundhedspersonale med 153.000 medarbejdere fordelt på 1.230 lokationer i 16 lande. Hele operationen omfatter 55 hospitaler, 352 ambulatorier, 282 tandlægeklinikker og 300 mobile enheder.

Projekter med den officielle titel “The Defense Healthcare Management System Modernization Contract” har fået øgenavnet “dim-sum” (DHMSM).

Med i kapløbet om gigantkontrakten er Epic, der i slutningen af 2013 sammen med NNIT vandt udbuddet om en ny IT-sundhedsplatform til Region Hovedstaden og Region Sjælland.

I det 65 milliarder kroner store projekt byder Epic denne gang sammen med IBM, der i forbindelse med det danske projekt sidste år bød sammen med Systematic. Udover Epic/IBM forventes det også at Leidos sammen med Cerner og Accenture, CSC sammen med HP og AllScripts og PWC sammen med DSS, MedSphere og General Dynamics Information Technology vil afgive tilbud.

Beslutning om valg af leverandør forventes at blive truffet i 3. kvartal 2015, og de første udrulninger skal påbegyndes i 1. kvartal 2017. Udrulningen til at alle enheder i operationen forventes at tage 6 år. Kontrakten forventes at skulle løbe over sammenlagt 10 år.

I lighed med Region Hovedstanden og Region Sjælland har det amerikanske forsvarsministerium besluttet at anskaffe et kommercielt tilgængeligt system frem for at udvikle sit eget properitære system fra bunden.

Kilder: The Washington Post , U.S. Department of Defence og OpenHealthNews