Hvis du har et mobilforbrug på 2 gigabyte data, 3 timers tale og 200 sms’er om måneden, og er på udkig efter et abonnement med medfølgende mobiltelefon, hvad skal du så vælge, hvis det skal være den billigste løsning?

Det kan være en kompliceret affære at finde frem til det rigtige mobilabonnement. Især hvis det billigste abonnementet med en medfølgende telefon skal findes, der passer til ens eget forbrug i forhold til taletid, data og sms’er.

Men den nød mener Lars Libak, der studerer Softwareteknologi på DTU, at have knækket med hjemmesiden fonpriser.dk

Her kan brugerne indtaste, hvilket mobilforbrug de har, hvorefter systemet oplister de billigste smartphone-abonnementer med tilhørende telefoner.

Data om de enkelte abonnementer bliver automatisk hentet fra de forskellige operatørers hjemmesider en gang i døgnet. Herefter blive de sammen med forbrugsdata sendt til Amazons sky-tjeneste EC2, som regner på de kombinationsmuligheder.

Har man eksempelvis behov for 2 timers tale, 10 gigabyte data og 700 sms’er er der tale om et forbrugsmønster, mens 1 times tale, 5 gigabyte data og fri sms er et andet. Der er selvsagt en del kombinationsmuligheder.

Faktisk så mange, at en almindelig server, som Lars Libak forsøgte sig med, da han startede på projektet for år tilbage, viste sig ikke at fungere til opgaven.

»Når jeg indtaster et forbrug, skal den gå ind for hver mobil, og for hvert abonnement for den mobil, udregne en pris – og det er pænt mange udregninger,« siger han.

Big Data-værktøj

Lars Libak anvender en service til beregningen hos Amazon kaldet Amazon Elastic MapReduce til behandling af de store datamængder i form af input fra forskellige forbrugsmønstre. Tjenesten kører via open source frameworket Hadoop, som ofte bliver kædet sammen med Big Data-behandling. Hadoop sorterer sorterer inputtet og sender de billigste løsninger retur, som bliver vist på forsiden af fonpriser.dk.

»Jeg var ikke den mest erfarne koder, da jeg gik i gang med projektet, men jeg var meget opsat på at få det igennem. Jeg har siddet mange timer foran computeren og arbejdet på at finde ud, hvordan Amazon, Hadoop og Mapreduce fungerer,« siger Lars Libak.

Udregningen tager også højde for, hvad den ekstra time vil koste, hvis brugeren eksempelvis har et forbrug på fire taletimer, mens der kun er tre taletimer inkluderet i abonnementet.

»Det kan sagtens vise sig stadigt at være den billigste løsning samlet set, selvom den ekstra time koster lidt,« fortæller han.

Fonpriser.dk, der kører Drupal, kobler en gang i døgnet op til Amazons skytjeneste og modtager et sæt nye beregninger. Det er altså ikke noget, der sker dynamisk, hver gang en bruger besøger siden.

»Jeg valgte at fokusere på at lagre data. Det vil sige, den udregner de billigste priser og lagrer alle kombinationer af forbrug. Så det er en tabel, jeg trækker fra i gang i døgnet,« fortæller Lars Libak og fortsætter:

»Jeg kunne også udregne dynamisk hver gang, men det ville kræve en masse servere, skulle køre, bare for at holde siderne oppe.«

Var nødt til at bruge lommeregner

Idéen til projektet fik Lars Libak, da han selv var på udkig efter en ny mobiltelefon:

»Jeg var selv frustreret over, da jeg skulle finde en ny mobil, at jeg ikke kunne sammenligne priserne i forhold til, hvad der var fordelagtigt for mig at købe. Jeg var nødt til at sidde med en lommeregner og regne på de forskellige abonnementer.«

Der er også andre hjemmesider til sammenligning af mobilabonnementer, men Lars Libak mener, der er plads til forbedring.

»De tjenester, der var, kunne jeg ikke rigtigt bruge til noget. De viser bare, hvad minimumsprisen er, men ikke set i forhold til det forbrug, man har,« siger han.

Forretningsmodellen for fonpriser.dk er foreløbigt en såkaldt affiliate løsning. Det vil sige, at Lars Libak får et beløb, hver gang bruger klikker videre ind på en hjemmeside og køber en telefon. Det er dog ikke alle mobilselskaber, der understøtter sådan en affiliate-aftale, de indgår dog alligevel i prisopgørelsen. Det er imidlertid også mere personlig motivation en økonomisk gevinst, der har været drivkraften bag projektet, påpeger Lars Libak.

»Jeg har gjort mere ud af, at gøre siden brugbar end at tjene penge på det.«

Foreløbigt gør fonpriser.dk det muligt at sortere mobiltelefoner med abonnement efter pris. I version 2.0 af fonpriser.dk forventer Lars Libak, at abonnementer kan sammenlignes baseret på forbrug – uden der nødvendigvis følger en mobiltelefon med.

Digitaliseringsstyrelsen kræver, at it-leverandøren Nets strammer op på sikkerheden omkring danskernes fælles login-løsning NemID. Det sker på baggrund af en redegørelse fra Nets, hvoraf det fremgår, at den kilde, som i flere år forsynede ugebladet Se og Hør med oplysninger, også havde adgang til NemID’s database.

Ifølge Nets havde den pågældende medarbejder, som arbejdede som systemadministrator hos IBM, der står for driften af flere af Nets’ systemer, adgang til NemID-systemet med administrator-rettigheder.

Medarbejderen har dog blot én gang i 2010 været logget på, men uden at tilgå systemet, fremgår det af redegørelsen.

»Jeg er naturligvis tilfreds med, at Nets’ redegørelse viser, at der ikke har været læk eller anden misbrug af data. Men uanset, at der ikke er sket misbrug af NemID-data, skal vi alle tage ved lære af de brud på sikkerheden, der øjensynligt har været i forhold til kreditkortoplysninger. Derfor kræver Digitaliseringsstyrelsen nu, at Nets’ strammer op på den i forvejen høje sikkerhed og forstærker deres sikkerhedsprocedurer og interne kotroller,« udtaler direktør Lars Frelle-Petersen fra Digitaliseringsstyrelsen ifølge en pressemeddelelse.

Udover, at Nets skal stramme op på den interne kontrol, så vil Digitaliseringsstyrelsen også skærpe kravene til uafhængig kontrol af sikkerheden i NemID.

Det system, medarbejderen havde adgang til, indeholder ifølge Digitaliseringsstyrelsen kun oplysninger til brug for udstedelse og administration af NemID. Oplysningerne i databasen omfatter navn, adresse, CPR-nummer, men ikke den private nøgle til digital signatur eller password.

Signering foregår ifølge Nets i særskilte hardwaremoduler til kryptering og kan kun ske ved hjælp af brugerens selvvalgte kodeord og engangsnøgle.

Det fremgår ikke af redegørelsen, hvilke administrative funktioner en systemadministrator på NemID-systemet kan foretage med de data, der ligger i systemet.

Ifølge Nets var brugeren blot logget på én gang og havde ikke rettigheder til at oprette nye brugere, han eventuelt kunne dække sig ind under senere. Da hans brugerkonto ikke blev brugt, blev den først suspenderet i 2011 og siden slettet, da han stoppede med at arbejde for IBM i 2012.

Digitaliseringsstyrelsen har nu modtaget og offentliggjort en redegørelse fra Nets om muligheden for læk af data fra NemID-systemet. Læs redegørelsen herunder:

Inden vi fik internettet i Danmark, havde vi et andet offentligt datanetværk, to faktisk.

X.21 var en “binær telefon”, stort set præcist som man ville ringe op med en telefon, ringede man op med X.21 og samtalen var en synkron binær bitstrøm, over hvilken man kunne køre lige hvad man havde lyst til.

X.25 derimod var et “rigtigt” netværk, hvor der var defineret pakkerformatter, flowkontrol og endda en standardiseret terminal-adgang.

Der er mange sjove krøller på den historie, f.eks at de første “routere”, RC3500, brugte Inmos Transputer chips:

På onsdag har vi et medlemsarrangement om PAXnet i datamuseum.dk hvor historien bliver udlagt af folk der var med dengang. (Er man ikke allerede medlem kan man nå at blive det onsdag aften.)

Anledningen er at de to foredragsholdere har skrevet en ny bog om PAXNET, bogen vil kunne købes onsdag aften for 200kr, men til trods for at Dankort terminalerne brugte X.21, tror jeg det er klogest at have kontanter med.

phk

Den hemmelige kilde, som Se og Hør gennem flere år betalte for oplysninger om kendte danskeres brug af kreditkort, havde også adgang til NemID. Det skriver DR Nyheder.

Se og Hør-kilden arbejdede som systemadministrator på Nets’ systemer hos IBM, og ud over at have adgang til kreditkortoplysningerne, så havde han også adgang til den database, der rummer NemID-oplysninger.

Medarbejderen har ved mindst én lejlighed skaffet sig adgang til systemet, som IBM står for driften af, og som Nets har udviklet for Digitaliseringsstyrelsen.

Oplysningen stammer fra Nets selv, som har skrevet om IBM-medarbejderens adgang til NemID-databasen i en redegørelse om sagen.

Det fremgår af redegørelsen, at medarbejderen kun kunne se administrative data om NemID-brugerne og ikke kunne få adgang til for eksempel passwords eller borgernes private nøgler.

Medarbejderen arbejdede ikke til dagligt med NemID-systemet, men var en del af en backup-funktion, der kunne træde til.

Alt for mange ansatte i sundhedsvæsenet har adgang til at se de elektroniske patientjournaler, mener lektor Kent Kristensen fra Syddansk Universitet. Op mod 90.000 ansatte kan se indholdet af journalerne, skriver Jyllands-Posten.

»Der er for mange i sundhedsvæsenet, der har adgang til patientoplysninger i dag. Selv når en sundhedsansat opererer inden for lovens grænser, mener jeg, at politikerne har givet vedkommende al for megen adgang til oplysninger om patienterne. Endnu værre er situationen naturligvis, hvis en sundhedsansat opererer uden for lovens grænser og ser i patientjournaler, som vedkommende intet har med at gøre,« siger Kent Kristensen til Jyllands-Posten.

Han påpeger, at det eksempelvis kan være problematisk, at en social- og sundhedsassistent kan se i en patients journal, at patienten for 10 år siden har modtaget psykiatrisk behandling, selvom den oplysning ikke er relevant for den aktuelle pleje.

De mange personer, som har adgang til oplysningerne, øger også risikoen for misbrug. I dag foregår kontrollen de fleste steder udelukkende ved brug af stikprøver. Der føres log over, hvem der tilgår journalerne, men der er ingen systematisk overvågning af misbrug ud over stikprøverne.

Fire programmører under oplæring er, hvad DSB har sat ind på at overtage det stærkt kritiserede computersystem til IC4-toget fra den italienske leverandør, Ansaldobreda – en overtagelse, der skal finde sted ved udgangen af 2014.

Ansaldobreda arbejder stadig på at udvikle de sidste softwarepakker til systemet, som senest mødte hård kritik fra it-lektor Erik Frøkjær fra Datalogisk Institut ved Københavns Universitet efter endnu et nedbrud, hvor 130 passagerer måtte evakueres midt på skinnerne på Fyn på grund af problemer med systemet.

De fire programmører under oplæring skal altså kunne håndtere det omdiskuterede system – TCMS i DSB’s terminologi – om blot otte måneder, og ifølge den seneste statusrapport for IC2 og IC4 blev programmørerne evalueret den 26. marts:

»Evalueringen gik som ønsket, og vores fire programmører fortsætter deres uddannelse, som de forventer at afslutte til sommer,« siger administrerende direktør i DSB Vedligehold A/S Steen Schougaard Christensen.

Forbereder udbud

»Ansaldobreda leverer ny kode til TCMS i pakker, og når sidste pakke er leveret, overtager DSB ansvaret for kodningen. De fire programmører, vi har under uddannelse, er ansat med henblik på at bistå med et udbud af arbejdet med kodningen,« siger Steen Schougaard Christensen.

DSB forsikrer, at TCMS stadig skal i udbud. De kan dog ikke sige, hvornår den reelle udbudsrunde vil finde sted.

Den seneste kritik af IC4-togenes software blev fremsat af Erik Frøkjær på ing.dk for en uge siden, men Steen Schougaard Christensen har ikke ønsket at kommentere kritikken, der i kort form lød, at computersystemet gjorde IC4-toget uegnet til drift.

318.239 systemer er stadig sårbar over for den såkaldte heartbleed-fejl, skriver Ars Technica.

Det er dybt problematisk, fordi fejlen gør det muligt for hackere at stjæle data, der er blevet kommunikeret mellem bruger og server. På den måde kan man skaffe sig adgang til brugernes password og andre login-oplysninger.

Bag undersøgelsen står sikkerhedsvirksomheden Errata Security. Ifølge virksomhedens administrerende direktør Rob Graham var antallet af servere, der var ramt af heartbleed oppe på 615,268 i sidste måned.

En endnu tidligere skanning fra en anden sikkerhedsekspert med redskabet TLS Prober viste, at 5,36 procent af alle servere var sårbare den 11. april, fire dage efter heartbleed blev kendt. I onsdags viste en sammenlignelig undersøgelse, at 2,33 procent af alle servere stadig er sårbare.

Det hører dog til historien, at sådanne undersøgelser ikke nødvendigvis er helt præcise, da det er en besværlig øvelse at skanne millioner af ip-adresser. Specielt når skanningerne sker med flere dage eller ugers mellemrum.

Mere end 50 venturekapitalister har i et brev opfrodret det uafhængige amerikanske teleagentur US Federal Communication Commission (FCC) til at droppe planer, som mange mener vil gøre skade på netneutraliteten. Det skriver BBC.

Reaktion kommer kun kort tid efter 100 teknologivirksomheder sendte et lignende brev, for at få FCC til at stoppe ændringsforslaget. Blandt de virksomheder, der modsætter sig forslaget er blandt andre Google, Amazon, Facebook og Twitter.

Det kontroversielle forslag gør det muligt for virksomheder, at købe en slags motorvejsforbindelser til nettet. På den måde kan rige virksomheder betale sig til ekstraordinære gode forbindelser ud til kunderne, hvorimod andre virksomheders trafik bliver laver prioriteret, hvis de ikke betaler. Med andre ord vil alt data ikke længere være lige.

Det bekymrer venturekapitalisterne, fordi etablerede virksomheder vil have store fordele på internettet, da de med det nye forslag kan indgå i aftaler, der sikrer en bedre forbindelse ud til kunderne. En nystartet konkurrent må altså finde penge til en lignende aftale, hvis den vil konkurrere med en lige så god service.

Blandt underskrifterne på det nyligt afsendte klagebrev finder man navne som Ron Conway fra SV Angel, Chris Dixon fra Andressen Horowitz, og John Lilly fra Greylock Partners.

Sikkerheden hos Nets er kommet i fokus oven på sagen om en medarbejder hos IBM, som i fire år ubemærket kunne lække fortrolige betalingsoplysninger fra Nets’ databaser.

Og mens Nets ikke for alvor vil fortælle omverdenen noget om firmaets sikkerhedsniveau, giver to påtaler fra myndighederne i løbet af 2013 et fingerpeg om, at sikkerhedskulturen hos Nets i hvert fald ikke har været perfekt.

I den første sag udtalte Datatilsynet, at man fandt Nets’ manglende kryptering af en webside ’kritisabel’, hvilket er sprogbrug i den hårde ende fra tilsynets jurister.

En borger havde opdaget, at Nets ikke brugte kryptering på en hjemmeside, hvor virksomheder skulle uploade dokumenter med følsomme oplysninger, herunder pas, kørekort, sygesikringsbevis eller skatteopgørelse. Dermed kunne disse dokumenter opsnappes af andre, når de blev sendt via internettet.

Borgeren fortalte Nets om problemet, både mundtligt og skriftligt i februar 2013, men Nets afviste at ændre på siden. Først da Datatilsynet gik ind i sagen, skete der noget, og Nets forklarede i et svar 7. maj 2013, at det var en fejl, at der ikke blev brugt kryptering på upload-hjemmesiden.

I afgørelsen, som på grund af stort arbejdspres hos Datatilsynet først blev offentliggjort i slutningen af april 2014, kritiserer tilsynet især, at Nets ikke reagerede allerede ved første henvendelse.

»Datatilsynet må desuden lægge til grund, at klager havde gjort Nets opmærksom på problemet inden klagen til Datatilsynet, men at Nets først i forbindelse med klagesagens behandling har undersøgt sagen og taget skridt til afhjælpning af fejlen. Samlet set finder Datatilsynet derfor det skete kritisabelt,« lyder konklusionen i afgørelsen.

Da Nets fik slået kryptering til, var det i øvrigt med den usikre protokol SSL 2.0, så en fornyet klage fra borgeren førte til, at krypteringen blev ændret til SSL 3.0 og TLS 1.0.

Fulgte ikke hvidvask-reglerne

En anden kritik af procedurerne hos Nets kom i 2013 fra Finanstilsynet, som undersøgte, om Nets overholdt reglerne om hvidvaskning af penge.

Nets fik i 2011 status som betalingsinstitut og blev i dette tilsyn vurderet i den funktion og ikke som ‘datacentral’, som Nets også er kategoriseret som. Allerede fra november 2009 skulle Nets leve op til hvidvask-reglerne, men det gjorde firmaet slet ikke, da Finanstilsynet var på besøg i 2013.

»For visse af instituttets betalingsformidlingsprodukter gælder, at procedurer for kundelegitimation først er iværksat i begyndelsen af 2013, hvilket Finanstilsynet har påtalt. For andre produkter gælder, at procedurer for kundelegitimation ikke er iværksat endnu,« skrev Finanstilsynet i sin offentlige afrapportering.

Resultatet var, at ’et betydeligt antal’ kunder dengang ikke havde vist tilstrækkelig legitimation, og Nets fik derfor et påbud om at bringe det i orden inden for en frist, som ikke bliver oplyst.

Ud over at have styr på, hvem der overfører penge via Nets, skal Nets ifølge reglerne også overvåge, om der er mistænkelige transaktioner. Det havde Nets heller ikke styr på.

»Det er Finanstilsynets vurdering, at instituttet ikke har indført procedurer specifikt med henblik på opfyldelse af hvidvasklovens krav om overvågning af kundetransaktioner, opmærksomheds-, undersøgelses- og indberetningspligt. Finanstilsynet har derfor påbudt instituttet at indføre tilstrækkelige procedurer på dette område,« skrev Finanstilsynet.

Og der var mere kritik dengang af Nets, som heller ikke havde en korrekt forretningsgang på hvidvaskområdet:

»Finanstilsynet har herudover påbudt instituttet at udarbejde tilstrækkelige skriftlige interne regler på hvidvaskområdet, idet den eksisterende forretningsgang er behæftet med mangler. Endvidere har instituttet fået påbud om at gennemføre tilstrækkelige procedurer for undervisning af relevante medarbejdere på hvidvaskområdet.«

Finanstilsynet har fået kritik for ikke at have ført tilsyn med Nets i fire år, hvilket er korrekt, hvis man ser på Nets rolle som datacentral og ikke den nye, supplerende rolle som betalingsinstitut.