Monthly Archives: November 2013

NSA lytter med på den interne trafik mellem datacentrene hos giganter som Google og Yahoo, kom det frem i oktober, via et af de utallige dokumenter, som whistlebloweren Edward Snowden har lækket fra NSA.

Men i fremtiden bliver det sværere for spiontjenesten at bruge den metode, for it-firmaerne slår igen ved at kryptere deres interne trafik, der tidligere var ukrypteret, fordi den løb i helt lukkede netværk.

Yahoo melder nu ud, at der i løbet af første kvartal 2014 vil blive indført 2048-bits kryptering på trafikken mellem datacentrene. Det skriver Yahoo-topchef Marissa Mayer i et blogindlæg.

Brugerne vil også få mulighed for at kryptere trafikken fra deres maskine til Yahoos servere via SSL og 2048-bit-kryptering, ligesom alle andre udbydere af Yahoos e-mail-tjeneste vil få SSL-kryptering som standard.

Google har allerede meldt ud om lignende tiltag, og har siden 2011 haft SSL-kryptering slået til som standard for Gmail-brugerne. Den tredje store spiller, Microsoft, har omvendt ikke valgt endnu at få krypteret Hotmail-brugernes trafik som standard, men overvejer mulighederne.

Afsløringen af NSA’s Muscular-program viste, at den amerikanske efterretningstjenste i samarbejde med de britiske kolleger i GCHQ indsamlede enorme mængder intern trafik fra de store it-firmaer ved at lytte med på de private fiberforbindelser, der går mellem datacentrene.

Dermed kunne NSA opbygge en kopi af for eksempel Googles databaser med brugerens data. Det var i hvert fald tydeligvis ikke målrettede punktoperationer, for aflytningen af it-firmaernes interne trafik gjorde på et tidspunkt Yahoo til NSA’s største enkeltkilde til indsamlede data.

Med digitale valglister skulle køerne ved valgstederne blive kortere, fordi vælgerne kan bruge alle valgbordene i stedet for ét bestemt.

Men ved dagens kommunal- og regionsvalg er situationen flere steder i København og Region Hovedstaden den modsatte. Nedbrud i it-systemet bag digitale valglister skaber meget lange køer. Det skriver Computerworld.dk.

Danmarks Radio oplyser at flere kommuner melder om nedbrud. Herunder Sengeløse, Høje Taastrup og ved Islands Brygge og Nyboderskole i København. Oplysningerne stammer fra Borgerservice.i Københavns Kommune. Også en hel del Twitter-beskeder fra vælgerne bekræfter, at folk ved valgstedet på Islands Brygge må opgive at stemme, fordi køen er blevet uoverskueligt lang.

To ud af tre kommuner har købt KMD’s digitale valglister, som blev brugt første gang i 2005. Der har også tidligere været problemer med systemet, og KMD har derfor forsøgt at finpudse koden yderligere.

KMD har ikke modtaget besked om problemerne, fortæller it-firmaet, som ikke kan afvise, at der kan have været opstartsproblemer nogle steder. Går systemet ned, er fall-back-løsningen at skifte til analog vælgerregistrering med papir.

Ifølge Dr.dk er det netop, hvad der er sket på valgstederne. I Sengeløse blev valghandlingen således stoppet i 32 minutter, mens de valgtilforordnede gjorde det gamle system klar.

Version2 forsøger at få en forklaring på de tekniske problemer fra KMD.

Der er ikke mange valgmuligheder, hvis man gerne vil købe en bærbar computer, som er født med Linux. Men Dell udvider nu udvalget i den Linux-udstyrede Sputnik-serie med en luksusmodel.

Den nye XPS 13 Developer Edition, som maskinen er døbt, er en 13,3-tommers computer på kun 1,36 kilogram og 18 millimeter i højden. Touch-skærmen har fuld HD-opløsning, og processoren er en Core i7 fra Intels nyeste generation, Haswell, der bruger væsentligt mindre energi end forgængerne.

Styresystemet er det halvandet år gamle Ubuntu 12.04, altså den seneste udgave med langtidssupport, og der er installeret en række udviklerværktøjer som standard. Der er SSD som standard, og det giver i kombination med Linux en boot-tid på 12 sekunder fra helt kold. Fra dvale tager det højst fem sekunder at komme i gang, oplyser Dell.

Prisen er ikke oplyst for danske kunder, men i USA står den til knap 7.000 kroner i listepris, hvilket så skal tillægges dansk moms plus det løse.

Tor-netværket giver med hjælp fra stærk kryptering og et lag af proxy-servere fuld anonymitet på nettet, hvilket også bliver brugt af dem med mindre rene hensigter.

Derfor arbejder Europas fælles politi, Europol, på fuld kraft for at kunne bryde krypteringen i Tor, så agenterne kan overvåge og sætte en stopper for ulovlig aktivitet på nettet.

Det fortæller Troels Ørting, leder af Europols afdeling for cyberkriminalitet, EC3, til Politiken.

»Vi kan ikke trænge igennem krypteringen i øjeblikket, men det arbejder vi på livet løs på. Det er bare ikke lykkedes endnu«, siger Troels Ørting til avisen.

Han understreger, at al overvågning af Tor-netværket vil kræve en dommerkendelse og begrundet mistanke, hvis altså politifolkene får held med at bryde krypteringen.

Tidligere har danske politikere luftet tanken om, at man kunne blokere for befolkningens adgang til Tor, netop for at stoppe de Tor-brugere, som bruger det digitale skjulested til kriminel aktivitet. Det forslag faldt dog ikke i god jord blandt Version2′s læsere.

EC3-lederen erkender, at det ikke er muligt at blokere for brugen af Tor, men han så gerne, at det blev ulovligt at skjule sin færden på nettet med Tor.

I både England og Rusland arbejder myndighederne i øvrigt på at blokere for eller fjerne anonymiteten i Tor-netværket. I England er begrundelsen, at Tor bliver brugt til at distribuere børneporno.

Troels Ørting fortæller også, at afsløringerne af NSA’s massive overvågning af internettet har været til stor gene for politiarbejdet på nettet, fordi mange flere end før nu er begyndt at kryptere deres kommunikation.

Valg med papir og blyant er ret simple: Man får udleveret en stemmeseddel, sætter et (og kun et) kryds og lægger stemmesedlen i en valgurne. I aften bliver stemmesedlerne sorteret efter hvilken liste der er blevet stemt på og hver liste får et antal mandater i forhold til hvor stor andel af stemmerne de har fået. Hele processen bliver overvåget af politisk interesserede borgere.

Det mest mystiske er den præcise fordeling af mandater. At snyde effektivt kræver en konspiration mellem flere valgtilforordnede.

Digitale valg er alt andet end simple. Det kræver at vi indføre noget hardware, der skal være tilpas sikkert. Vi skal bruge noget software der er fejlfri og noget kryptering der kræver anvendelse af højere matematik. Hele processen overvåges af, ja, hvem ved?

Der er ikke noget i den process der ikke kræver dyb indsigt for at gennemskue og der er rig mulighed for at skjule systematisk valgsnyd.

Prisen for digitale valg er at den normale borger ikke længere kan gennemskue processen. Jeg tror ikke engang at der er mange IT-folk der har kompetance til at opnå den fulde indsigt i et sikkert digitalt valgsystem.

Valg med papir og blyant er ikke perfekte. Der er helt klart et problem med tilgængelighed og for brevstemmer er der en reel risiko for at de bliver væk. Selv kunne jeg også godt tænke mig en noget mere udtryksfuld måde at stemme på, men det vil komplicere optællingen betragteligt.

Er vi virkelig villige til at betale prisen for digitale valg for at løse disse problemer? Er digitale valg virkelig den rigtige løsning på de reelle problemer ved papirsvalg?

Tilgængelighed er et reelt problem, men lad os løse det specifikke problem i stedet for at revolutionere en ellers velfungerende process. Kære interesseorgansiationer inden for tilgængelighed: Vi vil gerne hjælpe jer, men skal vi ikke lige tænke inden for boksen for en gangs skyld?

God valgdag, husk at stemme!

Udvikling af applikationer på tværs af platforme har altid givet problemer, og det er i disse år mest tydeligt på mobilfronten. Det forsøger firmaet bag det gamle værktøj til udvikling af Windows-applikationer, Delphi, nu at rette op på ved at genopfinde Delphi til mobiludviklere.

Udviklingsværktøjet Delphi er for de fleste nok synonymt med udvikling af applikationer til Windows, og de fleste vil også nok mene, at Delphis storhedstid er forbi. Nu forsøger Embarcadero, som i dag ejer Delphi, at relancere Delphi som værktøj til udvikling af mobilapplikationer på tværs af iOS og Android.

»Delphi er et gammel sprog, men det har udviklet sig, så det også har de funktioner, man finder i Java og .Net, så vi er ikke bagefter,« siger produktchef for Delphi, Marco Cantu, fra Embarcadero til Version2.

Delphi er et integreret udviklingsmiljø, som benytter Objective Pascal, og værktøjet blev oprindeligt udviklet under ledelse af danske Anders Hejlsberg i hans tid i Borland.

Værktøjet var ligesom andre af Borlands værktøjer kendt for at være bygget op om at udvikle applikationer ud fra applikationens grafiske brugerflade, hvor værktøjet hjalp udvikleren med at definere meget af den bagvedliggende kode.

Samtidig var Pascal på daværende tidspunkt i 1990′erne ét af de sprog, som mange dataloger og selvlærte programmører havde lært på deres uddannelser, så springet til Delphis variant af Pascal var forholdsvis kort.

Der findes i dag stadig virksomheder, som især i interne udviklingsafdelinger benytter Delphi til Windows-applikationer. Det er især dem, Embarcadero nu vil have fat i med Delphi til mobiludvikling.

»Det er forretningsapplikationer, hvor du kan bygge en grafisk brugerflade. Vi arbejder med visuel udvikling, så du hurtigt kan bygge en prototype,« siger Marco Cantu.

Det er der også andre værktøjer, som eksempelvis Delphis store konkurrent på Windows-markedet, Microsofts Visual Studio, som kan, men ifølge Marco Cantu satser Embarcadero på, at Delphis mulighed for udvikling på tværs af styresystemer vil gøre Delphi interessant til mobil-app-udvikling.

Tidligere i år lancerede Embarcadero en version af Delphi, som kunne bruges til at lave apps til Apples iOS. Nu er værktøjet blevet udvidet, så det også kan bruges til Android-applikationer.

Delphi til mobile apps benytter sig af en compiler, som bygger på den åbne LLVM-arkitektur. Det betyder også, at Delphi-applikationer til Android er oversat til maskinkode.

Oven på compileren benytter Delphi sig af sin egen grænseflade-platform, som i princippet virker på tværs af både Android og iOS.

»Der er dog nogle forskelle, som udviklerne er nødt til at håndtere forskelligt. Eksempelvis måden hvorpå en tilbage-knap er implementeret i iOS og Android,« siger Marco Cantu.

Visuelt vil der også være forskelle, ligesom der kan være forskellige skærmopløsninger, som der skal tages hensyn til. Det mener Marco Cantu dog ikke er et stort problem til forretningsapplikationer.

»Jeg tror ikke, det er nødvendigt med pixel-præcision i brugerfladen til forretningsapplikationer. Det er noget andet, hvis det er en applikation, du har tænkt dig at sælge i AppStore,« siger Marco Cantu.

Den åbenlyse hindring for Delphi som mobiludviklingsværktøj er programmeringssproget, som for udviklere uden for det etablerede Delphi-miljø næppe er det indlysende valg.

»Sproget er da en faktor, men der var også mange udviklere, som tog Objective C til sig til iOS, fordi det var det sprog, der var tilgængeligt. Lige nu understøtter vi kun Delphi, men i løbet af de næste måneder vil vi også udvide med C++,« fortæller Marco Cantu.

Udviklerne kan lige nu vælge mellem flere forskellige Android-telefoner og iOs-enheder, når de skal prøvekøre applikationerne på virtuelle maskiner, ligesom det er muligt at overføre applikationer til udvikler-hardware. Ud over standardudgaven af Android, understøtter Delphi også Amazons variant.

»Vi har en platform, som gør det relativt let for os at komme over på nye mobilplatforme. Og vi har set, hvordan en ny platform kan tage over relativt hurtigt i løbet af et par år. Så vi overvejer andre platforme og overvejer eksempelvis WinRT og Windows Phone,« siger Marco Cantu.

En udfordring for Delphi på mobilfronten er, at der findes en række værktøjer, som er næsten gratis for individuelle udviklere eller studerende, mens Delphi til sammenligning har en forholdsvis høj licenspris.

»Vi kan ikke tilbyde gratis værktøjer, men vi prøver at gøre vores tilbud mere fleksible ved eksempelvis at tilbyde et værktøj kun til iOS. Men vi tror, at i en virksomhed, vil besparelsen ved kun at have ét udviklerhold, være prisen værd. Vi arbejder også med universiteter for at få dem til at overveje Objective Pascal. Der er flere, som har foreslået, at studerende ikke bør lære C# eller Java som deres første sprog, og Pascal var en gang populært til undervisning,« siger Marco Cantu.

»Vi vil udnytte det, vi er gode til, nemlig at bygge brugerflader, og så med 2-3 linjers kode at få noget til at køre,« siger Marco Cantu.

Det er ikke noget, der bliver fremhævet på salgsæsken, når du køber en ny telefon, men alle smartphones kommer faktisk med to styresystemer. Det ene tager sig af al interaktion med brugeren, og du kender det formentlig i forvejen som enten iOS eller Android.

Det andet kender de fleste til gengæld ikke så meget til. Styresystemet er et såkaldt RTOS (Real-time Operating System), der kører på telefonens baseband-processor og er dedikeret til at afvikle telefon-funktionaliteten i smartphones.

Rasmus Villefrance er leder af smartgrid forskningsplatformen iPower på DTU og tidligere udvikler hos Nokia, hvor han også var leder af afdelingen for Modem SW verifikation.

»En smartphone er i bund og grund en computer, hvor der i et hjørne er installeret en lille device driver, som indeholder en komplet gammeldags mobiltelefon med alle de funktionaliteter, der for eksempel var i en Nokia 3310,« siger Rasmus Villefrance til Version2.

Ingen certifikater

Selvom baseband-chippen udgør hjertet i det, der gør en smartphone til en telefon, er det langtfra alle, der overhovedet er klar over, at chippen eksisterer, og det er nok de færreste, der ved, hvordan den fungerer.

»Ud over at en baseband chip er GSM- og 3G-certificeret, er der ingen steder, hvor man ikke læse sig til, hvad det er, chippen kan, og hvordan den virker. Selvom der er masser af høje sikkerhedskrav til mobiltelefoner, er RTOS-systemet simpelthen ikke på nogens radar,« siger Rasmus Villefrance til Version2.

Rasmus Villefrance pointerer, at selvom et system som Android er sat op til at beskytte på system-niveau, har platformen ingen råderet over RTOS’et, hvilket åbner for muligheden for at skyde kommandoer ind via mobilnettet og eksempelvis overvåge al radiokommunikation.

»Der kan være 10.000 bugs i det her software, som kan udnyttes til for eksempel at køre ‘remote procedure calls’, hvis nogen skulle finde svaghederne. Hvad værre er: Eventuelle fejl bliver meget sjældent rettet, når først et device er på gaden,« siger Rasmus Villefrance til Version2.

Ikke en direkte vej

Hacking af mobiltelefonernes RTOS er dog ikke det rene barnemad. Det kræver udstyr, der kan efterligne en basestation og forholdsvis stor indsigt i de enkelte chipsets og deres firmware. Rasmus Villefrance påpeger også, at vejen ind gennem baseband-processoren langtfra er den letteste for uvedkommende.

»Jeg er sikker på, at efterretningstjenester som NSA kender til denne slags svagheder, men jeg tror ikke, de udnytter det, for der findes meget nemmere måder at overvåge på. Det er forholdsvis kompliceret at komme ind i maven på en device driver, for du skal kende til den konkrete kode, du angriber,« siger Rasmus Villefrance til Version2.

Kreative hackere skal altså have konkret viden om systemets opbygning og omfattende ressourcer, hvis de vil finde ind via telefonens baseband-processor. Den type af hacking er nok ikke for de fleste, men ifølge Rasmus Villefrance ændrer det ikke ved problemet: Ingen vurderer trusselsniveauet for RTOS-systemerne.

»Det her med datasikkerhed bliver grundlæggende drevet af de kommercielle interesser, som især producenterne har, og her er der altså ingen, der har nogle interesser i at forsikre sikkerheden af de her RTOS-systemer,« siger han til Version2.