Monthly Archives: December 2013

Googles nye privatlivspolitik, som blev indført i 2012, er blevet mødt med kritik i en række europæiske lande, og Spanien har som det første af seks lande svunget bødehammeren over internetgiganten. Det skriver The Guardian.

Bøden lyder på i alt 6,7 millioner kroner, og Google vil nu granske afgørelsen fra det spanske datatilsyn, før selskabet tager stilling til, hvad der nu skal ske.

De spanske myndigheder har blandt andet fundet det ulovligt, at Google ikke informerer brugerne tilstrækkeligt eller præcist nok om, at Googles systemer gennemsøger alle e-mails for at bruge informationen til at vise målrettede reklamer.

Samtidig har Google brudt loven ved at anvende de indsamlede data til uspecificerede formål på ubestemt tid, mens brugerne ikke har haft mulighed for slette eller tilgå deres data.

Ud over Spanien har også Holland og Frankrig lignende undersøgelser i gang mod Google, efter Google indførte de nye regler på tværs af alle internetgigantens tjenester, som omfatter blandt andet Gmail, Youtube og søgemaskinen Google.

Facebook har gjort det, og nu ser det ud til, at mange andre udviklere er på vej til at gøre det samme. Opbakningen bag HTML5 til mobile apps er faldet til det laveste niveau nogensinde ifølge en undersøgelse blandt mobiludviklere udarbejdet af Appcelerator og analysefirmaet IDC.

HTML5 blev ellers udpeget til at være løsningen på problemet med at skulle lave versioner af mobile apps til flere platforme, fordi det ville gøre det lettere at genbruge store dele af kildekoden.

Men nu er opbakningen faldet fra, at knapt 73 procent af udviklerne var meget interesserede i at benytte HTML5 i juli 2012 til nu knapt 60 procent, hvilket er det laveste siden april 2011, hvor IDC og Appcelerator første gang spurgte til HTML5.

Facebook valgte i år at gå væk fra HTML5 og i stedet lave mobilapplikationer, som blev udviklet specifikt til hver platform. Årsagen var dårlig ydelse i applikationerne på de platforme, hvor Facebook brugte HTML5, og hvor Facebook har opnået bedre resultater med at programmere i platformenes egne sprog.

De mest populære mobile platforme blandt udviklerne er fortsat Apples iPhone og iPad, som dog også er faldende, mens Android-telefoner er på vej op igen efter et kraftigt dyk i 2012.

HTML5 har trods faldet stadig større interesse blandt udviklerne end Windows Phone og Windows-tablets. Blandt de nye platforme er der især stigende interesse for Samsung og Intels Tizen-platform.

Carlsberg blev tørlagt for julebryg allerede tidligt i december, så butikkerne ikke har kunnet få nye forsyninger. Især Carlsbergs specielle juleøl fra Jacobsen og Semper Ardens blev udsolgt tidligere end forventet.

Det til trods for, at Carlsberg benytter et stort business intelligence-system baseret på SAP APO til at lave prognoser for, hvor meget øl der skal brygges.

»Det har været svært denne gang, fordi vi har været i en konflikt med Coop, som er én af vores største kunder,« forklarer logistikdirektør Thomas Panteli fra Carlsberg til Version2.

Carlsberg laver sine prognoser for ølsalget ud fra blandt andet tidligere salgstal samt de tilbudskampagner, der er planlagt med butikskæderne. Og netop det sidste har altså været en medvirkende faktor til, at Carlsberg har undervurderet salget af julebryg.

»Vi arbejder ekstremt systematisk med prognoser. Vi har en baseline, som er baseret på historikken, og så lægger vi kampagner ind med det volumen, vi har aftalt med de enkelte kæder,« siger Thomas Panteli.

Konflikten med Coop var dog ikke den eneste uforudsete faktor, som snød Carlsbergs prognose.

»Vi ser et skift i forbrugernes adfærd, hvor der er en stigning i efterspørgslen på specialøl. Samtidig havde vi et nyt produkt, Jacobsen Julebock, der vandt en test i ét af formiddagsbladene. Det er tricky, når vi har et nyt produkt, som vi ikke har nogen reference for,« fortæller Thomas Panteli.

Carlsbergs prognoser laves 12 uger forud, og det inkluderer også andre typer data, som eksempelvis vejret, der kan have stor indvirkning på salget om sommeren.

»Vi har flere vejrmodeller, hvor vi ser på en 4-12 ugers horisont. Et produkt som Coca-Cola, som vi også producerer, er endnu mere vejrfølsomt end ølsalget,« siger Thomas Panteli.

Det er i øvrigt ikke usædvanligt, at Carlsberg løber tør for årets produktion af julebryg inden selve juledagene er begyndt.

»Det er lidt som at sælge juletræer. Det er ikke et rasende relevant produkt i januar, så det giver ikke mening at skubbe ekstra produktion ud tæt på jul. Vi er gået lidt tidligt ud af visse varianter, men ellers er vi ganske tilfredse,« siger Thomas Panteli.

Både øl og sodavand har begrænset holdbarhed på hylderne, så derfor vil Carlsberg hellere skyde lidt under end over i prognoserne.

De mange usikkerheder i årets salg af julebryg kommer også til at få konsekvenser for produktionen af julebryg til julen 2014.

»Det bliver lidt tricky at lave prognosen næste år. Vi må prøve at beregne, hvad vi mistede af volumen fra Coop, hvor vi måske så solgte lidt ekstra gennem Dansk Supermarked. Der må vi prøve at give vores bedste bud,« siger Thomas Panteli.

Den modificerede Android-udgave, CyanogenMod, får nu 125 millioner kroner til at gøre det lettere for brugerne at udskifte telefonproducenternes Android-versioner med CyanogenMod. Det skriver The Verge.

CyanogenMod har 11 millioner daglige brugere, men lige nu kræver det op mod 23 trin at udskifte den Android-version, telefonen er født med, med CyanogenMods version.

CyanogenMod er især populær blandt brugere af Android-enheder, som er utilfredse med, at der er for meget unødvendigt fyld i de Android-versioner, der ligger på telefonerne, og blandt brugere, hvor telefonproducenterne ikke længere leverer opdateringer.

For visse modeller af smartphones holder producenterne op med at levere nye opdateringer, inden telefonen er to år gammel, og ved at skifte til CyanogenMod kan man i stedet få opdateringer derfra.

CyanogenMod kan imidlertid ikke distribueres sammen med Googles Android-applikationer som Gmail og Maps på grund af Googles licensbetingelser. Samtidig har CyanogenMod måttet fjerne en applikation i Google Play-butikken, som ellers gjorde det lettere at installere CyanogenMod, fordi den krænkede Googles betingelser.

De 125 millioner kroner til CyanogenMod skal bruges på at udvide udviklerholdet bag Android-modifikationen med yderligere 40-50 medarbejdere fra i dag blot 20. Det skal gøre det muligt at få skabt en enkel installationsmetode, som ikke krænker Googles regler.

Den fælles europæiske patentdomstol bliver nu et spørgsmål for danskerne, når den kommer til folkeafstemning den 25. maj. Det oplyste statsministeren torsdag aften.

Flere af regeringens ministre kritiserer, at Enhedslisten og Dansk Folkeparti ikke vil stemme for patentdomstolen.

»Jeg har i dag haft drøftelser med Folketingets partier. Jeg må desværre konstatere, at Dansk Folkeparti og Enhedslisten ikke ønsker at stemme for lovforslaget. Jeg havde håbet, at vi kunne finde en løsning i Folketinget, men med disse tilbagemeldinger er det ikke muligt at samle fem sjettedeles flertal for lovforslaget, som grundloven kræver,« siger erhvervs- og vækstminister Henrik Sass-Larsen (S) i en pressemeddelelse.

Fem sjettedele af Folketinget er nødvendigt for at vedtage forslaget uden en folkeafstemning, da Justitsministeriet har vurderet, at Danmark afgiver suverænitet ved at tilslutte sig domstolen.

»Det her handler grundlæggende om at sikre vores arbejdspladser i Danmark. Patentdomstolen vil gøre det nemmere og billigere at beskytte de ideer danske virksomheder får, og som bliver til arbejdspladser her i landet. Det er også derfor, at både fagbevægelsen og erhvervslivet klart støtter en fælles patentdomstol,« siger handels- og europaminister Nick Hækkerup (S) i pressemeddelelsen.

Formålet med en fælles europæisk patentdomstol er at gøre det enklere at få og håndhæve et patent i EU. Kritikere af aftalen peger på, at patentet først og fremmest bliver enklere for de store virksomheder, der kan navigere i EU-systemet.

»Danske virksomheder vil kunne tage EU-patenter ligesom andre europæiske og amerikanske virksomheder vil kunne, ligegyldigt om vi er med eller ej. Den eneste forskel er, at de så også skal tage et dansk patent derudover. Dansk tilslutning til EU-patentdomstolen vil føre til pres på små og mellemstore virksomheder fra store koncerner og patentadvokater, særligt fordi man mister muligheden for at gå til danske domstole, hvis vi går med,« siger EU-ordfører for Enhedslisten, Nikolaj Villumsen, til Ritzau.

Flere kommuner har ytret ønske om at tilbyde gratis internet til borgere og turister. Albertslund har et forslag om kommunalt udbudt wifi til behandling i statsforvaltningen, og Frederiksberg kommune arbejder i skrivende stund på et lignende.

Men det er en rigtig dårlig ide, mener Jakob Willer, der er direktør i teleselskabernes brancheorganisation Teleindustrien.

»Det er en helt skæv udvikling. Hvis kommunerne skal til at ligge i konkurrence med teleselskaberne, vil det rode fuldstændigt op i den måde, som vi har etableret digital infrastruktur i Danmark på«, siger Jakob Willer til Version2.

Flere kommuner på vej

Line Markert er juniorpartner i advokatfirmaet Horten, der har mange af landes kommuner på klientlisten. Og hun mener, at der er endnu flere, der er interesserede i kommunalt finansieret wifi

»Jeg har drøftet konkrete tanker med fem-ti kommuner, og de taler så med andre kommuner. Vores vurdering er at 25-30 procent af kommunerne er interesserede i dette her«, siger Line Markert til Version2.

I 2009 vurderede statsforvaltningen at gratis wifi fra kommunen var i strid med loven med en henvisning til, at det vil være konkurrenceforvridende. Men den vurdering håber flere kommuner altså nu at gøre op med eller komme uden om.

I Albertslund kommune er planerne om gratis wifi baseret på en overskudskapacitet fra et fibernet, som kommunen alligevel vil rulle ud til anden brug. Niels Carsten Bluhme er direktør for miljø- og teknikforvaltningen i Albertslund kommune. Og han mener ikke, at teleselskaberne har noget at frygte.

»Det kan slet ikke måle sig med det, som teleselskaberne leverer. Vi snakker om en relativt svag kapacitet omkring byrum, der vil kunne bruges til at læse et par mails eller andet. Vi forsøger ikke at konkurrere med teleselskaberne«, siger Niels Carsten Bluhme til Version2.

Men hos Teleindustrien køber man ikke argumentet om, at kommunerne ikke vil konkurrere med branchen.

»Det argument tror jeg ikke på. Disse her kommuner vil tilbyde gratis wififorbindelser. Hvis det ikke er direkte konkurrence med teleselskaberne, så ved jeg ikke, hvad det er«, siger Direktør Jakob Willer.

Kommuner sidder på hænderne

Teleindustrien og IT-Branchen har i et høringssvar til statsforvaltningen meldt ud, at man bør stå fast på, at kommunalt finansieret wifi er ulovligt og konkurrenceforvridende. Albertslund kommune skal kommentere på det i januar måned, og først derefter vil statsforvaltningen gå videre med sagen.

Og advokat Line Markert vurderer, at sagen vil få betydning for de planer, som andre kommuner eventuelt går rundt med.

»Der er jo en del kommuner der sidder på hænderne. Blandt andet fordi, at der har været så meget medie omtale på dem, der har forsøgt sig. Så vil man hellere lade andre stikke næsen frem, og så afventer man, hvordan det går«, siger Line Markert til Version2.

Ifølge Version2s oplysninger vil Frederiksberg kommune søge om tilladelse til at udbyde gratis wifi i 2014.

Før i tiden holdt hackerne hånden over Linux-installationer. Der var nemlig ingen prestige i at hacke dem, for de blev primært brugt af ”the good guys”, og ikke de store ”corporate guys”. Sådan hænger det ikke sammen i dag. Linux er ikke længere forbeholdt de såkaldte ”good guys”, men ses rundt om i alle typer virksomheder, og det betyder, at også Linux-servere er blevet mål for hackeraktiviteter.

Det handler ikke længere kun om prestige

Ud over at Linux er blevet hvermandseje, har motiverne for hacking ændret sig. I dag handler det ikke (kun) om at vise, hvor dygtig eller snedig man er. Hacking er blevet en kynisk industri, hvor de internetkriminelle skal skaffe data så hurtigt som muligt. Det betyder, at hackerne gerne springer ind, der hvor der står et vindue på klem, og det gør der ofte i miljøer, hvor Linux bliver nedprioriteret.

Så har vi forresten også lidt Linux …

Når man ikke har valgt Linux som standardplatform, men alligevel får en applikation leveret, som skal køre på Linux, ender det ofte med, at installationerne bliver behandlet sådan lidt ”nå ja, og så har vi forresten også lidt Linux”. Det er ofte de Linux-servere, der er i dårlig sikkerhedsmæssig stand!

Når platformen bliver presset lidt ned over hovedet på én, og den måske ikke helt passer sammen med eksempelvis en Microsoft-strategi, ser jeg desværre ofte, at der slet ikke bliver taget ansvar for drift og sikkerhed. Og når platformen ikke bliver behandlet på samme måde som den primære platform (som sikkert bliver puslet om hver dag) er der langt flere måder, hackerne kan komme ind på.

Det er jo ikke, fordi virksomheder generelt er ligeglade med sikkerhed

De fleste virksomheder har helt styr på sikkerheden, når det gælder deres Microsoft-miljøer. Men dem har de selvfølgelig også arbejdet med igennem en årrække. Du får desuden rigtig meget sikkerhed foræret hos Microsoft, både i form af sikkerhedspatches og databaser over kendte certifikater. Der findes også sikkerhedspatches til Linux, men hvis de ikke bliver hentet, hjælper de jo ikke så meget.

Luk sikkerhedshullerne, før du får besøg!

Det er besynderligt, at de her problemer overhovedet er derude, for det er faktisk relativt nemt at lukke sikkerhedshullerne. Hvis du bare har procedurerne på plads, i forhold til hvordan du tilføjer sikkerhedspatches, er systemet ikke længere så sårbart. Der findes oven i købet management-værktøjer som Red Hat og Suse Manager, som automatisk sørger for at vedligeholde dine Linux-sikkerhedspatches og/eller giver det nødvendige overblik over sikkerhedssituationen på serverne. Så egentlig er det bare om at komme i gang, for det kan overhovedet ikke betale sig at lade være med at passe godt på alle serverne – også dem, der gemmer sig i en lidt overset niche og lukker fremmede ind ad bagvejen.

Bag dagens låge i gadget-kalenderen finder man en gave i den dyre ende. Til gengæld er ydeevnen også derefter.

Den nye Mac Pro er baseret på de nyeste Xeon E5 processorer fra Intel, og der er plads til op til 12 processorkerner på hver 2,7 gigahertz. Maskinen kan bestykkes med op til 64 GB DDR hukommelse, der kører på 1866 MHz, og som lagerplads kan man vælge en SSD på mellem 256 GB og 1 TB – så skulle der også være plads nok.

Der burde heller ikke være den grafik-opgave, som ikke kan overkommes på Mac Pro. Der er to grafikprocessorer, og de er begge af typen AMD Firepro workstation class, med op til 6 GB RAM på hver. Kort fortalt bør det være muligt at undgå den multifarvede paraply, også ved tunge opgaver.

På designsiden er Mac Pro også ret unik. Det lille computerkraftværk er pakket ind i en metallisk sort cylinderform, og med en højde på 25 cm og en diameter på 16,7 cm fylder den ikke meget i (kontor)landskabet.

Mac Pro har fire USB 3.0-porte, seks Thunderbolt 2-porte, HDMI og Ethernet-udgang. Og så understøtter den brug af tre 4K-skærme på samme tid.

Til superbrugeren

Som du kan læse, så har Apple ikke sparet på teknologien, der er stoppet ind i deres nyeste maskine. Og der desværre også et prisskilt, der matcher de flotte specifikationer. Man kan selv konfigurere sin computer på Apples hjemmeside, så prisen kan variere en del. Men med en 4K-skærm fra Sharp og uden præinstalleret software kom Version2s ønske-mac til at koste over 108.000 kroner. Glædelig jul.

Version2 blogger Kræn Hansen har opdaget et sikkerhedshul på hjemmesiden for CVR-registeret, cvr.dk, som Erhvervsstyrelsen står bag. Der er tale om et persistent cross-site-scripting hul, som gør det muligt for en angriber at få siden til at køre javascript, hvis angriberen opretter en virksomhed.

Kræn Hansen, der til dagligt læser Computer Science på DTU, fandt ud af, at hvis der bliver sat særlig HTML-kode ind i et adressefelt i forbindelse med oprettelsen af en virksomhed på cvr.dk, så er det muligt at hive javascript ind på siden fra et eksternt site. Og ad den vej har det været muligt at præsentere vilkårligt indhold på cvr.dk.

»Det er jo et spørgsmål om at en ondsindet person vil kunne mistbruge den tilid, som folk lægger i de data, som cvr.dk præsenterer,« siger Kræn Hansen.

Et cross-site-scripting angreb kan fungere ved, at en ondsindet person lokker et offer til at klikke på et særligt udført link, der præsenterer ofret for angriberens indhold på en hjemmeside, som angriberen ikke ellers har kontrol over. På den måde kan det se ud som om, det er personen eller organisationen bag hjemmesiden, der er afsender på indholdet.

Persistent cross-site-scripting

Den angrebsvektor, Kræn Hansen er faldet over, er dog på sin vis værre.

For her er der som nævnt tale om et persistent cross-site-scripting angreb. Det persistente består i, at en angriber ikke længere behøver lokke et offer til at klikke på et særligt link, da den ondsindede kode bliver lagret i CVR-registrets database, og dermed automatisk hentet frem, når en bruger besøger siden.

Som Kræn Hansen beskriver i sit blogindlæg, kan det foregå ved, at angriberen opretter en virksomhed på cvr.dk og indtaster HMTL-koden, der hiver javascript ind på siden, i et adresse-felt. Fremover vil alle, der besøger siden med virksomheden, enten ved selv at søge sig frem til den, eller ved at klikke på et direkte link til den, blive præsenteret for en side under cvr.dk, hvor en angriber har fuldstændigt kontrol over indholdet.

Og Kræn Hansen kan sagtens komme i tanke om, hvordan det vil kunne misbruges. Eksempelvis i forhold til antallet af ansatte og dermed virksomheden størrelse, som via cross-site-scriptet vil kunne manipuleres på cvr.dk, hvilket i sidste ende kunne påvirke sådan noget som investeringslysten i virksomheden.

»Det er noget der bliver trukket fra Skat og så videre, det er ikke data, man normalt har skriverettighed til, men det er noget, jeg kan ændre alligevel, når jeg overtager den del af websitet,« siger han.

Kræn Hansen har, som en god whitehat-hacker jo gør, rettet henvendelse til Erhvervsstyrelsen, inden han gik ud med oplysningerne om den potentielle angrebsmulighed. Og det potentielle sikkerhedshul er nu lukket.

Erhvervsstyrelsen er taknemmelig

It-chef i Erhvervsstyrelsen Morten Kildevang Jensen beskriver den sårbarhed, som Kræn Hansen fandt frem til, og som nu er lukket, som alvorlig.

»Denne type fejl har meget høj prioritet i Erhvervsstyrelsen og vurderes til at være i kategorien alvorlig, da brugerne skal kunne stole på data såvel som den kanal som udstiller data,« skriver Morten Kildevang Jensen i en mail.

Det er uvist, hvornår fejlen er opstået, men den kan have eksisteret i længere tid, oplyser Morten Kildevang Jensen. Han fortæller, at Erhvervsstyrelsen løbende overvåger tilstanden på alle selvbetjeningsløsninger.

»Men der er altid den mulighed, at brugerne opdager sikkerhedsproblemer inden Erhvervsstyrelsen. Vi er derfor altid interesseret i at høre fra vores brugere, hvis de oplevere situationer, hvor sikkerheden er truet. Generelt er Erhvervsstyrelsen taknemmelige for, at eventuelle sikkerhedsbrister på cvr.dk, indmeldes direkte til Erhvervsstyrelsen, således at eventuelle fejl kan rettes hurtigt – som det er sket i denne sag,« skriver Morten Kildevang Jensen.