Monthly Archives: April 2014

NSA, netneutralitet, Bitcoin. Tre ord, der hyppigt indgår i diskussioner om teknologi og politik. Men det er også tre sikre måder, at få slettet et indlæg på tjenesten Reddit.

Ifølge Dailydot.com er der nemlig en bot på undergruppen r/technology, der sletter alle overskrifter, der indeholder omkring 30 såkaldt »kontroversielle« ord. Blandt andet NSA, netneutralitet og bitcoin, men også Snowden, Obama, SOPA og GCHQ.

En bruger har udfærdiget en fuld liste over ord, der er mistænkeligt fraværende på r/technology, selvom man skulle tro, at de var aktuelle at diskutere for de teknologi-interesserede. En gennemgang af ordenes frekvens på Reddit viser også, at de forsvandt fra sitet fra den ene dag til den anden.

En Reddit-moderator, der går under navnet Agentlame, bekræfter over for Dailydot, at man benytter en bot til automatisk at slette indlæg, der på forskellig vis bryder reglerne, inden de når forsiden.

»Vi har ikke nok aktive moderatorer, og en artikel, der bryder vores regler, kan nå forsiden på mindre end en time. Derfor bruger vi en bot,« skriver Reddit-moderatoren.

R/technology-gruppen har mere end fem millioner abonnenter.

Ikke alene er det tilsyneladende kun trafikselskabet Movias busser, der er ramt af det mystiske nedbrud i rejsekort-systemet, der i dag plager passagerer på Sjælland. Det er også kun et bestemt linjeinterval, der er ramt af fejlen. Nemlig fra og med linje 21 til og med linje 191.

»Tidligere rejsekort-fejl har ramt alle selskaberne mere eller mindre. Det er mærkeligt, at det lige er os, det rammer denne gang. Det er en gåde,« siger markedschef i Movia Søren Englund.

Han har ikke noget bud på, hvad der har foranlediget fejlen, og ej heller, hvorfor det kun er et bestemt linjeinterval, der er berørt af den.

»Det relaterer sig til, at der er faldet nogle data ud. Der mangler nogle data i systemet,« er det eneste, Søren Englund konkret vil sige om fejlen på nuværende tidspunkt.

Fejlen bevirker, at rejsekort-standerne i de af Movias busser, der er ramt, slet ikke fungerer. De kan hverken bruges til check ind eller check ud.

Rejsekort-standere i busser fungerer offline. Det vil sige, at rejsekort-data fra busserne bliver synkroniseret med det bagvedliggende system, når busserne holder i garage – og altså ikke, mens de er på farten. Den fejl, der har ramt Movias busser, er tilsyneladende sket i forlængelse af den seneste synkronisering. Fejlen begyndte at vise sig, efterhånden som busserne forlod garagerne i morges.

Og Søren Englund forventer, at fejlen vil blive løst, efterhånden som busserne kører i garage og bliver synkroniseret igen. Men først klokken 15 i dag, når busserne begynder at køre i garage, er det muligt for Movia at sige med nogenlunde sikkerhed, hvorvidt det nuværende problem vil være løst torsdag morgen.

»Det er med bøjet hoved, at jeg beklager over for kunderne. Vi forventer, det kommer til at fungere igen fra i morgen,« siger Søren Englund.

Kan bevirke strafgebyr til passagerer

Han kan ikke umiddelbart oplyse, hvorvidt der er lys i de fejlramte standere eller ej – både hvad det store blå lys angår og i forhold til de mindre, digitale tekster om check ud og check ind. Søren Englund fortæller, at hvis en check ind-stander ikke virker, så fungerer check ud-standeren i bussen heller ikke.

Så umiddelbart er der ikke i den forbindelse fare for, at passagererne kan checke ind, men ikke ud – og dermed få et strafgebyr for manglende check ud. Men der kan dog godt opstå problemer med manglende check ud alligevel, fortæller Søren Englund. Nemlig hvis en passager rejser med eksempelvis S-tog og skifter til en bus, der er ramt af nedbruddet, og derefter forsøger at checke ud på bussens stander. Så vil check ud ikke blive registreret, og det er ikke sikkert, at passageren bliver opmærksom på, det ikke sker. For den fejlramte stander giver nemlig ingen lyd fra sig, selvom check ud fejler.

På rejsekortets hjemmeside oplyser Movia, at passagerer i de situationer skal henvende sig via en kontaktformular på siden.

De berørte linjer er:
21, 22, 26, 30, 32, 33 ,35, 36, 40, 42, 66, 68, 71, 72, 73, 74, 77, 78, 101A, 102A, 103, 104E, 106, 108, 109, 110R, 116, 117, 118, 119, 120, 123, 127, 128, 130, 132, 133, 134, 135, 137,139, 141, 142, 143, 145, 147, 149, 150S, 151, 152, 153E, 156, 157, 158, 159, 160, 161, 165, 166, 167, 168, 169, 170, 173E, 176, 179, 182, 183, 184, 185, 190, 191.

Sikkerhedshullet i OpenSSL, der går under navnet Heartbleed, har siden sidste uge sat internettet på den anden ende. Hundredetusinder af hjemmesider skal have skiftet sikkerhedscertifikater, og en række værktøjer, egnet til at tjekke, om man er ramt af sårbarheden, er blevet voldsomt populære.

Men ifølge The Guardian skal man ikke føle sig sikker, fordi man er blevet clearet af en af de mange ”Heartbleed-tjekkere”.

»Mange virksomheder kommer til at sige, at de har kørt værktøjet, og at de er sikre, selvom det ikke er tilfældet,« udtaler sikkerhedseksperten Edd Hardy fra konsulentvirksomheden Hut3, der har gået en række af de populære værktøjer efter i sømmene.

Ifølge Hut3 er omkring 95 procent af de tilgængelige værktøjer upålidelige. Det skyldes blandt andet, at værktøjerne har problemer med forskellige versioner af SSL.

De fleste værktøjer tjekker nemlig kun versionen TLSv1.1, og hvis serveren ikke understøtter den version, vil værktøjet cutte forbindelsen eller foreslå en anden version. Men de fejlramte værktøjer tjekker ikke muligheden for andre versioner af SSL og konkluderer blot, at serveren ikke er sårbar.

Mcafee står bag et af de udbredte værktøjer, og virksomheden bekræfter, at der er en fejlrate på omkring 2,8 procent ved brug af deres værktøj, og oplyser, at man løbende forsøger at optimere koden.

Fra sidste år gjorde en tilføjelse i den almene eksamensbekendtgørelse det lovligt for gymnasielever at bruge internettet til skriftlige eksaminer. Men kun specifikke dele af internettet. Gymnasierne skal således stille det, der kaldes ”egne læremidler” til rådighed for eleverne.

Det kan være internetsider, der er blevet brugt i undervisningen – blandt ministeriets egne eksempler er Google eller en specifik side på Studieportalen. Men hvordan skal skolerne administrere, at give eleverne adgang til dele af internettet og samtidig udelukke dem fra at bruge andre dele af nettet til at snyde?

Det er ifølge gymnasielærer Peter Leineweber praktisk umuligt, og han har over for Version2 kaldt det en invitation til snyd og efterspurgt retningslinjer fra Undervisningsministeriet.

Men ifølge ministeriet må skolerne klare sig selv, og det er deres eget ansvar, at stille de krævede hjælpemidler til rådighed, samtidig med at de forhindrer snyd.

»Det er skolernes opgave at sikre, at prøverne afvikles under forhold, der er egnet til at udelukke, at eksaminanderne ikke kommunikerer utilsigtet eller gør andet, end det de må til prøven,« siger undervisningskonsulent Morten Aronsson Olsen til Version2.

Han understreger dog, at skolerne er velkomne til at afbryde internetforbindelsen, hvis de kan stille de pågældende hjælpemidler til rådighed uden internet inden prøven. Ministeriet kommer dog ikke nærmere ind på, hvad skolerne skal gøre, hvis de elektroniske hjælpemidler ikke er mulige at tilvejebringe i fysisk form.

»Det er op til skolerne, hvilke forholdsregler de vil tage – inden for reglerne – for at sikre, at der ikke snydes eller kommunikeres utilsigtet til eksamen. Hvis skolerne ikke vil give adgang til internettet under prøven, så må de stille de godkendte læremidler til rådighed på anden vis forud for prøven.«

Hvad skal skolerne gøre, hvis de ikke kan stille et ”eget læremiddel” – eksempelvis Google – til rådighed uden internetforbindelse?

»Det er en hypotetisk situation, som vi må forholde os til, hvis den kommer. Hvis situationen opstår, og skolerne spørger os, og så vil vi selvfølgelig vurdere den konkrete situation i forhold til, hvad skolerne vil kunne gøre,« siger Morten Aronsson Olsen til Version2.

Har du opbevaret bitcoins hos Mt. Gox og mistet dem alle, da tjenesten lukkede efter et hackerangreb, er chancerne for, at du får dit indestående igen, nu endegyldigt i bund.

Mt. Gox, der før kollapset var en af verdens største bitcoin-børser, har nemlig opgivet at komme på benene igen og har erklæret sig konkurs. Det skriver Wall Street Journal.

I februar gik firmaet i betalingsstandsning, efter at bitcoins for milliarder forsvandt under et hackerangreb – ifølge Mt. Gox selv. Siden har Mt. Gox prøvet at komme med realistiske bud på, hvordan firmaet kunne komme i gang igen, men det har altså vist sig umuligt.

Der var oprindeligt et minus på 2,4 milliarder kroner, efter at alle indeståender forsvandt, men siden er omkring 600 millioner kroner – 200.000 bitcoins – fundet i konkursboet i en gammel fil.

En sidste mulighed er dog stadig i spil for Mt. Gox-tjenesten, nemlig at hele konkursboet bliver købt og genstartet. Spørgsmålet er, om nogen har lyst til at overtage den slags gæld.

Det amerikanske forbundspoliti (FBI) er i fuld gang med at klargøre et nyt, avanceret biometrisk overvågningssystem, som skal være færdigt i løbet af 2015. Men nu er systemet kommet under hård kritik fra flere interesseorganisationer, skriver Jyllands-Posten.

Det nye system er kort fortalt en ansigtsgenkendelsesdatabase, som giver FBI mulighed for at sammenholde billeder fra videoovervågning med billeder fra FBI’s fotoarkiv.

Det gør man ved at skabe en 3D-model af mistænkelige personers ansigter, hvilket gør ansigtet sammenligneligt, hvis det skulle dukke op på en kamera. På den måde er der god mulighed for at søge efter mistænkte på overvågningskameraer.

Projektet er døbt Next Generation Identification (NGI) og skal over tid erstatte strafferegistre og den amerikanske database med fingeraftryk.

Men nu er flere interesseorganisationer bekymret for, at uskyldige ender i FBI’s nye database. Interessegruppen Electronic Frontier Foundation (EFF) har fået aktindsigt i projektet, og det viser sig, at FBI allerede har lagt 16 millioner billeder ind i systemet og forventer at have 52 millioner i 2015.

Man behøver dog langtfra være kriminel for at få sit billede i databasen. For mens fingeraftryksdatabasen kun er forbeholdt kriminelle, så skal man blot blive fanget i et billede sammen med en kriminel eller mistænkt for at komme i den nye database.

Derudover vil folk, som søger job hos FBI, blive registreret i databasen som et led i et baggrundstjek.

»Det betyder, at selvom man aldrig er blevet arresteret for en forbrydelse, så kan ens ansigt fremover blive søgbart i databasen, hvis arbejdsgiveren kræver denne form for baggrundstjek. Man bliver ufrivilligt impliceret som kriminel mistænkt bare i kraft af at have sit billede i en database med kriminelle,« siger EFF i en pressemeddelelse.

Aktindsigten afslører, at FBI inden 2014 vil have 4,3 millioner fotos i databasen, som intet har med kriminalitet at gøre.

Det er specielt problematisk, fordi forskning (PDF) i ansigtsgenkendelsessystemer peger på, at der forekommer flere falske identifikationer, efterhånden som databasen vokser.

Oracle frigav tirsdag to nye versioner af Java, og det kan igen give problemer for NemID, fortæller Nets, som har testet de nye versioner på forhånd. Det skriver Computerworld.dk.

Især er man ramt, hvis man bruger bestemte kombinationer af Safari-browseren og Mac OS X, men problemerne vil typisk forsvinde, hvis man skifter til en anden browser, oplyser Nets.

Problemerne er dog ikke alvorlige og går ikke ud over sikkerheden, så alle anbefales at installere de nye Java-versioner, Java 7 update 55 og Java 8 update 05. Hvis fejlen udløses, kan det medføre sikkerhedsadvarsler, som dukker op flere gange, eller at NemID ikke vil køre korrekt.

Nets har onsdag morgen offentliggjort en vejledning, som fortæller, hvordan man bør forholde sig, hvis man oplever problemer.

I oktober sidste år blev NemID lagt ned af en ny Java-opdatering, som lukkede en stribe alvorlige sikkerhedshuller. Nets blev dengang nødt til at bede danskerne om at vente med en kritisk opdatering, som lappede 23 alvorlige sikkerhedshuller. Det viste sig, at Nets ikke havde for vane at teste på forhånd, om nye Java-opdateringer var fuldt kompatible med NemID, men det blev der lavet op på efter episoden i oktober.

Du kan ikke betale med rejsekort i flere sjællandske busser her til morgen. Movia har ikke overblik over situationen og opfordrer til at tjekke ind og ud, hver gang man skifter transportmiddel.

Onsdag morgen har flere oplevet problemer med at betale med rejsekort i busser i Movia-området. Movia ved ikke, hvor omfattende problemet er, eller hvad fejlen er, men de arbejder på det.

Hvad skal man gøre, hvis ikke man kan betale med sit rejsekort?

»Hvis ikke rejsekortet virker, skal man vise sit rejsekort til chaufføren, og det vil gælde som rejsehjemmel. Vi anbefaler, at man tjekker ind og ud, hvis man skifter transportmiddel. Så hvis man afslutter en togtur og skal videre med bus, så skal man huske at tjekke ud på togstationen, inden man tjekker ind i bussen,« fortæller pressemedarbejder Henriette Døssing til Ingeniøren.

Hvor omfattende er problemet?

»Det ved vi ikke på nuværende tidspunkt,« siger hun.

På rejsekort.dk står der, at problemet forventes at påvirke de fleste af Movias busser.

Rejsekortstandere på DSB’s stationer skulle eftersigende virker normalt.

Movia holder statusmøde klokken 10 onsdag formiddag. Nærmere info følger.

Selvom den værste password-paranoia måske er ved at lægge sig oven på opdagelsen af sikkerhedshullet Heartbleed, så er problemerne langtfra overstået. Faktisk kan det se ud, som om de først lige er begyndt.

Ifølge The Washington Post kan hackere nemlig udnytte sårbarheden i OpenSSL til at stjæle et websteds sikkerhedscertifikater. Dermed kan de skabe falske hjemmesider, der efterligner legitime steder – eksempelvis din mail-klient. Og hvis det sker, så hjælper det ikke meget at udskifte sine kodeord.

»Forestil dig, at vi fandt ud af, at alle de døre, som alle bruger, er usikre. De kan brydes ned. Det er kun de kriminelles fantasi, der sætter grænser for, hvad man kan bruge dette her til,« udtaler Jason Healey, der er sikkerhedsekspert i den amerikanske tænketank Atlantic Council.

Nettet bliver langsommere

Selvom Heartbleed har gjort internetbrugernes kodeord usikre i to år, før det blev opdaget, så er der heldigvis ikke offentliggjort nogen eksempler på, at sårbarheden er blevet udnyttet. Alligevel står de omkring 500.000 påvirkede websites foran et gigantisk oprydningsarbejde.

Der skal nemlig annulleres sikkerhedscertifikater – og udstedes nye. Og det er en proces, der på godt dansk kan gøre internettet langsommere.

Når man besøger en sikker hjemmeside, tjekker din browser sidens sikkerhedscertifikater og holder dem op imod en liste af annullerede ditto. Den liste downloades normalt til computeren, men da siderne sjældent udskifter certifikater, er listerne som regel korte.

Det ændrer sig nu, da siderne skal skifte alle certifikaterne ud.

»Hvis en certifikat-myndighed skal annullere 10.000 certifikater, så vil listen have 10.000 certifikater på den. Og hvis browsere skal downloade det, så taler vi om flere hundrede megabyte,« udtaler sikkerhedseksperten Paul Mutton fra Netcraft.

Populære sider som Facebook, Netflix og Dropbox er alle i gang med at udskifte sikkerhedscertifikater som følge af Heartbleed.

3M har sammen med Intel og SGI undersøgt en ny type køling til datacentre. I den nye type køleanlæg nedsænkes hele serveren i en særlig væske, der leder varme væk fra computeren væsentligt mere effektivt end det kan gøres med luftkøling. Det skriver den norske netavis digi.no.

Selskabet peger blandt andet på, at der er tale om en dielektrisk væske, som ikke er elektrisk ledende, ikke er brændbar, ikke skader ozonlaget og har høj varmekapacitet. 3M har døbt den særlige type væske 3M Novec Engineered Fluids. På grund af et lavt kogepunkt vil væsken begynde at bulderkoge, når serverne i væsken bliver tændt, og varmen omskabt til damp, som så kondenseres tilbage til væske ved hjælp af en smule kølevand sendt igennem en radiator, som hænger over den kogende væske.

Den høje varmekapacitet i væsken betyder, at 3M kan lede varmen effektivt nok væk til at man kan køle systemer, der har et ti gange så højt energibehov per kvadratmeter, som det er muligt med luftkøling. Dermed kan udstyret i datacentret stå meget tættere og kravet til plads bliver langt mindre. Det skyldes også, at selve køleanlægget er mindre end et konventionelt køleanlæg.

At nedsænke hele serveren i en væske er ikke en ny opfindelse, men tidligere har man forsøgt med mineralsk olie, som slet ikke har samme evne til at lede varmen væk. Derfor skal olien pumpes meget rundt, og serverne kan ikke pakkes så tæt, og konceptet blev aldrig en stor succes.

I denne video forklarer 3M, hvordan væskekølingen med den nye væske fungerer: