Monthly Archives: April 2014

Han er ikke én af de faste udviklere på projektet, men han havde tidligere hjulpet holdet bag OpenSSL med at rette fejl i koden. Derfor er det næsten tragikomisk, at da han selv bidrog med implementeringen af en ny funktion, fik han introduceret en kodefejl, som er en stærk kandidat til at være årtiets mest alvorlige sikkerhedshul.

Den uheldige programmør, Robin Seggelmann, skulle blot have tilføjet en ekstra lille kontrol, som kunne have stået på én linje. Så hvordan kunne det ske?

I et interview med avisen Sydney Morning Herald fortæller den tyske programmør, hvordan fejlen blev introduceret:

»Jeg arbejdede på at forbedre OpenSSL og havde afleveret flere fejlrettelser og tilføjet nye funktioner. I én af de nye funktioner kom jeg uheldigvis til at glemme at kontrollere længden på et array,« siger Robin Seggelmann til Sydney Morning Herald.

Robin Seggelmann var færdig med sin kode og afleverede den til den ansvarlige for den del af OpenSSL, Stephen Hanson, sent om aftenen den 31. december 2011. Han læste koden igennem – uden at finde fejlen – og gav den nye programkode grønt lys til at blive en del af OpenSSL. Det skriver Wired.

Men hvordan kunne to erfarne programmører overse en så alvorlig fejl? Forklaringen skal formentligt findes i to omstændigheder. Først og fremmest er der tale om en banal sikkerhedsfejl, som i bagklogskabens lys burde være undgået.

Ser man på kildekoden til den funktion, Robin Seggelmann afleverede, så ser man, at fejlen opstår, da programmøren beder serveren om at foretage en kopiering af data fra serverens hukommelse:

Det er helt trivielt, bortset fra, at der ikke forud for kopiering er sket en kontrol af, at længden af arrayet payload rent faktisk svarer til den længde, som serveren har fået at vide. Xkcd illustrerer problemet i tegneserieform, men det kan kort forklares således:

*Serveren får en anmodning fra en klient, som vil sikre sig, at forbindelsen stadig er åben. Klienten sender variablen ‘payload’ til serveren, som skal sende ‘payload’ retur til klienten. Men sammen med ‘payload’ får serveren at vide, hvor mange tegn op til 64 kilobytes, ‘payload’ indeholder. Serveren skal sørge for at sende hele ‘payload’ tilbage.

Men serveren kontrollerer aldrig, at ‘payload’ har den længde, klienten har oplyst. Derfor kan klienten narre serveren til at sende ‘payload’ plus alt der ligger efter ‘payload’ i hukommelsen op til 64 kilobytes retur til klienten.

Der var ingen andre foranstaltninger i OpenSSL, som forhindrede Robin Seggelmanns kodelinje i at returnere data, som reelt ikke hørte til ‘payload’. Så da Heartbeat-funktionen virkede, som den skulle, var der ingen advarselslamper, der blinkede, før mere end to år senere.

OpenSSL er en open source-implementering af sikkerhedsprotokoller som eksempelvis TLS, og softwaren anvendes i alt fra store webservere til IP-telefoner. Blandt de største tjenester, som har bekræftet, at de har været påvirket og har måttet lukke sikkerhedshullet, har været Yahoo og Flickr.

Det er nærliggende at rejse spørgsmålet om, hvorvidt der var tale om en helt banal sjuskefejl i nogle hundrede linjers kode, eller om det var en bevidst handling, der skulle svække sikkerheden for at give efterretningstjenester en bagdør.

»I det her tilfælde var det en banal programmørfejl i en ny funktion, som uheldigvis optræder i et sikkerhedsrelateret område. Det var slet ikke bevidst, specielt ikke fordi jeg tidligere har lukket sikkerhedshuller i OpenSSL,« forklarer Robin Seggelmann til Sydney Morning Herald.

Fejlen blev heller ikke opdaget af nogen andre, som arbejdede med OpenSSL, og det afslører et problem for små open source-projekter med stor betydning. OpenSSL består af fire medlemmer af en styregruppe og i alt er blot 11 udviklere registrerede som en del af projektet.

Der er også hovedsageligt tale om frivillig arbejdskraft med et begrænset budget, selvom softwaren er en del af grundlaget for adskillige store og små internetfirmaer. Selv blandt de virksomheder, som har oplyst, at de ikke er påvirket, er der mange brugere af OpenSSL.

Fejlen blev nemlig først introduceret sammen med Heartbeat-funktionen i OpenSSL 1.0.1, som blev frigivet i marts 2012. Mange webservere benytter sig imidlertid stadig af OpenSSL version 0.9.8 eller 1.0.0, som ikke indeholder Heartbeat-funktionen og dermed sikkerhedshullet.

Til trods for den enorme udbredelse har OpenSSL-projektet aldrig formået at få mere end én million dollars ind i donationer, og udviklerne bag softwaren har aldrig mødt hinanden ansigt til ansigt ifølge Wired.

Til sammenligning købte Facebook, som benytter OpenSSL, firmaet WhatsApp med 55 ansatte for mere end 100 milliarder kroner i februar 2014.

Fejlen blev dog fundet af ét af de store it-firmaer, for det var nemlig Neel Mehta fra Google Security, som rapporterede den til OpenSSL-holdet, der fik lukket sikkerhedshullet.

Der gik dog to år, hvor den nyeste udgave af OpenSSL havde et sikkerhedshul, som var alvorligt nok til, at flere sikkerhedseksperter meget dramatisk gav det ’11 på en skala fra 1 til 10′. Sårbarheden kunne nemlig udnyttes til at få fat i krypteringsnøgler, kodeord og personlige oplysninger i klar tekst fra servere, der burde være sikre.

»Det er uheldigt, at det bliver brugt af millioner af mennesker, men der er kun meget få, der bidrager til softwaren. Fordelen ved open source er, at alle og enhver kan se koden igennem. Jo flere, der kigger på koden, jo bedre, især med software som OpenSSL,« siger Robin Seggelmann til Sydney Morning Herald.

Brand i medicinalfabrik på Amager: gå indendøre. Svindel med danskernes betalingskort i Sydamerika: vær opmærksom på dine kontoudtog. Vi kender alle meddelelserne fra radio og tv om, hvordan vi bør forholde os i den slags situationer.

I skærende kontrast står de officielle udmeldinger, eller rettere mangel på samme, i forhold til den såkaldte Heartbleed-sårbarhed, der har påvirket adskillige servere på internettet, uundgåeligt også i Danmark. Og som i princippet har gjort det muligt for enhver at fiske fortrolige oplysninger ud af serveres hukommelse om brugernavne, passwords, mail-indhold og så fremdeles. Nærmest kun fantasien sætter grænser.

Sårbarheden har eksisteret i det udbredte OpenSSL-bibliotek siden 2012, som ellers netop skulle sikre kommunikationen med servere, men reelt har bevirket det modsatte.

Mens Heartbleed har fået folk med forstand på it-sikkerhed verden over helt op at ringe, har der ingen officielle udmeldinger været fra danske myndigheder – såvidt Version2 har kunnet finde frem til – om, hvordan almindelige borgere bør forholde sig i forhold til Heartbleed-sikkerhedshullet. Ligesom der tilsyneladende heller ingen meldinger har været om, hvilke offentlige digitale tjenester, der eventuelt har været berørt af sårbarheden – som dermed også vil have berørt de borgere, der har været i kontakt med tjenesterne.

Version2-blogger med forstand på it-sikkerhed Henrik Kramshøj fra Solido Networks var tidligt ude med et blogindlæg om Heartbleed. Og han har efterfølgende slået til lyd for, at folk – over en bred kam – bør skifte deres kodeord, da sandsynligheden taler for, at mange har været i berøring med kompromitterede servere.

Og han undrer sig over, at det er folk som ham, der skal råbe vagt i gevær, mens der ingen officielle udmeldinger har været fra myndigheder:

»Nogen burde være ude og fortælle om det. En af årsagerne til, at de ikke gør det, kan være, de er bange for, at det vil skabe utryghed. Men man kan ikke stikke hovedet i busken altid. Vi skal have det ud så bredt som muligt, det er vi nødt til,« siger Henrik Kramshøj.

Meldingen bakkes op af Ulf Munkedal, direktør i it-konsulent-virksomheden FortConsult. Han peger på, at det kan være uafklaret, hvilket myndighed der har ansvaret for at komme med en generelt udmelding i en situation som den nuværende.

»Jeg undrer mig også over, at der er helt tavst. Jeg går ud fra, det er fordi, man er igang med at finde ud af, hvad konsekvenserne er, og hvad man kan gøre ved det,« siger han.

Ulf Munkedal påpeger, at hvis tavsheden skyldes, at der mangler en ansvarsplacering for den slags udmeldinger, så skal det naturligvis også løses. Helst så ansvaret ligger hos en af de eksisterende myndigheder.

»Der er nok af dem. Det er ikke fordi, der mangler myndigheder, der arbejder med it-sikkerhed.«

Peter Kruse fra virksomheden CSIS efterlyser også en borgerrettet udmelding fra de danske myndigheder. Og i den forbindelse mener han, der i vores nabolande har været et langt større pressemæssigt fokus på problemstillingen blandt mainstream-medierne, end det foreløbigt har været tilfældet i Danmark.

»I Danmark tror jeg ikke, man har forstået, hvad det egentlig går ud på,« siger han.

Og når eksempelvis en myndighed som Digitaliseringsstyrelsen ikke har meldt generelt ud, gætter Peter Kruse på, at det kan skyldes, at de og andre myndigheder i første omgang har haft så travlt med at få afdækket og lukket sårbarheden i egne systemer, at borgerrettede udmeldinger simpelthen er kommet i anden række.

»Det er det offentlige Danmarks forbandede pligt at sørge for at gøre det her læsbart og forståeligt for borgerne og for pressen. Så folk kan forstå, hvad det er,« siger Peter Kruse og henviser til, at den manglende gennemslagskraft i forhold til Heartbleed-sårbarheden hænger sammen med, at den går hånd i hånd med ord som OpenSSL og private nøgler.

Varslingsorganisationen DK-CERT var tidligt ude med en melding omkring Heartbleed-sårbarheden. Men der er tale om en generel, kort meddelelse, der ikke er videre let at afkode for ikke-it-kyndige personer. Siden – i går og i dag – har der været to andre korte meddelelser med informationer, der tidligere har været fremme i udenlandske medier. Heller ikke her, er der tale om tekst, der må formodes at give meget mening for den almindelige borger, som ej næppe heller finder frem til skrivelserne.

Version2 har kontaktet DK-CERT telefonisk og via mail for en uddybning af virksomhedens rolle i forhold til den slags varslinger. Men organisationen har ikke givet svar.

Desuden har Version2 været i kontakt med Center for Cybersikkerhed for at høre, om organisationen har tænkt sig at komme med en officiel udmelding – dette var i går, den 10. april, altså tre dage efter sårbarheden blev bredt kendt.

Efterfølgende, det vil sige i dag, har Center for Cybersikkerhed offentliggjort en ganske kort meddelelse om sårbarheden på organisationens hjemmeside, der ikke kan siges at være hverken videre informativ eller borgerrettet. Sidst Center for Cybersikkerhed offentliggjorde en nyhed på hjemmesiden var iøvrigt 27. marts.

»Center for Cybersikkerhed har siden 7. april 2014 fulgt situationen tæt og har varslet centerets kunder. De seneste dage er en nyopdaget sårbarhed i krypteringsprotokollen OpenSSL blevet dækket af danske og internationale medier. Center for Cybersikkerhed har siden 7. april 2014 fulgt situationen tæt og har varslet centerets kunder. Centeret har på nuværende tidspunkt viden om et fåtal af forsøg på udnyttelse af sårbarheden, men fortsætter med at følge situationen nøje,« står der på hjemmesiden..

Center for Cybersikkerheds pressefunktion oplyser, at ansvaret for at varsko borgere i den slags situationer ligger hos Digitaliseringsstyrelsen, myndigheden hvor blandt andet NemId hører under.

Digitaliseringsstyrelsen har tidligere fortalt til Version2, at situationen bliver taget alvorligt. Styrelsen er dog ikke vendt tilbage på en henvendelse om, hvorvidt der kommer en officiel melding fra myndigheden på tidspunkt. Eksempelvis i forhold til, hvordan borgere bør forholde sig.

Om Heartbleed

Heartbleed-sårbarheden relaterer sig til det udbredte OpenSSL-bibliotek, der skal skabe en sikker forbindelse til en server. Heartbleed blev offentligt kendt i april i år, men har eksisteret i OpenSSL til produktionsmiljøer siden 2012.

Sårbarheden gør det kort fortalt muligt for vilkårlige besøgende at sende en særlig datapakke til en server, hvorefter serveren returnerer dele af indholdet i sin hukommelse. Det kan i princippet være serverens private nøgler, andre besøgendes brugernavn og kodeord samt indholdet af eksempelvis e-mails, chat-beskeder etc.

Altså et eklatant it-sikkerhedshul, som har fået den anerkendte og nøgterne it-sikkerhedsmand Bruce Schneier til at kalde Heartbleed for katastrofal samt give sårbarheden 11 på en skala fra 1 til 10 målt på, hvad der må formodes at være alvorlighed.

Eller ikke – delte holdninger. Jeg har talt med mange startups som ikke anser det for at være noget specielt at komme på podiet i de nordiske lande, blive fremhævet som interessant Startup. Interessante startups som i mest succesfulde, mest innovative, fantastisk vækst, kendte investorer osv osv – men det kan være et fint springbræt til at komme blandt de store i bla. USA

Det er faktisk interessant når vi ser på de nordiske lande og skal finde kendetegnende ved de startups der er der. Vi ser et sprudlende Sverige,hvor især Stockholm har fået godt fat i de såkaldte TechStartups.
Flere artikler udkom tidligere om dette interessante geografiske område [her en af dem].
Norge har ikke fået deres land på verdenskortet men har absolut fantastiske startups – synligheden mangler blot
Finland er ved at være temmelig kendt indenfor Games og der er kommet en del kendte spil på markedet derfra – hvem kender ikke Angry Birds blot for at nævne en kendt.
Danmark og Island er en skøn blanding og det er bestemt ikke fordi vi ikke har super gode historier – men det er samme historie som Norge.

Så jo der er superfede startup historier fra Norden, men er det superfedt at være startup i Norden eller fra Norden?
Måske er det en illusion at vi selv anser de nordiske startups for at være innovative, designmæssigt langt over middel, funktionsmæssige løsninger som udstråler kvalitet og simpelthen/brugervenlighed – det er dog kvalifikationer vi med rette kan være stolte af. Måske er vores kultur at vi tror vi skal gøre som det store udland og derfor stirrer vi os blinde på vores egne muligheder. Vi er ydmyge, mere forsigtige, knapt så pralende og fremfor alt ikke vant til at fejl kan være lig erfaring og ikke fiasko.

Vi bør vende dette til at skabe en kultur der gør det attraktivt at være startup i Norden – og jeg er sikker på at mange startups er stolte af at tilhøre dette fællesskab. Selvfølgelig er det ikke ensbetydende med at vi begrænser os til Norden, Nej vi er helt enige om at der ingen geografiske grænser er, men som økosystem er der nødt til at have tættere relationer og her er Norden et godt udgangspunkt.

Der er nedsat en lille gruppe i hvert af de nordiske lande, som jeg bl.a er med i, som ser på hvad der skal til for at gøre Norden til et attraktivt sted at starte virksomhed og hermed en opfordring til debat… Hvad skal der til?

Derudover kører eventen NordicStartupAward lige nu, hvor du kan nominere startups fra de forskellige lande og der afholdes lokale awards shows samt et Nordisk show (I Oslo) . Et fantastisk koncept og oplagt mulighed for at få fremhævet de mange superfede startups der er. STEM LØS : www.nordicstartupawards.com

Den nye sæson af Game of Thrones er netop skudt i gang på HBO. Her trækkes vi ind i en fremmed middelalderlig verden, hvor stammeagtige fraktioner kæmper med hinanden om magten. Men måske er denne verden ikke så fjern fra virkeligheden indenfor IT verdenen. Her er der også forskellige stammer, der klæder sig forskelligt.

House Greyjoy
IT supporteren er house of Greyjoy, en slags gæve pirater, der altid er der for hinanden i krisetider. Til festlige sammenkomster er de altid dem, som larmer og drikker mest.

House Baratheon
It udvikling. De plejede at suverænt at styre de der EDB systemer uden indblanding fra andre, men nu er det pludselig andre som har taget magten over hvordan de skal se ud og opføre sig.

House Lanister
Marketing er House Lanister. Det er vigtigt at se præsentabel ud og udstråle at man har millioner.

Lord Baelish
Er projektlederen, som har forbindelser til alle. De har ingen magt i sig selv, men ville gerne. Prøver på at yde indflydelse men kan kun gøre det med snak. De har ingen hære de kan kalde på.

Lord Varyn
Konsulenten. Typisk en blød personlighed, der kan snakke med alle og som sørger for at være venner med alle. Man ved aldrig rigtigt, hvad de vil, og man fornemmer, at der er en skjult agenda, men der er ikke rigtigt noget at sætte fingeren på.

The Nights Watch
CIOen er The Nights Watch – kæmper i det kolde nord for at holde IT-verdenen sikker. Om det så er at rede budgettet, holde IT kriminelle ude. Hans rolle er at operere i de skjulte så intet forstyrrer den idylliske hverdag i IT land.

Det danske mobilspil skyline skaters er lynhurtigt blevet en succes i det ellers svært gennemtrængelige marked for apps, og spillet ligger på top 10 i app-butikker over hele verden .

Det gratis spil blev downloadet mere end to millioner gange i løbet af dets første fire dage på markedet, og er blandt andet et af de mest populære iPad-spil i USA.

Det er den lille danske virksomhed Tactile Entertainment med, der står bag Skyline Skaters, og de 15 ansatte har være lidt mere end et halvt år om at udvikle spilsuccesen.

Ifølge administrerende direktør Asbjørn Søndergaard er det sociale elementer, der har fået spillet til at klare sig godt blandt de millioner af tilgængelige apps på markedet. Videoplatformen Everyplay har spillet en stor rolle.

»Vi har ikke budget til at købe os ind på ranglisterne, så det er vigtigt at bevare spillets viralitet. Og en af de ting, der fungerer rigtig godt er, at spillerne kan dele deres gameplay som videoer. Spillet optager automatisk brugerens sessioner, og så kan man vælge at dele det på Everyplay,« siger Asbjørn Søndergaard til Version2 og tilføjer, at også konkurrenceelementer via Facebook er en god idé.

Skyline Skaters eksisterer i øjeblikket kun til iOS, men Asbjørn Søndergaard oplyser, at det også er på vej til Android.

Borgerservice har disse dage travlt med at give dispensation til de borgere der ønsker at blive fritaget for Digital Post. Nye regler betyder ellers at danskere fra den 1. november skal kunne modtage post digitalt fra offentlige myndigheder.

Men ifølge Nyhedsmagasinet Danske Kommuner er det op mod hver femte dansker, der efter eget ønske bliver fritaget for ordningen.
»Vi får i disse dage ekstraordinært mange henvendelser i Borgerservice. Det er min oplevelse, at meget af det skyldes usikkerhed og uvished om de nye regler«, siger chef for Aarhus Kommunes Borgerservice Lene Hartig Danielsen.

I Aarhus er cirka 1100 borgere blevet fritaget. Forventningen er, at cirka 80 procent af borgere over 15 år tilmeldes ordningen. •
Det stemmer overens med forventningen fra Digitaliseringsstyrelsen, der i en vejledning til kommunernes sagsbehandlere anslået, at op imod 20 procent af befolkningen vil anmode om fritagelse.

I Odense kommune blev der den 1. marts blev åbnet op for fritagelser hos borgerservice. Og det er ifølge chefkonsulent Birgitte Hjelm Paulsen gået stærkt med henvendelser fra folk, der gerne vil undgå at få tvangsdigitaliseret deres post.
»Folk står bogstaveligt talt i kø for at blive undtaget«, oplyser hun.

Birgitte Hjelm Paulsen regner med at skulle fritage omkring 7.000 borgere, der for størstedelens vedkommende består af ældre mennesker, der ikke ønsker at kommunikere digitalt med det offentlige.

Fritagelsens varighed er to år. Men ældresagen, der har kritiseret overgangsordningen er i dialog med Digitaliseringsstyrelsen, for at diskutere mulighederne for at gøre alle fritagelser permanente.

På landsplan var der pr. 21. marts fritaget 31.748 borgere fra digital post.

Nets har været i fuld gang med at undersøge, hvorvidt virksomhedens systemer, der blandt andet involverer dankort-infrastrukturen – også den til online-betalinger – og ikke mindst NemID, har været berørt af den såkaldte Heartbleed-sårbarhed. Og det lader, heldigvis, ikke til at være tilfældet.

»Vi (Nets) har nu foretaget en sikkerhedsmæssig vurdering af vores systemer både hos os selv og hos vores underleverandører. Vores klare vurdering er, at vi ikke er eksponeret, og vi har heller ikke været det, over for den kendte OpenSSL-sårbarhed,« oplyser pressechef i Nets Søren Winge i en e-mail til Version2.

Han meddeler desuden, at virksomheden ikke påtænker at gå i nærmere detaljer omkring, hvorfor Hearbleed er gået uden om Nets systemer. Hvilket Version2 naturligvis har forsøgt at spørge ind til.

Heartbleed-sårbarheden relaterer sig til det udbredte OpenSSL-bibliotek, der skal skabe en sikker forbindelse til en server. Heartbleed blev offentligt kendt i april i år, men har eksisteret i OpenSSL til produktionsmiljøer siden 2012.

Sårbarheden gør det kort fortalt muligt for vilkårlige besøgende at sende en særlig datapakke til en server, hvorefter serveren returnerer dele af indholdet i sin hukommelse. Det kan i princippet være serverens private nøgler, andre besøgendes brugernavn og kodeord samt indholdet af eksempelvis e-mails, chat-beskeder etc.

Altså et eklatant it-sikkerhedshul, som har fået den anerkendte og nøgterne it-sikkerhedsmand Bruce Schneier til at kalde Heartbleed for katastrofal samt give sårbarheden 11 på en skala fra 1 til 10 målt på, hvad der må formodes at være alvorlighed.

Vi har inden for kort tid set tre meget kritiske fejl i forskellige SSL-implementationer. Kan vi bortforklare det med at SSL er kompliceret og at kryptering er for svært? Desvære nej, det er tankevækkende at alle tre fejl grundlæggende set er dårlig programmering af kode der burde være ligetil at implementere.

Hvis du stadigvæk ikke har forstået hvad Heartbleed-fejlen egentlig går ud på, så læs Randall Munroes forklaring i dagens XKCD:

Så enkelt er det. (Tegneserien frigivet under CC-BY-NC 2.5 af Randall Munroe)

Det alvorlige sikkerhedshul i OpenSSL-biblioteket, der går under navnet Heartbleed, har bragt internettet i en tilstand af kaos og kodeords-paranoia. Og nu har det også påvirket det canadiske skattevæsen.

Sikkerhedshullet har fået de canadiske skattemyndigheder til at lukke for deres online-tjenester for at undgå, at sårbarheden eventuelt kan udnyttes der. Det betyder, at Canadas borgere blandt andet ikke kan indberette selvangivelser og andre skattemæssige forhold, for hvilke der snart er deadline. Derfor understreger myndighederne nu, at man er undtaget, så længe online-tjenesterne er lukkede.

»Vi ved, at det er ubelejligt for mange, og derfor har skatteministeren bekræftet, at man ikke vil blive straffet for manglende indberetninger, imens det står på,« hedder det på myndighedens hjemmeside.

OpenSSL er meget udbredt og bruges blandt andet i webserveren Apache. Derfor kan et stort antal tjenester være berørt af sikkerhedshullet, og Indtil videre er det bekræftet, at det blandt andet gælder Flickr og Yahoo.

Herhjemme har Nets, der driver dankort-systemet og NemID, meldt ud, at man tager situationen yderst alvorligt og er i gang med at tjekke, om virksomhedens systemer har været udsatte.