Monthly Archives: May 2014

Det kommer efterhånden ikke bag på nogen, at verdens stormagter bruger cyberspionage i stor stil, men det er sjældent, at den slags ender i en retssag.

USA har nu sigtet fem statsansatte kinesere for at have hacket en række amerikanske virksomheder og stjålet forretningshemmeligheder, som kan hjælpe kinesiske firmaer i konkurrencen, og den kinesiske stat har rutinemæssigt nægtet alle anklager.

Men sikkerhedsfirmaet Fireeye bemærker, at der er sket en ændring i Kinas svar på anklagerne. I februar 2013 offentliggjorde Fireeye – dengang under navnet Mandiant – nemlig en række spor, som alle kraftigt pegede i retning af en slagkraftig hackerstyrke i Kinas hær, som arbejdede fra et højhus i Shanghai.

Rapporten fra Fireeye blev nemlig dengang afvist med begrundelsen, at det ikke var bevis for noget, mens Kinas officielle svar nu er, at beviserne er blevet fabrikerede.

I anledning af USA’s forsøg på at retsforfølge de fem kinesiske cyberkrigere har Fireeye lagt mere information ud, som blandt andet viser, hvordan hacergruppen APT1, som ifølge anklagerne er lig med afdelingen PLA Unit 61398 i Kinas forsvar, brugte en tjeneste til at få dynamiske DNS-adresser. Aktiviteten her passer nærmest præcist med de kinesiske arbejdstider og tidszonen i Shanghai.

De knap 2.000 angreb, der er observeret over to år, stammer også næsten alle sammen fra computere, der har kinesisk tastaturopsætning og fra kinesiske IP-adresser. Så hvis det ikke peger i retning af, at hackerangrebene mod amerikanske firmaer stammer fra netop denne del af Shanghai, så er der nogle andre hackere, som bruger masser af resurser og gør sig stor umage for at få det til at se netop sådan ud, lyder konklusionen fra Fireeye.

I rapporten fra 2013 gennemgår Fireeye sporene, som peger mod statslig hacking fra Kinas side. Siden 2006 har den samme hackergruppe, som Fireeye døbte APT1, haft held med at hacke 141 virksomheder i 20 forskellige industrier, primært i USA, og det kan bare være toppen af isbjerget.

I gennemsnit har APT1-hackerne haft adgang til ofrenes data i et år, men i nogle tilfælde meget længere tid, op til næsten fem år. Og mængden af data, de kan hente ud, er stor. Alt fra e-mails til arbejdstegninger bliver støvsuget, når der er mulighed for det, så der i et tilfælde blev hentet 6,5 terabyte komprimerede data ud fra et offer i løbet af ti måneder.

Hackerne er disciplinerede og går altid kun efter forretningsdata, uden nogen forsøg på at tjene hurtige penge, hvilket også adskiller dem fra de typiske it-kriminelle. Hackergruppen råder over mindst tusind servere, og ud fra de fysiske rammer at dømme er det mange hundrede, måske tusinder, som arbejder på stedet, vurderer Fireeye.

Siden rapporten blev frigivet, har Edward Snowdens læk af NSA-dokumenter omvendt også kastet lys over, hvor langt USA’s regering selv går for at indhente information, der kan hjælpe USA’s erhvervsliv. Myndighederne i USA mener dog selv, at der er en væsentlig forskel, nemlig at NSA’s hackere ikke vil hacke for eksempel Airbus for at hente fortrolige dokumenter og give dem til Boeing, men at man derimod gennem hacking får adgang til modpartens dokumenter, når der skal forhandles internationale handelsaftaler. Det skriver New York Times.

Afsløringerne omfatter dog også mange eksempler på, at NSA har hacket og udspioneret statsdrevne oliefirmaer, hvilket USA’s myndigheder mener ikke kan sammenlignes med private firmaer.

Mere end hundrede millioner eBay-brugere bliver nu bedt om at skifte deres kodeord, efter hackere har fået fat i eBays kundedatabase. Det oplyser eBay i et blogindlæg.

I første omgang er brugerne på de lokale udgaver i blandt andet Australien og Storbritannien blevet mødt med en meddelelse på forsiden af hjemmesiderne om, at de bør skifte deres adgangskode.

Ifølge eBay har hackere fået adgang til et mindre antal eBay-ansattes login-oplysninger og på den måde fået adgang til eBays interne netværk. I løbet af februar og marts har hackerne fået adgang til eBays brugerdatabase, som indeholder navne, adresser, telefonnumre, fødselsdato og adgangskode på brugerne.

Kodeordene er dog krypteret ifølge eBay, som alligevel opfordrer til, at man både skifter sit kodeord på eBay og på andre tjenester, hvis man har anvendt det samme kodeord flere steder.

Der er ikke fundet tegn på misbrug af kundeoplysningerne, og eBay oplyser, at databasen ikke har indeholdt oplysninger om kundernes brug af Paypal. Betalingssystemet Paypal ejes også af eBay, men oplysninger om transaktioner og lignende opbevares ifølge eBay i en separat database, hvor alle finansielle data er krypteret. Det gælder også andre betalingsoplysninger, brugerne har afgivet til eBay.

Ud over advarslen på forsiden af eBays hjemmesider, vil eBay også udsende notifikationer til brugerne via e-mail. Ebay har ifølge flere medier cirka 150 millioner aktive brugere.

Fremtiden for magnetbånd ser lidt mere lovende ud, selvom konkurrenterne med harddiske og SSD-drev har forsøgt at erklære den i it-sammenhænge urgamle teknologi for død ved flere lejligheder.

Nu har IBM i samarbejde med Fujifilm opnået ikke mindre end en 62-dobling af kapaciteten på magnetbånd. Det oplyser IBM i en pressemeddelelse. Det sker kort efter, at Sony kunne afsløre en 74-dobling af selskabets magnetbåndteknologi.

Sonys forbedring lå hovedsageligt i metoden til at påføre de magnetiske partikler i en ensartet film. IBM’s forbedringer ligger hovedsageligt i at gøre bevægelserne og positioneringen af læsehovedet så præcist, at det kan arbejde med endnu finere partikler end hidtil.

Fujifilm har dermed kunnet bruge langt mindre korn af bariumferrit, end de korn som benyttes til magnetbånd i dag.

Samtidig har IBM også forbedret de algoritmer, som skal behandle signalet fra læsehovedet for at få en præcis aflæsning af data.

Samlet set vil kombinationen af IBM og Fujifilms forbedringer ifølge IBM betyde, at en standard LTO6-kassette til en båndrobot vil kunne rumme 154 terabyte data.

Danskernes cpr-numre er om ikke direkte hemmelige, så i hvert fald beskyttede, og mange offentlige og private tjenester benytter kendskabet til cpr-nummeret som verifikation af en persons identitet. Men cpr-numrene kan findes på mange kommunale hjemmesider, skriver DR.

En søgning, som DR og Udbudsvagten har foretaget på kommunernes hjemmesider, fandt frem til i alt 1.464 cpr-numre, som lå offentligt tilgængeligt. I flere tilfælde sammen med personlige oplysninger som psykiatriske diagnoser og eller ansøgninger om tilskud efter alvorlig sygdom.

Oplysningerne har i visse tilfælde ligget offentligt fremme på hjemmesiderne i tre år.

Aarhus Kommune blev tidligere på måneden afsløret i at have lagt 1.600 cpr-numre på hjemmesiden, og i Aarhus Kommune peger digitaliseringschefen på menneskelige faktorer.

»Der er tale om menneskelige fejl, og mulighederne for fejl stiger i takt med, at vi får flere systemer, som bliver brugt af personale, der ikke er uddannet til at bruge dem,« siger digitaliseringschef Rasmus Ry Nielsen fra Aarhus Kommune til DR.

De massive datamængder, der bliver indsamlet fra blandt andet overvågningskameraer i dag vil kunne udgøre en langt større trussel mod vores privatliv i fremtiden, når teknologien forbedrer sig, end de fleste måske gør sig begreb skabt om.

Det var et af budskaberne fra forkæmper for digitale rettigheder Brad Templeton under et indlæg på konferencen Driving Technology, som IDA netop har afholdt.

Templeton er softwarearkitekt og har i firserne været en af pionererne inden for udbygningen af nyhedsgruppedelen af internettet kaldet Usenet. Derudover har han i 10 år været bestyrelsesformand i Electronic Frontier Foundation, der beskæftiger sig med digitale rettigheder. I dag er han ikke længere formand, men stadig medlem af bestyrelsen.

»Der er noget, der bekymrer mig dybt. Og det er tidsrejsende robotter fra fremtiden,« røg det pludseligt ud af munden på Brad Templeton til konferencen.

Det er dog ikke Arnold Schwarzenegger-lignende robotter, Brad Templeton har i tankerne, som han sagde, mens han viste en slide af det metalskelet, der er blevet synonymt med The Terminator fra filmene af samme navn.

Nej, det Brad Templeton henviste til er næste slide, som viste det lysende røde øje, der er blevet synonym med den kunstige intelligens HAL2000 fra Stanley Kubricks Rumrejsen år 2001 eller space oddyssey, som den kaldes på engelsk.

Det vil sige en slags kunstig intelligens, der er i stand til at gennemtrawle og analyserer de datamængder, som vi indsamler i dag. Og her tænker Templeton ikke bare på, hvor vi sidst har brugt vores kreditkort. Nej, det er udbygningen af teknologier som stemmegenkendelse, ansigtsgenkendelse og anden form for mønstergenkendelse, han har i tankerne.

»Vi har det ikke endnu. Men det vi har er: hyldevis og atter hyldevis af billigt storage,« sagde Templeton.

Og hvis en stemme optaget et sted, kan kobles med et ansigt et andet sted, og et bevægelsesmønster et tredje sted – vel at mærke ud fra de data, der allerede bliver lagret i dag – så bliver det svært at have noget, der kan kaldes privatliv både i forhold til fortiden og fremtiden.

Det er en problemstilling politikere og andre bør tage alvorligt allerede nu, påpegede Templeton.

Fremtidens synder

I den forbindelse hev han et citat frem fra en af USA’s såkaldte founding fathers, Thomas Jefferson:

»De synder, du begår i dag, dem ved du ikke, er synder endnu. De er fremtidens synder,« lød Templetons variation og tilføjede, at Jefferson i øvrigt var slaveejer, hvilket ikke var videre odiøst på daværende tidspunkt.

Også softwaredesignere, en kategori Brad Templeton selv falder under, bør være bevidste om de udfordringer, fremtidens databehandlingsteknikker kan give i forhold til privacy, når de bliver anvendt på nutidens dataindsamling.

»Vi bliver nødt til at overbevise softwaredesignere om, at de skal bekymre sig om disse problemer, når de designer deres software,« sagde Templeton, som sluttede sit privacy-indlæg med bemærkning om det kommende datamining-scenarie i forhold til en aktuel privacy-problemstilling i Danmark:

»Det her er ikke bare om almindelig korruption, hvor folk sælger dine betalingskort-oplysninger.«

Den britiske udvikler Glenn Shoosmith havde i et døgn adgang til en række meget kritiske passwords og tokens fra den store tv-station NBC og kunne have skabt masser af ravage, hvis han havde misbrugt det.

En medarbejder hos NBC kom nemlig til at dele tv-stationens Github-projekter med briten, sandsynligvis i et forsøg på at give en NBC-kollega, som også hedder Glenn, adgang. Det skriver The Register.

Som tidlig bruger af Github har den britiske udvikler, der driver et lille it-firma, nemlig brugernavnet ‘Glenn’ hos Github, hvilket tidligere har ført til forvekslinger, hvor folk ved et uheld giver ham adgang til et projekt, i et forsøg på at give en anden Glenn adgang.

Denne gang var det dog saftige sager, Glenn Shoosmith fik adgang til. Med adgangskoderne til NBC’s servere hos Amazons skytjeneste i hånden kunne Glenn Shoosmith have ændret indholdet på serverne, for eksempel for at sprede malware fra NBC’s websider, eller have brugt NBC’s konto til at beregne bitcoins med Amazons computerkraft, vurderer han.

Glenn Shoosmith orienterede straks NBC om problemet, og adgangen blev fjernet efter omkring et døgn, så der var ingen skade sket. Men potentielt kunne han nu komme under mistanke, hvis der efterfølgende skete noget med indholdet på NBC’s servere hos Amazon.

Mere generelt opfordrer han alle til at være mere påpasselige, når de tildeler brugerrettigheder til andre på Github og lignende tjenester, hvor det er gjort meget nemt og hurtigt at tilføje flere brugere.

Det er også altid værd at overveje, hvad man gemmer af følsomme oplysninger i skyen og overveje sikkerheden grundigt, lyder anbefalingen.

Endnu en gang skaber en af Edward Snowdens dokumentlækager stor omtale.

I et nyt lækket dokument fremgår det således, at NSA har installeret spionudstyr – og dette vel at mærke uden regeringens viden – på Bahamas. En installation, der har gjort det muligt for NSA at overvåge alle mobilsamtaler i Bahamas’ ørige.

Det skriver Glenn Greenwalds – The Guardian-journalisten der første gang offentliggjorde Snowdens afsløringer – medie, The Intercept.

Ifølge internetmediet viser de nye dokumenter, at NSA har optaget og lagret alle ind- og udgående mobilsamtaler i 30 dage ved hjælp af et system kaldet Somalget.

Angiveligt skal regeringen på Bahamas ikke have godkendt ordningen, den skulle endda heller ikke have haft kendskab til den. Ifølge dokumenterne skulle spionorganet have plantet overvågningen hos det eneste mobilselskab i øriget, der er delvist statsejet. Angiveligt gennem samarbejde med DEA, der er USA’s anti-narkotika-enhed.

Afsløringen skaber dog ikke kun rabalder på Bahamas. Således skriver The Intercept, at Somalget-ordningen ikke alene har fundet sted på denne vis på Bahamas, men at metoden er en del af et større program kaldet Mystic. Et program, som godt nok ikke gemmer lydoptagelser, men metadata fra opkald. Programmet har ifølge Glenn Greenwald været i fuld funktion i fire lande: Mexico, Filippinerne, Kenya.

Ved det sidste land bliver afsløringerne tilsyneladende for kontroversielle.

Glenn Greenwald nægter nemlig at afsløre, hvad det sidste og fjerde land, der er berørt af programmet, er. En afsløring af dette vil nemlig komme til at koste menneskeliv, konstaterer han i et tweet. Det drejer sig om et land, der ligesom Bahamas får overvåget sine mobiltelefonsamtaler.

Hvor han slipper, tager Wikileaks dog over, forlyder det.

Tirsdag lovede organisationen nemlig at afsløre det unavngivne land inden for 72 timer – altså på et tidspunkt mellem i dag, fredag, og lørdag.

Mens Microsoft stadig kæmper med at få foden ind på tablet-markedet, bekendtgør selskabet nu, at det har droppet at introducere en mindre version af sin Surface baseret på Qualcomm Inc.-processorer, skriver Bloomberg.

Microsofts administrende direktør, Satya Nadella, og den tidligere Nokia-topchef og nuværende direktør for mobilproduktion Stephen Elop har ifølge finansmediet besluttet, at den en nyudviklet udgave af devicet ikke ville adskille sig væsentligt fra konkurrenternes produkter, hvorfor det heller ikke ville blive et hit, forlyder det fra kilder tæt på beslutningsprocessen.

Bloomberg skriver, at to af deres kilder eller hævede, at offentliggørelsen af det nye device var klar til at blive afsløret allerede i går, onsdag.

Microsoft og Qualcomm har arbejdet sammen i et år om Surface-produktet, men det bliver altså formentlig ikke til noget.

I stedet for dette samarbejde, afslørede Microsoft så deres Surface Pro 3, der er en mere opgraderet version af deres Windows-baserede tablet, hvilket bruger chips fra Intel og har en 12-tommers skærm.

Microsofts Surface-udgave havde i første kvartal af 2014 kun en markedsandel på 1,4 procent.

Mens det fornuftige i at lade NemID være bestyret af Nets, som også har samlet alle danskernes private nøgler, igen er kommet til debat oven på skandalen om læk af betalingsoplysninger, har den britiske regering grebet problemet med et sikkert login til offentlige tjenester helt anderledes an.

I stedet for at lade én leverandør stå for ét centraliseret system kan briterne selv vælge blandt fem forskellige leverandører, som så kan garantere for en persons digitale identitet, uden at staten overhovedet er indblandet.

Det fortæller Liam Maxwell, teknisk direktør for Government Digital Service, som er Storbritanniens svar på Digitaliseringsstyrelsen, til Version2 under et besøg i Danmark.

»Det er meget forskelligt fra, hvad I har her i landet, for det er baseret på det private marked for digital identitet. I stedet for at bruge 900 millioner pund på at udstyre alle med et id-kort har vi brugt meget mindre end det. Og det virker,« siger han.

Konceptet er, at borgerne selv kan vælge én eller flere af de fem firmaer, som er godkendt af staten som leverandører, og så skal man med pas og andre dokumenter dokumentere, at man er, hvem man giver sig ud for. Leverandøren tildeler derefter et digitalt login, som i praksis kan fungere på forskellige måder, men skal leve op til statens sikkerhedskrav.

Når borgeren så skal logge på en offentlig hjemmeside, sker det med hjælp fra den private leverandør, som får betaling fra staten pr. gang, der bliver logget ind. Og da man kan vælge at have flere digitale identiteter, en hos hver leverandør, kan man også undgå, at én aktør potentielt kan følge alle dine logins.

Det betyder også, at der altid er et alternativ, hvis der skulle opstå tekniske problemer et sted.

»Hvis en af leverandørerne har et problem, ligesom man så, at Obamacare-siden havde login-problemer, så kan du sige ’farvel og tak’ og vælge en anden leverandør. Det kan du gøre så længe, der er et marked for det,« siger Liam Maxwell.

Flere leverandører kommer til

Det britiske projekt, der går under navnet Identity Assurance, er lige nu i en lukket beta, hvor få tusinde testpersoner kan bruge det til at logge ind hos blandt andet det britiske skattevæsen. Men i løbet af sommeren bliver adgangen givet fri for alle. Flere leverandører er også på vej, da den første kontrakt med de fem udvalgte kun dækker op til 600.000 brugere af id-tjenesten.

Hele udviklingen af det nye login-koncept har været gennemsyret af hensyn til borgernes rettigheder og privatliv, for central registrering og statslige databaser er noget, mange englændere historisk set er ret allergiske over for.

Modsat Danmark, som har haft cpr-numre for alle borgere siden 1960’erne, har briterne altid haft en solid skepsis over for staten, og der findes således ikke en central database over alle landets borgere.

»En officiel digital identitet er et meget følsomt emne i Storbritannien. Så vi satte os fra starten af ned med de vigtigste privacy-organisationer i landet og bad dem om at fastlægge principperne, vi skulle leve op til. Vi spurgte dem, hvad deres bekymringer var, og hvordan de ønskede, at det blev bygget op, og så designede vi konceptet ud fra det,« fortæller Liam Maxwell.

Det har for eksempel ført til, at der er forskellige grader af login, så man hos nogle offentlige tjenester for eksempel blot skal kunne bevise, at man bor i kommunen, uden at oplyse mere end det ved login, mens for eksempel skattevæsenet skal vide ret præcist, hvem du er, når du logger ind og vil tjekke selvangivelsen.

Med NemID vil et login på offentlige websider til sammenligning altid blive koblet med dit CPR-nummer, ved hjælp af en database, der forbinder danskernes CPR-numre med deres NemID-nummer.

Digitaliseringsstyrelsens kontrakt med Nets om at levere NemID udløber i 2015, men forventes at blive forlænget med to år. Dermed skal Danmark have en ny løsning klar til 2017, og arbejdet med at beslutte, hvordan den skal se ud, er nu sat i gang. I den forbindelse har Digitaliseringsstyrelsen tidligere efterlyst input til, hvordan den optimale NemID-afløser kan se ud.

Læs mere om det britiske projekt Identity Assurance.

Det fremgik tidligere af artiklen, at NemID altid sender brugerens CPR-nummer, når man logger ind, hvilket ikke var korrekt. Version2 beklager.