Monthly Archives: May 2014

Glasbeklædte facader i byerne dræber årligt mellem 365 og 988 millioner fugle i USA. Derfor arbejder forskere nu på at gøre ruderne mere synlige for fuglene, skriver New York Times.

Forskerne har bygget en fugletunnel i et lukket område af New Yorks zoologiske have. Her sætter de forskellige typer fugle løs, mens forskellige glastyper er placeret for enden af tunnelen.

Udover en type glas med eksempelvis horisontale striber har forskerne placeret en plade med almindeligt glas for at se, hvor meget der skal til, for at hovedparten af fuglene vælger at flyve mod det almindelige glas for at undgå testglasset. For fuglenes sikkerheds skyld har forskerne placeret et næsten usynligt net foran glaspladerne.

»Det er en klassisk dyre-adfærdsmæssig valgtest,« siger leder for naturbevarelse og videnskab hos miljøorganisationen New York City Audobun Susan B. Elbin til New York Times.

New York City Audobun udfører eksperimenterne i samarbejde med Fordham Universitet og American Bird Conservancy.

Forskerne har blandt andet testet glas med vertikale striber, glad med horisontale striber og glas med ultraviolet coating. Indtil videre viser eksperimenterne, at de coatede glasplader er lettest for fuglene at få øje på. Over to tredjedele af fuglene undviger disse plader, konkluderer forskerne.

Malede striber på glasset fungerer også, men effekten afhænger meget af afstanden mellem linjerne. Lodrette striber fungerer bedst med ca. ti centimeters mellemrum, mens vandrette linjer skal sidde dobbelt så tæt, påpeger forskerne.

Særligt trækfugle er i fare for at flyve ind i bygninger, da de ofte flyver i stor fart gennem byen og ikke er vant til byens bygninger.

Det todimensionale gitter af kulstofatomer, der kaldes grafen, er et forunderligt materiale, hvis egenskaber bliver ved med at overraske.

Nu har forskere fra Tyskland og Singapore fundet ud af, at grafen kan bortlede lige så meget varme, det skulle være – jo mere grafen, desto bedre varmeledningsevne. De har skrevet om opdagelsen i en artikel i online-tidsskriftet Nature Communications (ArXiv).

Grafen overholder ikke rigtig Fouriers lov for varmeledning, ifølge hvilken varmestrømmen i et materiale er proportional med temperaturforskellen og med den specifikke varmeledningsevne for materialet – en varmeledningsevne, der normalt er uafhængig af størrelsen og formen af materialet.

Forskerne viser, at varmeledningsevnen i stedet stiger med længden af det grafen-stykke, de måler på. Hele ideen om, at et materiale har en bestemt specifik varmeledningsevne, holder simpelthen ikke for grafen – i hvert fald ikke, når det gælder grafenflager med en længde på mellem 0,3 og 9 mikrometer.

Ifølge en pressemeddelelse fra Max Planck-instituttet for polymer-forskning i den tyske by Mainz viser opdagelsen, at grafen er det oplagte materiale at anvende, når det gælder om at lede varmen bort fra mikro- og nanoelektronik. Netop varmeudviklingen kan ellers hurtigt begrænse ydelsen for de mest kompakte elektroniske kredsløb.

RFF, der bestyrer de franske jernbaner og dermed svarer til Banedanmark, har givet forkerte dimensioner til togselskabet, SNCF, der netop har købt 2.000 nye regionaltogsæt. Togene er derfor nogle få centimeter for brede til at kunne stoppe på de franske stationer.

Fejlen blev først omtalt i et satirisk blad, Le Canard Enchaîné, og har siden spredt sig til franske og internationale medier, herunder Reuters.

RFF erkender fejlen. Jernbaneselskabet har kun oplyst dimensioner på stationer og perroner, der er bygget inden for de seneste 30 år, til SNCF. Men størstedelen af Frankrings 1.200 perroner er ifølge Reuters over 50 år gamle og mange altså for brede.

Ombygning af stationerne er i fuld gang, men der mangler stadig hundredevis af perroner, der skal ændres, så der bliver plads til de brede tog. Ombygningsarbejdet har allerede kostet 80 millioner euro, skriver Reuters.

Frankrigs transportminister, Frederic Cuvillier, skyder skylden for skandalen på et ‘absurd jernbanesystem’. Han refererer til tidligere regeringers beslutning om at opsplitte ansvaret for de franske skinner og tog i hver deres selskab, selv om det system er udbredt i de fleste europæiske lande, herunder Danmark.

Bombardier bygger togene, der skal opgradere den franske regionaltrafik. Ordren har en værdi af 15 milliarder euro, skriver internationale medier.

Integrerede infrastruktur-løsninger (converged infrastructure) er ved at finde indpas. I 2013 steg omsætningen af hardware solgt som converged infrastructure i Vesteuropa med 72 procent i forhold til året før.

Men en total-omsætning på 1,1 milliarder dollar viser, at der endnu er et stykke vej til det har bidt sig rigtig fast. Ikke mindst i Danmark, hvor analyser viser, at if-chefer tøver med investeringen på trods af, at de i undersøgelser mener, at samling af servere, storage og netværk i en pakkeløsning både kan spare penge og tid.

Noget handler om timingen og en ikke ubetydelig faktor kan være menneskelig. Læs analysen i Version2 Insight – Converged Infrastructure.

Hosting-udbyderne er blandt de virksomheder, der har været first movers på converged infrastructure. Eksempelvis det odenseanske it-firma JDM, der i 2012 opdagede, at de ud over at drukne i administration nu også var blevet deres egen største kunde i driftstcentret.

Efter en grundig analyse af situationen og en budrunde satte de pengene på et IBM Flex system – en integreret løsning med server, storage, netværk og administrationssoftware i en og samme pakke. Fra at bruge en god dags arbejde på at sætte en fysisk server op til en kunde, kan det nu ordnes på 10-15 minutter.

Og her halvandet år senere siger branch-manager Martin Lund Hansen, at det var den helt rigtige vej at gå, da de stod ved korsvejen. Læs om JDMs eksempel og interview med Martin Lund hansen i Version2 Insight – Converged Infrastructure.

Endelig bringer vi et overblik over de syv vigtigste løsninger på markedet lige nu med en beskrivelse af, hvad der adskiller dem.

Download Version2 Insight: Converged Infrastructure

Version2 giver i øvrigt stor rabat på den store it-konference Børsen IT-value. Se program og tilmeld dig her

Selvom borgmester Anker Boye har sagt, at han blot tjekkede e-mails og læste nogle danske nyheder under sin ferie i Tyrkiet, peger den udspecificerede regning fra TDC for den periode nu på et dataforbrug, der rummer mere end det.

Der blev nemlig hentet og sendt 3,19 gigabyte data fra Anker Boyes iPhone under opholdet i Tyrkiet i oktober 2011. Det viser en aktindsigt, som Fyens Stifttidende har fået i borgmesterens telefonregninger.

Tilsammen endte telefonregningen fra Tyrkiet på 245.257 kroner, og heraf udgør telefonsnak og sms’er kun knap 2.000 kroner. Resten gik til datatrafikken, som dermed er blevet afregnet med cirka 76 kroner pr. megabyte. Til sammenligning koster det 90 kroner inkl. moms for private TDC-kunder at hente en megabyte via mobildata i Tyrkiet.

Dokumentationen viser også, at borgmesteren under sin ferie to gange aktivt godkendte det høje forbrug. Den normale forbrugsgrænse var tidligere blevet slået fra, på kommunens ønske, men TDC sendte alligevel en advarsel, da regningen rundede 100.000 kroner og 200.000 kroner. Begge gange godkendte Anker Boye med et svar på sms-advarslerne, at regningen skulle kunne overstige det beløb.

Borgmesteren har til Fyens Stifttidende sagt, at han ikke husker de konkrete sms’er, da det nu er to et halvt år siden, det skete. Desuden havde han tidligere fået samme slags sms’er, om lavere beløb, og han var måske derfor ikke opmærksom på beløbet, lyder hans forklaring.

Odense Kommune har tidligere til Version2 forklaret, at det kun har været borgmesterens ferier i Tyrkiet, som udløste de høje regninger, ikke rejser i andre lande uden for EU, altså lande hvor roaming-priserne for mobildata er på samme høje niveau som i Tyrkiet.

Kommunens stadsdirektør fortalte desuden, at der ikke var andre, som kan have brugt borgmesterens telefon, for eksempel børn, og at der ikke blev streamet video eller lignende via mobildata.

3,2 gigabyte svarer ifølge TDC’s guide for dataforbrug til at loade hele Ekstrabladet.dk’s forside tusind gange eller se video på Youtube i 14,5 timer. På en smartphone kan dataforbrug dog også ske i det skjulte, hvis for eksempel en applikation henter opdateringer, men det vil normalt ikke være i gigabyte-klassen.

Den gigantiske regning er i øvrigt aldrig blevet betalt, da kommunen både mener, at TDC ikke har brugt de rigtige priser fra en dengang ny SKI-aftale, samt ikke forstår, hvordan regningen kunne blive så høj, eller at det tilsyneladende kun sker i Tyrkiet.

Estland er måske det land i verden, som lige nu er længst fremme, når det gælder om at lade borgerne stemme til større valg via internettet. Men det estiske system har alvorlige svagheder, lyder det nu fra sikkerhedseksperter ifølge Estoniavoting.org.

Eksperterne var med som observatører, da Estland afholdt kommunalvalg i oktober 2013, og det er på baggrund af disse observationer, at de nu advarer forud for det kommende europaparlamentsvalg den 25. maj.

Ifølge valgobservatørerne benyttede de personer, som stod for at håndtere softwaren til valget, deres personlige pc’er, som potentielt kunne være inficeret med malware.

Desuden blev kodeord indtastet uden at skjule indtastningen for observatørerne, og der blev ikke brugt krypterede internetforbindelse til download af valgsoftwaren.

I Estland ventes mellem 20 og 25 procent af stemmerne at blive afgivet via en softwareklient og en kode fra en smartphone-app, og vælgerens stemme bliver sendt fra klienten til en central server. Men sikkerhedseksperterne hævder at have demonstreret, at det er muligt at snyde systemet i begge ender.

Hvis serveren er kompromitteret med malware er det ifølge sikkerhedseksperterne muligt at snyde med optællingen af stemmer, uden det ser unormalt ud for dem, der overvåger systemet.

I et svar, hævder den estiske valgkommission, at der er taget højde for disse svagheder i designet af valgsystemet, og det i praksis ikke er muligt at omgå samtlige sikkerhedsforanstaltninger omkring den digitale valghandling.

Region Syddanmark må endnu en gang udsætte den konsolidering på et fælles patientsystem, som regionen oprindeligt havde håbet på at kunne have på plads ved udgangen af 2013. Nu hedder tidshorisonten udgangen af 2015. Det skriver Dagens Medicin.

Regionen arbejder på at samle alle sygehuse i regionen på to fælles it-systemer, ét til patientjournaler og ét til patientadministration.

Tre ud af fire sygehuse, inklusive psykiatrien, bruger allerede en fælles patientjournal, men Sygehus Lillebælt er endnu ikke klar. Det skyldes problemer med leverandøren, oplyser Region Syddanmark ifølge en pressemeddelelse.

I praksis betyder det, at Region Syddanmark ikke når den i forvejen forsinkede deadline ved udgangen af 2014 og i stedet må vente til udgangen af 2015. Indtil da må sygehusene benytte sig af det nationale system e-journal til udveksling af data mellem sygehusene.

»Det er enormt frustrerende, og det vidner om et ekstremt kompliceret forløb, hvor vi har skullet få rigtig mange lokale løsninger til at overgå til én fælles løsning. Den manøvre bliver oven i købet endnu sværere, når vores it-løsninger bliver forsinket,« udtaler formand for sundhedsudvalget i Region Syddanmark, Poul-Erik Svendsen, ifølge pressemeddelelsen.

Region Syddanmarks fælles patientjournalsystem kaldes Cosmic og bygger på software fra svenske Cambio Healthcare Systems og implementeres af CGI (tidligere Logica), mens TDC Hosting står for driften.

DDoS er kommet for at blive, se eksempelvis dagens artikel It-chef: Forsvar mod DDoS-angreb bliver hverdag i folkeskolen

Emnet DDoS er også noget vi allesammen bør være opmærksomme på, uanset om vi betragter os som powerbrugere af internet eller leverer ydelser indenfor eksempelvis ISP eller hosting. Alle der læser version2 er formentlig i målgruppen, og ramt af DDoS i nogen grad.

Vi skal være opmærksomme på at vores resourcer ikke bruges til DDoS-angreb, som en del af botnet eller fordi vi tillader DNS eller NTP servere at blive brugt til reflektion og forstærkning af angreb.

Hvis man er interesseret i disse emner er der mange steder man kan læse, men prøv evt. at se i arkivet fra den nyligt overståede RIPE68 konference, https://ripe68.ripe.net/presentations/presentation-archive/

Der findes man eksempelvis

• Amplification DDoS Attacks – Defenses for Vulnerable Protocols

• Using DNS to Trace the Source of a DDoS Attack

• Selective Blackholing: Cheap & Effective DDoS Damage Control

Specielt den sidste er interessant, fordi man med nytænkning ændrer forholdene for DDoS betragteligt.

DFZ – default free zone

Lad mig lige kort introducere DFZ begrebet, for det er relevant for diskussionen af disse nye tiltag, og mit eget forslag nedenfor. Normalt når man konfigurerer en enhed med IP protokollerne angiver man en adresse for enheden, et subnet/en netværksmaske og en default gateway (gateway of last resort).

Denne gateway bruges til at nå alle andre destinationer end dem som findes på det lokale subnet, angivet med netværksmasken. Så en enhed med IP-adresse 192.168.1.10/24 kan nå alle enheder fra 192.168.1.1-254 lokalt på LAN (typisk Ethernet eller wireless). Når den skal videre ud i verden vil det typisk være enten via 192.168.1.1 eller 192.168.1.254 som er defineret som default gateway.

For fuldstændighedens skyld er det samme sag med IPv6, du kan eksempelvis have en host med IPv6 adresse 2a03:a480:1:1::2/64 og en default gateway 2a03:a480:1:1::1. IPv6 bruger som standard 64-bit så det lokale netværk er 2a03:a480:1:1::/64. En internetudbyder har således i RIPE regionen mulighed for at uddele MANGE subnets til kunder.

Godt med en default gateway kan man nå andre destinationer ude i verden, aka internet. Det som mange dog ikke ved er at et stykke ude i din ISPs netværk er der en ISP router som er overgangen fra ISP til default free zone, altså den del af core-internet som IKKE har en default gateway?! Derude er det den globale routing tabel med ~500.000 IPv4 routes/prefixes og ~15.000 IPv6 routes/prefixes. Eksempelvis er der routes annonceret med 185.27.112.0/22 og 2a03:a480::/32 som jeg står for i Solido Networks.

Jeg angiver altså til mine internetudbydere – transit providers – og til internet exchanges (DIX og Netnod Comix pt.) hvilke netværk jeg har bagved min router, pt. annoncerer vi således ~35 prefixes og dermed ~20.000 IPv4 adresser – som så fordi vi betaler for det kan nås fra “hele internet”. NB: en route peger på en router, next-hop men typisk tales om prefix som er det netværksprefix som det drejer sig om.

TL;DR default free zone har ikke en gateway of last resort så får en router en pakke til en destination som ikke findes i tabellen smides pakken væk!

Du kan læse mere om dette ved at søge på, CIDR report, BGP, default free zone

BGP blackhole for DDoS protection

Når vi som ISP befinder os på kanten af DFZ kan vi styre hvorledes vi annoncerer vores prefixes, og vore kunders prefixes og det kan i høj grad automatiseres med indstillingerne for BGP communities https://en.wikipedia.org/wiki/Border_Gateway_Protocol#Communities

Jeg kan eksempelvis vælge at min annoncering til Tier 1 ISP X skal være “længere” – path prepending eller at det pågældende prefix kun skal annonceres videre under bestemte forhold. Et mere eller mindre tilfældigt eksempel kan findes for Telia International Carrier AS1299 http://onesc.net/communities/as1299/

Så ved at sætte BGP community 1299:7009 på en annoncering burde Telia ikke annoncere dette prefix videre i asien. Aha! Vi kan altså som kunde begynde at influere på hvordan vi annoncerer, og hvordan vores netværk ses længere ude på internet – i DFZ.

En anden feature som de store ISP’er tilbyder er blackholing, en service hvor man kan annoncere enkelte IP-adresser – /32 prefix, eksempelvis 192.0.2.10/32, hvorefter den pågældende udbyder smider alle pakker med denne destination væk! Det betyder at de kan droppe pakkerne hurtigt i deres netværk, og du betaler ikke for den trafik – men får heller ikke clean/valid trafik

Et eksempel fra Cogent er deres formular http://cogentco.com/files/docs/customer_service/guide/bgpq.sample.txt:

Ulempen ved dette er at enten smider de trafikken væk, eller tillader den kommer igennem … dette kaldes derfor BGP blackholing. Fordelen er at resten af dit netværk stadig modtager trafik.

DDoS Damage Control

Enter DDoS Damage Control, altså begrænsning af skaderne, fremfor totalt blackhole, og her er
Job Snijders præsentation fra RIPE68 helt central. Anbefalingen her er at man med BGP communities i en mere udstrakt grad kan bestemme hvad der smides væk – og hvor! Det betyder at man selektivt smider pakkerne væk bestemte steder.

Så vi er nu, med få store skridt, kommet frem til at:

• Vi kan annoncere vores netværk – dermed kan de nås via diverse udbydere
• Vi kan tilpasse vores annonceringer så de annonceres på bestemte måder, annoncering i asien, eller ej
• Vi kan smide traffik væk med BGP blackholing, eksempelvis fortælle nogle af vores udbydere at de skal smide alt væk til IP 192.0.2.10
• Vi kan med forslaget fra Job annoncere at i bestemte regioner skal trafikken til bestemte destinationer smides væk

Værktøjskassen for at begrænse skaderne fra DDoS er altså blevet lidt større end den gammeldags, on/off BGP blackhole. Postulatet er således at vi kan opnå næsten fuld tilgængelighed indenfor et geografisk område, med NL som eksempel i Jobs præsentation. I praksis vil der formentlig stadig være noget DDoS-angrebstrafik som rammer målet, men hvis det er begrænset nok kan det håndteres med “normalt udstyr” firewalls, routere og serverkapacitet.

Konklusionen er ihvertfald klar, man skal ikke blot kaste håndklædet i ringen med det samme, men begynde at analysere sin brugssituation, lave en baseline over hvor ens “kunder” (i bred forstand) kommer fra og derefter tænke over hvilke værktøjer som kan bruges.

Det er selvfølgelig heller ikke alle der kan lave den slags trick, og for nogle vil det være bedre at købe en service, eller software til at håndtere dette.

Skole IT og eksamener

Når nu ovenstående er præsenteret, så har jeg et forslag. Der bliver talt meget om skoler og eksamener, undervisningsministeriet osv.

Der er formentlig ikke nogen udenfor Danmark som skal tilgå bestemte hjemmesider og applikationer som benyttes til eksamen i Danmark – ellers er det relativt få steder og kan testes på forhånd. Det vil altså være muligt at lave en positivliste over ISP’er i Danmark, man kunne starte med listen fra RIPE https://www.ripe.net/membership/indices/DK.html.

Dernæst kunne man placere de pågældende services indenfor samme netværksrange, den skal af tekniske årsager være en /24 – men det kan findes. Derved åbner man for alle ovenstående muligheder for at annoncere og påvirke datastrømmen – herunder eventuelle DDoS-angrebs datapakker – og forslaget er:

• Eksamensnetværket annonceres kun i “Danmark”, dvs til danske ISP’er og eventuelt via tunnel ud til relevante steder i verden.
• Eksamensnetværket annonceres ikke til “internet” – dvs optræder slet ikke i DFZ, og pakkerne fra en angriber/computer med denne destionation vil således ikke komme ret langt hos ISP’erne før de smides væk – no route to destination

Altså en begrænset, men overlagt strategi, som gør at visse services kun kan nås fra Danmark, og eventuel angrebstraffik vil således også kun komme fra Danmark, hvilket letter sporing og oprydning betragteligt!

Til slut, ovenstående kræver viden, men det er ikke raketvidenskab. Der er mange netværksadministratorer i Danmark som ville kunne udføre og drive en sådan løsning med relativt lille budget. Det er samtidig ikke en ekstraydelse fra ISP’erne at bruge deres BGP communities og derved er omkostningerne generelt ret lave for denne type løsning.

TL;DR lær teknologierne at kende, hold din viden opdateret med RIPE konference, bekæmp DDoS mere intelligent

Finlands ambition om at være frihavn for data, er kommet et skridt tættere på, efter finansieringen af et undersøisk kabel fra Finland, gennem Østersøen til Tyskland er blevet godkendt af den finske regering. Det skriver ZDnet.

Hidtil har Finland været afhængigt af et kabel, som er gået fra Danmark, over Øresundsbroen og gennem det sydlige Sverige, men det er ikke sikkert nok, hvis man vil tiltrække store virksomheder.

Finlands regering håber nemlig, at de med det nye kabel kan tiltrække store datacentre, som det Facebook har bygget i Luleå i Sverige og som Google har bygget i Hamina i Finland.

Vedtaget kort efter Snowden-afsløringer

Det nye kabel blev vedtaget af den finske regering i slutningen af 2013 kort efter Edward Snowdens lækkede dokumenter viste, at Sveriges Försvarets radioanstalt – svarende til Forsvarets Efterretningstjeneste – havde hjulpet USA med at skaffe oplysninger om Rusland gennem elektronisk overvågning.

Med det nye kabel mener Finlands statsminister, Krista Kiuru, at ambitionen om en it-havn, hvor virksomheder kan placere deres data i sikkerhed er godt på vej.

»Vores geopolitiske placering er baseret på både geografi og på beslutninger som vi selv tager. Vi må først selv have modet til at udvikle Finland til en signifikant sikker havn for information, hvor virksomheder og lande i sikkerhed kan placere deres kritiske data«, siger hun ifølge ZDnet.

Afviste TeliaSonera

Kort efter Finland annoncerede kabelplanerne, er Skulle Finland ifølge ZDnet have afvist et forslag fra Sveriges TeliaSonera International Carrier, som ville opbygge et privatejet fibernetværk fra Skt. Petersborg til Tyskland, som skulle have passeret gennem Finland og Baltikum.

I stedet er planen, at kablet skal bygges af det statsejede Governia, som for har opkøbt Corenet Oy, som er en data-kabel-virksomhed, som ejer 7100 kilometer optisk fibernet kabel i Finland.