Monthly Archives: May 2014

Et flertal i Folketinget vil nu lægge pres på justitsminister Karen Hækkerup for at få udvidet en undersøgelse af sikkerheden omkring data vedrørende elektroniske betalinger til at omfatte hele datasikkerheden i Danmark. Det skriver Politiken.

Karen Hækkerup har erklæret, at der bør iværksættes en undersøgelse, men ifølge Politiken holder hun fast i, at den foreløbig skal koncentreres om betalingsinformationer på baggrund af sagen om Nets, IBM og ugebladet Se og Hør.

Det er imidlertid et alt for snævert fokus, mener et flertal, ført an af blandt andre Venstre og Enhedslisten, som begge ønsker en bredere undersøgelse.

»Jeg har ingen grund til at tro, at regeringen ikke tager det alvorligt, men vi har behov for at blive enige om, at der skal være større og længere visioner, så det ikke kun handler om kreditkortoplysninger,« siger retsordfører Pernille Skipper fra Enhedslisten til Politiken.

Karen Hækkerup oplyser til Politiken, at hun ikke afviser, at andre områder som eksempelvis telesektoren og det offentliges håndtering af data kan blive undersøgt senere, men i første omgang vil en undersøgelse skulle fokusere på elektroniske betalinger.

I april måned havde Nordeas mobilbank flere besøg end netbanken med henholdsvis 5.430.980 besøg mod 5.179.999 besøg. Det skriver Ritzau ifølge Politiken.

Kunderne har dog ikke helt droppet netbanken, men antallet af besøg i netbanken har ligget stabilt længe, mens antallet af besøg via mobilbanken er steget.

Ifølge Nordea benytter kunderne især mobilbanken til at tjekke deres konti på andre tidspunkter, end de gør med netbanken, eksempelvis på vej på arbejde. Samtidig bruger kunderne de funktioner, som i mobilbanken ikke kræver NemID som eksempelvis at se deres saldo eller overføre mellem egne konti.

Netbanken bliver dog stadig brugt mest, når der skal betales regninger eller overføres penge til andre.

Det var én af de phishing-kampagner, hvor det som it-professionel nok var svært at forestille sig, at nogen skulle bide på krogen. Men det gjorde de alligevel, rapporterer sikkerhedsfirmaet CSIS.

Modtageren fik en mail, hvor afsenderen udgav sig for at være fra ‘NemID Bedrageriafdelingen’. Ifølge mailen var der registreret en fejl ved modtagerens kort med engangskoder til NemID.

Derfor skulle modtageren følge et link til en hjemmeside, hvor han kunne uploade et foto af sit nøglekort eller indtaste dem én efter én. Desuden skulle man oplyse sit brugernavn og adgangskode til NemID.

Det ville nok vække mistanke hos de fleste, men ifølge CSIS er der danskere, der er faldet i fælden i løbet af de foreløbig fire gange, phishing-kampagnen har kørt.

Sikkerhedsfirmaet har således opsnappet nogle af de billeder, som danske ofre for kampagnen har indsendt, hvor man klart og tydeligt kan læse alle engangskoderne. Enkelte har dog også ifølge CSIS benyttet lejligheden til at give svindlerne en personlig billedhilsen af en noget anden karakter.

CSIS oplyser til Version2, at sikkerhedsfirmaet har trukket billederne ud fra den server, som svindlerne har brugt.

Med både den almindelige adgangskode og oplysningerne fra nøglekortet ville svindlerne have fuld adgang til ofrets bankkonti, skattepapirer og andre personlige dokumenter og reelt have gennemført et komplet identitetstyveri.

Det socialdemokratiske medlem af Europaparlamentet Britta Thomsen har aldrig skiftet køn, men det påstod en journalist på et pressemøde, og nu hænger hun på historien i Google-søgninger. Nu vil hun forsøge at få det slettet, skriver DR.

Britta Thomsen har tidligere forsøgt at få slettet referencerne til den urigtige påstand ved at kontakte Google, men uden held. Nu håber hun, at den seneste dom over Google kan ændre hendes sag.

»I dag er det et almindeligt værktøj at google folk inden et interview eller foredrag, og derfor bliver jeg konstant konfronteret med historien, selvom jeg hellere vil tale om min politik. Det har fulgt mig siden, og det er lidt irriterende, fordi det er grebet ud af den blå luft. Derfor vil jeg, når valgkampen er slut, forsøge at få slettet historien fra Google,« siger Britta Thomsen til DR.

Google blev tidligere på ugen pålagt at slette henvisninger til en forældet tvangsauktionssag, hvor en spansk mand altså fik medhold i, at Google skulle slette linket til en spansk avis.

Britta Thomsen er ét af de parlamentsmedlemmer, som arbejder for et nyt sæt EU-regler for persondatabeskyttelse, som skal træde i kraft i 2015.

Når der bliver fundet et alvorligt sikkerhedshul i Linux-kernen eller andre dele af styresystemet, så bliver det nu også påpeget, at den samme sårbarhed også findes i Linux-varianter som Android og Chrome OS.

Det betyder, at man i princippet skal opdatere sin Android-telefon eller Chromebook, så snart en sikkerhedsopdatering er tilgængelig. Typisk skal en Android-telefon dog ikke være mere end to år gammel, før der ikke længere kommer regelmæssige opdateringer fra producenter som Samsung eller HTC.

Dermed ender mange telefoner med aldrig at få lukket sikkerhedshullerne, fordi de ikke får sikkerhedsopdateringer. Foreløbig er der dog ingen grund til panik, da de færreste er i fare for at blive angrebet gennem sårbarhederne.

»Min første bekymring, når jeg hører om et sikkerhedshul i Linux, vil være, om vores servere nu er sikre,« siger sikkerhedskonsulent Sean Sullivan fra sikkerhedsfirmaet F-Secure til Version2.

Han påpeger, at det også altid kræver en grundig granskning at bekræfte, at et sikkerhedshul i Linux-kernen også kan udnyttes på en vilkårlig Android-telefon.

Android er ellers ifølge flere sikkerhedsfirmaer den mobilplatform, der lige nu er mest plaget af malware. Men i modsætning til, hvad vi tidligere har set på eksempelvis Windows, så er sikkerhedshuller i styresystemet ikke den primære angrebsvinkel for bagmændene.

»Hovedparten af de angreb, der har et økonomisk motiv, benytter sig af social engineering. Decideret hacking af styresystemet er endnu forbeholdt angrebene mod udvalgte mål,« siger Sean Sullivan.

Social engineering er én af hjørnestenene i hacking og spredningen af malware, som hvor det handler om at udnytte menneskelige svagheder snarere end de tekniske. Det er det, der ligger til grund for phishing, og som på smartphones udnyttes i eksempelvis kopi-applikationer, hvor brugeren lokkes til at give applikationen adgang til alt.

»Det, vi ser i Danmark, er eksempelvis en bruger med en ekstremt høj mobilregning, hvor han har hentet apps fra forskellige kilder og ukritisk svaret ja, ja, ja til alle rettigheder,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS.

Sårbarheder i mobilstyresystemerne ses lige nu kun i målrettede angreb, som kan være mod politikere eller personer i virksomheder, som udsættes for industrispionage. Her er det væsentligt for bagmændene, at ofret ikke fatter mistanke.

»De målrettede angreb er mere farlige, men de er heldigvis ikke hverdagskost,« siger Peter Kruse.

Lige siden de første smartphones kom på markedet for mere end 10 år siden, har sikkerhedseksperter advaret om, at mobiltelefonerne ville blive det næste mål for hackerne. Hidtil har det dog ikke manifesteret sig i samme store omfang, som vi på et tidspunkt så på Windows-pc’er, indtil sikkerheden blev strammet op.

I stedet for at kaste sig over Android, hvor der altså også findes sikkerhedshuller, så holder malware-bagmændene sig stadig til Windows-platformen. Her er der stadig et stort antal pc’er med eksempelvis Windows XP, som ikke bliver opdateret og derfor er let bytte.

»Svindlerne er dovne, og gærdet sidder tilpas lavt til at angribe Windows. Men nu begynder vi at have et volumen af smartphones, og de har en kodebase af malware til Android,« siger Peter Kruse.

De fleste kriminelle, som spreder malware med økonomisk motiv, benytter sig af standardværktøjer, som kan købes på nettet og giver mulighed for med få klik at lave sine egne varianter af malware og udnytte forskellige sårbarheder.

Disse værktøjer er først nu begyndt at medtage muligheden for at lave malware til smartphones, og hvis det tager fart, så bliver det vigtigt at få styr på sikkerhedsopdateringerne til sin smartphone.

Det kritiske scenarie vil være en kombination af en sårbarhed i eksempelvis browseren på en telefon og en sårbarhed, der gør det muligt at eskalere rettighederne til at få adgang til kernen og modificere telefonen til at køre malware.

»Den type drive-by-installationer, vi har set til pc’er, er også noget, vi kommer til at se til smartphones,« siger Peter Kruse.

Der er stadig mange steder i Danmark, hvor mobildækningen er dårlig eller endda ikke-eksisterende. Det vil Erhvervsstyrelsen forsøge at få kortlagt, og i Vestjylland er 300 ansatte i Ringkøbing-Skjern Kommune derfor blevet inddraget i jagten på huller i mobildækningen, skriver Kit Magasinet.

De 300 medarbejdere har fået installeret applikationen Mobilog på deres smartphones. Den kan registrere mobildækningen, der hvor telefonen befinder sig, og sende signalstyrken og positionen til Erhvervsstyrelsen, som indsamler dataene.

Kortlægningen vil kunne bruges af kommunen til eksempelvis at kræve bedre dækning i yderområder, når kommunen skal sende dens mobiltelefoni i udbud.

Mobilog-indsamlingen i Ringkøbing-Skjern er et pilotprojekt, hvor kommunen også opfordrer borgerne til at hente og benytte app’en, og hvis pilotprojektet er en succes, vil det senere kunne bruges til at give en kortlægning af den danske mobildækning baseret på flere målinger end teleselskabernes egne.

Adobes nyeste software er bundet op til Adobes cloud-platform, som blandt andet holder styr på licenserne. Det giver nu problemer, fordi tjenesten har været nede i timevis.

Adobe Creative Cloud har været nede siden før midnat onsdag dansk tid, og det har blandt andet forhindret brugere i at logge ind eller oprette nye brugerkontoer.

Ifølge Adobe skulle det stadig være muligt at benytte desktop-applikationer samt skrifttyper, der er knyttet til skyen, men flere brugere hævder, at de også har problemer med desktop-applikationer som Adobe Premiere og skrifttyper.

Adobe udsendte tirsdag sikkerhedsopdateringer til selskabets software, hvor der også var opdateringer til Acrobat og Illustrator, men det er uvist, hvorvidt der er nogen sammenhæng med Creative Cloud-problemerne.

Kravene til virksomheder og myndigheders håndtering af personoplysninger ser ud til at blive skærpede betragteligt, når den nye persondataforordning fra EU træder i kraft. Der snakkes om langt mere alvorlige bødestraffe, end det er tilfældet i dag, og virksomheder, der håndtere store mængder data bliver pålagt at ansatte dedikerede ”databeskyttelsesofficerer”.

Det lyder som ekstra arbejde og større omkostninger. Men hvis den skærpede lovgivning håndteres rigtigt, kan det være en god mulighed for markedsføring. Det mener it-advokat Henrik Mansfeldt Witt, der tirsdag holdt oplæg om emnet til Børsens konference IT-value, der afholdes onsdag og i dag torsdag.

»Hvis du har et dokumenteret højt sikkerhedsniveau, så kan det helt klart være et salgsargument, der stiller din virksomhed stærkt over for dine konkurrenter,« siger Henrik Mansfeldt Witt og tilføjer, at højt profilerede sager som Edward Snowdens afsløringer af NSAs overvågning og senest Nets-skandalen i Danmark har skabt en opmærksomhed på privacy og it-sikkerhed, som virksomhederne kan markedsføre sig på at efterkomme.

»Lovgivningen kan både være en byrde og en gave – det kommer an på, hvordan du håndterer den.«

Tænk loven ind i din forretningsmodel

Men selvom opmærksomheden på privacy fra befolkningen og den strammede lovgivning fra EU kan være en mulighed for virksomheder, kan man selvsagt også komme i klemme, hvis man ikke tænker sig om.

Derfor råder Henrik Mansfeldt Witt virksomheder, der håndterer data at gøre efterkommelse af persondatalovgivningen til en grundlæggende del af forretningsmodellen i stedet for at indrette sig dom for dom eller sag for sag.

»Lad være at lade en advokat stå for at indrette din privacy-politik alene. Det er ikke bare en jura-beslutning, det er en forretnings-beslutning, hvordan man indretter sig i forhold til reglerne. Derfor skal der også være folk med forretningsforståelse med til at håndtere det,« siger Henrik Mansfeldt Witt og pointerer, at det kan være problematisk, hvis man ikke sørger for, at den grundlæggende forretningsmodel er i overensstemmelse med loven.

Som skræmmeeksempel bruger han søgegiganten Google, der løbende er i juridisk konflikt med forskellige europæiske lande – senest har EU afgjort, at søgegiganten i visse tilfælde er forpligtet til at slette links i søgeresultater, og for et par måneder siden fik Google en millionbøde af de italienske myndigheder i forbindelse med fotografering til Street View-funktionen.

Ifølge Henrik Mansfeldt Witt har Google en forretningsmodel, der ofte er i konflikt med forskellig lovgivning – men den praksis bliver meget dyr, hvis bøderne for lovbrud får de størrelser, der er lagt op til i den kommende forordning. Og derfor er det med at indrette sin virksomhed efter lovgivningen med det samme, da det kan blive uoverskueligt at tage slagsmålene løbende.

»Jeg er glad for, at jeg ikke er advokat hos Google,« slutter Henrik Mansfeldt Witt.

Persondataforordningen ligger i øjeblikket hos ministerrådet og kan stadigvæk nå at ændre sig markant.

Det var nok bare et spørgsmål om tid, skulle man mene, inden whistlebloweren Edward Snowdens afsløringer af NSA’s omfattende og vidtgående overvågning ville blive filmatiseret.

Og det gør den så nu, skriver The Verge.

Filmstudiet Sony Pictures har netop annonceret, at det har købt rettighederne til Glenn Greenwalds, The Guardian-journalisten som første gang skrev om Snowden og hans afsløringer, nye bog No Place to Hide: Edward Snowden, the NSA, and the US Surveillance State, og som skal adapteres til det store lærred.

Det er de to faste producere af James Bond-filmene Michael G. Wilson og Barbara Broccoli, der er blevet tilknyttet det nye projekt.
Sony Pictures er heller ikke på helt fremmed grund, når det kommer til film om data og store teknologipersonligheder. Tidligere har studiet også stået bag The Social Network om tilblivelsen af Facebook og filmportrættet af Steve Jobs.

Vores data på tværs af mange registre kan umiddelbart bare sættes sammen. Er det godt nok at loven begrænser mulighederne eller skal der andre, evt. teknologiske, boller på suppen?

For blot 12 måneder siden blev den slags diskussioner holdt på snævre medier som version2.dk. Nu er de hotte. I seneste udgave (uge 19) af Weekendavisen tager David Simonsen i sin kronik “Something rotten in the State of Denmark?” det vigtige emne op, at uanset hvordan vi forsøger at lave regler for vores data mod misbrug og samkøring mellem datakilder, så bør vi også har en vis teknisk kontrol over hvordan data komponeres og ikke mindst kræve, at borgerne har mulighed for at sige til eller fra. Hvis I ikke kender David, så er han manden bag WAYF som jeg bloggede om for nogle år siden.

Her i landet er CPR-nummeret brugt til meget – rigtigt meget. På den positive side giver det Danmark en unik mulighed for at lade forskere finde mønstre på tværs af registre. Lederen i selvsamme udgave af Weekendavisen havde et tænkt eksempel:

Hvis en forsker i USA eller Sydkorea vil forske i den hypotese, at en særlig lidelse hos 60-årige har sammenhæng med, om de har læst bøger af Kaptajn Marryat før puberteten, kan han eller hun bare spørge danskerne. Vi har svaret.

(Anne Knudsen, Weekendavisen, leder, uge 19)

Gemmes biblioteksdata egentlig så længe? Hvis du har info om det, så sig gerne frem. Nå, men registerbaseret forskning kan give meget spændende resultater. Sundhedsområdet har haft god nytte af den type forskning … dog vist nok uden at korrelere med biblioteksudlån.

Nu ved jeg ikke med dig, men personligt er jeg egentligt ikke blevet spurgt om – endsige frivilligt har meldt mig til – at få mine data registreret til menneskehedens eller blot samfundets bedste. Det burde vel være vore egne valg hvad data om os bliver brugt til?

Hvad angår virksomheder bliver vi hele tiden klogere på effekten af de mange data, de har om os. Hvor vi tidligere måske troede, at vores data blot hjalp til at vise os mere relevante reklamer, ved vi nu bedre: Nu oplever vi med hoteller og flybilletter, at prisen for en vare stiger efterhånden som vi på vores customer journey cirkler længere og længere ned i købs-tragten. For mange data om os i modpartens hænder svækker vores forhandlingssituation og giver tab af magt. Blandt andet derfor vil EU indføre ”retten til at blive glemt” og har senest bestemt at Google skal behandle sager om fjernelse af oplysninger relateret til personer fra deres søgninger.

Når vi, berettiget, er bekymrede for kommercielle aktørers brug af vores data, hvor bekymrede bør vi være de mange flere data i offentlige registre?

Folketinget har med offentlighedsloven som bekendt arbejdet med Bismarcks tankegods om, at folket ikke bør vide hvordan hverken pølser eller politik bliver til. Måske er tiden inden til en ”omvendt Bismarck” – en diskussion af, hvor meget staten bør vide om borgerne, hvor længe og om de som minimum bør huske at spørge os pænt først.

(Davids kronik tager også andre emner op som afhængigheden af én leverandør til fx NemID, om US-ejede virksomheder i Danmark kan blive tvunget til at udlevere data om danske borgere uden at måtte informere danske myndigheder og det ufornuftige i at beskære Datatilsynet når vi står over for disse mange problemer. Weekendavisens indhold er ikke til at finde på nettet så hvis du vil læse kronikken må du nå ned til kiosken før næste uges Weekendavis overtager pladsen.)

PS: Jeg har uden held søgt efter links til at priser stiger efter intensiv søgning på fx rejse. Hvis du finde et, så giv gerne et tip.