Monthly Archives: May 2014

Kun en politisk aftale kan forhindre gentagelser af den farlige situation fra marts, hvor et SAS-fly med nød og næppe undgik at kollidere med et russisk overvågningsfly og passerede det i 90 meters afstand. Det påpeger Pilotforeningens formand, Lars Bjørling.

»Det er i virkeligheden et politisk problem, hvor landene omkring Østersøen bliver nødt til at blive enige om, at militærfly skal være udstyret med en transponder, og at den er nødt til at være tændt, så de ikke udgør en fare,« siger han.

Lars Bjørking understreger, at både besætningen på militærflyene og på de civile fly bringes i fare.

»Dette her er bestemt alvorligt. Der flyver militærfly rundt i internationalt luftrum uden flyveplan og transponder, så de kun kan ses med primær radar. Det er en rigtigt dårlig idé, og jeg forstår ikke, at nogen vil gøre det,« siger han.

Primær-radar for upræcis

I det seneste tilfælde var et SAS-fly var sekunder fra en kollision med et russisk overvågningsfly af typen Iljushin Il-20 m. Det russiske fly var usynligt på den sekundære radar, der viser fly med transponder, både for piloterne i SAS-flyet og flyvelederne i Kastrup Lufthavn.

Men det blev opdaget på den primære radar af det svenske forsvar, som nåede at varsle SAS-flyet, så det kunne undgå en kollision. Ifølge Lars Bjørking har denne fremgangsmåde dog sine begrænsninger.

»Højdebestemmelsen på en primærradar er ikke brugbar til at sikre højdeseparation mellem fly. Der kan være en usikkerhed på over 1000 fod,« påpeger han.

Netop 1000 fod er grænsen for, hvor langt man normalt anser for sikkert, når to fly skal passere hinanden.

Også manglen på øjne på primærradaren har været udsat for kritik, senest da Malaysia Airlines MH370 forvandt i marts. Her gav manglen på overblik over områdets radarbilleder anledning til mange spekulationer om det forsvundne flys rute.

De fleste fly er udstyret med den såkaldte TCAS-transponder, men militærfly vælger ofte at have transponderen slukket for at undgå at blive set. En slukket transponder betyder dog samtidig, at flyet også selv er blindt, bortset fra hvad piloterne kan se ud af vinduet.

Når piloterne kun orienterer sig gennem flyets vinduer, flyver de efter de såkaldte visuelle flyveregler (VFR), men i moderne luftfart har VFR-flyvereglerne åbenlyse begrænsninger, forklarer Lars Bjørking.

»VFR-reglerne minder meget om søfartsregler. Man har for eksempel højre-vigepligt, og man skal holde tilbage, når man overhaler. Det er fint, hvis man flyver i små, langsomme propelfly. De egner sig bare ikke til alle situationer i luften. Flyver man med høj fart, som man gør i dag, når man ofte knap at registrere det andet fly, og er man i skydække er der endnu mindre mulighed for det,« siger han.

Der er ingen offentligt tilgængelige opgørelser over, hvor ofte civile og militære fly møder hinanden i luften, men på det seneste har SAS har oplevet flere møder end sædvanligt.

»Vi har oplevet en stigning i antallet af denne her type flyvninger i nærheden af vores ruter i den periode, hvor denne hændelse fandt sted,« siger pressechef i SAS, Trine Kromann-Mikkelsen.

Hun tilføjer, at hun dog ikke kender til andre hændelser som denne inden for de seneste par år.

»Vi blander os ikke i diskussionen om, hvordan de må flyve. Vi vil bare gerne have, at vi kan gennemføre vores kommercielle flyvninger uden at opleve disse her hændelser, som er alvorlige. Hvis vores piloter ikke havde reageret, som de gjorde, kunne det have udgjort en fare for begge fly. Vi har skrevet et brev og forklaret situationen til myndighederne. Så har vi også tillid til, at de gør, hvad der skal til for at undgå det fremover,« siger hun.

En alvorlig fejl i Linux kernen er nu blevet rettet efter en levetid på fem år. Det skriver Ars Technica. Fejlen gør specielt webhostings-tjenester sårbare for hackere, fordi hackerne kan bruge sårbarheden til at køre deres egen kode på serveren.

Fejlen smuttede ind i koden i version 2.6.31-rc3, som blev introduceret i 2009. Den tillader brugere at køre kode, som brugerne ikke burde have adgang til at eksekvere, ifølge noterne til en proof-of-concept kode, som er tilgængelig her.

Ifølge en sikkerhedsekspert fra Azimuth Security er fejlen ikke afhængig af en bestemt arkitektur, og en lang række Linux-kerner er derfor ramt af fejlen. Flere har påpeget at både Googles Android og Chrome OS kan være ramt af fejlen.

Sårbarheden kan kun udnyttes af en som allerede har en bruger i systemet. Det er dog ikke nødvendigvis svært at anskaffe sig, da mange hosting-tjenester har delte servere mellem flere brugere.

Fejlen er dog blevet rettet og en patch er sendt ud til flere Linux distributioner. Ubuntu har blandt andre fået en opdatering, mens Red Hat Enterprise Linux 5 slet ikke er ramt af fejlen. Red Hat Enterprise 6 og Red Hat Enterprise MRG 2 får muligvis en opdatering i fremtiden. Status for Debian findes her.

Skandalen om læk af data fra Nets har fået diskussionerne om sikkerhed til at blomstre – og et af punkterne er værdien af fine sikkerhedsstandarder, årlige audits og fine certifikater med stempler til samlingen på væggen.

Nets skal nemlig ligesom alle andre, der formidler betalinger med internationale betalingskort hvert år bestå et tjek, hvor et eksternt firma kontrollerer, at alle krav i standarden ’PCI DSS’ bliver overholdt. PCI DSS står for Payment Card Industry Data Security Standard, og Nets bliver årligt og senest i september 2013 certificeret efter de mange krav i PCI-reglerne.

Men at det ikke har stoppet skandalen om læk af data, overrasker ikke Lars Syberg fra sikkerhedsfirmaet Fortconsult.

»PCI-standarden handler kun om at beskytte kortnumrene. Alt det andet, inklusive transaktioner på kortet, er mindre relevant. Men det hele ligger normalt på de samme systemer,« siger Lars Syberg, der er leder af Fortconsults afdeling for PCI DSS-audits.

Reglerne for de internationale betalingskort kan også betyde, at for eksempel kundeservice-medarbejdere ikke må få adgang til kortnumrene, men godt kan følge med i transaktioner på en persons kort.

Beskyttelse mod hackere – ikke mod insidere

Det er ikke Fortconsult, men britiske Foregenix, der har udstedt et PCI-’diplom’ til Nets, og Lars Syberg udtaler sig derfor generelt ud fra sine erfaringer, og ikke konkret om forholdene og sikkerheden hos Nets. Men afsløringerne i de forløbne uger har ført til mange diskussioner med kolleger om, hvordan en PCI-godkendelse kan beskytte mod den slags datalæk, der er sket hos Nets.

Den grundlæggende forskel er, at PCI-reglerne er skabt for at beskytte kortnumre mod at falde i it-kriminelles hænder og i mindre grad beskæftiger sig med at beskytte data mod insider-misbrug. Det slår for eksempel igennem i kravene om logning.

»Der skal logges en masse, og der skal overvåges og samles op. Men det er ikke særlig klart defineret, kun på nogle enkelte områder, mens resten er op til virksomheden selv. Fokus er ikke så meget på autoriserede medarbejdere, som slår data op som en del af deres arbejde, så man kan sagtens være helt compliant, og alligevel kan sådan noget som hos Nets ske,« siger Lars Syberg.

Kravet om beskyttelse af kortnumrene betyder også, at der ikke i logfilerne må være kortnumre.

»Derfor kan man ikke lige gå ind og søge på kortnumre i logfilerne og se, hvem der har forespurgt på dette betalingskort. Man kan bruge andre nøgler, for eksempel navn, men det kommer an på, hvordan logningen er lavet,« siger sikkerhedseksperten.

I Nets-sagen har der ikke været tale om salg af kortoplysninger – det er i hvert fald ikke offentligt kendt – men fordi det er en insider med systemadgang, ville PCI-standarden heller ikke beskytte Nets her.

»Standarden er bygget op om, at man har nogle folk med fingrene i maskinen, og at man bliver nødt til at stole på dem. Så det er ret sandsynligt, at kilde kunne have solgt kortdata, hvis han ville det,« vurderer Lars Syberg.

Selvom PCI-reglerne og kravet om årlige audits måske globalt set er en forbedring og gør det mere trygt at svinge sit Visa-kort, kan effekten også hurtigt blive den modsatte ude hos de firmaer, som skal leve op til reglerne, vurderer Lars Syberg.

»Nogle gange giver PCI-compliance en forkert fornemmelse af sikkerhed. Så mener man, at man gør nok, når man lever op til PCI-standarden, og det er dejligt for firmaer som Nets at kunne pege på, at de er compliant. Men standarden er et minimumsniveau, som kun handler om, at ejerne af disse kortnumre vil sikre, at de er beskyttet,« siger han.

Krypterer kortnumre – men ikke navne

Selvom Fortconsult anbefaler kunderne en stribe andre tiltag, udover hvad PCI-standarden kræver, vælger en del kunder at nøjes med PCI-audits og den sikkerhed, der skal til for at leve op til reglerne her.

»Der er mange, som siger ’vi tager PCI – det er godt nok’. Vi ser for eksempel, at det kun er kortnumrene i databasen, som er krypterede, og ikke de andre data, som navn. Det er ellers nemt at kryptere og beskytte hele databasen i stedet for kun kortnumrene. Men det ser vi desværre tit,« siger Lars Syberg.

Et andet problem er, at et firma dumper et PCI-audit, hvis bare én ting er galt. Derfor bliver kortene holdt tæt ind til kroppen, når de eksterne konsulenter kommer ud for at tjekke, om alt er som det skal være.

»Hvis du fejler på ét lille punkt, har du fejlet det hele. Derfor har du som virksomhed ikke nogen interesse i at lægge alt for meget frem, for tænk nu hvis det betyder, at du fejler? Det er især, hvis du lever af at processere kort. I princippet må bankerne ikke bruge firmaer, som ikke er PCI-compliant, men i praksis er det ikke realistisk, at det får den konsekvens,« siger Lars Syberg.

Hele Nets-sagen har altså handlet meget mere om privacy og sikkerhed generelt, end det har handlet om PCI-standarden, der koncentrerer sig om at forhindre hackere i at løbe med kortnumrene og misbruge dem. Men på et område kan der være overlap, nemlig reaktionen på den advarsel, som Nets fik om misbrug af interne data i januar 2013.

»Får man sådan en henvendelse, så bør man undersøge det ret grundigt. I et firma som Nets vil man ikke miste en masse kortdata, der kan blive svindlet med. Det ville jeg tage meget seriøst, hvis jeg fik sådan en henvendelse,« siger Lars Syberg.

Version2 har forsøgt at tale med Foregenix, firmaet som har foretaget seneste audit hos Nets, men her var eneste besked, at man ikke ville sige noget, hvorefter røret blev smækket på.

Et nyt kapitel er skrevet i sagen, hvor Oracle har sagsøgt Google for brug af Java-API’er i Android – en historie som Google nok havde ønsket afsluttet i 2012, da Oracle tabte sagen.

Oracle, der ejer Java efter opkøbet af Sun, mener, at programmeringssprogets API’er (application programming interface) er beskyttet af den amerikanske copyright-lovgivning, og at Google derfor ikke uden videre må anvende dem. Nu har en amerikansk appeldomstol afgjort, at Java-API’er godt kan beskyttes af amerikansk copyright-lovgivning, skriver Infoworld.

Google havde tidligere fået rettens ord for, at API’er ikke er beskyttet af copyright under amerikansk lovgivning, og at API’er er nødvendige for at udviklere kan skrive interoperatibel software. Det er den afgørelse, som Oracle havde appelleret og nu fået medhold i.

Oracle sagsøgte Google for fire får siden med påstanden om, at Google Android-operativsystem overtræder både patenter og copyright i forhold til Oracles Java-teknologi. Nærmere bestemt går Oracles anklage på, at Google har kopiret ‘stukturen, sekvensen og organiseringen’ af nogle kerne-API’er i Java i forbindelse med udviklingen af Android. Kravet fra Oracle lød dengang på en erstatning på seks milliarder kroner.

Den seneste afgørelse betyder ifølge Cio.com.au, at Oracle nu kan fortsætte sagen mod Google. Appeldomstolen har sendt sagen sagen tilbage til Distriktsdomstolen i San Francisco, hvor en anden jury nu skal tage stilling til, hvorvidt de API’er, som Google har anvendt, har været beskyttede.

I en udtalelse fra Google hedder det:

»Vi er skuffede over denne afgørelse, som sætter en skadelig præcedens for computervidenskab og softwareudvikling, og vi overvejer vores muligheder.«

Oracle har ikke overraskende et andet syn på sagen, fremgår det af en udtalelse, og beskriver afgørelsen som en sejr for ikke bare Oracle men hele softwareindustrien.

Infoworld skriver, at afgørelsen kan få vidtrækkende konsekvenser for softwareindustrien, og at nogle udviklere har argumenteret for, at hvis APi’er bliver omfattet af copyright-lovgivning, så vil det påvirke program-kompatibilitet og sætte innovationen i stå. Flere større softwarevirksomheder er uenige og mener, at API’er er kreative værker, som er værdige til at være omfattede af copyrightbeskyttelse.

Som mainframe-medarbejder hos IBM indtil 2012 kunne tys-tys-kilden, der solgte fortrolige data til Se og Hør, også kigge i en administrativ database over NemID-brugere. Men systemerne til kreditkort og til NemID er to helt forskellige ting, og NemID er stadig et meget sikkert system.

Sådan lyder det fra Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen, oven på afsløringen af, at IBM-medarbejderen også havde adgang til NemID-databasen, ifølge en redegørelse fra Nets. Redegørelsen var bestilt af Digitaliseringsstyrelsen, som sammen med bankerne betaler Nets for at drive NemID-systemet.

Beskyttelsen mod at medarbejdere hos Nets eller IBM misbruger NemID-systemet består grundlæggende i, at adgangen er beskyttet af det password, som NemID-brugerne selv vælger. Den såkaldte tys-tys-kilde kunne derfor kun se lister over brugerne, inklusive CPR-numre, og loggede kun ind i NemID-databasen én gang, fremgår det af redegørelsen.

Er I tilfredse med redegørelsen fra Nets, hvor Nets har undersøgt sig selv, eller skal der også være en ekstern undersøgelse af sikkerheden hos Nets?

»Vi undersøger løbende Nets med ekstern hjælp, med eksterne revisorer. De har også selv tilknyttet eksterne revisorer i denne her proces. Vi har selv lige modtaget redegørelsen, og det er klart, at sagen gør, at vi vil i nærmere dialog med Nets, som det også fremgår (af pressemeddelelsen om redegørelsen, red.). Det kan også føre til, at vi vurderer, at der er behov for at gå i dybden med nogle områder. Det har vi ikke taget endelig stilling til endnu,« siger Lars Frelle-Petersen til Version2.

»Der er procedurer, der er blevet fulgt, og praksis omkring det, som har været i orden, som har fulgt de aftaler og kontrakter, vi har med Nets. Dem får vi også efterset på forskellige måder gennem de revisionstilsyn, vi har af DanID. Om det skal give anledning til en ekstraordinær gennemgang, vil vi lige vurdere nærmere.«

Har de seneste ugers afsløringer ført til overvejelser om, om man stadig skal have et system som NemID liggende hos Nets?

»Nu er diskussionen jo blevet meget bred og omfattende og handler også om mange andre emner. Sagen er jo ganske alvorlig. En medarbejder har tilsyneladende forbrudt sig mod reglerne, og den anden del er, at han ikke er blevet opdaget i de procedurer, der er. Jeg kender ikke meget til kreditkortdelen, men jeg kender til NemID, og det er to meget forskellige områder, som er skruet meget forskelligt sammen. Nu bliver det lidt set som et samlet hele, og det er det ikke.«

»Du kan ikke som medarbejder hos Nets tilgå informationer i NemID, som gør, at du kan manipulere med eller bruge folks NemID. NemID samles først hos borgeren, og det er i anvendelsen, at du kan bruge den til det, du vil. Det kan du ikke centralt fra.«

»Så det er to forskellige ting – men derfor skal man selvfølgelig bruge denne skandale til at tjekke mange andre områder op. Der er også dukket andre historier op, hvor man måske ikke har fulgt de procedurer, der har været. Derfor har vi også fundet anledning til at få det undersøgt nærmere, fordi det er en sag, der foregår hos Nets, og fordi vi gerne vil have, at man fortsat kan være tryg ved at bruge NemID.«

Konceptet i NemID er, at alle private nøgler er samlet ét sted, så man bliver i sidste ende nødt til at stole på Nets. Har hele dette kompleks af sager gjort, at I har tænkt, at det måske var bedre fremover med en løsning, hvor det hele ikke er samlet hos én aktør?

»Vi gør os rigtig mange overvejelser i denne her periode. Vi er jo også på vej ud i nyt udbud omkring en digital signaturløsning. Der er fordele og ulemper ved alle konstruktioner, og der er i øvrigt med NemID både mulighed for det ene og det andet (man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.)«

»Den ene model er en central løsning, og da vi valgte den, gjorde vi os mange overvejelser, fordi vi havde haft en decentral løsning før, som viste sig at have meget store support-udfordringer og gav mange borgere vanskeligheder ved at anvende løsningen. Den anden del var et stort ønske om, at den skulle være så mobil som muligt, og der skal man lige huske, at vi lavede aftalen i 2007. Der var et stort ønske om, at borgeren kunne bruge løsningen fra forskellige computere, uden at skulle kopiere en nøgle eller gøre andre krævende ting. Så vi har fået en høj brugervenlighed og meget høj udbredelse, fordi NemID er så nem at anvende.«

»Så kan man rejse spørgsmålet, om der er forøget risiko ved at placere det hele centralt. Som det fremgår af redegørelsen, så er det hele skruet sammen på en måde, som er så sikkert, som de internationale standarder på området kræver, at det skal være. Det har jo vist at være et meget sikkert system, og det er det fortsat.«

Så I vil ikke have noget problem ved at have en central løsning igen, når I skal vælge en afløser for NemID?

»Det vil jeg hverken sige ja eller nej til, for det er vi ikke færdige med analyser af. Der er fordele ved en centralisering i form af brugervenlighed og fleksibilitet, og at man skal installere så lidt software som muligt på borgerens pc, eller at borgeren selv skal have en token. Det er stadig et meget stort ønske fra danskerne om, at det skal være så nemt at bruge som muligt, og det er et meget væsentligt hensyn.«

»Så er der samtidigt et hensyn, som betyder rigtig meget, nemlig at det skal være så sikkert som muligt. Og der skal vi overveje forskellige løsninger. Ligesom man også har muligheden for at få sin nøgle på et medie med NemID. Så der findes forskellige udgaver af den eksisterende løsning, og det er også noget af det, vi skal se på, om der fortsat skal være,« siger Lars Frelle-Petersen.

Det er nok de færreste, der forbinder open source-organisationen Mozilla med sponserede links, men det kan meget vel være på vej til at ændre sig. Techcrunch fortæller, at Mozilla-chef med ansvaret for Firefox, Jonathan Nightingale, i et blogindlæg forsvarer organisationens planer om at implementere sponsorerede links i Firefox.

Planerne om sponseret indhold blev oprindeligt fremlagt i februar af Mozilla. Og ifølge Nightingale er Mozilla nu ved at eksperimentere med layouts for linksne.

Det er meningen, de skal optræde, når brugeren klikker for at få et nyt faneblade op i browseren. Normalt vil der her være links, der afspejler de hjemmesider, brugeren ofte besøger. Og for nye brugere, er der i sagens ikke meget at kigge på i den forbindelse. Disse tommepladser er det så meningen at fylde med sponseret indhold.

Jonathan Nightingale lover, at tiltaget med sponserede links ikke vil forvandle Firefox til ‘et rod af logoer solgt til højstbydende, uden for brugerens kontrol, og uden at gavne brugeren.’ Typisk vil det sponserede indhold være at se de første 30 dage efter brugeren har installeret Firefox, med mindre sponsor-linksne aktivt bliver slået fra.

Finansieringen af Mozilla og Firefox er i øvrigt i mange år sket med et stort tilskud fra Google, som betaler Mozilla for at bruge Google som standardsøgemaskine. Efter forhandlinger i 2011, der truede med at efterlade Mozilla uden dette tilskud, endte Google med at tredoble støtten og hvert år i perioden 2012-2016 udbetale 300 millioner dollars til Mozilla, altså over 1,5 milliarder kroner om året.

Hvis du har et mobilforbrug på 2 gigabyte data, 3 timers tale og 200 sms’er om måneden, og er på udkig efter et abonnement med medfølgende mobiltelefon, hvad skal du så vælge, hvis det skal være den billigste løsning?

Det kan være en kompliceret affære at finde frem til det rigtige mobilabonnement. Især hvis det billigste abonnementet med en medfølgende telefon skal findes, der passer til ens eget forbrug i forhold til taletid, data og sms’er.

Men den nød mener Lars Libak, der studerer Softwareteknologi på DTU, at have knækket med hjemmesiden fonpriser.dk

Her kan brugerne indtaste, hvilket mobilforbrug de har, hvorefter systemet oplister de billigste smartphone-abonnementer med tilhørende telefoner.

Data om de enkelte abonnementer bliver automatisk hentet fra de forskellige operatørers hjemmesider en gang i døgnet. Herefter blive de sammen med forbrugsdata sendt til Amazons sky-tjeneste EC2, som regner på de kombinationsmuligheder.

Har man eksempelvis behov for 2 timers tale, 10 gigabyte data og 700 sms’er er der tale om et forbrugsmønster, mens 1 times tale, 5 gigabyte data og fri sms er et andet. Der er selvsagt en del kombinationsmuligheder.

Faktisk så mange, at en almindelig server, som Lars Libak forsøgte sig med, da han startede på projektet for år tilbage, viste sig ikke at fungere til opgaven.

»Når jeg indtaster et forbrug, skal den gå ind for hver mobil, og for hvert abonnement for den mobil, udregne en pris – og det er pænt mange udregninger,« siger han.

Big Data-værktøj

Lars Libak anvender en service til beregningen hos Amazon kaldet Amazon Elastic MapReduce til behandling af de store datamængder i form af input fra forskellige forbrugsmønstre. Tjenesten kører via open source frameworket Hadoop, som ofte bliver kædet sammen med Big Data-behandling. Hadoop sorterer sorterer inputtet og sender de billigste løsninger retur, som bliver vist på forsiden af fonpriser.dk.

»Jeg var ikke den mest erfarne koder, da jeg gik i gang med projektet, men jeg var meget opsat på at få det igennem. Jeg har siddet mange timer foran computeren og arbejdet på at finde ud, hvordan Amazon, Hadoop og Mapreduce fungerer,« siger Lars Libak.

Udregningen tager også højde for, hvad den ekstra time vil koste, hvis brugeren eksempelvis har et forbrug på fire taletimer, mens der kun er tre taletimer inkluderet i abonnementet.

»Det kan sagtens vise sig stadigt at være den billigste løsning samlet set, selvom den ekstra time koster lidt,« fortæller han.

Fonpriser.dk, der kører Drupal, kobler en gang i døgnet op til Amazons skytjeneste og modtager et sæt nye beregninger. Det er altså ikke noget, der sker dynamisk, hver gang en bruger besøger siden.

»Jeg valgte at fokusere på at lagre data. Det vil sige, den udregner de billigste priser og lagrer alle kombinationer af forbrug. Så det er en tabel, jeg trækker fra i gang i døgnet,« fortæller Lars Libak og fortsætter:

»Jeg kunne også udregne dynamisk hver gang, men det ville kræve en masse servere, skulle køre, bare for at holde siderne oppe.«

Var nødt til at bruge lommeregner

Idéen til projektet fik Lars Libak, da han selv var på udkig efter en ny mobiltelefon:

»Jeg var selv frustreret over, da jeg skulle finde en ny mobil, at jeg ikke kunne sammenligne priserne i forhold til, hvad der var fordelagtigt for mig at købe. Jeg var nødt til at sidde med en lommeregner og regne på de forskellige abonnementer.«

Der er også andre hjemmesider til sammenligning af mobilabonnementer, men Lars Libak mener, der er plads til forbedring.

»De tjenester, der var, kunne jeg ikke rigtigt bruge til noget. De viser bare, hvad minimumsprisen er, men ikke set i forhold til det forbrug, man har,« siger han.

Forretningsmodellen for fonpriser.dk er foreløbigt en såkaldt affiliate løsning. Det vil sige, at Lars Libak får et beløb, hver gang bruger klikker videre ind på en hjemmeside og køber en telefon. Det er dog ikke alle mobilselskaber, der understøtter sådan en affiliate-aftale, de indgår dog alligevel i prisopgørelsen. Det er imidlertid også mere personlig motivation en økonomisk gevinst, der har været drivkraften bag projektet, påpeger Lars Libak.

»Jeg har gjort mere ud af, at gøre siden brugbar end at tjene penge på det.«

Foreløbigt gør fonpriser.dk det muligt at sortere mobiltelefoner med abonnement efter pris. I version 2.0 af fonpriser.dk forventer Lars Libak, at abonnementer kan sammenlignes baseret på forbrug – uden der nødvendigvis følger en mobiltelefon med.

Digitaliseringsstyrelsen kræver, at it-leverandøren Nets strammer op på sikkerheden omkring danskernes fælles login-løsning NemID. Det sker på baggrund af en redegørelse fra Nets, hvoraf det fremgår, at den kilde, som i flere år forsynede ugebladet Se og Hør med oplysninger, også havde adgang til NemID’s database.

Ifølge Nets havde den pågældende medarbejder, som arbejdede som systemadministrator hos IBM, der står for driften af flere af Nets’ systemer, adgang til NemID-systemet med administrator-rettigheder.

Medarbejderen har dog blot én gang i 2010 været logget på, men uden at tilgå systemet, fremgår det af redegørelsen.

»Jeg er naturligvis tilfreds med, at Nets’ redegørelse viser, at der ikke har været læk eller anden misbrug af data. Men uanset, at der ikke er sket misbrug af NemID-data, skal vi alle tage ved lære af de brud på sikkerheden, der øjensynligt har været i forhold til kreditkortoplysninger. Derfor kræver Digitaliseringsstyrelsen nu, at Nets’ strammer op på den i forvejen høje sikkerhed og forstærker deres sikkerhedsprocedurer og interne kotroller,« udtaler direktør Lars Frelle-Petersen fra Digitaliseringsstyrelsen ifølge en pressemeddelelse.

Udover, at Nets skal stramme op på den interne kontrol, så vil Digitaliseringsstyrelsen også skærpe kravene til uafhængig kontrol af sikkerheden i NemID.

Det system, medarbejderen havde adgang til, indeholder ifølge Digitaliseringsstyrelsen kun oplysninger til brug for udstedelse og administration af NemID. Oplysningerne i databasen omfatter navn, adresse, CPR-nummer, men ikke den private nøgle til digital signatur eller password.

Signering foregår ifølge Nets i særskilte hardwaremoduler til kryptering og kan kun ske ved hjælp af brugerens selvvalgte kodeord og engangsnøgle.

Det fremgår ikke af redegørelsen, hvilke administrative funktioner en systemadministrator på NemID-systemet kan foretage med de data, der ligger i systemet.

Ifølge Nets var brugeren blot logget på én gang og havde ikke rettigheder til at oprette nye brugere, han eventuelt kunne dække sig ind under senere. Da hans brugerkonto ikke blev brugt, blev den først suspenderet i 2011 og siden slettet, da han stoppede med at arbejde for IBM i 2012.

Digitaliseringsstyrelsen har nu modtaget og offentliggjort en redegørelse fra Nets om muligheden for læk af data fra NemID-systemet. Læs redegørelsen herunder: