Monthly Archives: June 2014

Hvad gemmer der sig egentligt i Googles bugnende app-markedsplads Google Play? Det satte to amerikanske it-forskere fra Columbia University sig for at undersøge, og et af resultaterne blev, at de opdagede en dumdristig praksis blandt mange Android-udviklere.

I mange apps blev login-oplysninger ikke gemt forsvarligt, men lå i koden og blev gemt lokalt. Det gjaldt også nogle apps fra kendte firmaer eller fra såkaldte ’topudviklere’ i Google Play, fortæller de to forskere, Jason Nieh og Nicolas Viennot, til universitetets eget nyhedssite.

Det drejede sig mere præcist om autentifikations-tokens, som bliver brugt til at logge på andre tjenester, for eksempel hvis en app skulle koble på Amazons cloud-tjeneste for at hente data eller logge på Facebook. Men den slags fortrolige oplysninger skal ikke gemmes lokalt – de skal under løs og slå på en server under udviklernes fulde kontrol, lyder rådet.

Ved hjælp af en hjemmelavet crawler downloadede forskerne alle gratis apps i Google Play og dekompilerede alle 880.000 styk, i perioden marts til november 2013. Den samling af kode blev brugt til at undersøge Androids-applikationerne for sikkerhedshuller, men også mange andre ting. For eksempel fandt de frem til, at hver fjerde gratis applikation på Google Play er en kopi af en anden app.

Men sikkerhedshullet var det mest kritiske, og forskerne gik til Google, Amazon, Facebook og andre, der driver en populær service, for at få stoppet den praksis. Resultatet blev blandt andet, at Google fik noget af deres software til at scanne alle applikationer for gemte adgangs-tokens, før de kommer online på Google Play.

Læs hele deres videnskabelige artikel om forskningen

Har man fulgt debatten om NSA’s massive, globale overvågning, har man nok også hørt den danske regerings standardsvar på alle spørgsmål, der kunne kaste lys over, om også dansk kommunikation bliver overvåget af amerikanerne:

»Der er ikke grundlag for at tro, at amerikanske efterretningstjenester har ulovlige efterretningsaktiviteter rettet mod Danmark og danske interesser.«

De nøje valgte ord – som bliver gentaget næsten ordret hver gang – har ført til spekulationer om, at NSA har et samarbejde med Forsvarets Efterretningstjeneste (FE), og den mistanke bliver i høj grad bekræftet nu, med Informations afsløring af dokumenter om, hvordan FE tapper internettets fiberkabler i samarbejde med NSA.

Og at det ikke skulle være ulovlige aktiviteter, bliver underbygget af, at FE faktisk har ganske vide beføjelser i loven til den slags samarbejder. Det skriver Information.

»Vi har givet FE meget brede kompetencer. Efter loven er det sådan, at så længe FE overordnet fokuserer på forhold i udlandet, kan de også indhente oplysninger om danskere, så længe indhentningen ikke er målrettet mod dem,« siger Jens Elo Rytter, professor i jura på Københavns Universitet, til Information.

I loven og de tilhørende bemærkninger fremgår det, at FE kan indhente oplysninger elektronisk, altså for eksempel at tappe al kommunikation via et af internettets fiberkabler, så længe det ’som altovervejende hovedregel’ er rettet mod forhold i udlandet, som har betydning for Danmark.

Men hvis det er ikke-behandlede ’rådata’, gælder der ikke samme krav. De kan videregives til andre, for eksempel NSA, hvis det ’antages at have betydning’ for FE’s arbejde. Nogle undtagelser er ført ind, for at beskytte persondata om danske borgere, men de gælder kun, hvis FE har filtreret data og opdaget, at det er danske data. Så i praksis har FE med de brede formuleringer fri bane til at opsnappe al data-kommunikation fra aflytningsposterne og sende dem videre som rådata til NSA, lyder konklusionen fra to juridiske eksperter.

Ifølge dokumenterne fra NSA, som er fra Edward Snowdens læk, har NSA nogle spilleregler for den slags partnerskaber med andre lande, primært at USA ikke må bruge for eksempel data fra Danmark til at spionere mod danskere.

Men da NSA har den slags samarbejde med flere lande i Europa, kan data fra tyske internetkabler for eksempel bruges til at overvåge danskerne, og omvendt, uden at reglerne bliver brudt. Det har Edward Snowden tidligere forklaret politikere fra Europa-Parlamentet.

På et samråd i april forsøgte politikere fra især Enhedslisten og Liberal Alliance at få svar ud af justitsminister Karen Hækkerup og forsvarsminister Nicolai Wammen, men uden meget held.

Hvordan sådan en overvågning rent teknisk kunne foregå, og hvad det ville kræve af udstyr, har Version2-blogger Henrik Kramshøj tidligere skrevet om. Her tager han udgangspunkt i et ønske om at gemme al trafik, der går igennem den danske internet exchange DIX’en, hvor teleselskaber kan udveksle trafik.

TDC har nu endegyldigt tabt den juridiske kamp, som teleselskabet har kæmpet siden 2010 for at undgå at skulle bekoste gravearbejdet, hvis konkurrenter vil have adgang til TDC’s fibernetværk.

Sagen, som først har været igennem Teleklagenævnet og Østre Landsret, blev torsdag afsluttet af EU-Domstolen, som gav de danske telemyndigheder helt ret: TDC er ifølge loven forpligtet til at grave en stikledning ind til en kunde, hvis en konkurrent gerne vil have kunden koblet på TDC’s fibernetværk. Det skriver Ritzau.

Som Danmarks helt dominerende spiller på telemarkedet er TDC nemlig underlagt en særlig regulering, der skal sikre, at også TDC’s konkurrenter kan bruge TDC’s omfattende net af kabler i den danske muld.

Da TDC købte Dongs fibernetværk for 245 millioner kroner i 2009, blev også disse fiberkabler i hovedstadsområdet omfattet af reglerne. Men kun de færreste huse, som kablerne passerede, var koblet til, så en potentiel kunde skulle betale for at få gravet en stikledning ned, før det var muligt at få internetforbindelse via fiberen.

Den barriere ophævede den daværende IT- og Telestyrelse med en afgørelse i 2010, som tvang TDC til at stå for gravearbejdet, da stikledningen blev anset som en integreret del af netværket og omfattet af kravet om adgang. Det er denne afgørelse, som TDC altså har forsøgt at få annulleret, men som EU-Domstolen nu har stadfæstet.

TDC har ’…en forpligtelse til efter anmodning fra konkurrerende udbydere at etablere stikledninger af en længde på op til 30 meter mellem fordelingspunktet i et accessnet og nettermineringspunktet hos slutbrugeren’, fremgår det af EU-dommen.

Dommen stiller omvendt også krav til de danske myndigheder om, at disse omkostninger til at grave stikledninger ned, skal regnes med i den samlede regulering af, hvad TDC må tages sig betalt, når konkurrenter ønsker adgang til fiberen.

Sagen bliver nu sendt tilbage til Østre Landsret, som mere præcist skal definere, hvornår TDC kan blive pålagt at køre gravemaskinerne i stilling.

TDC ejer i forvejen de gamle kobberkabler, som siden telefonens fremkomst i Danmark er blevet ført ud til hver husstand, og derfor har TDC ikke haft travlt med at tilbyde privatkunder en direkte fiberforbindelse, men vil hellere sælge bredbånd via kobberen eller gennem Yousees kabel-tv-netværk, som kan levere op til 100 megabit/s.

Til gengæld bruger TDC den indkøbte fiber fra Dongs store fibersatsning til at gøre længden af kobberforbindelsen mindre, så hastigheden kan skrues op, ved at føre fiber ud til teknikskabe tæt på en husstand.

Hej igen,

Så er vi midt i juni måned, og der er sket lidt af hvert, specielt i den sidste måned eller to.

Egentlig gik det stille og roligt deruda’ og vi lå stabilt på syv M/K, men lige pludselig vælter det ind:

1. Vi er pludselig i den initielle fase af et Big Data-projekt hos et stort firma, og har hyret en projektleder ind til at lave de indledende manøvrer og forstå biksen, men er klar til at rampe op. Hvis det går godt skal vi bruge en håndfuld folk mere over det næste års tid bare til det…

2. Jeg er kommet i noget der ligner hæderligt, rigtigt arbejde i en biks, der vil revolutionere mange ting, heriblandt strikning. Og har hyret en freelance-koder i Verdensklasse ind – og snakker med den næste i morgen fredag.

3. Jeg blev spurgt af en kendt mand forleden, om jeg evt. kunne være i et meget fjernt og varmt land hver 3. uge i det næste års tid :-).

4. En anden stor biks (meget stor) vil snakke med os om Big Data næste fredag…

5. Vi er blevet Big Data Guldpartner hos mit gamle moderskib Oracle, partner for MongoDB i Danmark, måske snart også for Cloudera….

Med andre ord: Pludselig er der gang i en masse ting, som jeg ikke lige havde set for mig, da jeg for præcist et år siden blev fyret fra Miracle :-).

Vi blev smidt ud af vores kontor, fordi ejeren mente vi (jeg) ville larme for meget, og siden har vi ikke haft kontor. Første gang jeg starter en biks op uden serverrum eller kontor :-). Men det fungerer nu meget fint, eftersom vi er ude hos kunderne og endnu ikke har noget fast overhead, og ingen savner et egentlig kontor endnu.

Det er ikke så ringe, det er heller ikke så svært endnu – så der må snart ske noget ganske uventet for os :-).

Mvh Mogens

Ganske små samlinger af kulstofatomer arrangeret i et hønsenetlignende mønster kan holde på elektriske ladninger, og derfor kan de bruges til flash-hukommelse. Det har sydkoreanske forskere fra Kyung Hee University fundet ud af, skriver webmediet Phys.org.

Flash-hukommelse bruges i stor stil i elektroniske enheder, ikke mindst til datalagring i smartphones. I dag er flash-hukommelse baseret på silicium, men de uhyre små kvantepunkter af grafen kan måske give hukommelse, hvor data kan pakkes tættere, og som er mere pålidelig.

Små defekter i det polykrystallinske silicium, der normalt bruges til flash-hukommelse, kan få de elektriske ladninger til at vandre og medføre fejl, og det problem kan man komme udenom ved i stedet at lade de diskrete kvantepunkter holde på ladningerne.

Forskerne forsøgte sig med kvantepunkter i tre forskellige størrelser, nemlig 6, 12 og 27 nanometer. Til sammenligning er afstanden mellem kulstofatomerne i grafen 0,142 nanometer.

Kvantepunkterne på 12 nanometer var dem, der hurtigst kunne forsynes med en ladning, mens dem på 27 nanometer var de hurtigste, når det gjaldt om at fjerne ladningen igen. De største kvantepunkter var også de mest stabile.

Det er første gang, at grafen-kvantepunkter er blevet brugt til elektronik, der er praktisk anvendeligt, fortæller Suk-Ho Choi fra forskergruppen til Phys.org.

Flash-hukommelsen baseret på kvantepunkter kan endnu ikke konkurrere med almindelig flash-hukommelse, men forskningen på området er også kun lige begyndt.

En videnskabelig artikel om forskningsresultatet er publiceret i tidsskriftet Nanotechnology.

Juristerne hos Google har fået endnu en sag, de skal forholde sig til. Et portugisisk firma, som driver en Android-markedsplads, har nu sendt en formel klage til EU’s konkurrencemyndigheder over Google, som ifølge den portugisiske konkurrent gør livet svært for alle andre markedspladser end Googles egen. Det skriver Wall Street Journal.

Google har med Android fået over 80 procent af verdens smartphone-marked, og med den position følger særlige krav om ikke at udnytte den høje markedsandel til at promovere egne produkter på andre områder. Og det mener portugisiske Aptoide altså, at Google gør. Ifølge firmaet er det gennem årene blevet gjort sværere og sværere at få lov at installere applikationer fra andre kilder end Google Play.

I et forsøg med en fokusgruppe, der blev bedt om at installere Aptoides app-store på en Android-telefon med Android 4.0, var det således kun en ud af fem, som gennemførte opgaven, mens det var fire ud af fem, der kunne gør det på en gammel Android 2.1-telefon.

Google er tidligere blevet anklaget for at tryne konkurrenterne i Google søgemaskine, fordi Googles egne tjenester fik en bedre placering end konkurrenternes. Den sag førte til, at Google måtte ændre på præsentationen af søgeresultaterne.

Sidste år klagede en alliance af Google-konkurrenter, med Microsoft, Nokia og Oracle i spidsen, også over Googles fremfærd med Android, hvor telefonproducenterne er tvunget til at installere apps til Googles øvrige services, hvis de vil have den fulde udgave af Android. Den sag har EU-myndighederne endnu ikke formelt åbnet, men de indledende undersøgelser er på vej, lyder meldingen.

I kølvandet på historien om, at det ved at kende et navn og en fødselsdato på en person er muligt at gætte sig frem til folks cpr-numre via hjemmesiden for den digitale tinglysning, har Version2 forsøgt at indhente en kommentar fra økonomi- og indenrigsminister Margrethe Vestager (R).

Hun er den ansvarlige minister på cpr-området, dog ikke for den digitale tinglysning, der hører under domstolsstyrelsen og dermed justitsministeriet. Det er foreløbigt blevet til følgende skriftlige kommentar, som lader til at være sendt til flere medier:

»For mig er det vigtigt, at vi ikke gør personnummeret til mere, end det er, nemlig et glimrende system som samfundet har stor gavn af. Derfor skal virksomheder f.eks. anvende NemID i stedet for såkaldt CPR-validering. Personnummeret er en fortrolig oplysning, men vi skal hverken betragte det som et password eller en pinkode – så gør vi os selv en bjørnetjeneste,« står der i svaret fra ministeren, sendt via ministeriets presseafdeling, som fortsætter:

»Jeg synes, at der i offentligheden er skabt vel mange myter om personnummeret, og hvad det egentlig kan bruges til, og at det nu udnyttes af politiske aktivister, som bl.a. har offentliggjort statsministerens personnummer i en smagløs aktion. Jeg ser i udgangspunktet ingen grund til at ændre i personnummersystemet.«

I den forbindelse ville Version2 gerne have stillet nogle opfølgende spørgsmål. I første omgang foreslog vi et fem minutters telefoninterview. Det har ikke kunnet lade sig gøre med henvisning til, at ministeren er optaget af andre ting i dag torsdag og i morgen fredag.

I stedet har Version2 sendt følgende spørgsmål på skrift i håb om at få en tilbagemelding fra økonomi- og indenrigsministeren på den måde.

Hvordan forholder ministeren sig til, at det såvidt vides i skrivende stund stadig er muligt at gætte sig frem til vilkårlige danskeres cpr-numre ud fra en fødselsdato på hjemmesiden for den digitale tinglysning, og at retspræsident Søren Sørup Hansen i den forbindelse ikke mener, der er tale om et sikkerhedshul på hjemmesiden?

Hvorfor er cpr-nummeret ifølge ministeren en fortrolig oplysning?

Mener ministeren, cpr-nummeret i realiteten er at betragte som en fortrolig oplysning, når det såvidt vides stadig er muligt at gætte sig frem til vilkårlige personers cpr-numre via hjemmesiden for den digitale tinglysning?

Hvad mener ministeren med, at vi gør os selv en bjørnetjeneste, hvis vi betragter cpr-nummeret som et password eller en pinkode?

Hvilke myter, mener ministeren, der er skabt i offentligheden i forhold til, hvad personnummeret egentlig kan bruges til?

Flere sager om sikkerhedsfejl i offentlige it-systemer og forvaltningen af data får nu Folketingets ombudsmand til at gribe ind. Han kræver nu, at Finansministeriet i højere grad får styr på, at al forvaltning sker efter reglerne, også i en tid med udstrakt digitalisering. Det skriver avisen Kommunen.

Eksempler på problemer med digitalisering har været, at vigtige dokumenter forsvandt, eller at breve til borgerne blev sendt til forkerte modtagere. Generelt har der været for mange eksempler på fejl, mener ombudsmanden.

»Det er blevet konstateret, at offentlige it-løsninger ikke har været indrettet i overensstemmelse med relevante forvaltningsretlige krav,« skriver ombudsmand Jørgen Steen Sørensen i brevet til Finansministeriet.

Hos Digitaliseringsstyrelsen, som hører under Finansministeriet, vil man se på, hvordan ombudsmandens påbud kan føres ud i praksis.

I dag bliver større it-projekter for eksempel overvåget af styrelsens It-projektråd, som skal sikre, at økonomien ikke løber af sporet. En lignende model, men med fokus på reglerne for forvaltning, er en mulighed, lyder det fra Morten Ellegaard, kontorchef i Ministeriernes Projektkontor i Digitaliseringsstyrelsen.

Kampagnen med CPR-chikane mod folketingspolitikere er nu blevet udvidet til over halvdelen af medlemmerne. 91 politikere fra Christiansborg har nu fået lækket deres CPR-nummer på nettet. Det skriver Politiken.

Det sker efter sigende som en protest mod vedtagelsen af loven om Center for Cybersikkerhed, og det er netop de 91 politikere, der var til stede i salen og valgte den grønne knap, så loven blev vedtaget, som nu bliver hængt ud.

Blandt politikerne er flere ministre, herunder justitsminister Karen Hækkerup og økonomi- og indenrigsminister Margrethe Vestager, som har ansvaret for netop CPR-systemet. Også den socialdemokratiske it-ordfører, Karin Gaardsted, er blevet ramt og fordømmer aktionen. Hun mener dog ikke, at det er et stort sikkerhedsproblem.

»Jeg tilhører ikke dem, der bliver så forfærdeligt foruroligede over, at CPR-numre bliver lækket. I sig selv er det ikke rigtig farligt, det, de har gjort. Hvis sikkerhedssystemerne virker, kan man ikke bruge CPR-nummeret i sig selv til noget som helst. Jeg bryder mig ikke om, at de gør sådan nogle ting her, og jeg understreger også, at vi er i en tid, hvor vi skal gå de her ting igennem. Men vi skal ikke gå i panik,« siger hun til Politiken.

CPR-chikanen begyndte for en uge siden med offentliggørelse af CPR-numre og andre data om SF’s folketingsgruppe, og siden har aktivisten Lars Kragh Andersen offentliggjort CPR-numre for forsvarsminister Nicolai Wammen og statsminister Helle Thorning-Schmidt.

Det har Margrethe Vestager kaldt ’en smagløs aktion’, men hun siger også i en skriftlig kommentar, at vi ikke skal gøre personnummeret til mere, end det er, nemlig ’et glimrende system, som samfundet har stor gavn af’. Det er der ingen grund til at ændre på – til gengæld er der opstået myter om, hvad CPR-nummeret kan bruges til, skriver hun.

CPR-nummeret er fortroligt, men skal ikke opfattes som en pin-kode eller et password, udtalte hun. I stedet skal virksomheder og myndigheder bede om NemID-login, hvis de skal sikre sig en persons identitet, lyder meldingen.

Internettrafik, der passerer igennem Danmark i de fiberkabler, som udgør internettets rygrad, bliver tappet af NSA via et tæt partnerskab med Forsvarets Efterretningstjeneste.

Det skriver Information, som kan offentliggøre hidtil tophemmelige interne dokumenter fra NSA via Edward Snowdens læk. Dokumenterne rummer blandt andet et talepapir for NSA’s topchef gennem mange år, Keith Alexander, forud for et møde med danskerne i 2012, hvor samarbejdet bliver nævnt:

»Understreg NSA’s engagement i den særlige adgang og i at assistere FE med at håndtere adgangen. Påmind danskerne om det langvarige NSA-FE-partnerskab om at arbejde med kabeladgang.«

Af andre dokumenter fremgår det, at NSA forsyner Forsvarets Efterretningstjeneste med udstyr til at indsamle data.

Det indikerer tilsammen kraftigt, at Danmark er et af NSA’s partnerlande i samarbejdet Rampart-A, som Information også kan afsløre. Her samarbejder NSA med betroede partnere om at indsamle netop enorme mængder internettrafik via de fiberoptiske forbindelser mellem teleselskaber og på tværs af lande.

Danmark er placeret strategisk godt i forhold til den slags lytteposter, hvis man ønsker at indsamle internetdata fra så mange lande som muligt, fortæller det finske antivirusfirma F-secures forskningschef, Mikko Hyppönen, til Information. Både Google og Facebook har store datacentre i Norden, og derfor passerer også mange tyskeres trafik til disse servere igennem Danmark. En af de fire hovedveje på internettet mellem Rusland og Europa passerer også igennem Danmark.

Også Tyskland er nævnt som partner i Rampart-A i dokumenter, som Der Spiegel kunne offentliggøre tidligere på ugen. Her beskriver dokumenterne en sag i Tyskland, hvor en ikkeindviet medarbejder hos et teleselskab opdagede en af tappestationerne. Den tyske efterretningstjeneste, BND, måtte fjerne udstyret og komme med en ’troværdig dækhistorie’, og teleselskabet tilbød efterfølgende at installere det igen – diskret.

Når NSA på den måde får direkte adgang til datakilder fra andre lande, er der opstillet nogle regler om, at NSA ikke må bruge det til at spionere mod partnerlandets borgere. Men der kan komme undtagelser til den regel, viser dokumenterne, og disse undtagelser er klassificerede, så meget få har adgang til den information.

De indsamlede data bliver filtreret, så data om danskere ikke ryger videre til NSA, har chef for Forsvarets Efterretningstjeneste Thomas Ahrenkiel fortalt om et samarbejde med NSA i ’et konfliktområde i udlandet’. Men det er en meget grovkornet filtrering, for eksempel ved at frasortere alle e-mail-adresser fra et dk-domæne, fortæller en kilde til Information.

Den amerikanske sikkerhedsguru Bruce Schneier forklarer også, at det ikke hjælper meget, hvis for eksempel Forsvarets Efterretningstjeneste virkelig gør sig umage for at fjerne data om danskerne. Så vil NSA blot få disse informationer via fiberaflytning i andre lande i nærheden, for eksempel Tyskland.

Forsvarsminister Nicolai Wammen vil ikke kommentere de nye oplysninger. Han udtaler skriftligt, at FE samarbejder med andre landes efterretningstjenester, men at samarbejdet sker inden for rammerne af dansk lov.