Monthly Archives: September 2014

En patch til et alvorligt sikkerhedshul var tilgængelig hos IBM flere måneder inden CSC blev underrettet om hackermistanke af dansk politi. Patchen havde fået rating-graden 10, der indikerer, at den lukker et meget alvorligt sikkerhedshul.

Men da CSC ikke umiddelbart kunne få noget at vide om, hvad patchen gk ud på, blev patchen planlagt til at indgå i den almindelige patch-cyklus. Patchcyklussen er på mellem 3 og 12 måneder, forklarer CSC’s Martin Gobs på hackersagens niende dag. Patchen blev frigivet fire måneder efter det sidste hackerangreb øjensynligt fandt sted i august 2012.

Martin Gobs, der er chef for CSC’s sikkerheds strikforce i Europa, har i Retten på Frederiksberg i dag forklaret, at det var to ’zero day’-sårbarheder som gav hacker adgang til CSC’s mainframe i 2012. Tiltalt i sagen er svenske Gottfrid Svartholm Warg samt danske JT.

Den første sårbarhed blev anvendt til at skaffe den indledende adgang, og den anden til at udvide brugerrettighederne for hackeren, forklarede Gobs. Fra vidnestolen kunne Gobs fortælle, hvad sårbarhederne i udgangspunktet bestod af.

I begge tilfælde tillod sikkerhedshullerne en bruger at give webserveren en get-kommando. Med kommandoen har hackeren kunne forespørge CSC’s webserver om at lave kommandoer på mainframen frem for at vise en hjemmeside.

»Man kan bede webserveren om at udføre en kommando uden for den normale arbejdsområder, hvis systemet ikke er beskyttet godt nok,« lød det fra Gobs.

Patch eksisterede måneder inden CSC lukkede hul

CSC blev ifølge Martin Gobs opmærksom på et sikkerhedsproblem, da dansk politi i slutningen af februar 2013 tog kontakt til CSC. Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.

»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gobs

»Vi laver en fejlsag og spørger IBM, om det er en fejl, der er kendt, eller en fejl, der ikke er kendt. Og det er en kendt fejl, og der er en patch, som vi så kan installere,« fortsatte han.

Anklager Maria Cingari spørger om patchen lukker den såkaldte ’zero day’-sårbarhed, hvilket bekræftes af Martin Gobs.

»I har ikke selv opdaget noget usædvanligt inden da,« spurgte anklageren

»Når det er en ’zero day’ så er den i sagens natur ukendt for os og leverandører. Og hackeren har gjort en stor indsats for at passe ind i systemet og bevæge sig inden for rammerne,« svarede Gobs.

Patchen, som lukkede hullerne, var frigivet fra IBM d. 19. december 2012. Men der er ifølge Gobs ingen information om, hvad der har ledt til at patchen er blevet sendt ud.

CSC vil kaste slør over retssag

Ved Martin Gobs side sad i dag advokat Hans Jakob Folker som repræsentant for CSC. I et stopfyldt ringbind, havde advokaten markeret alle de informationer, som virksomheden ikke ønsker offentliggjort.

»Det vi markerer med gult, er noget vi betragter som erhvervshemmeligheder. Vi vil selvfølgelig gerne lade retten behandle dem, men vi vil ikke have dem ud i offentligheden,« indledte advokaten.

Oplysningerne drejede sig om de tekniske detaljer omkring sårbarhederne og om brugeroplysninger til CSC’s systemer. Både anklager og forsvarer gjorde CSC’s advokat opmærksom på, at flere af oplysningerne allerede havde været fremme i sagen og oppe på de skærme, som deler sagens dokumenter med tilhørerne.

De aktuelle brugernavne er ikke længere i brug, men de siger stadig noget om strukturen i brugernavnene, forklarede advokaten. Han ville dog ikke insistere på at lukke dørene for tilhørere for at skjule oplysninger, der allerede har været fremme i sagen.

21-årige JT og 29-årige Warg risikerer op til seks års fængsel, hvis de kendes skyldige.

Version2 er til stede i Retten på Frederiksberg.

Cirka 23.500 kvinder i Region Nordjylland har siden 2009 modtaget indkaldelser til screening for brystkræft senere, end de burde i forhold til anbefalingerne. Det skyldes en fejl i den algoritme, som skulle sørge for de automatiske indkaldelser.

Indkaldelserne sker via et modul til regionens bookingsystem, som sørger for at lave et udtræk af de personer, som skal indkaldes. Den skulle have sørget for, at kvinder, som for nylig var fyldt 50 år, eller havde ventet længst, blev indkaldt først, men det har ikke fungeret korrekt nok. Derfor er nogle af de kvinder, som har ventet længe, blevet skubbet bagud i køen og har først fået en indkaldelse senere, end de burde.

Region Nordjylland oplyser, at fejlen nu er rettet i samarbejde med leverandøren, og alle har modtaget indkaldelser. For en mindre gruppe på cirka 700 kvinder var indkaldelserne udsendt mere end 12 måneder for sent.

»Vi har sikret, at alle kvinder nu bliver rettidigt inviteret til screening. Årsagen til fejlen var primært, at de rettelser, vi havde lavet sammen med leverandøren, ikke fik systemet til at invitere de kvinder, der havde ventet længst tid. Det er vi dybt utilfredse med. Vores testsystem har samtidig ikke været tilstrækkeligt, og vi har haft for få muligheder for at kontrollere systemet,« udtaler direktør for it i Region Nordjylland, Dorte Stigaard, ifølge en pressemeddelelse.

Region Nordjylland oplyser til Version2, at problemerne i Region Nordjylland ikke har nogen forbindelse til de problemer, Region Midtjylland havde med indkaldelser til screening for livmoderhalskræft, hvor op mod 27.000 kvinder ikke fik rettidige indkaldelser.

Papirbilletter, pendlerkort, klippekort og senest også billetter i en app. Siden rejsekortet blev sat i pilotdrift for i 2007 er det ikke skortet på alternative billetmuligheder. Og i dag er det de færreste rejser med den offentlige transport, der foregår med rejsekortet.

I et svar fra transportminister Magnus Heunicke (S) på et spørgsmål stillet Venstres øresunds- og hovedstadsordfører Martin Geertsen fremgår det, at kun hver tiende af alle rejser i den kollektive trafik foregår med rejsekort.

»Trafikstyrelsens skønsmæssige beregning over hvor mange procent af samtlige rejser fordelt på bus og tog, der foretages med rejsekortet en gennemsnitlig dag i 2014, viser at ca. 10 pct. af samtlige rejser i den kollektive trafik foregår på rejsekort på nuværende tidspunkt. Denne rejsekortandel er ensartet fordelt på bus og tog samt for rejser med både bus og tog,« står der i svaret fra transportministeren.

Magnus Heunicke oplyser desuden, at der i de første 7 måneder af 2014, er foretaget ca. 27,1 mio. rejser på rejsekort, hvilket giver ca. 5 rejser pr. måned pr. udstedt rejsekort i gennemsnit. I de første 7 måneder blev der gennemsnitligt foretaget ca. 875.000 rejsekortrejser om ugen.

»Rejsekortet er fortsat under indfasning i blandt andet hovedstadsområdet og Midttrafik. Trafikstyrelsen kan endvidere oplyse, at der i de seneste uger er blevet foretaget mere end 1 mio. rejser på rejsekortet om ugen,« slutter ministeren sit svar.

Rejsekort.dk oplyser at målet er, at der årligt skal foretages 500-600 millioner rejser og foretages 1,5 milliarder transaktioner med kortet, og at 2 millioner kunder har et rejsekort. Det nuværende antal udstedte rejsekort er ifølge selskabet 241.517.

40 minutter skulle Center for Cybersikkerhed bruge på at dekryptere 811 passwords til CSC’s systemer. Brugernavne og passwords til CSC blev fundet i en såkaldt RACF-database på svenske Gottfrid Svartholm Wargs computer. Sammen med danske JT er Warg tiltalt for hacking af CSC’s mainframe i 2012.

RACF-databasen rummer brugernavne i klar tekst samt krypterede passwords på 81.445 brugere til CSC’s systemer. Center for Cybersikkerhed, der er en del af forsvarets efterretningstjeneste, har på politiets anmodning testet, hvor svært det er at knække RACF-databasen. Og det var ikke særlig svært.

Ved at søge på Google efter ’crack racf’ fandt sikkerhedsmyndigheden værktøjet John the Ripper, som kan gætte kodeord ud fra hashværdier. Med det værktøj kunne Center for Cybersikkerhed altså på under en time skaffe over 800 log ind-muligheder.

Thomas Krismar, der er afdelingschef på Center for Cybersikkerhed, vidnede i dag på anklagers opfordring. RACF-databasen havde ifølge ham svage kompleksitetsregler.

»Hvad betyder det for sikkerheden generelt, at den er blevet stjålet« ville anklageren vide.

»Jeg vil betegne det som et nøglebundt. Med den kan man bevæge sig rundt som en almindelig bruger, og man kan fremstå som en legitim bruger af systemet,« svarede Thomas Krismar.

På 14 dage lykkedes det Center for Cybersikkerhed at knække omkring en fjerdedel af de over 80.000 krypterede passwords.

Retssagen fortsætter i dag med vidner fra det svenske politi.

Version2 er tilstede i retten.

Spilfirmaet Betadwarf blev i løbet af en nat verdensberømte for en stund og sikrede sig dermed gennem Kickstarter penge nok til næsten at nå i mål med deres spilprojekt Forced. Men det var nærmest en tilfældighed efter en lang, sej kamp for at skrabe penge ind gennem crowdfunding.

»Det var faktisk svært. Vi fik de første 25 procent ind på de første fire dage, og så stagnerede det, hvor vi fik et par hundrede kroner om dagen,« fortæller direktør Steffen Kabbelgaard fra Betadwarf til Version2.

Målet var forholdsvis beskedent på blot 40.000 dollars, men da kurven fladede ud efter de første fire dage, så det håbløst ud at nå i mål.

»Vi forsøgte alverdens ting og prøvede alt muligt hver aften,« siger Steffen Kabbelgaard.

Indsatsen omfattede pressemeddelelser, Facebook-posteringer, live-streaming af webcam og en hårfin balancegang mellem at få omtale på forsiden af Reddit uden at blive smidt af, men det førte kun til kortvarige opsving.

Det var først, da udviklerne ved en tilfældighed ramte noget, der resonerede med publikum, at kampagnen kom i mål.

»Vi lagde et billede på Imgur, der formidlede, hvordan vi var startet. Det var fuldstændig tilfældigt, men vi kom i mål på en nat,« siger Steffen Kabbelgaard.

Billedet fortalte historien om, hvordan Betadwarf de første syv måneder havde boet i smug i et glemt lokale på Aalborg Universitet, indtil de blev opdaget og smidt ud. Derefter flyttede udviklerne sammen i et parcelhus, mens de forsøgte at gøre projektet færdig.

Udviklerne fra Betadwarf havde fået en sum penge fra Det Danske Filminstitut, og det var de penge, som de forsøgte at få til at række ved at bo i udviklerkollektiv i et parcelhus i provinsen. Den spartanske levestil var dog ikke nok til at nå i mål, og derfor forsøgte Betadwarf sig med Kickstarter-kampagnen i efteråret 2012.

»Crowdfunding var perfekt for os. Vi havde en ekstremt lav burn rate (forbrug af projektmidler, red.), hvor 10-12 mand levede for 15.000 om måneden i et hus,« fortæller Steffen Kabbelgaard.

Selv da billedet, som fortalte udviklernes historie, gik viralt og sikrede 65.413 dollars, så var det ikke nok til at nå hele vejen i mål.

»Otte måneder efter Kickstarter-kampagnen løb vi tør og var stadig ikke færdige. Vi overvejede at få resten fra en investor, men valgte at tage det som et banklån i stedet,« fortæller Steffen Kabbelgaard.

Et personligt banklån til udviklerne hjalp Forced-spillet endeligt i mål, og i dag kører Betadwarf videre efter vellykket lancering af spillet.

Selv for et lille spilfirma med ildsjæle koster det mindst et par millioner at få et fungerende spil på markedet, som kan blive en kommerciel succes, medmindre man er usædvanligt heldig. Steffen Kabbelgaard tvivler på, at det er muligt at rejse al den nødvendige kapital via crowdfunding, men det er ikke ensbetydende med, at han ikke vil prøve det igen.

»Det er sværere at skrabe et stort projekt hjem. Man hopper og danser for småpenge, men man får øvet sig i at kommunikere,« siger Steffen Kabbelgaard.

Derfor vil en fremtidig crowdfunding-kampagne for Betadwarf i lige så høj grad handle om at få skabt en dialog med de potentielle kunder og etablere et brugerfællesskab, som kan være med at få gjort opmærksom på produktet.

Det har Steffen Kabbelgaard og Betadwarf lært om crowdfunding

• Giv rabatter til dem, der giver støtte tidligt i crowdfunding-fasen.
• De fleste donerer mellem 15 og 25 dollars. Folk vil gerne være med i betatest, så sæt betaadgang ved 25 dollars for at få flere af dem.
• Begræns tilbud om fysisk merchandise. Det er dyrt i forsendelse.
• Øv dig i at ‘pitche’ dit spil.
• Crowdfunding kræver meget arbejde. Der skal laves bannere, opslag på Facebook, grafik på kampagnesiden som afspejler produktets stil.
• Vær forberedt på at få meget feedback og kunne ændre kampagnesiden mange gange.
• Svar hurtigt på henvendelser fra dit community.
• Når du først har nået målet, kan det gå stærkt med at få endnu flere, der vil støtte, før deadline udløber.
• Du får ikke alle pengene hjem, når kampagnen er i mål. Der er et par procent af betalingerne, som ikke går igennem.

Selvom en SSD primært består af flash-hukommelse, som har den primære egenskab, at de kan holde på information uden en konstant elektrisk spænding, så kan en SSD alligevel miste data, hvis strømmen forsvinder. Men nye typer superkapacitorer gør SSD’erne mindre sårbare. Det skriver The Register.

En SSD bruger en vis mængde almindelig DRAM som en særlig buffer, som SSD’ens firmware-algoritmer udnytter til at holde på data, mens algoritmerne regner sig frem til, hvor data bedst kan placeres. Det er nødvendigt på grund af den måde, en SSD skriver data til flash-cellerne på.

Hvis strømmen bliver afbrudt, skal disse data derfor skrives til flash-hukommelsen, da DRAM ikke kan holde på data uden strøm. Det bruger man superkapacitorer til, men de har tidligere været dyre at montere eller har haft en vis risiko for at brænde sammen.

To nye typer baseret på enten tantal-polymerer eller niobiumoxid løser imidlertid en række af de problemer, som tidligere har været med superkapacitorerne, og derfor er flere producenter nu begyndt at bygge dem ind i de SSD’er, som er beregnet til datacentre.

Niobiumoxid-superkapacitorerne har dog været kortest tid på markedet, og derfor er de systemansvarlige, som har brug for størst driftssikkerhed, endnu ikke klar til at overlade deres data til dem, før de er prøvet mere af, skriver The Register.

Den er bred. Meget bred. Næsten kvadratisk – skærmen ser faktisk ud til at have samme form som en plade Rittersport, men det er atlså en smartphone, og den kommer fra BlackBerry.

Skærmen er på 4,5 tommer og hedder Passport – et navn den har fået efter den ting, den er formet efter. Den har nemlig nogenlunde samme form som et amerikansk eller canadisk pas.

Samtidig har den under skærmen et tastatur, men ikke som det traditionelt har været hos BlackBerry, hvor tallene også var med. Alle bogstaverne, space og et par andre taster er at finde, men for at trykke tal ind, er man nødt til at bruge shift eller touchskærmen.

Hos ArsTechnica finder de det hybride tastatur en smule akavet. Og indtil videre er det da heller ikke positive anmeldelser, der kommer i kølvandet på den nye BlackBerry. De er blandede, men mest negativt.

Skærmen er på 1400×1400 pixels, har et 13 megapixel kamera, telefonen har fået en 2,2 ghz quad-core Snapdragon 800 SoC-processor, 3GB Ram og 32GB hukommelse, som kan udvides med microSD.

Styresystemet er BlackBerry 10.3, som blandt andet er fornyet ved at have fået tilføjet en digital assistent, som skal konkurrere med Siri, Google Now og Cortana.

Den nye BlackBerry er blevet kritiseret for at mangle apps og ikke at tage gode billeder.

Ars Technica mener ikke, at det nødvendigvis er en dårlig smartphone, men de erkender, at det er langt efter iOS, Android og Windows Phone i forhold til hardwareudvælgelse og app-systemerne.

I USA kommer telefonen til at koste omkring 599 dollars – eller lige omkring 3500 danske kroner.

Manglende ”rettidig omhu” i sagen om en telefon regning på en kvart million kroner har koster nu Odenses borgmester, Anker Boye (S) en næse. Det har et enigt byråd i Odense besluttet, skriver Fyens.dk.

Men samtidig med, sagen er blevet afgjort, har MetroXpress fundet nye regninger på sammenlagt for 41.341 kroner fordelt på 15 måneder, og nu vedgår Odense Kommune, at de ikke havde styr på telefonforbruget

Odense Kommune indførte i maj strammere regler for brug af mobiltelefon, hvilket har medført, at politikerne nu skal holde sig til en øvre grænse på 8000 kroner per kvartal. Samtidig skal de så vidt muligt, gøre brug af wifi-netværk i udlandet, og så vil kommunen ikke betale for brug af betalingsspil og nettjenester som Netflix, skriver Morgenavisen Jyllandsposten.

»Siden har vi ikke haft problemer. Ingen har ramt loftet siden maj 2014,« siger chefen for Strategi og Kommunikation i Odense Kommune, Michael Bruhn Frederiksen til jyllandsposten. Han fortæller samtidig fortæller, at tallene fra MetroXpress er gamle, men kendte tal.

Statsforvaltningen er også blandet ind i sagen. I august bad de om en redegørelse efter en klage fra et tidligere byrådsmedlem, som var utilfreds med, at der ikke var indført faste beløbsgrænser. Og det er en ren tilståelsessag.

»Som det fremgår af redegørelsen, så vi lagt os ned og sagt, at det her har vi som administration ikke haft godt nok styr på. Det er bare kørt igennem, uden at nogen har reageret, så der er ingen der har fortalt nogen, hvis de har fået en høj regning,« siger Michael Bruhn Frederiksen til Morgenavisen Jyllandsposten.

Lasse Bork Schmidt er det tidligere byrådsmedlem, der har indklaget sagen for tilsynsmyndighederne, og han vil have stoppet, at kommunalbestyrelsesmedlemmerne kan benytte deres telefoner til noget nært hvad det skal være.

»Jeg har spurgt tilsynet, om en kommune kan tolke fri telefoni som netop det, fri telefoni, hvor kommunen både dækker spil, busbilletter og internetforbrug uden nogen øvre grænse,« siger Lasse Bork Schmidt til dknyt.