Troels Henriksen

Mit indtryk fra studietiden er at Netcompany hyrer revl og krat, men de snakker ganske vist meget om kun at hyre de bedste. Det kan enhver dog sige sig selv ikke kan lade sig gøre, når man konstant vil gro.

Jeg synes, jeg efterhånden stort set dagligt læser om ransomware og hacker-angreb overalt i firmaer og samfundsindstitutioner. Men det er måske ikke den slags, der kan finde vej via studerendes mobiler, og som man (også) vil forebygge her?

Studerende har ikke adgang til interne systemer (andet end at de måske bruger samme mailserver som forskere - men som upriviligerede brugere).

Universiteterne er lige så sårbare overfor angreb fra deres almene studerende som de er overfor angreb fra dig. Bør de derfor kræve at du installerer deres programmel på din telefon?

Er det ikke også for at forebygge diverse angreb, at man ønsker dette indført?

Hvilke angreb undgår man ved at kræve at studerende installerer bestemt programmel på deres telefoner?

Det ville jeg også have formodet for de regulært ansatte, men gælder det også for de studerende? I

Nej, men jeg tror heller ikke disse regler gælder studerende. Om ikke andet, så fordi studerende ikke har adgang til følsomme data.

Hvis man kræver MDM må man stille en gratis enhed til rådighed for de ansatte.

Det tror jeg allerede er standard. KU har betalt for min bærbare (som jeg også bruger privat), og selvom jeg har min egen telefon, så har mange af mine kollegaer en iPhone betalt af KU.

Jeg arbejder ikke selv på AU, men på KU, som forsker og underviser. Jeg antager at arbejdsgangene er nogenlunde de samme.

Min første bekymring ville være min arbejdsbærbare, der kører Linux, som ikke er understøttet af Microsoft Intune. Derudover tror jeg ikke at det ville tillade de ting jeg har brug for til at udføre mit arbejde. Ifølge artiklen ser det dog ud til at det kun er "telefoner og tablets" det drejer sig om, og specifikt om hvorvidt man kan tilgå Office 365 og mail. Det ville jeg personligt godt kunne leve med uden at det påvirkede mit arbejde. Det er alligevel sjældent jeg tjekker KU-dokumenter og KU-mail på min telefon.

Principielt kan man dog endnu engang overveje om det er passende at bruge samme løsning for alle medarbejdere på universitetet. Denne indførsel af MDM er måske ikke så slem, men det kan åbne døren for endnu mere rigide løsninger der ville være besværliggøre egentligt arbejde. Visse forskere har adgang til data der er følsomme i enhver gængs forstand - f.eks. personhenførbare personoplysninger eller industrihemmeligheder. Disse skal naturligvis beskyttes godt, også selvom det er besværligt. Men de fleste forskere arbejder slet ikke med følsomme data - enten fordi de laver metodeforskning, bruger åbne data, er rene teoretikere, eller måske eksplicit har fravalgt at arbejde med følsomme data, netop fordi de ikke gider besværet med at passe på det.

Som underviser har man også adgang til personhenførbare data. Noget af det er en anelse følsomt - karakterudskrifter, dispensationsansøgninger, tilmeldingslister, osv. Vi er dog i en helt anden kategori hvad angår følsomhed end det typiske eksempel med sundhedsdata. Delvist fordi mængden af data er mindre (og mindre struktureret), og delvist fordi disse data nok ikke er interessante for en angriber. Det er data hvor den almindelige tavshedspligt naturligvis skal overholdes, men det måske ikke er nødvendigt med meget teknisk sikkerhedsindsats - der er ingen der gider stjæle det her.

Det grundlæggende problem er dog at alle disse former for data ofte ender med at blive gemt i samme system, som derfor skal beskyttes efter behovet for de mest følsomme af dem. Især email er notorisk som en skraldespand hvor alt ender. Det undergraver sikkerheden, fordi man som bruger ofte ender i en situation hvor man 99% af gangene skal gennemgå et unødvendigt sikkerhedscirkus for at beskytte de sidste 1% (eller mindre). Det betyder at man begynder at opfatte sikkerhed som et irritationsmoment, noget man skal omgå for at udføre sit arbejde, i stedet for at være opmærksom på at være særligt sikker de gange man rent faktisk arbejder med noget følsomt. Det tror jeg er skadeligt for det overordnede udfald, hvis man gerne vil passe på følsomme data. Det ville være bedre at lave en mere finkornet inddeling - f.eks. flere email-konti med forskellige sikkerhedsregler.

Som skrevet ovenfor er den konkrete sag her (MDM) ikke så slem, men den er symptomatisk for en ensrettelse i tankegang man skal passe på med.

Facebook bruger vist i omegnen af 3 milliarder dollars om året på moderation, hvilket inkluderer en stab på ca. 40.000 mennesker. Selvfølgelig kunne de hyre flere mennesker, men det vil næppe gøre en voldsom forskel når man ser på hvad de er oppe imod.

Det forstår jeg ikke. Hvis moderatorstaben i stedet var 4 millioner mennesker, ville det så ikke være nemmere? Der er eksempler i New Yorker-artiklen på svære spørgsmål, hvor Facebook-opslag kan være skrevet i et kodet sprog, eller om det er uklart om noget f.eks. er hævnporno eller bare selvlavet porno, men det har ikke noget at gøre med antallet af brugere. Jeg tror heller ikke der er nogen der forventer at Facebook foretager decideret opklaringsvirksomhed. Mit argument er mest at uanset antallet af brugere, så findes der et eller andet antal af moderatorer som ville resultere i at en anmeldelse kan resultere i begrundet medhold eller afvisning indenfor 24 timer. Om det nødvendige antal af moderatorer så gør at Facebook ikke længere er økonomisk rentabelt, det er et andet spørgsmål.

Ovenstående antager at sværhedsgraden ved at moderere en platform er en linær funktion af aktiviteten på platformen. Det synes for mig at være oplagt, men det kan godt være jeg tager fejl.

Mere lovgivning baseret på en forkert opfattelse af "moderation at scale"...

Hvad vil det sige? Jeg antager det har noget at gøre med at moderation af X bruger kræver X/K moderatorer, hvor K er lavt nok til at Facebook ville have brug for rigtig mange moderatorer. Måske er der endda brug for så mange moderatorer at Facebook så ikke længere kan løbe økonomisk rundt. Måske er det ikke en dårlig ting. Jeg har ikke på stående fod selv nogen holdning, men det er jo ikke usædvanligt at man med lovgivning forbyder bestemte erhverv der har så omkostningsrige eksternaliteter, at vi ikke ønsker de er en del af samfundet.

Jeg synes i princippet ikke man kan undskylde dårlig moderation med at man har rigtig mange brugere. Man kan slippe afsted med det så længe ens platform er lille, fordi den så ikke har nogen egentlig samfundspåvirkning, men hvis man har en så stor platform at den kan begynde at skubbe hele samfundet i en (subjektivt vurderet) forkert retning, så har man også et ansvar. Man kan så enten reducere sin platform så den ikke er så stor, eller bruge penge på at begrænse skadevirkning (f.eks. intensiv manuel moderation). Måske kan sidstnævnte mulighed ikke økonomisk løbe rundt, men det er jo som sådan ikke samfundets problem.

Jeg kan egentlig ikke huske, at jeg har set problemet omtalt i de (ret få) bøger om UNIX, jeg har læst (jeg arbejder ikke med UNIX-lignende systemer). Er det noget, der udtrykkeligt bliver nævnt, når man lærer om den slags OS'er?

Hvis man skulle nævne alle de tekniske detaljer og faldgruber i standardværktøjerne på Unix, så ville et sådan kursus ikke have tid til så meget andet. Man kan dog godt udlede denne opførsel af følgende principper:

• Unix låser (næsten) aldrig filer.
• Hvis en proces har en fildeskriptor svarende til en fil åben, og denne fil ændres, da vil processen se ændringen.

Derfor er det f.eks. potentielt farligt at ændre i kørende binaries og biblioteker, afhængigt af hvordan de har mappet filerne (mmap med MAP_PRIVATE giver desværre ikke garanti for fuld isolation). I stedet for at ændre en fil kan man også slette den og lave en ny med samme navn - det vil ikke påvirke processer der har den gamle fil åben.

Det usædvanlige ved specifikt shell script er at filens indhold bliver ved med at have betydning under hele kørslen. Alle andre fortolkede sprog jeg kan komme i tanke om læser hele filen fra starten af for at konstruere et syntakstræ i hukommelsen. Der findes sikkert undtagelser, men jeg håber jeg aldrig får behov for at lære om dem.

Bemærk at maskinen har 19PB effektiv storage! Data-tab skal naturligvis ikke ske, men backup af 19PB er ikke trivielt og race-conditions kan ske (det lyder til at være tilfældet her).

En sjov race condition: Man redigerede i et shell script mens det kørte, og da Unix shells ikke læser scripts ind i hukommelsen før de afvikles, men derimod læser linje-for-linje fra filen, så kan det gå galt. Jeg fatter ikke at shells stadigvæk fungerer sådan, da jeg ikke kan tænke mig at der findes nogen brug af denne "feature" i godhedens tjeneste.

Sådan kan det gå når man ikke trækker backup ud til proper tapes... og/eller ikke bruger en rigtig backup suite og/eller de rigtige specialister.. Tough shit...

Det var backupsystemet der fejlede og slettede kildefilerne. Det er svært at designe sig ud af netop denne fejlkilde (i hvert fald hvis man gerne vil have kildefilerne på et dyrt og meget hurtigt filsystem, så man ikke bare kan gemme alle skrivninger i ubegrænset tid).

KU's reaktion er ikke helt så voldsom, men internetforbindelsen til mange af forskningsserverne er også blevet afskåret. Jeg har ikke hørt noget om de administrative systemer, og vi har ikke eksamener her for tiden. Det kan være KU i dette tilfælde "reddes" af at det meste af infrastrukturen mig bekendt er baseret på Microsoft-proskrammel, frem for Java.

Hvis du skal sammenligne "1977's formåen" med en spitzenklasse moderne CPU er det den her du skal sammenligne med:

Det er så unfair i den anden retning - den Cray-1 har en ret specialiseret vektorprocessor. Så burde man sammenligne med en moderne datacenter-GPU. Det er altid svært at lave sammenligninger på tværs af tid (og langt hen ad vejen også meningsløst, andet end for sjov).

Men nu bliver jeg nysgerrig omkring hvordan hukommelsessystemet egentlig var i en Cray-1 for at det kunne fodre en så grådig CPU...

Klokfrekvensen er siden Z80 vokset med ca 1000x og ord-længden med ca 8x, er det også tilfældet med volumen af ind/uddata?

Det er misvisende at kigge på klokfrekvensen, da den ikke har en lineær relation med ydelsen. Internettet fortæller mig at en 4MHz Z80 fra 1977 har en ydelse på 0.580 MIPS. En 4.6GHz Ryzen 3950X yder ifølge Internettet 749070 MIPS - altså lidt mere end 1000x højere frekvens (som du selv siger), men en forøgelse i rå regnekraft på over en faktor million. (Hvis man måler FLOPS i stedet bliver forskellen nok absurd.)

Jeg er ikke gammel nok til at vide hvad hukommelsesbåndbredden er på en Z80, men mon ikke den kan kapere en 8-bit læsning fra RAM per klokcykel? Ved 4MHz giver det så ca. 4MiB/s. En Ryzen 3950X har en absolut maksimal båndbredde fra RAM på 47.68GiB/s, hvilket er omkring 10000x mere (i praksis er der selvfølgelig også cache-effekter osv).

Så ikke specielt overraskende: I forhold til regnekapaciteten er hukommelseshastigheden blevet en faktor hundrede langsommere siden Z80. Hvis vi kun kiggede på klokfrekvens ville der dog ikke være nogen forskel - faktisk ville det se ud til at hukommelsen var blevet hurtigere!

Som andre har nævnt ovenfor er en Z80 dog måske ikke en fair repræsentant for 1977's formåen - det var en billig chip der havde stor indflydelse, men ikke fordi det var den hurtigste man kunne få. En Ryzen 3950X er derimod en high-end forbrugerchip, som ikke er meget langsommere end de hurtigste processorer der eksisterede samtidigt.

Men statsautorisationer gælder også, selv om man blot laver hjemmefusk til eget brug.

En statsautorisation for IT-sikkerhed behøver ikke følge nøjagtigt samme regelsæt som for f.eks. el-installationer. Jeg kender ikke grundlaget for alle reglerne, men mit gæt er at reglerne omkring el-installationer og VVS er motiveret af at dårligt udført arbejde kan skabe større skade (også for andre) end dårligt opsatte personlige servere. Jeg er normalt ikke glad for analogier, men lad os i stedet sammenligne med fødevareregler, hvor staten er rimeligt ligeglad med hvor uhygiejnisk du ter dig i dit eget køkken, men hvor restauranter og lignende har krav til hygiejne, uddannelse, osv. Jeg tror bestemt at det er muligt at lave en ny kasse der kan passe til IT-sektorens behov - det behøver ikke være nøjagtigt den samme som findes i andre fag.

Og så kommer der den gråzone der hedder OS software - hvem har f.eks. ansvaret for PHK's baren Varnish, hvem skulle kunne autorisere det, og hvem skulle betale for autorisationen.

Typisk gælder produktansvar kun når du sælger produktet - PHK ville derfor ikke være ansvarlig for Varnish, men det ville du være hvis du installerede Varnish for en kunde. (Antageligvis ville du i praksis enten forsikre dig ud af det, eller også ville en anden IT-revisortype have auditeret Varnish og vurderet at din opsætning er sikker.)

Produktansvar er jo heller ikke absolut - hvis Varnish viste sig at være usikkert pga. en eller anden totalt uventet angrebsvektor (lad os sige det var særligt sårbart overfor rowhammer på en eller anden måde), så ville du ikke nødvendigvis være ansvarlig for at dække evt. skader. Produktansvar handler om at overholde gængse normer og standarder, ikke om at stå til ansvar for uforudsigelige sort-svane-begivenheder.

Der er bestemt mange detaljer der skulle på plads omkring hvordan statsautorisation for IT-sikkerhed i praksis ville udforme sig, men jeg synes også idéen er god, og på sigt nærmest nødvendig.

Mener du ikke pegepinden til toppen af stakken - når man tænker mit forslag igennem på dansk er den ligeså meningsløs :)

Det hedder "stakpegeren".

jeg kan slet ikke forestille mig det kaos og den forvirring der ville være, hvis kollegaer og projektdeltagere fra mange forskellige lande insisterede på at anvende landespecifikke udtryk.

Jeg kæmper ikke (seriøst) for at man altid bør bruge danske begreber, men du behøver ikke gå så vidt i din modstand: Der er selvfølgelig ingen der mener at man bør bruge danske begreber når man kommunikerer på engelsk. Min egen interesse i danske begreber er delvist udfordringen i at lege med sproget, og delvist at jeg subjektivt synes det lyder bedre når man skal bøje ordene. "Stack pointerne" lyder skrækkeligt i mine ører; "stakpegerne" lyder fint.

Man kan tage det for vidt. Uncleftish beholding er en berømt/berygtet tekst der beskriver atomteori på engelsk, men næsten udelukkende via ord der kun har germanniske rødder - alt det græske og latinske er fjernet. Det bliver selvfølgelig hurtigt fjollet, men jeg må indrømme at det visse steder giver en ret smuk konsistens i tekstens lyd (et dejligt selvmodsigende udtryk).

garbage collection: skraldeopsamling

Her er den etablerede (relativt...) danske oversættelse "spildopsamling". Lidt sært at man ikke benyttede denne, men oversatte borrow checking. En compiler er en "oversætter" - som i mine øjne faktisk er et bedre ord end compiler.

Jeg er normalt tilhænger af at oversætte til danske begreber, men man skal passe på. Det bliver nemt noget rod.

Stack overflow oversættes forresten som "stakoverløb".

Hvad med sådan noget som at agere IPFS-knude eller (hvilket er noget mere almindeligt) BitTorrent? Det slår mig som noget der har et trafikforbrug der lugter meget af Tor, men er deltagelse i peer-to-peer netværk også imod typiske brugsbetingelser?

Før "nem" kryptering rykkede ind i verden var det jo ikke sådan at forbryderene ringede ind over politigårdens omstillings anlæg når de skulle aftale noget. De talte i "koder"!

Jeg ved at telefonaflytning var/er en ting, men jeg ved faktisk ikke noget om hvor godt det fungerede. Siger du at det i praksis var ubrugeligt fordi alle de aflyttede alligevel lavede en slags manuel kryptering? Det ville utvivlsomt være rigtigt nok hvis den aflyttede aldrig begik fejl, men jeg ved ikke om det var sådan det var i virkeligheden.

Hvis et forbud mod kryptering nogensinde skulle blive indført, vil dette ikke ændre på myndighedernes mulighed for at følge med i hvad forbrydere snakker om.

Det er sandt hvis man opfatter forbrydere som altid perfekt kompetente og teknisk kyndige. Det er lidt samme antagelse som når man tror at mennesker agerer 100% økonomisk rationelt. I praksis er langt størsteparten af forbrydere ikke specielt dygtige til teknik, men de kan godt være skadelige for folk og samfundet alligevel.

Som eksempel, så lad os antage et samfund hvor end-to-end-kryptering er normen for almindelige beskedtjenester (Facebook messenger, Google's whatever, hvad man nu bruger). Da vil politiet ikke have mulighed for at overvåge (hverken aktivt eller retro-aktivt) når medlemmerne af Bjørnebanden kommunikerer med hinanden. Det er ikke fordi Bjørnebanden aner hvad de laver hvad kryptering angår; de bruger bare samme beskedtjeneste når de snakker om forbrydelser som når de aftaler hvem der henter basser hos bageren. Selv hvis de vidste der var en risiko, så er det ikke sikkert de ville være i stand til at få fat på eller betjene stærk kryptografi, hvis alle mainstream-platforme ("app stores" eller lignende) forbyder det.

Men hvis krypteringen på en eller anden måde kan brydes af myndighederne (om det så er key escrow eller andet), så vil det være muligt for politiet at foretage overvågning med dommerkendelse i hånden, omend de tekniske og juridiske detaljer så afgør om det også kan gøres retroaktivt.

En reelt teknisk kompetent forbryder (lad os sige en efterretningstjeneste) kan utvivlsomt bruge ubrydelig kryptering alligevel, da jeg ikke tror det kan lade sig gøre at aktivt opdage og blokere al krypteret kommunikation (om ikke andet kan det indlejres steganografisk). Min hypotese er at langt de fleste forbrydere er i Bjørnebande-kategorien og ikke efterretningstjeneste-kategorien.

Der er en del usikkerheder forbundet med ovenstående analyse - både hvad angår det realistiske i at forhindre adgang til stærk kryptografi, og mine antagelser om den gennemsnitlige forbryders tekniske niveau - men jeg synes nemt disse debatter bliver lidt for sorte og hvide, så jeg tænker det er nyttigt at opstille nogle tanke-eksperimenter i gråzonen.

Udover de utilitariske, juridiske, og tekniske aspekter skal man sandsynligvis også overveje de etiske. Er stærk kryptografi og privatliv en menneskeret? Det er en legitim holdning at have. Vil en insistering på disse rettigheder betyde at de nødvendigvis vil blive undergravet med tiden, grundet andre samfundsmæssige behov? Det er PHK's pointe, hvis jeg har forstået det rigtigt.

Jeg tror selv jeg hælder mod at stærk kryptografi skal være lovligt, men jeg erkender at det har nogle samfundsmæssige konsekvenser. Om de i praksis bliver så slemme som de i teorien kunne være, det ved jeg ikke. Indtil videre ser det ud til at myndighederne ofte har held med at finde måder at omgå stærk kryptering på (typisk ved at udnytte svagheder andre steder i systemet, ofte de menneskelige).