Henning Kristensen

Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Hej Pernille

Doctolib i Frankrig har en domstolsafgørelse om at den måde, som de gjorde det på med Covid vaccinationsdata i AWS er lovlig.

Det samme kunne have været gjort med Aula. Datatilsynet nikker selv til samme løsning i deres Vejledning om cloud (Eksempel 8).

Udfordringen er at det er en løsning, som koster lidt i hardware (HSM-bokse på dansk jord) men først og fremmest er mere besværlig og dyrere at programmere til. Derfor gør alle ikke bare dét.

Til sammenligning er AWS CMK-nøgler noget man grundlæggende blot konfigurerer i AWS - uden at databaser og servere opfører sig anderledes for applikationsprogrammørerne.

Spørgsmålet om man så ikke bare skulle købe fra et europæisk datacenter? Til dét vil jeg jo sige at AWS allerede er europæiske datacentre.

AWS har politikker, som man kan sætte op så kun europæiske lokationer kan anvendes. Den slags - og mere endnu skal selvfølgeligt være på plads.

AWS har også et skilt som nogle amerikanske biblioteker siges at have. Hvor der står "Vi har endnu ikke udleveret låneroplysninger til FBI" (men hold øje med om skiltet forsvinder).

Så længe AWS fortsat stiller spørgsmålet og svarer "None" på om de nogensinde har foretaget udleveringer fra ikke-US datacentre til amerikanske organisationer i deres halvårs-rapporter, så er skiltet stadig på væggen.

Datatilsynet siger så i øvrigt flere steder i cloud-vejledningen at leverandørens forsikringer ikke kan stå alene, men skal være "understøttet af objektiv, troværdig og tilgængelig information".

Samtidig med at Kombit sendes i møder med AWS for at få nogen flere leverandør-garantier. Det virker som en Herodes-Pilatus situation.

En konstruktiv vej ud af det kunne være hvis AWS gentog løftet om ikke at bygge bagdøre ind i deres platform og om at der ikke er bygget nogen mekanismer ind, som kan disable logging.

Underforstået at på trods af at AWS godt nok aldrig har gjort det - så hvis de nogensinde foretager sådan en udlevering, så vil der (for dem, der kigger efter det) være mærker efter koben på terrassedøren.

Hvis det var tilfældet, så kunne jeg som dataejer iværksætte en teknisk foranstaltning: At inspicere loggen for at se om der foregår abnormal dekryptering af mine at-rest krypterede data.

Og hurtigst muligt tage mine forholdsregler og rapportere det til Datatilsynet og de berørte som en utilsigtet dataoverførsel - ikke at det nogensinde forventes at blive aktuelt.

Inspektion af logfiler som en teknisk foranstaltning/kontrol er helt klassisk: Der er jævnligt sundhedspersonale og politifolk som på den måde bliver afsløret med fingrene i register-kagedåsen.

Det store spørgsmål er om det så er en tilstrækkelig foranstaltning for Datatilsynet.

8. september kl. 00:03
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Men er vi ikke enige om at for, at AWS ikke skal kunne tilgå de ukrypterede data, skal dekryptering ske udenfor AWS.

Jo, hvis Aula-løsningen bygger på CMK-nøgler med eksternt nøgle-materiale, så fungerer det på den måde at nøglematerialet uploades til AWS, og bruges af AWS til at kryptere og dekryptere.

Så det kan godt være at nøglen ligger på en USB-disk i en bankboks hos NetCompany, men uanset hvad NetCompany gør med den USB-disk, så fortsætter AWS med at kunne kryptere og dekryptere.

Normale CMK-nøgler med AWS-genereret nøglemateriale har en konfigurerbar venteperiode indbygget (7-30 dage) hvor nøglen kan genetableres.

På CMK-nøgler med eksternt nøglemateriale kan NetCompany bede AWS om at fjerne nøglematerialet uden venteperiode og så duer nøglen først igen når nøglematerialet er blevet gen-uploadet. Hvilket er praktisk i det tilfælde at russerne står for døren.

AWS kunne komme det sidste stykke ved at præcisere at al kryptering og dekryptering uden undtagelse altid logges (i CloudTrail). Underforstået uanset om operationerne foretages som en del af systemets naturlige drift eller som led i en udlevering (upåagtet at udleveringer fra europæiske datacentre til USA endnu aldrig har fundet sted).

På den måde kunne NetCompany overholde GDPR ved at iværksætte en supplerende teknisk foranstaltning: At holde et vågent øje med CloudTrail, undersøge mistænkelige dekrypteringer og derefter rapportere eventuelle uforklarlige operationer som utilsigtede tredielandsoverførsler.

6. september kl. 22:22
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Nøglerne til krypteringen er gemt i Danmark under lås og slå

Den her formulering passer med at Aula rent teknisk bruger (AWS KMS) CMK-nøgler med eksternt nøgle-materiale.

Doctolib i Frankrig, som har en dom for at de kan bruge AWS til sundhedsdata, lavede såvidt jeg ved kryptering i applikationslaget og krypterede og dekrypterede på en HSM-boks i et fransk datacenter.

Det ville klæde NetCompany og Kombit at løfte fligen om hvordan løsningen rent teknisk er skruet sammen - Aula er immervæk lidt af et flagskib rent GDPR-mæssigt.

Aula eller Kombit ved jo reelt ikke om AWS allerede har udleveret data til CIA eller anden myndighed i USA

I AWS's egne "Information Request Reports" anfører de at de ikke har udleveret data fra ikke-amerikanske datacentre til amerikanske myndigheder. Det er selvfølgeligt et partsindlæg, men derfor kan det jo godt være rigtigt.

6. september kl. 14:52
Philips satsede på serverless: Udviklingstid gik fra tyve mandeår til tyve måneder

Nu er jeg jo så belastet af et indgående kendskab til den løsning som artiklen handler om - men jeg har ikke skrevet koden, og er ikke Java-programmør. Mit bidrag var automatiseret infrastruktur, sikkerhed, deployments - den ende af projektet.

Der var faktisk flere af Amazon's komponenter som ikke performede som ønsket:

Der var simpelthen nogen funktioner, som vi ikke kunne garantere at der altid ville være færdige på 60 sekunder (som var grænsen da vi startede).

Så vi måtte se os om efter en anden løsning: Det blev til et ECS Docker-cluster.

Lidt senere bankede vi hovedet mod et andet problem i ECS og måtte tage Hashicorp's Consul og Nginx til hjælp for at lave service-discovery/loadbalancing (og det har AWS også en bedre løsning på nu).

Der er også de valg, som cloud-leverandøren ikke tager. I den her løsning f.eks. omkring håndtering af secrets (som nu er løst for Lambda, men stadig ikke for ECS/Docker på AWS).

Hvis man er tidligt ude (uanset teknologi-stakken), så bliver man bare indimellem nød til at sno sig fri af sin valgte cloud-leverandørs arkitektur-valg og begrænsninger.

18. januar 2017 kl. 10:19
Philips satsede på serverless: Udviklingstid gik fra tyve mandeår til tyve måneder

Disclaimer: Jeg var med til at lave det nævnte system.

Jep, det er event-drevet, og jeg har da også lejlighedsvist tænkt på lighedstegnene mellem traditionel J2EE og ny, smart cloud-teknologi.

Men forskellen er at der ikke er en server, som skal budgetteres, provisioneres, installeres, patches, og generelt håndteres. Den slags som jeg lavede i 15 år. Der er ingen server, som kører i tomgang i 97% af tiden - og er underdimensioneret i 3% af tiden.

Der er udviklere, som skriver kode - og de har umiddelbart adgang til at få den eksekveret. Parallelt når der er brug for det. Og forretningen betaler når koden kører - ikke for "tomgang".

Aha-øjeblikket for mig var under den første demo - hvor der kørte et rudimentært dashboard som viste den anslåede omkostning i micro-cent.

Jeg glemmer simelthen aldrig julelysene i øjnene på folkene fra forretningen da den syntetiske load-test startede - og de så at der var en direkte sammenhæng mellem hvor meget der blev drevet gennem systemet og hvad systemet kostede dem.

Derudover er der en anden ting, som jeg tager med mig videre, og det er hvordan "serverless" gør det helt oplagt at bruge andre af Cloud-leverandørens services: streaming data, søgemaskiner, object storage, API hosting...

Jeg er helt med på at den her "convenience" kommer med en vendor lock-in, men hvis alternativet er at skulle igennem en større proces for at få lavet en strategisk evaluering af streaming-data produkter og så skulle bruge måneder på at få etableret sådan et setup... Jeg har været der: Det er dræbende for innovation, kreativitet og udviklings-hastighed.

Så jo flere produkter som Cloud-leverandørerne lancerer, jo mere bredde, saft og kraft får de her Functions-as-a-Service's.

Ta' nu maskinlæring? Det er pokkers kraftfuld at ha' det indenfor rækkevidde - kun at være et par API-kald væk fra at kunne bruge det. Det er det rene substral til en "yes we can"-kultur.

De 300 sekunder er en begrænsning som Amazon sætter på eksekveringen af funktioner. Hvis en funktion kører længere end 300 sekunder bliver den termineret. Egentligt er det vel mere en slags opdragende effekt - og for at gøre det nemmere for Amazon at hoste og skalere platformen.

Det der med at "serverless" er et dårligt navn: Ja, det synes jeg også at det er.

17. januar 2017 kl. 11:29
Slip for VM's og containere: Serverless-arkitektur skærer alt andet end kode væk

Du har ret: Der er ikke tale om en hypervisor - men i stedet en (ikke nærmere specificeret) form for container virtualisering/sandboxing ovenpå en Amazon Linux, der kører under Xen.

Det aktuelle afviklingsmiljø på AWS er kendt.

Så det skal skal man selvfølgeligt vælge at opfatte som tilstrækkeligt sikkert og tilstrækkeligt isoleret. Præcis som mange vælger at tro på at Docker er tilstrækkeligt sikkert og tilstrækkeligt isoleret.

Det spændende (eller skræmmende, afhængig af synsvinklen) er så at udviklerne og forretnings-folkene har ret nemt ved at ta' det spring og stole på platformen.

21. december 2016 kl. 22:17
Slip for VM's og containere: Serverless-arkitektur skærer alt andet end kode væk

Du behøver såmænd ikke at tvivle på Serverless (eller Functions-as-a-service) som nogen lobby'er for at få det omdøbt.

Det er helt rigtigt at hvis "platformen" (som er fordelt over mange servere i mange racks i flere datacentre) eller den enkelte server sku' "dø", så dør din funktion.

Den dør også når der er gået max. 4 timer, og funktionen ka' også risikere at dø hvis du ikke bruger den og andre kunder har brug for kapaciteten. Jeg kender kun noget til Amazon's implementation.

Så der kører jo ikke Sharepoint inde i sådan en funktion, vel?

Der kører en lille, afgrænset opgave som kan gentages: Ta' en stump data fra en kø og konvertér den og gem resultatet i en tabel, generér en PDF, ta' en stump data fra en database og opdatér den i ElasticSearch, kør på minut-tal 05 og 10, svar på et webservice-kald... Små, gentagbare funktioner.

Platformen er delt mellem alle Amazon's kunder - og selvfølgeligt ka' kunderne ikke se hinandens data (under forudsætning af at hypervisoren opretholder isolation - det er ikke meget anderledes end tilliden til VMWare i et traditionelt datacenter).

Cloud-leverandøren sørger så for at få funktionerne afviklet. Skaleret, parallelt hvis muligt og kunden betaler per 0.1 sekund. Så man ka' sige at Cloud-leverandøren har en vis kommerciel interesse i at sørge for at funktionerne kører når de ka'.

Hver funktion ka' ikke åbne porte. Der er lukket for UDP, den kører under IAM sikkerhedsmodellen, så man kan præcis angive hvilke cloud-ressourcer den har adgang til. Og funktionen - memory, filsystem, the lot - dør altså efter max. 4 timer.

Du memory-scrubber næppe dine servere hver 4. time, vel? Og der er jo givetvis også et filsystem, hvor der måske også godt ku' overvintre en fil eller to?

Selv er jeg dér hvor jeg faktisk nok hellere så mine mission-critical persondata i et serverless system end i en traditionel server.

21. december 2016 kl. 13:46
Nets er utroværdige

IBM-Batchoperatør fra Valby afsløret som Superskurk!

Helt planmæssigt lægges der nu røgslør ud. Alt hvad der minder om detaljer skjules under dække af at være omfattet af en kommerciel kontrakt med IBM og politiets igangværende efterforskning. Ku' man så ovenikøbet lige få profileret tys-tys kilden som en aldeles unik superskurk, så er den jo virkeligt fjong.

Det er jo ikke fordi at tys-tys kilden har siddet helt alene i sin superskurke-hule med sin hemmelige superskurke-identitet og sin helt egen superhemmelige skurke-computer. Han har boet i Valby, mødt på arbejde, sludret med kolleger og chefer og han har moslet rundt med data på computere, hvor andre også har haft adgang og kunnet kigge ham over skulderen. Han har tilmed åbenhjertigt postet sine journalist-relationer på Facebook.

Spørgsmålene hober sig op. Vi er givetvis mange, der rigtigt gerne vil lære af det her. Helt generelt er det vel interessant at få at vide præcis hvordan tys-tys kilden har opereret og hvordan han har været i stand til at skjule sit forehavende. Hvor sofistikeret har det været? De allerførste gæt om at der skulle være tale om database-triggere med automatisk SMS-afsendelse direkte til journalisten, er jo tilsyneladende skudt over målet.

Men hvorfor har han kun lejlighedsvis kunnet putte nye personer på "overvågningslisten"? Hvordan har han undgået at blive fanget i interne kontroller eller af kolleger? Overordnet er der vel ingen tvivl om at Nets har kørt en ret omfattende change-proces - har den været en forhindring eller en løftestang?

Indlysende at Nets har travlt med at fortælle at de skærper kontrolfunktioner og øger log-kiggeriet på bagkant - men hvordan blev tys-tys kildens opslag overset i første omgang? Sløseri eller spare-iver?

Hvilke signaler om illoyalitet har kolleger og ledere overset? Har de lukket øjnene undervejs? Hvorfor?

Vi får nok bare ingen svar før IT-havarikommisionen går ind i sagen... Nåh-nej. Øv. Sådan een har vi jo heller ikke!

5. maj 2014 kl. 23:59
Man får hvad man betaler for

Hvis du ikke betaler folk nok til at gøre dem økonomisk ufristelige, hvorledes ville du ellers gøre det ?

F.eks. ved at behandle medarbejdere ordentligt, sørge for at medarbejderne ikke savner anerkendelse, udvise den samme loyalitet som man forventer at medarbejderne udviser. På det her specialist-niveau er løn generelt holdt op med at betyde det helt store.

IBM/NETS har i hvert fald lige netop ikke fået den loyalitet, som de betalte langt mere end 10.000/måned for. Så jeg er helt enig i de, der ikke mener at man skal hænge sig i om det lige var 10.000 hver eneste måned eller om TysTys-kilden i forvejen var oppe og betale topskat. Trivsel vægter højere end løn.

Jeg er i øvrigt ret pessimistisk mht. om revurderinger af outsourcing-beslutninger. Mit gæt er at "Outsourcing-Drejebogen" får et kapitel mere om vigtigheden af at opmande sikkerhedsfunktionen i den afgivende virksomhed for at tage højde for den øgede sikkerhedsrisiko fra forsmåede medarbejdere.

30. april 2014 kl. 17:47
Opråb til it-nørderne: Smid tennissokkerne - og tal, så vi kan forstå det!

Sikke da en hvepserede, som Trine Bramsen har rodet op i ved at beskrive IT-folk som usexede kældermænd. Jeg forestiller mig en tilsvarende reaktion hvis en dyrevelfærdsordfører i et indlæg sammenlignede alle typiske katteejere med skøre kattedamer.

Men - hånden på hjertet - er det vel de færreste af os, der aldrig nogensinde har oplevet en af IT-verdenens "skøre kattedamer". Fakta er at de findes. Men de er et meget lille mindretal.

Trine tror så tilsyneladende at sort-snakkende, socialt udfordrede nørder er de typiske IT-folk - som fremtiden skal bygges på. Det er de ikke. IT-udvikling, -support og -drift er holdsport, og dårlige holdspillere har det svært.

Vi er godt nok en branche, der er mere åben og tolerant end de fleste andre brancher. Branchens successer med Specialisterne kan vi allesammen være stolte af.

Vi kan bestemt også være stolte over at vi er i en branche, der hjælper rigtigt mange indadvendte unge til professionel og social succes. Unge, som ofte har haft det svært i en ungdomskultur- og på ungdomsuddannelser, der hylder højtråbende selviscenesættelse.

Hvis der er nogen, der lever op til Trine Bramsens yndlingscitat: "Hvis man er stærk har man et særligt ansvar for at være sød mod andre", så er det os i IT-branchen.

Men der er jo en restgruppe. Mon ikke at en del af dem ku' diagnosticeres med mildere psykiske lidelser? Depression? Måske en del med sociale fobier? Er det virkeligt for meget forlangt at ønske sig at en Socialdemokrat som Bramsen reflekterer over "hvorfor Jeppe (sidder foran skærmen og) drikker (cola)"?

Jeg håber så sandelig ikke at Trine Bramsens næste ordførerskab bliver indenfor social- eller psykiatri-området. For jeg føler mig ikke overbevist om at vidunderkuren med en vask, en klipning, pæne sokker og en formaning om at "tage sig sammen og komme ud" løser alle problemer for de få, der slås med social isolation eller psykiske lidelser.

5. august 2013 kl. 13:05
Dårlig opførsel udenfor IT-verdenen

Det rager ikke resten af verden, hvad og hvordan folk vælger at belåne deres ejendom eller noget som helst andet.

Dataene i Tingbogen har jo været tilgængelige altid. I en bredere kreds. I Norge er skattebogen åben - med samme oplysninger om fødselsår. Uden at verden er faldet ned om ørerne på nordmændene. For mere end 15 år siden blev ejendomsvurderingerne givet fri her i landet. Med relativt begrænset konsekvens på kriminalitets-siden.

Så jeg hæfter mig bare ved at trusselsbilledet her fra Ældresagen er så teoretisk konstrueret, nærmest i Urban Myth-kategorien, at jeg godt synes at man kan tillade sig at spørge kritisk til bagvedliggende motiver for den her agurketids-historie. Realiteterne er jo at dødsannoncer med stor sandsynlighed er en større trussel for enlige enkefruer end Tingbogen nogensinde bliver (google: obituary thieves).

Jeg tænker om der mon findes en organisation derude, der ikke synes at det er så pokkers sjovt at store dele af Danmark nu nemt kan kigge med på hvor lemfældig kreditgivningen i 00'erne var? Jeg er selvfølgeligt lidt ude i konspirationsteorier her, det medgiver jeg.

25. juli 2013 kl. 01:31
Dårlig opførsel udenfor IT-verdenen

Det er usmageligt og usympatisk. Vi gjorde ikke mere ved sagen.

Informationen bliver vel nød til at være tilgængelig i en forholdsvis bred kreds. Hvis en bank skal vurdere om de vil låne penge til en husejer (og afgøre hvilken rente, de skal tilbyde), så må de vel nødvendigvis kunne slå den tinglyste gæld i huset op?

Personligt forstår jeg heller ikke at I undlader at byde på sådan et hus. Det kan godt være at I føler at I presser sælgeren, men reelt er afgørelsen sandsynligvis langt ude af hans hænder. Med et lavt bud presser I professionelle långivere, der har taget en kalkuleret risiko (eller foretaget en sløset vurdering).

Min holdning er at der er større chance for at I vil hjælpe sælgeren ud af den kattepine, som han har med huset nu - og videre til den uundgåelige personlige konkurs før snarere end siden.

"Nej nu be'r jeg dem, Fru Heilbrunn: Sigøjner tyvebanderne kan sidde derhjemme i ro og mag og slå fredelige enkefruers adresser op i Nærum-vejviseren."

Det næste bli'r vel at dødsannoncer og gravsten skal forbydes?

Den her "Ældresag" handler vist nærmere om at afværge at nogen skulle finde på at trevle gennem hele registeret og komme til ubehagelige konklusioner. Trække hele engagementer ud - ikke bare sommerhuset isoleret, men også helårshus og forældrekøbte lejligheder. Eller afsløre hvor mange halvgamle nisser, der har taget flexlån i huset i 00'erne for at sætte pengene ind på skattebegunstigede pensionsordninger.

24. juli 2013 kl. 17:40
CSC ramt af nedbrud i CPR-tjeneste siden søndag eftermiddag

Forhåbentligt laver ingen da modulus-11 checks længere! Se Wikipedia-artiklen om CPR-nummer.

27. juni 2011 kl. 11:12
Et (rigtigt) software patent

Det er i hvert fald mit gæt, og det passer også meget godt med at det er et HP-patent.

Jeg fandt et link:

http://bitsavers.org/pdf/hp/3000/hp3000/03000-90002_SPL_Ref_Man_Nov73.pdf

/ Henning

18. maj 2011 kl. 23:06