Archive for April 22, 2014

Video og laser fra romstasjonen

 

Da Falcon-raketten til SpaceX lettet fra Cape Canaveral fredag, hadde lastekapselen Dragon med seg øyegodt utstyr i lasterommet.

Går alt bra, skal publikum over hele verden snart kunne se jordkloden dreie sakte og majestetisk fra over 400 kilometers høyde.

Sammen med video fra rommet, skal nettsidene til NASA vise et verdenskart med posisjonen til romstasjonen.

Følger samme område på jorda

Fire HD-kameraer skal vise samme område på jorda, først sett i retning forover når området nærmer seg, så rett nedover når området passerer under, så fra to vinkler bakover når det fjerner seg.

Overføringen blir ikke kontinuerlig. Den startes og stoppes etter behov, og ledig kapasitet i overføringen. 

Men når kontrollsenteret i Houston først har startet en overføring, skjer omkoblingen fra ett kamera til det neste skjer automatisk, og repeteres i en syklus.

 

Fra elektrobutikken til rommet

Prosjektet heter High Definition Earth Viewing (HDEW), og er ikke bare startet for å gi oss jordboere øyegodt på nett.

Planen er å finne ut hvor godt vanlige videokameraer tåler opphold i rommet. De fire kameraene er nemlig hyllevare i det øvre prisskiktet fra elektrobutikkene, produsert av Hitachi, Toshiba, Sony og Panasonic.

Riktignok står ikke kameraene ubeskyttet i vakuum, der de er plassert på utsiden av den europeiske modulen Columbus. De står inne i beholdere med rent nitrogen, med et trykk som ved havets overflate.

Partikkelstråling

Den store påkjenningen vil komme fra partikkelstråling. Skurer av elektrisk ladede partikler fra sola og det ytre rom, mest elektroner og hydrogenkjerner, treffer elektronikken.

Disse partiklene er fanget i jordas magnetfelt.  Partiklene pendler fram og tilbake mellom jordas magnetiske poler i to smultringformede belter rundt jordas ekvator som kalles Van Allen-beltene, og gir opphav til nordlyset.

Romstasjonen går så høyt at den treffer en utstikker av det nederste beltet når den passerer den sørlige delen av Atlanterhavet og Sør-Amerika.

Nå skal kvaliteten på videobildene saumfares nøye, for å se hva denne partikkelstrålingen gjør med utstyret.

Laseroverføring

Videobildene fra de japanske kameraene skal overføres på vanlig måte, med radiosignaler. Men Dragon-kapselen har også et nytt overføringssystem om bord.

Video og andre typer data kan nemlig også overføres med laserstråler. Instrumentet Optical Payload for Lasercomm Science (OPALS), skal prøve ut denne teknologien.

Laser er en smal stråle av ensfarget lys, ikke radiobølger.  Derfor skal ikke signalene tas imot med en antenne. De skal mottas med et teleskop.

Teleskopet ligger på Table Mountain i Wrightwood, litt over 50 kilometer nordvest for Los Angeles. Det opereres av Jet Propulsion Laboratory, best kjent for de spektakulære ferdene med romsonder til andre planeter.

 

Som en laserlykt

Når romstasjonen har kommet over tretopphøyde, sett fra Table Mountain, starter overføringen.

Den begynner med at forskerne kjører teleskopet i revers. Istedenfor å samle lys fra fjerne stjerner, skal speilet brukes som reflektoren i en stor laserlykt.

Teleskopet sender en laserstråle opp til OPALS, som er festet til et rammeverk på utsiden av romstasjonen.

 

Sikter mot bevegelig mål

OPALS registrerer retningen til lyspunktet fra Table Mountain, og sikter inn laserstrålen sin.

Laserstrålen er svært smal. Det er en av fordelene ved å bruke laser. All energien fra laseren samles på et lite område når den treffer jorda.

Samtidig er den smale strålen en teknisk utfordring. For at strålen skal treffe speilet med diameter en meter i teleskopet på Table Mountain, må den siktes nøyaktig inn.

Nøyaktigheten er så stor at det tilsvarer å treffe et område med tykkelse av et hårstrå på en avstand av ni meter, ifølge en nyhetsmelding fra NASA.

Den kardanske opphengningen til laseren i OPALS må dessuten sikte mot et bevegelig mål, siden jorda roterer under romstasjonen.

Teleskopet på Table Mountain vil ikke være i god posisjon så lenge om gangen. Derfor blir hver overføring bare på litt over halvannet minutt.

 

Superbredbånd

Selv om laseroverføring har sine tekniske utfordringer, er gevinsten også stor. Mye større datamengder kan overføres på kortere tid.

OPALS vil gi en overføringshastighet på rundt 50 megabits per sekund, tilsvarende det raskeste bredbåndet du kan få hjemme.  I framtida kan enda mye høyere hastigheter oppnås.

Hastigheten blir større rett og slett fordi laserlyset har mye kortere bølger enn radiobølgene. Bølgene kommer med andre ord tettere og raskere. Enkelt sagt kan hver bølge overføre en viss mengde data.

Laser fra fjerne kloder

Den smale strålen til laserlyset gir ikke bare et sikteproblem. Den er også en fordel, særlig når lyset skal siktes over store avstander på ferder langt ut i rommet.

Da vil strålen fortsatt være ganske smal når den treffer jorda. Dermed går ikke så mye energi til spille, og signalet blir sterkere.

OPALS vil bare være i drift i 90 dager, men forskerne bak OPALS håper at laserkommunikasjon i framtida kan brukes av romsonder på for eksempel planeten Mars.

Da vil mye større datamengder kunne overføres, og vi kan til og med håpe på å få se direkteoverført video fra fjernere egner av vårt solsystem.

Lenker:

High Definition Earth Viewing (HDEV) – 03.25.14 (NASA, faktaside)

International Space Station to Beam Video via Laser Back to Earth (NASA)

Optical PAyload for Lasercomm Science (OPALS) (JPL, faktaside)

«Feilfiks» skjuler bakdør

Eloi Vanderbeken brukte julen til å avsløre et gapende hull i bredbåndrutere.

Den franske sikkerhetseksperten fant da en bakdør i rutere fra en lang rekke produsenter, deriblant Cisco, Linksys, Netgear og Diamond.

Han påviste at utstyr med fastvare fra taiwanske Sercomm lyttet til TCP-spørringer mot port 32764. Mens noen berørte modeller krevde tilgang fra lokalnett, skal andre ha eksponert det udokumenterte grensesnittet også direkte over internett.

Uken etter avsløringene kom en fastvareoppdatering som skulle stenge bakdøren.

Vanderbeken har nå brukt påskeferien til å påvise at feilfiksen slett ikke stenger noe hull. Bakdøren er bare gjort vanskeligere å oppdage.

I en overbevisende presentasjon (pdf) redegjør franskmannen for det nye funnet, som kan gi full administrativ tilgang, uten autentisering.

– Bakdøren lar seg reaktivere fra lokalnettet (LAN) eller fra internett-leverandørens side. Dette er bevis på at bakdøren bevisst er plantet, mener Eloi Vanderbeken.

Ifølge ham ble bakdøren aldri fjernet. Den ligger i dvale. Etter å ha gransket oppdateringen fant han at bakdøren lar seg aktivere ved å sende noen spesielt utformede ethernet-pakker til ruteren.

Når ruteren mottar disse kommandoene er det igjen fritt frem.

I praksis åpnes da bakdøren igjen på kunders allerede oppdaterte utstyr, skriver Ars Technica.

Sikkerhetsforskeren har allerede publisert konseptkode som kan påvise og utnytte bakdøren på Netgear-modellen DGN 1000, men altså med de nevnte begrensningene; dette må gjøres fra lokalnettet eller fra nettleverandør.

Ifølge ham er minst 24 ruter-modeller bekreftet sårbare. En liste er publisert her. I presentasjonen fremlagt i påsken oppgir han å ha funnet 6.000 berørte rutere på internett.

Hvor utbredt bakdøren egentlig er vites ikke. Ifølge Vanderbeken skyldes det at hver utgave av fastvaren er skreddersydd den enkelte ruter-produsent og modellnummer.

Ars Technica har forsøkt å få de berørte produsentene, og taiwanske Sercomm i tale, så langt uten å lykkes.

Heartbleed: hvorfor gjør vi fortsatt slike feil?

Uken før påske var travel for alle som jobber med informasjonssikkerhet. Heartbleed-sårbarheten i OpenSSL var unik i hvor bredt nedslagsfelt den hadde, hvor mange tjenester og brukere som ble berørt. Den var ikke unik som et eksempel på hva en enkel programmeringsfeil kan medføre. Det er en klar sammenheng her: programvare har sårbarheter, angripere utnytter disse sårbarhetene for å nå sine mål. Og, sårbarheter i programvare oppstår fordi utviklere gjør feil. Enten fordi de ikke vet bedre, eller rett og slett bare fordi alle gjør feil av og til.

I dette tilfellet har vi hørt fra utvikleren som var ansvarlig for kodebiten som inneholdt sårbarheten. OpenSSL er skrevet i C, et språk som gir mye frihet til utviklerne og derfor også stiller store krav. Koden som inneholdt Heartbleed-sårbarheten er skrevet av en erfaren utvikler som glemte å gjøre en sjekk av minnebruken, noe som tillater at det leses ut en større mengde informasjon fra minnet enn hva som var meningen. OpenSSL-teamet hadde gode rutiner, inkludert kvalitetskontroll før ny kode tas inn, men denne feilen ble ikke oppdaget i kvalitetskontrollen heller.


Lillian Røstad er seksjonssjef ved Difis seksjon for informasjonssikkerhet, førsteamanuensis II ved NTNUs Institutt for datateknikk og informasjonsvitenskap, samt styreleder i Norsk Informasjonssikkerhetsforum (ISF).

Nå som stormen har lagt seg, de fleste tjenester er oppdatert, passord er byttet der det var nødvendig og Internett atter er et relativt trygt sted å være, er det på tide å se nærmere på rotårsaken: hvordan kunne Heartbleed forekomme? Og hva kan vi gjøre for å redusere sannsynligheten for tilsvarende feil i fremtiden?

Det er lett å tenke at løsningen er enkel: vi må bare slutte å bruke disse utrygge programmeringsspråkene. Men, nei det er ikke så enkelt. Det er mulig å gjøre feil i alle programmeringsspråk. Bare ulike typer feil, som har ulike konsekvenser. Det handler mer om å ha kunnskap til å bruke språket riktig, og gode nok mekanismer til å fange opp feil.

Whitehat Security publiserte nylig en rapport der de har sett på sikkerhetsutfordringen i de vanligste programmeringsspråkene brukt i webapplikasjoner. De tre mest brukte språkene er .Net (28 %), Java (25 %) og ASP (16 %). Ifølge rapporten fra Whitehat Security er det ingen vesentlig forskjell mellom disse i antall sårbarheter. De har alle i snitt 11 sårbarheter per «slot» (en «slot» definerer de som grensene til en webapplikasjon). Tallene var vesentlig lavere for bla Perl og ColdFusion. Rapporten er anbefalt lesning for de som måtte være interessert i mer detaljer.

Poenget her er at selv disse «moderne» språkene ikke er feilfrie eller 100 prosent trygge. De må fortsatt brukes riktig for at man skal unngå å lage applikasjoner som har sårbarheter.

Ulike programmeringsspråk har ulike fordeler og ulemper. Hva man velger å bruke er som regel en sammensatt beslutning, som ofte inkludere hensyn til hva utviklerteamet er kjent med og hva slags type applikasjon man skal lage. Altfor sjelden er dessverre sikkerhet en del av denne beslutningen.

Høsten 2011 gjorde en student ved NTNU, Pål Løkke Thomassen, en undersøkelse for å se på sikkerhet i praksis hos programvareindustrien i Norge. Poenget var å sammenligne hva lærebøkene og teorien sier man skal gjøre, men hva som i realiteten gjøres i industrien. Resultatet var varierende, men den ene tingen alle hadde til felles var at de hadde planer for håndtering av bugs og utrulling av nødvendige sikkerhetsoppdateringer etter produksjonssetting. Det er jo mildt sagt et nedslående resultat, og det er ingen grunn til å tro at situasjonen er endret siden da. Det dette egentlig betyr er: vi vet vi vil gjøre feil, og når vi gjør feil har vi en plan for å håndtere det. Og det peker tydelig på at sikkerhet i stor grad fortsatt er en reaktiv, og dessverre ikke proaktiv, prosess.

Statistikk fra NVD, CVE og siste Symantec Internet Security Threat Report viser at antall sårbarheter oppdaget per år de siste 10 årene er rimelig jevnt. Tallet er stabilt på omkring 5000 nye sårbarheter per år. Fokus på sikkerhet har økt i disse årene, men sårbarhetene blir ikke færre. For at det skal skje, må sikkerhet få et større fokus i systemutviklingsprosjekter enn det har i dag. Det må bli en del av prosjektet hele veien. Fra et bevisst valg av programmeringsspråk, til opplæring av utviklere og ikke minst må det testes og kvalitetssikres gjennomgående med fokus på sikkerhet. Vi trenger å bli bedre på å unngå å gjøre slike feil til å begynne med, og bedre på å fange de opp og luke de ut før kode settes i produksjon.

Teamet som utviklet OpenSSL gjorde mye av dette. Allikevel snek denne feilen seg inn i koden. Det viser oss at det ikke finnes noen garantier for å unngå feil. Akkurat som alle vet at 100 prosent sikkerhet i de fleste tilfeller er umulig å oppnå. Men, det er helt sikkert at vi kan gjøre mye mer enn det vi gjør i dag. Og løsningen begynner og slutter med kunnskap. Bare når vi kjenner til de mulige fellene, kan vi unngå å gå i dem.

Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

Nokia-handelen fullføres denne uken

Både Microsoft og Nokia kunngjorde i går at Microsofts oppkjøp av Nokias mobiltelefonvirksomhet, Devices and Service, etter all sannsynlighet vil bli fullført fredag den 25. april. Planene om oppkjøpet ble offentliggjort i september i fjor og har en verdi på 7,2 milliarder dollar.

– Dette oppkjøpet vil hjelpe Microsoft med å akselerere innovasjonen og adopsjonen av Windows Phone-telefoner. I tillegg ser vi fram til å introdusere den neste milliarden av kunder for Windows-tjenester via Nokia mobiltelefoner, skriver Brad Smith, juridisk direktør i Microsoft, i et blogginnlegg.

Med «den neste milliarden» mener en stor gruppe mennesker som i dag ikke har smartmobil eller tilgang til internett. Microsoft er langt fra den eneste aktøren som ønsker å knytte denne potensielle brukergruppen til seg.

Ifølge en e-post som Nokia sendte til mange av selskapets kunder i påsken, vil det nye selskapet hete Microsoft Mobile Oy og holde til i Espoo, Finland. Microsoft Mobile vil da være et heleid datterselskap av Microsoft Corporation.

Avtaleendringer
Smith nevner i blogginnlegget en liten håndfull endringer som har blitt forhandlet fram mellom de to selskapene.

Blant annet skal Microsoft i framtiden ha ansvaret for administrasjonen av nokia.com-domenet og tilhørende profiler i sosiale medier i en overgangsperiode på inntil et år.

Ifølge den opprinnelige avtalen skulle alle de ansatte ved Nokias Chief Technology Office fortsatt være ansatt i Nokia. Nå er det klart at 21 ansatte i Kina, som arbeider med mobiltelefoner, vil fortsette dette arbeidet i Microsoft i stedet.

Microsoft skal likevel ikke kjøpe Nokias produksjonsanlegg i Sør-Korea, noe som opprinnelig var en del av avtalen.

Derimot skriver Smith ingenting om bruken av Nokia-navnet. I den opprinnelige kunngjøringen ble det oppgitt at Microsoft kjøper varemerkene Lumia og Asha, samt rett til å bruke «Nokia» sammen med eksisterende produkter. Senere ble det kjent at Microsoft vil kunne bruke Nokia-navnet sammen med produkter basert på Series 30 og Series 40 i ti år framover, mens Nokia ikke kan lansere nye mobiltelefoner med Nokia-navnet før i 2016.

Men disse kunngjøringene fortalte ingenting om lisensiering av Nokia-navnet i forbindelse med framtidige, Windows Phone-baserte Lumia-telefoner.

– Google planlegger PGP-støtte i Gmail

Google skal angivelig være i ferd å utvikle løsninger som skal gjøre det enklere å bruke ende-til-ende-kryptering i e-posttjenesten Gmail. Dette forteller en ikke navngitt kilde ved Google til VentureBeat.

Bruk av krypteringsteknologier som PGP sammen med e-post, betyr at meldingen vil krypteres av avsenderen med mottakerens offentlige nøkkel. Meldingen kan kun dekrypteres med mottakerens private nøkkel.

I Gmail i dag er ikke selve e-postene kryptert. Dataene er kryptert mens de sendes mellom brukerens nettleser og Googles servere. Dataene er også kryptert mellom Gmail-serverne og andres e-postservere dersom de eksterne serverne støtter dette. Men dataene er ikke kryptert på Google servere.

Med PGP eller annen ende-til-ende-kryptering vil også selve meldingene være krypterte. Det innebærer at innholdet ikke kan tolkes av Googles servere, verken i forbindelse med søk, spamfiltrering eller for å brukertilpasse annonsevisninger.

Det er ingen grunn til å tro at støtte for PGP er noe Google vil tilby som standardfunksjonalitet i Gmail, siden rettede annonsevisninger er selskapets viktigste inntektskilde.

GitHub-gründer leverte sin avskjed

Medgründer Tom Preston-Werner har sagt opp stillingen sin i GitHub, etter en offentlig skittentøyvask med sterke beskyldninger om arbeidsmiljø preget av kvinnefiendtlige holdninger.

Preston-Werner var den mest framtredende av selskapets ledere; én av tre som startet den kjente nettjenesten for kodesamarbeid tilbake i 2008.

Avskjeden kommer til tross for at han er frikjent for de mest alvorlige beskyldningene i en uavhengig granskning, lansert etter påstander om mobbing og trakassering.

Saken var basert på erfaringene til ingeniøren Julie Ann Horvath, som rettet kraftige skyts mot selskapets arbeidsmiljø da hun sluttet i selskapet i forrige måned.

– Vi tok påstandene alvorlig og iverksatte en full, uavhengig granskning. Den fant ingen bevis som støtter påstandene mot Tom og kona hans om kjønnsbasert mobbing eller represalier, ei heller påstandene om et kjønnsdiskriminerende eller fiendtlig arbeidsmiljø, skriver medgründer Chris Wanstrath i en kunngjøring.

Selv om undersøkelsen ikke fant at det har foregått noe juridisk sett galt i bedriften, oppgir han at det ble funnet bevis på «tabber og feilvurderinger». Disse blir ikke nærmere forklart.

– I lys av disse funnene har Tom valgt å levere inn sin avskjed, noe selskapet har akseptert. Tom har vært en viktig del av GitHub helt fra starten, og vi setter pris på alt han har gjort for selskapet, skriver sjefen.

Wanstrath er konsernsjef i GitHub, som etter å ha fått en stor innsprøytning av venturekapital i Silicon Valley i fjor ble verdsatt til 750 millioner dollar.

Ifølge kunngjøringen skal oppstartbedriften nå innføre en rekke nye personaltiltak og ansatte-initiativ som skal sørge for at alle bekymringer og eventuelle konflikter internt blir håndtert på forsvarlig vis.

– [På dette området] vet vi at vi fortsatt har en jobb å gjøre, skriver GitHub-toppen.

Rekordlønn i Opera

Opera Software har i flere år nå jevnlig satt nye rekorder i antall brukere, omsetning og overskudd.

De gode tidene gjenspeiles i det som må være IT-Norges heftigste lønns- og opsjonsfest. Ledelsen sopte i fjor inn nærmere 100 millioner kroner.

Konsernsjef Lars Boilesen troner øverst med 41,5 millioner kroner i kompensasjon. Det er nesten fire ganger så mye som året før. Han var fra før i den absolutte lønnstoppen i norsk næringsliv, uansett bransje.

Grunnlønna for 2013 på 3,6 millioner kroner og enda mer i bonus utgjør samlet sett ingen økning. Derimot utløste han opsjoner verdt 33 millioner kroner, ifølge årsrapporten som ble utgitt rett før påske.


Lars Boilesen firedoblet i fjor sin inntekt som Opera-sjef.

På samme måte har også den øvrige ledelsen fråtset i opsjonsgevinst det siste året. Finansdirektør Erik Harrell utøvde opsjoner verdt 15,5 millioner kroner. Med lønn og bonus ble den samlede inntekten hans på drøyt 21 millioner kroner.

Teknolog og direktør for nettleserutvikling, Rikard Gillemyr, hanket inn 9,8 millioner kroner; om lag to tredeler fra opsjoner. HR-direktør Tove Selnes fikk en samlet inntekt på 5,2 millioner kroner, noe under halvparten kom fra opsjoner.

Salgs- og markedsdirektør Andreas Thome utløste opsjoner for 7,3 millioner kroner. Med lønn og bonus ble den samlede inntekten på 12,3 millioner kroner.


GODE TIDER: Rikard Gillemyr er direktør for all nettleserutvikling i Opera.

De eventyrlige utbetalingene skyldes suksess over tid, og det er særlig i mobilsegmentet at Norges mest kjente IT-eksport har opplevd smektende vekst.

Som digi.no tidligere har skrevet settes det stadig rekorder i inntekter og resultat. Annonser utgjør nå mer enn halve omsetningen.

Årsrapporten viser at Opera har økt de årlige inntektene sine jevnt og trutt de siste årene, fra under 100 millioner dollar i 2009 til i fjor over 300 millioner dollar (1,8 milliarder kroner). Siden 2004 er omsetningen økt ti-gangeren.

Selskapet oppgir at de ved årsskiftet hadde 350 millioner brukere. En stor overvekt (78,4 prosent) av disse er mobilbrukere.

Antall ansatte er også i sterk vekst. Nettleserfirmaet med hovedsete i Oslo har med 1039 medarbeidere aldri vært flere hoder.

Kina slår ned på nettporno

I aksjonen «Opprydningen på internett 2014» har kinesiske myndigheter stengt over 100 pornosider.

I tillegg til pornonettstedene skal tusenvis av brukerkontoer på sosiale medier også være stengt, melder statlige medier.

Pornografi er ulovlig i Kina, men det er fryktet at den nye aksjonen bare er begynnelsen på et stadig mer omfattende grep kinesernes internettbruk fra statens side.

Nyhetsbyrået Xinhua rapporterer at 110 nettsider og 3.300 brukerkontoer på sosiale medier er slettet siden januar.

– Pornografien skader de yngres mentale helse og er til svært stor skade for den sosiale moral, sier en offentlig tjenestemann ifølge byrået. (©NTB)