Archive for May 5, 2014

Alvorlig feil i utbredt innloggingssystem

Wang Jing, en doktorgradstudent ved Nanyang Technological University i Singapore, har oppdaget en alvorlig sårbarhet knyttet til autentiseringssystemene OAuth 2.0 og OpenID. Sårbarheten, som er av typen «covert redirect», dreier seg om at en applikasjon tar en parameter og omdirigerer en bruker til parameteren uten tilstrekkelig validering. Ifølge Jing skyldes dette ofte at nettsteder har for stor tillit til sine partnere.

– Nettstedet sjekker domenenavnet mot et «token» (tildelt til partneren som et middel for verifisering) i den omdirigerte URL-en. Dersom paret er i godkjent-listen i nettstedets database, vil det tillate omdirigeringen. Men dersom URL-en tilhører et domene som har en «open redirect»-sårbarhet, kan brukerne omdirigeres fra nettstedet til et sårbart nettsted og deretter til en ondsinnet nettsted, skriver Jing.

Han mener at sårbarheten berører nesten alle de større tilbyderne av OAuth 2.0 og OpenID og nevner spesifikt Facebook, Google, Yahoo, LinkedIn, Microsoft, Paypal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru og Sohu.

I tilfellet med Facebook kan sårbarheten ifølge Jing utnyttes til å få tilgang til i alle fall grunnleggende informasjon om brukeren, inkludert e-postadresse, alder, sted og jobbhistorikk. Dersom brukeren har gitt tokenet større privilegier, kan en angriper også få tilgang til mer sensitiv informasjon, inkludert e-post, kontaktlister og tilstedeværelse. I verste fall kan angripere betjene kontoen på brukerens vegne.

Jing har kontaktet flere av de store brukerne som er berørt av sårbarheten, og flere av selskapene har svart. Noen har bekreftet sårbarheten, men tar i varierende grad ansvar for den. Svarene og andre detaljer om hver enkelt tjeneste er gjengitt i egne blogginnlegg, som er oppgitt i en tabell omtrent midt på denne siden. I den samme tabellen finnes det lenker til YouTube-videoer som demonstrerer sårbarheten hos flere av de samme tjenestene. En video som viser sårbarheten hos Facebook er gjengitt nedenfor.

Alt tyder på at det i alle fall på kort sikt vil være vanskelig å gjøre noe for å fjerne sårbarheten. I praksis vil det kreve at alle tredjepartsapplikasjoner alltid bruker en hviteliste. LinkedIn er blant aktørene som allerede har gjort dette.

– I den virkelige verden vil et stort antall tredjepartsapplikasjoner ikke gjøre dette av ulike årsaker. Dette gjør at systemer basert på OAuth 2.0 eller OpenID er svært sårbare, skriver Jing.

Elops gylne fallskjerm svulmet opp

Stephen Elops romslige premie for å selge Nokias mobildivisjon til Microsoft satte sinnene i kok i Finland da avtalen ble kjent i fjor.

Men nå som oppkjøpet er fullført viser det seg at påskjønnelsen ble større enn de 18,8 millioner euro han var forespeilet.

I virkeligheten endte kanadieren opp med 24,2 millioner euro, det vil si rundt 200 millioner kroner, eller nesten 30 prosent mer.

Årsaken er at en større del av bonuspakken kom i form av Nokia-aksjer, som har steget i verdi siden salget ble avtalt, skriver BBC.

Finlands næringsminister Jan Vapaavuori skal ha uttalt at han fant det vanskelig å forstå at Stephen Elop hadde gjort seg fortjent til en slik bonus.

Elop kom fra en lederjobb i Microsoft da han høsten 2010 ble engasjert som toppsjef i Nokia. De neste tre årene ble selskapets børsverdi mer enn halvert, i takt med sviktende salg og resultater.

Det er sterke nasjonalfølelser knyttet til Nokia i Finland, og Elop gjorde seg ikke mer populær etter at han avviste forslag om kutt i bonusavtalen, med bakgrunn i at han sto midt oppe i en skilsmisse.

Ifølge Reuters har Microsoft betalt for 70 prosent av bonuspakken hans, resten måtte Nokia betale.

Skal varsle brukerne før datautlevering

De amerikanske IT-selskapene skal i betydelig større grad enn tidligere varsle den aktuelle brukeren direkte og på et tidlig tidspunkt, dersom justismyndigheter ber om personlig informasjon om brukeren. Tidligere har de fleste av selskapene fulgt krav fra etterforskere om hemmelighold av slike forespørsler. Dette skriver Washington Post.

Yahoo er blant de amerikanske selskapene som skal ha innført en slik rutinemessig varsling av brukerne allerede i fjor. Nå kommer Apple, Facebook, Google og Microsoft etter. Kilder ved selskaper som har innført slike ordninger, forteller til Washington Post at etterforskere i større grad nå dropper krav om datautlevering for å unngå at mistenkte får vite om forespørslene.

Det er delte meninger om dette er en god ting. Det amerikanske justisdepartementet mener at truer etterforskningene. Andre parter mener at ordningene legger en demper på en datainnsamling som har foregått uten tøyler.

De nye ordningene omfatter ikke FISA-ordre ( Foreign Intelligence Surveillance Act) eller nasjonale sikkerhetsbrev. Disse er automatisk omfattet av taushetsplikt.

Ifølge Washington Post skal Google allerede ha begynt slik rutinemessig varsling av brukere som berøres av dataforespørsler fra myndighetene. Men i forrige uke skal selskapet oppdatert retningslinjene med å beskrive visse situasjoner hvor slik varsling vil holdes tilbake. Det gjelder blant annet situasjoner hvor det er umiddelbar fare at ofre for kriminalitet blir fysisk skadd.

– Vi varsler brukere om rettslige krav når det er hensiktsmessig, med mindre det er forbudt i henhold til lov eller rettsordre, heter det i en uttalelse fra selskapet.

Detaljene om tilsvarende ordninger hos Apple, Facebook og Microsoft har ennå ikke blitt offentliggjort. Men samtlige skal gjøre varsling av brukere til en rutine.

– Senere denne måneden vil Apple oppdatere sine policyer slik at brukerne vil få et varsel fra Apple i de fleste tilfeller når juridiske myndigheter ber om personlig informasjon om en kunde, sier Kristin Huguet, en talsperson for Apple, til Washington Post.

Flere av selskapene har tidligere fortalt at de ikke utleverer brukerdata uten at det finnes et skikkelig, juridisk grunnlag for dette. Ofte blir forespørsler avvist helt eller returnert med krav om å gjøres mindre omfattende.

Det er uklart i hvilken grad policyendringene endrer noe når det gjelder dataforespørsler fra andre land enn USA.

En farlig mann

Tenk deg en nær framtid der du ikke lenger kan lese din favorittavis på nett eller se film fra sin foretrukne filmtjeneste, fordi de ikke inngår i pakken til din bredbåndsleverandør. Tenk deg en framtid der det går ulidelig tregt å laste inn en privat blogg eller en nyetablert nettjeneste, mens store, kommersielle tjenester går lynraskt. Tenk deg en framtid der den neste Instagram eller Syria Deeply aldri når ut til et bredt publkum, fordi de ansvarlige ikke har økonomi til kjøpe seg adgang til nettet på et nivå som sikrer effektiv massedistribusjon til den globale nettbefolkningen.

Når du med ujevne mellomrom hører begrepet nettnøytralitet nevnt, er det blant annet dette det handler om: Skal vi ha et prinsipp for trafikkstyring på internett som sikrer at all trafikk i nettet behandles likt, og dermed hindrer at internett omgjøres til «kabel-tv»? Eller skal kommersielle innholds- og tjenestetilbydere kunne kjøpe seg forrang eller eksklusivitet hos visse nettleverandører?

Til nå har nettets infrastruktur vært regulert på en måte som vektlegger nettets tekniske funksjonsdyktighet, innovasjonskultur og allmennytte foran private kommersielle interesser.

Men sterke krefter vil endre dette.


Denne uka gikk temperaturen høy i USA etter at det ble kjent at det amerikanske medietilsynet, Federal Communications Comission (FCC), vil legge fram et forslag til nye regler som i praksis vil fjerne mye av grunnlaget for nettnøytraliteten i USA. Forslaget er ført i pennen av Tom Wheeler, president Barack Obamas håndplukkede leder for FCC.

New York Times slår fast at prinsippet om at alt internettinnhold skal behandles likt der det strømmer gjennom kabler og ledninger til forbrukere, virker dødt med det nye forslaget.

De nye reglene vil la selskaper som Disney, Google og Netflix betale internettleverandører som Comcast og Verizon for adgang til, og eventuelt eksklusivitet på, spesielle høyhastighetsnett for leveranser av innhold til sine kunder. Det betyr slutten for prinsippet om at ingen tilbyder av lovlig innhold på internett skal møte diskriminering, og at brukere skal ha lik tilgang til alt lovlig innhold de velger å se.

Viktigheten av disse prinsippene kan ikke understrekes sterkt nok. I vår daglige bruk av et stadig mer gjennomkommersialisert internett er det fort gjort å glemme, eller sveve i uvisshet om, at det fortsatt er noen grunnleggende ikke-kommersielle prinsipper som ligger til grunn for at nettet virker så bra som det gjør.

Marvin Ammori i nettmagasinet Slate skriver at Wheeler foreslår regler som autoriserer massiv diskriminering av innholdsleverandører i regi av kabel- og telefonselskaper, legalisering av nye bompenger mot teknologiselskaper, og langt på vei legger hele vår internettøkonomi under kontroll av et fåtall mektige telefon- og kabelselskapene med politisk innflytelse.

De sterke reaksjonene er ikke bare uttrykk for en nostalgisk lengten etter et tidligere, mindre kommersialisert internett. Tvert imot er det nettopp ønsket om et mest mulig velfungerende marked som ligger til grunn for mye av kritikken. Under et regime som det FCC foreslår, vil det bli langt vanskeligere, for ikke å si umulig, for oppstartbedrifter å konkurrerere med de etablerte og pengesterke gigantene. Under et slikt regime vil det neste Facebook kanskje være avskåret fra muligheten til å forandre verden.

Slik kan nettets unike innovasjonskultur nærmest utraderes med et pennesttrøk.

Kritikerne hevder det nye forslaget er en blåkopi av modellen de mektige telekomselskapene AT&T og Verizon og deres lobbyister har jobbet for i en årrekke. Wheelers forslag må sees i sammenheng med en dom fra januar i år, der en ankedomstol dømte i favør av Verizon og mot FCC. Jeg kalte det en dom mot det åpne, frie nettet.

I sin blogg har Wheeler først én gang, og så én gang til, forsøkt å imøtegå kritikken.

Wheeler hevder han er en varm forsvarer av et åpent internett. Han benekter ikke at den foreslåtte modellen kan føre til et lagdelt nett, men skriver at regelverket forstatt skal sikre et internett som er «tilstrekkelig robust til at forbrukerne kan få tilgang til innhold, tjenester og applikasjoner de krever».

Dagens nett skal ikke degraderes, men det fremgår samtidig at det skal bli mulig for de rikeste og mektigste innholds- og tjenestelverandørene å kjøpe seg adgang til et slags «supernett» med høyere ytelse, til og med å betale for eksklusiv adgang til et slikt nett hos en bredbåndsleverandør.

Det begynner unektelig å høres ut som kabel-tv.

Den eneste begrensningen i Wheelers forslag ser ut til å være at en telekomoperatør ikke skal kunne tilby slik eksklusivitet til et medieselskap den selv eier. Wheeler skriver skriver også at FCC vil slå ned på markedsadferd fra aktørene i telekomindustrien som ikke er «kommersielt fornuftig». Kritikerne svarer at dette bare vil hindre uriktig prising mot innholdsleverandørene, ikke den diskriminerende praksisen i seg selv.

Å bekjempe slik diskriminering, for eksempel for en liten oppstartbedrift der ute i nettets periferi, vil være jurdisk komplisert og kostbart – i praksis trolig umulig for de fleste.

Som en kommentator observerte: Verizon har flere advokater enn den jevne oppstartsbedrift har ansatte.

Ideelle organisasjoner, politiske aktivister, varslere, representanter for demokratibevegelser og andre viktige stemmer på nettet vil også merke endringene. Det samme vil private bloggere og alle andre som ikke har råd til å kjøpe seg forbi bomstasjonen og inn på den nye motorveien.

For øyeblikket kan det se ut som om USA og Europa går hver sin vei i nettnøytralitetsprisnippet. I april vedtok EU-parlamentet å lovfeste nettnøytralitet. Hvordan nettet, med sin grenseoverskridende natur, blir seende ut om amerikanske lovgivere og poltikere går motsatt vei, blir mildt sagt interessant å følge, ikke minst fordi så mange av tjeneste de fleste av oss bruker er underlagt amerikansk jurisdiksjon. Det er derfor Tom Wheelers forslag vekker så sterke følelser på begge sider av dammen:

Det står om framtida til nettet slik vi kjenner det.

Hva Tom Wheeler gjorde før han ble leder for FCC? Han var lobbyist for kabel-tv-industrien, og gjorde en så god jobb at han ble valgt inn i Cable televison Hall of Fame i ankerjennelse av hans arbeid for å fremme vekst og velstand for kabel-TV-bransjen og dens interessenter.

Nå mener kritikerne at han fortsatt gjør denne jobben litt for godt – i en posisjon der han egentlig skal holde medie- og telekomindustrien i ørene på vegne av samfunn og forbrukere.

Nokia satser på smarte biler

Nokias berømte slagord fra tiden da de var verdens største mobilprodusent var «connecting people».

Selv om mobildivisjonen nå er solgt unna til Microsoft er visjonen til «resten av Nokia» fortsatt å koble oss sammen, ikke bare mennesker men alt og alle.

I dag lanserte det finske teknologikonsernet et flunkende nytt teknologifond døpt «connecting cars». 100 millioner dollar blir investert i dette fondet, som skal forvaltes av Nokia Growth Partners.

Som navnet på fondet antyder skal pengene gå til investering i teknologi som kan gjøre bilene våre smartere og mer tilkoblet internett.

– Fondet skal identifisere og investere i selskaper hvis innovasjoner vil bli viktige for en verden av sammenkoblede og intelligente kjøretøy, heter det i kunngjøringen.

Nyutnevnt toppsjef i Nokia Rajeev Suri sier i en kommentar at dette understreker hvilket viktig vekstområde bilbransjen er for dem.

Fondet skal jobbe tett med kartdivisjonen HERE, én av de tre gjenværende forretningsområdene i Nokia. De to øvrige er som kjent produksjon av nettverksutstyr i Solutions and Networks, samt Advanced Technologies som driver med teknologiutvikling og lisensiering.

Paypal-sjef gikk på dagen

PayPal tok lørdag farvel med sin strategidirektør i en melding på Twitter som antyder at mannen fikk sparken for ufin oppførsel.

Rakesh Agrawal fikk knappe to måneder i stillingen.

Han er ikke lenger ansatt i selskapet. «Behandle alle med respekt. Ingen unnskyldinger. PayPal har nulltoleranse» heter det i meldingen

Ifølge Reuters sendte han en serie nedsettende og tidvis uforståelige meldinger i nettsamfunnet, som blant annet var rettet mot PayPals kommunikasjonsdirektør Christina Smedley.

Meldingene, som siden er fjernet, skal ha vært sendt mens han tilsynelatende var beruset under en jazzfestival i New Orleans. En av dem skal ha sagt «Duck you Smedley, you useless middle manager».

Selv fastholder den nå avgåtte PayPal-sjefen at han ikke fikk sparken, men at han snarere valgte å si opp stillingen sin.

– Selv om Twitter-meldingen fra PayPal er korrekt, så er den svært misvisende. Jeg sa opp før hendelsene fredag kveld, skriver han.

Evry vant diger forsvarskontrakt

Den svenske delen av et «internasjonalt forsvarskonsern» har valgt Evry som leverandør av IT-tjenester.

Avtalen løper over tre år og har en anslått verdi på 120 millioner svenske kroner, inkludert en opsjon på ytterligere to år.

Kunden er ny for Evry i Sverige, heter det i en pressemelding. Kundens navn fremgår ikke.

Det oppgis at leveransen innebærer at IT-giganten tar et helhetsansvar for industristandard tjenester knyttet til drift, deriblant applikasjonsdrift, service desk, infrastruktur som tjeneste, samt IT-arbeidsplasser for om lag 1.500 brukere.

Evry sier videre at de skal levere «et fremtidsrettet IT-miljø med høy grad av sikkerhet».

– Dette er en virksomhet med høye krav til både tilgjengelighet og sikkerhet. Avtalen bekrefter vår posisjon som leverandør av IT-tjenester som stiller strenge krav til sikkerhet samtidig som den er med å understøtte virksomhetens øvrige mål, uttaler konserndirektør Niclas Ekblad i Evry Sverige.

Evry er med om lag 10.000 ansatte Nordens største IT-leverandør.

Ballmer forbi Gates

Bill Gates er for første gang i Microsofts 39-årige historie ikke lenger største enkeltaksjonær eller primærinnsider.

Under en fastlagt plan har filantropen og verdens rikeste mann det siste tiåret solgt seg ned med 80 millioner aksjer hvert år.

Forrige uke solgte han nærmere 8 millioner aksjer og eier nå 330 millioner aksjer i selskapet han startet sammen med Paul Allen i 1975. Det viser rapporter til USAs finanstilsyn.

Dermed er det nylig avgått konsernsjef Steve Ballmer som er den personen med størst personlig eierandel i Microsoft. Han eier om lag 4 prosent eller 333 millioner aksjer, ifølge Financial Times.

Foruten disse to herrene er listen over selskapets største eiere preget av såkalte institusjonelle investorer, les fond.

Bill Gates overlot konsernsjefstillingen til Ballmer i 2000, men har beholdt vervet som styreleder i programvaregiganten. Ballmer er nå styremedlem etter at han i februar ga stafettpinnen videre til ny konsernsjef Satya Nadella.

Ifølge Forbes liste over verdens rikeste er Gates god for minst 77,2 milliarder dollar.

Dersom medgründeren fortsetter nedsalget i samme tempo så vil han vært helt tom for Microsoft-aksjer høsten 2018, ifølge beregninger gjort av amerikanske Computerworld.

Liten brikke kan gi store fordeler

Det finske hockeylaget har brukt dem til å spore spillernes bevegelser. Noen double decker-busser i London bruker dem for å overvåke dekktrykket. 

Den namibiske regjeringen har festet dem til neshorn-horn for å hindre krypskyttere. Forskere har limt små RFID-brikker til maur for å studere insekter i detalj.

– Men noen selskaper er ennå ikke fullt ut klar over hva som kan gjøres med RFID-teknologi, sier Kesheng Wang, professor ved NTNU.

Forskere har nå utviklet en ny type programvare kalt PROdog. Den gjør at produsenter kan utnytte kraften i intelligente og integrerte RFID-systemer (II-RFID) direkte på produksjonsgulvet.

Forsyningskjeder kontra produksjonsprosessen

Styrken ved II-RFID-systemet er at det tillater bedrifter å bruke RFID-teknologi for å samle sanntidsdata direkte fra produksjonsprosessen.

– Du kan samle data på tidspunktet for produksjon, og antall og tidspunkt for kvalitetskontroller, for eksempel, sier Wang.

– For hvert produksjonstrinn kan du skrive inn informasjonen automatisk, eller du kan legge inn data på brikken manuelt.

PROdog, styringssystemet utviklet av NTNU og Shanghai University, tillater bedrifter å utføre både produksjonsplanlegging og kvalitetskontroll.

– Det er spesielt nyttig for mindre industribedrifter som ennå ikke har investert i dyre planleggingsverktøy, sier Wang.

RFID-chip gir sanntidsdata til ulike databaser, og kan integreres i lagerstyringssystemer (WMS), produksjonsgjennomføringssystemer (MES) eller Enterprise Resource Planning (ERP).

Disse sanntidsdataene blir da en del av beslutningsgrunnlaget ditt. Du får ekstra kunnskaper når du skal foreta beslutninger, også på ledelsesnivå.

Leter etter partnere

– Bruk av II-RFID-systemet kan bidra til å øke konkurransekraften i den norske industrien, sier Wang.

Det er spesielt viktig i et land der noen kostnader, som høye lønninger, kan være hemmende i den globale konkurransen.

Det vil også bli stadig viktigere etter hvert som kravene til sporbarhet øker, mener han.

PROdog gir brukerne tilgang til informasjon som gjør det nyttig for produktstyring, utviklingsledelse, styring av produksjonsflyt og databasert statistisk analyse – som alle styrker konkurranseevnen.

Wang og hans doktorgradskandidat Quan Yu leter etter norske selskaper som er villige til å prøve ut systemet i laboratoriet ved NTNU. Interesserte bedrifter vil bli bedt om å finansiere et prosjekt og laben vil gjennomføre selve testingen, sier Wang.

Det britiske firmaet GKN Aerospace er interessert. Det er også Hansen Protection AS, et selskap som i hovedsak lager redningsdrakter for offshore og marin sektor.