Archive for May 14, 2014

Færre sender e-posten din ukryptert

Ingen kjede er sterkere enn det svakeste leddet, og det gjelder også e-post og faren for avlytting. Sender man en e-post, fra en e-postklient eller et webgrensesnitt, hjelper det lite om man benytter krypterte forbindelser dersom ikke mottakeren gjør det samme. Men det er et ledd til som ikke så mange tenker på, nemlig forbindelsen mellom e-postserverne som avsenderen og mottakeren bruker.

Så lenge avsender og mottaker benytter samme e-postserver, er faren avlytting mer begrenset. Men sender man en e-post fra jobben til for eksempel Gmail, kan situasjonen være en helt annen. I utgangspunktet er ikke denne trafikken kryptert i det hele tatt, med mindre begge parter støtter kryptering av SMTP (Simple Mail Transfer Protocol) ved hjelp av STARTTLS.

Googles e-posttjeneste er blant dem som støtter STARTTLS og som har gjort det ganske lenge, men det er langt fra sikkert at e-postserveren til arbeidsplassen din gjør det.

Facebook sender ut fryktelig mye e-post og har på bakgrunn av dette gjort en undersøkelse om hvorvidt andres e-postservere kan motta e-postmeldingene via en kryptert forbindelse.

Facebook-rapport
I et blogginnlegg som ble publisert i går, skriver e-post-integritets-ingeniøren Michael Adkins i Facebook at 76 prosent av alle unike MX-vertsnavn som mottar e-post fra selskapet, nå støtter STARTTLS. Resultatet av dette er at 58 prosent av e-postvarslene som sendes ut, overføres kryptert fra Facebook og fram til mottakerserveren. Det er ikke oppgitt hvorfor den krypterte andelen av e-post ikke er høyere, men trolig skyldes dette at det er flere mye brukte e-posttjenester som ikke støtter STARTTLS mellom e-postservere.

Omtrent halvparten av den krypterte e-posten er kryptert med utgangspunkt i et gyldig sertifikat. For den andre halvparten er det brukt opportunistisk kryptering. Det betyr at serverne blant annet har forhandlet seg fram til hvilken chiffersuite som skal benyttes, men at sertifikatet som har blitt presentert ikke har bestått valideringen.


Facebook har registrert at 42 prosent av e-postmeldingene selskapet sender til brukerne blir mottatt av e-postservere som ikke støtter kryptering e-postdataene ved hjelp av STARTTLS.

Årsaker til at valideringen av sertifikatet har feilet, kan blant annet være at sertifikatet er signert av domenet selv i stedet for en sertifikatautoritet, at sertifikatautoriteten anses som upålitelig, at domenenavnet som er oppgitt i sertifikatet ikke stemmer nøyaktig overens med domenet brukt av serveren, eller at sertifikatets gyldighetstid er utløpt.

Av e-postserverne som støtter STARTTLS, tilbyr 74 prosent Perfect Forward Secrecy, noe som blant annet innebærer at det genereres nye nøkler til hver økt eller melding.

Det mest brukte chiffersuiten er ECDHE-RSA-RC4-SHA or DHE-RSA-AES256-SHA. Facebook synes det er bekymringsverdig at AES128-SHA er den nest mest brukte chiffersuiten, siden den ikke støtter Perfect Forward Secrecy.

Oppfordring
Facebook mener at STARTTLS definitivt har nådd kritisk masse, men at det fortsatt er rom for forbedringer. For det første oppfordrer selskapet bransjen til å samarbeide om å utvikle bedre verktøy som kan bidra til å forhindre at sertifikater utgis til feil domenenavn, noe som ifølge Facebooks tall er den vanligste årsaken til opportunistisk kryptering må benyttes. Dernest oppfordrer Facebook alle til å rulle ut støtte for nettopp opportunistisk kryptering via STARTTLS, noe som tross alt er bedre enn ingen kryptering.

Det finnes flere tjenester hvor man kan sjekke om e-posttjenesten man benytter har støtte for STARTTLS. Den norske tjenesten starttls.info er enkel å bruke. En relativt ny oversikt hva som støttes av noen av de mest brukte e-posttjenestene blant norske brukere, finnes her.

Tjenesten CheckTLS.com tilbyr på sin side mer detaljerte resultater.

Sikkerhetsspesialisten Per Thorsheim skrev i februar i år et innlegg om e-postsikkerheten til våre politiske partier. Ikke alle ser ut til å ta dette særlig alvorlig.

Samsung sier unnskyld til kreftrammede ansatte

Samsung kom i dag med en offisiell unnskyldning til ansatte som har pådratt seg kreft under produksjon av selskapets databrikker.

Det var styreformann Kwon Oh-hyun som onsdag morgen leste opp en kunngjøring som ble kringkastet på lokale tv-stasjoner.

– Vi er lei oss for hvordan denne vanskelig saken har vært håndtert, og benytter anledningen til å uttrykke vår oppriktige unnskyldning til alle berørte, sa Kwon, ifølge Business Week.

Den sørkoreanske elektronikkgiganten er verdens største produsent av blant annet smarttelefoner og minnebrikker.

Nå lover de å utbetale erstatning til kreftrammede ansatte, eller etterlatte i tilfeller der ansatte er døde.

– Flere ansatte ved våre produksjonsanlegg har vært rammet av leukemi og andre uhelbredelige sykdommer, noe som også har ført til enkelte dødsfall, vedgår Kwon.

Forholdet har vært knyttet til eksponering mot farlige kjemikalier i prosessen med å utvinne databrikker. Men selv om Samsung nå tilbyr erstatning innrømmer de ingen slik kobling.

Sammen med unnskyldningen er dette likevel nok til å unngå en rekke søksmål, ifølge The Guardian.

Samsung har vært under press etter at folkevalgte i Sør-Korea i forrige måned tok opp saken.

I et forslag til vedtak i parlamentet het det at 243 personer var blitt alvorlig syke ved brikkeproduksjonsanlegg i landet siden 1990-tallet. 114 av disse hadde hyre hos Samsung.

EU-dommen kan bli en kjempeutfordring

Som digi.no omtalte i går, har EU-domstolen kommet med en dom som betyr at søketjenester som Google i mange tilfeller må slette lenker som inneholder personopplysninger, dersom den berørte personen ber om dette. Et eksempel på et søk som inneholder personopplysninger er søk etter personnavn. Dommen vil primært ramme lenker til irrelevante og utdaterte personopplysninger. Men ifølge advokat Ingvild Næss i Advokatfirmaet Thommessen er ikke dette den eneste konsekvensen av dommen.

– EU-domstolen slår fast at søkemotorene behandler personopplysninger når de finner informasjon som omhandler enkeltpersoner, indekserer dette automatisk, lagrer og gjør det tilgjengelig. Søkemotoren er ansvarlig for at denne behandlingen skjer i henhold til personvernregelverket. For Norges vedkommende, personopplysningsloven. Den praktiske konsekvensen er nesten uoverstigelig for søkemotorene. De har ansvar for at de til enhver tid behandler opplysninger riktig og ikke sitter på opplysninger i større grad enn de har grunnlag for. Vi må analysere konsekvensene av dommen nærmere, forteller Næss til digi.no.


Ingvild Næss er advokat med fokus på personvern i Advokatfirmaet Thommessen.

– Det at søkemotorene ikke har noe eierskap til eller kjenner innholdet av personopplysningene de videreformidler, fritar ikke for ansvar. Jeg ser at konklusjonen i ulike nettfora nå er at automatiserte algoritmer ikke er noe skjold mot personvernrettigheter.

På spørsmål om når opplysningene egentlig skal slettes, svarer hun at det gir ikke dommen noe svar på, men at de generelle bestemmelsene i personvernlovene ligger i bunnen for dette.

– EU-domstolen anerkjenner at det er kryssende hensyn her, både søkemotoren og allmennheten har legitime interesser som kan gå på tvers av personverninteressene. Det må gjøres konkrete vurderinger basert på den generelle lovgivningen. Dette blir en krevende øvelse for søkemotorene, mener Næss.

Hun ser avgjørelsen i sammenheng med EUs personvernreform og EU-domstolens dom knyttet til datalagringsdirektivet nylig.

– I kjølvannet av Snowden-saken har EU markert klart at personvernet skjerpes. Dette stiller strenge krav i praksis til oppfølgingen hos bedriftene. Med den nye EU-forordningen som er på trappene, kan bedriftene få inntil fem prosent av global omsetning i bøter. Bedriftene må søke nødvendig råd og ta personvern på alvor, avslutter hun.

Datatilsynet

– Det viktigste i denne dommen er at søkemotoren pålegges en plikt de ikke har hatt tidligere til å fjerne indekseringen av visse typer innhold. Terskelen er høy, men dersom innholdet ikke er relevant, feilaktig, er overskuddsinformasjon eller uten aktualitet, har også Google et ansvar for hva som kommer opp i søkene, sier direktør i Datatilsynet, Bjørn Erik Thon, til NTB.

Dommen berører dog ikke bare Google, men også andre søketjenester som indekserer tredjepartsinnhold.

– Nå slår EU-domstolen fast at søkemotorene har et ansvar for innholdet. Det er et nytt prinsipp. Men denne dommen har også andre sider som har betydning for det frie søk og den frie informasjonsinnhentingen. Her overlates vurderinger til en søkemotor mens jeg mener de burde gjøres av en redaksjon og en redaktør. Jeg ser både gode og dårlige sider ved dette, og er vel litt i midten, sier Thon.

– Batteritid viktigst ved valg av smartmobil

IDC-analytikeren Francisco Jeronimo har på Twitter kommet med et veldig kort, men likevel interessant utdrag fra IDC-rapporten ConsumerScape 360, nemlig hva forbrukere oppgir som de viktigste faktorene for deres valg av smartmobil.

Undersøkelsen viser at mer enn 50 prosent av kundene oppgir batteritiden som en viktig faktor ved valg av smartmobil. Det er ingen andre egenskaper som, uavhengig av plattform, er i nærheten av å bli nevnt så ofte av kundene.

Hvilket operativsystem enheten har, anses overraskende nok ikke som like viktig. Bare 32 prosent av dem som har valgt en iOS-enhet oppgir dette som en viktig faktor, men andelen er på 40 prosent blant Windows Phone-kundene.

Enkel bruk anses som en viktig faktor av 39 prosent av iOS-kundene, men bare av hver tredje Android-kunde. Windows Phone-brukerne er nesten like opptatt av dette som iOS-kundene.

Skjermstørrelsen har stor betydning for Android-kundene (37 prosent), men relativt liten betydning for iOS-kundene (22 prosent). Apples mobiler har mindre skjerm enn det som nå er vanlig for de to andre plattformene.

Selv om leverandør eller varemerke ikke kommer veldig høyt oppe på listen, er det en viktig faktor for 32 prosent av iOS-kundene. Bare 25 prosent av kundene som kjøper seg en Android- eller Windows Phone-telefon mener at leverandøren har stor betydning.

Ifølge Jeronimo er undersøkelsen basert på svar fra 50 000 personer i 25 land.

SAP varsler masseoppsigelser

Et betydelig antall personer mister jobbene sine hos SAP, som ledd i en modernisering av virksomheten. Skytjenester skal bli viktigere på bekostning av programvarelisenser.

Målet med omstillingen er ikke å bli færre ansatte, bedyrer selskapet overfor nyhetstjenesten Bloomberg.

For samtidig med kuttene planlegger den tyske programvaregiganten å rekruttere nye, slik at de ved årsskiftet vil ha en større stab enn dagens 67.000 medarbeidere.

– Dette er et bredt tiltak som favner hele selskapet. SAP skal bli mer effektive, heter det i en uttalelse fra pressekontakt James Dever.

Han ønsker ikke å tallfeste hvor mange som blir nedbemannet.

Ifølge analytiker Ray Wang ved Constellation Research dreier det seg om en masseoppsigelse som berører flere tusen ansatte.

Turbulens og maktkamp
SAP er verdens største leverandør av bedriftsprogramvare og eneste IT-gigant med hovedsete i Europa.

Selskapet har ikke foretatt store kuttrunder siden 2009 da 3000 årsverk ble nedbemannet.

Etter det som har vært beskrevet som en maktkamp i ledelsen har SAP den siste tiden mistet flere store navn.

Det inkluderer blant annet lederen for skysatsningen, Shawn White, som ifølge Wall Street Journal slutter denne uken. I forrige uke ble det kjent at teknologisjef Vishal Sikka overraskende gikk på dagen. Sikka var visjonæren bak analyseboksen SAP Hana («High Performance Analytic Appliance»).

Under selskapet generalforsamling neste uke, den 21. mai, forsvinner også ordningen med to sidestilte toppsjefer i Bill McDermott og Jim Hagemann Snabe. Sistnevnte har tidligere kunngjort at han går av for å bruke mer tid på familien. Det er ventet at aksjonærene går inn for at McDermott da blir konsernsjef alene.

Forbrukerrådet klager inn Apple

Forbrukerrådet mener Apples vilkår for skylagringstjenesten iCloud gjør brukerne tilnærmet rettsløse. Nå blir Apple klaget inn for Forbrukerombudet for brudd på markedsføringsloven.

En stor gjennomgang som Forbrukerrådet gjorde i vinter av en rekke nettbaserte lagringstjenester, viste at vilkårene i den 8.600 ord lange teksten blant annet innebar at Apple selv kan avslutte brukerkontoene uten å oppgi grunn eller varsle på forhånd, noe som kan føre til tap av viktige data for brukerne.

– Apple gir seg selv friheten til når som helst å endre vilkårene for bruk av lagringstjenesten og etterlater med det brukerne tilnærmet rettsløse, sier fagdirektør Finn Myrstad i Forbrukerrådet til Aftenposten.

– Lovbrudd
Forbrukerrådet mener at vilkårene er ensidige og bryter med både norsk og europeisk lov og har derfor klaget inn datagiganten for Forbrukerombudet.

Apple ønsker ikke å kommentere saken.

Det er ikke første gang at Forbrukerrådet klager inn Apple. I 2009 måtte Apple gi etter i saken om kopisperrer på nedlastede musikkfiler fra iTunes, og ble nødt til å fjerne sperren. (©NTB)

– NSA vil samle all datatrafikk i verden

London (NTB-TT-AFP): Den amerikanske etterretningsorganisasjonen NSA ønsker oversikt over all datatrafikk i verden, skriver Edward Snowdens medhjelper Glenn Greenwald i sin nye bok.

Den amerikanske journalisten og Edward Snowden jobbet sammen med å avsløre organisasjonens omfattende overvåking i fjor. Tirsdag lanserte Greenwald boken «No Place to Hide» i Storbritannia.

– NSAs mål, som de er svært nær å oppnå, kan oppsummeres i en setning som går igjen i mange dokumenter: Samle alt, sier Greenwald til Sveriges Radio.

I boken beskriver han 56 hittil hemmelige NSA-dokumenter. Dokumentene beskriver blant annet hvordan NSA prøver å finne ut hvordan man kan overvåke surfing på internett fra passasjerfly. Greenwald skriver også at det installeres overvåkingsutstyr i amerikanskprodusert datautstyr.

I tillegg til de nye avsløringene om NSA-dokumenter, forteller Greenwald at Snowden reagerte svært behersket da NSA offentliggjorde identiteten hans.

– Da vi spurte hvordan han kunne sove så godt når alt dette sto på, svarte han at han følte seg veldig komfortabel med det han hadde gjort, skriver Greenwald.

– Dessuten har jeg nok få dager igjen med en god pute, så jeg får nyte dem, skal Snowden ha spøkt om faren for å bli straffet for lekkasjene. (©NTB)

Lynrask robot-arm tar i mot

I videoen kan du se robot-armen ta i mot en tennisracket, en ball og en flaske. Det er det at den kan ta i mot så forskjellige gjenstander som gjør den nye robot-armen unik.

Armen har tre ledd og en avansert hånd som kan ta i mot ulike gjenstander på under en femhundredels sekund.

Armen er utviklet ved EPFL, den polytekniske skolen i Lausanne i Sveits.

Forskerne bak robotarmen ser blant annet for seg at den kan brukes til å fange opp romsøppel – biter av gamle satelliter, raketter og romstasjoner som har kollidert i rommet.

Romsøppel-problemet er stort, og kan gjøre det vanskelig å skyte opp satelliter i fremtiden.

Forskerne bak armen sier at de har vært inspirert av hvordan mennesker lærer. I stedet for å gi roboten spesifikke instruksjoner, så får roboten presentert en rekke mulige baner.

Roboten får så hjelp av et menneske til å posisjonere seg riktig når ting kommer flyvende, og til slutt lærer den.

– Dagens maskiner er ofte forhåndsprogrammert og kan ikke behandle data fort nok. Deres eneste valg er å regne om banene, og det tar for mye tid, sier Aude Billard, som er en av forskerne ved LASA-laboratoriet hvor armen er utviklet, i en pressemelding.

For å lære robotene å ta i mot så ulike gjenstander som mulig så kastet forskerne en ball, en tom flaske, en halvfull flaske, en hammer og en tennisracket.

Referanse:

Aude Billard m.fl: Catching Objects in Flight, IEEE Transactions on Robotics, mai 2014