Det er to store IT-leverandører som man i særlig grad har framstått som lite berørt av Heartbleed-sårbarheten – Microsoft og Apple. Siden OpenSSL er lite brukt sammen med Windows, er det ikke så overraskende at Microsoft har sluppet unna. Og uttalelser fra Apple har tydet på at også dette selskapet har unngått å bli berørt.

Nå viser det seg at det siste nok er en sannhet med modifikasjoner, selv om Apple egentlig har spilt med åpne kort.

I går kom Apple nemlig med en sikkerhetsoppdatering til de utgavene av basestasjonene AirPort Extreme og AirPort Time Capsule som støtter 802.11ac. Årsaken er nettopp Heartbleed-sårbarheten i OpenSSL, som i dette konkrete tilfellet gir en angriper i et privilegert nettverkstilgang mulighet til å få tilgang til innhold i enhetens minne.

Sårbarheten kan kun utnyttes dersom funksjonene Back to My Mac eller Send Diagnostics er aktivert. Oppdateringen kan installeres ved hjelp av AirPort-verktøy som er tilgjengelige for OS X og iOS.

Når det gjelder Apples tidligere uttalelser om Heartbleed, har de kun dreid seg om OS X, iOS og sentrale webtjenester. I AirPort-produktene benytter Apple andre operativsystemer, i alle fall VxWorks og NetBSD.

Bredbåndsrutere for privatmarkedet går det gjerne tretten av på dusinet, men i blant er det noen som skiller seg positivt ut. Den elleve år gamle Linksys WRT54G-familien er det beste eksempelet på dette, både på grunn av utseende og på grunn av mulighetene for å skifte ut programvaren med mer avanserte løsninger fra tredjeparter.

I vinter avduket Belkin, som nå eier Linksys, en reinkarnasjon av salige WRT54GL. Denne ruteren, Linksys WRT1900AC Wireless Router, har nå kommet i salg. Men den typiske brukergruppen advares mot å kjøpe den – i alle fall foreløpig.

Advarselen kommer fra OpenWrt Team, som står bak OpenWrt – en av de mye brukte programvarealternativene til blant annet WRT54GL. I januar ble det sagt at Belkin samarbeidet med OpenWrt-teamet og at en versjon av OpenWrt ville være klar samtidig med at ruteren kom i salg, men det har så langt ikke skjedd.

I kunngjøringen, som ble publisert på forsiden av nettstedet til OpenWrt i påsken, heter det at det ikke har vært noe teknisk samarbeid mellom teamet og Belkin før i begynnelsen av april, og da bare i form av noen oppdateringer som omtales som ufullstendige. Det største problemet er at OpenWrt-teamet ikke har tilgang til noen brukbar driver for 802.11ac-brikkesettet fra Marvell, som benyttes i enheten. I kunngjøringen fortelles det at Belkin jobber med å løse dette, men selskapet skal ikke ha gitt noen tidsestimater for dette.

– Standardfastvaren for denne enheten ser ut til å bruke en proprietær driver levert av Marvell, som bruker ikke-standard API-er for konfigurasjon. Vi vet ikke om Marvell vil åpne kildekoden til denne driveren eller jobbe med en alternativ Linux-driver. Vi mener at begge tilnærminger vil kreve betydelig innsats og tid, skriver Gregers Petersen i OpenWrt-teamet.

– På grunn av disse problemene vil vi for tiden ikke anbefale kjøp av enheten inntil vi har tilgang til programvaredelene som mangler for å gjøre den funksjonell med OpenWrt, skriver Petersen. Han legger til at teamet mener at Belkins påstander om at ruteren er «OpenWrt ready» og «Open Source ready» er villedende og i alle fall forhastede.

Siden kunngjøringen ble publisert, har det skjedd en utvikling i saken. Belkin har sendt en e-post til en OpenWrt-deltaker hvor selskapet kommer med relativt oppløftende signaler.

I e-posten heter det blant annet at Marvell jobber med en brukbar driver og med å få de nødvendige godkjenninger gjennom GPL. Belkin venter at dette arbeidet vil kunne fullføres i løpet av de neste ukene. Belkin har også publisert et SDK (Software Development Kit) her. Det er basert på Attitude Adjustment-utgaven av OpenWrt.

E-post har nok bidratt til noe mer optimisme i OpenWrt-teamet, men ikke nok til at den opprinnelige advarselen har blitt fjernet fra nettstedets forside.

Norsk Fiberforening (tidligere Bynett-Norge) lar seg sluke av sin langt større og eldre bransjeorganisasjon IKT-Norge.

Sammenslåingen ble vedtatt under et årsmøte før påske, ifølge en pressemelding onsdag.

Fiberforeningen ble stiftet i 2006 og tar med seg 40 medlemsbedrifter. 10 av disse var overlappende med IKT-Norge, som har ti ganger så mange medlemmer.

– Fusjonsplanene kommer etter gjensidige diskusjoner og en prosess som har blitt modnet over lang tid. I første rekke er det selskapene (les medlemmene) som har trykket på, sier IKT-Norges generalsekretær Per Morten Hoff til digi.no.

Da sikter kan antakelig til bedrifter som Broadnet og Eidsiva bredbånd, som har betalt medlemsavgift til begge organisasjonene.

– Vi mente stort sett alltid det samme, og følte derfor vi kunne få mer trøkk ved å samle troppene, sier Hoff om de to bransjeorganenes særinteresser innen fiber.

Det inkluderer spørsmålet om graveforskrift, skattetrykk og engasjementet om å få det Hoff kaller et bredbåndsfibernorge til å «henge sammen».

Fiberforeningens arbeid skal videreføres som et fagforum døpt Norsk Fiberforum, som altså innlemmes som del av IKT-Norge. Arbeidet i forumet skal ledes av Bjørn Rønning, som var leder i Fiberforeningen.

For ham blir det business as usual, sier Hoff. Rønning vil som tidligere være innleid på timebasis.

Google har de siste årene fått mye oppmerksomhet på grunn av selskapets forskning innen områder som kan virke langt unna selskapets kjerneområde – brukertilpassede annonsevisninger og søk. Google X, og nå også Google ATAP (Advanced Technology and Projects), er avdelinger i Google som utvikler helt nye teknologier som selskapet kanskje vil kommersialisere om et år eller ti. I tillegg har Google i det siste kjøpt seg kraftig opp innen robotteknologi.

Kombinasjonen av robotteknologi og Google ATAP-prosjektet som kalles for Project Tango har ført til et interessant samarbeid mellom denne prosjektgruppen og NASA Ames Research Center, som tilfeldigvis ligger rett i nærheten av Googles hovedkontor.

Project Tango forsker på hvordan man kan gi en smarttelefon dybdesyn. Det er fortsatt ukjent når denne teknologien eventuelt vil komme på markedet, men prosjektet har tydelig kommet et godt stykke på vei.

Siden i fjor sommer har Project Tango samarbeidet med et NASA-team om å integrere en Project Tango-prototype med en robotplattform som kalles for SPHERES (Synchronized Position Hold, Engage, Reorient, Experimental Satellites). Denne skal kunne sveve rundt innen i ISS (International Space Station), enten for å fungere som en assistent for astronautene eller for å utføre vedlikeholdsoppgaver på egenhånd.

Dette skal være mulig på grunn av Project Tango-enhetens evnet til 3D-sporing og -kartlegging, slik at SPHERES kan navigere autonomt i ISS med utgangspunkt i et 3D-kart over romstasjonen.

SPHERES har blitt brukt i romstasjonen siden 2006, men kun innen et begrenset område. Posisjonsbestemmelsen har blitt gjort av et metrologisystem som benytter ultralyd og infrarødt lys. Ifølge NASA vil integrasjonen med Project Tango gjøre det mulig å benytte SPHERES også i resten av ISS.

SPHERES ble opprinnelig designet av en student ved MIT. Enheten skulle ligne på droiden som benyttes under lyssabeltrening i filmen Star Wars: A New Hope. Med SPHERES er nok en del større – på størrelse med en bowlingkule.

Planen er at SPHERES med Project Tango skal tas i bruk i ISS til sommeren.

Brukere med Windows 8.1 ble gitt bare 30 dager til å oppdatere operativsystemet med den store oppdateringen som ble gjort tilgjengelig for to uker siden. Uten denne oppdateringen vil ikke brukere av Windows 8.1 kunne installere nye sikkerhetsoppdateringer, fordi Windows 8.1 Update skulle være et nytt utgangspunkt for alle framtidige Windows 8.1-oppdateringer.

Dette gjelder i og for seg fortsatt, men ikke lenger for de store Microsoft-kundene, de som bruker Windows Server Update Services (WSUS) til å rulle ut oppdateringene.

Som omtalt i forrige uke, valgte Microsoft å holde igjen distribusjonen av Windows 8.1 Update til WSUS på grunn av et kompatibilitetsproblem. Selskapet kom med en løsning til problemet onsdag kveld, noe som tyder på at problemet var relativt enkelt å fikse. I motsatt fall, dersom Windows 8.1 Update ikke hadde blitt tilgjengelig for WSUS igjen før etter neste «lappetirsdag» (13. mai), så risikerte bedriftene å bli stående uten mulighet til umiddelbart å installer potensielt kritiske sikkerhetsoppdateringer.

Også Microsoft har lært av denne episoden. I et blogginnlegg skriver selskapets Brandon LeBlanc at selskapet nå har forlenget fristen for å installere Windows 8.1 Update fra 30 til 120 dager. Det innebærer at alle som administrerer Windows-oppdateringer ved hjelp av WSUS, Windows Intune eller System Center Configuration Manager ikke behøver å oppdatere Windows 8.1-maskiner med Windows 8.1 Update før den 12. august.

I mellomtiden vil sikkerhetsoppdateringene Microsoft kommer med, også kunne installeres i Windows 8.1 uten Windows 8.1 Update.

Det omfattende unntaket
Endringen gjelder dog bare de som bruker de nevnte verktøyene for sentral utrulling av oppdateringer. Forbrukere og andre som bruker Windows 8.1 og Microsoft Update, vil ikke bli tilbudt framtidige oppdateringer uten at Windows 8.1 Update er installert.

For de aller fleste er ikke dette noe problem, men det er også mange som av ulike årsaker ikke får installert Windows 8.1 Update. En omfattende diskusjonstråd om dette finnes her.

I tråden har det kommet forslag til løsninger på i alle fall noen av problemene. Men mange brukere vet ikke hvor de skal lete etter slike løsninger og avhenger at dette tilbys automatisk via Microsoft Update for å komme videre. Dette må gjøres tilgjengelig før den 1. mai, da de første sikkerhetsoppdateringene til Windows 8.1 Update sannsynligvis foreligger.

Infoworld omtaler disse og flere problemer med Windows 8.1 Update her.

Oslo (NTB): Telenors konsernsjef Jon Fredrik Baksaas tjente 14,8 millioner kroner i fjor. Til sammen tjente konsernledelsen 72,3 millioner kroner.

Det viser Telenors årsrapport for 2013, som ble lagt fram tirsdag. Tallene inkluderer bonuser og opptjente pensjonsrettigheter.

Den nest best lønnede i konsernet er Sigve Brekke, som er leder for Telenors operasjoner i Asia. Han tjente 13,1 millioner kroner i fjor. På tredjeplass følger strategisjef Morten Karlsen Sørby med 9,1 millioner kroner.

Samlet sett steg godtgjørelsen for de ni øverste lederne i Telenor med 1,4 prosent fra 2012 til 2013. Godtgjørelsen til Baksaas steg med 5,4 prosent. Det er bonusutbetalingene som har vokst mest.

Meldingen om den økte godtgjørelsen for topplederne kommer bare en måned etter at det ble kjent at Telenor skal kutte rundt 450 av 4.000 stillinger i Norge, skriver Nettavisen.

Ifølge administrerende direktør Berit Svendsen i Telenor Norge går selskapet i første omgang inn for nedbemanning gjennom frivillige sluttpakker. (©NTB)

Uken før påske var travel for alle som jobber med informasjonssikkerhet. Heartbleed-sårbarheten i OpenSSL var unik i hvor bredt nedslagsfelt den hadde, hvor mange tjenester og brukere som ble berørt. Den var ikke unik som et eksempel på hva en enkel programmeringsfeil kan medføre. Det er en klar sammenheng her: programvare har sårbarheter, angripere utnytter disse sårbarhetene for å nå sine mål. Og, sårbarheter i programvare oppstår fordi utviklere gjør feil. Enten fordi de ikke vet bedre, eller rett og slett bare fordi alle gjør feil av og til.

I dette tilfellet har vi hørt fra utvikleren som var ansvarlig for kodebiten som inneholdt sårbarheten. OpenSSL er skrevet i C, et språk som gir mye frihet til utviklerne og derfor også stiller store krav. Koden som inneholdt Heartbleed-sårbarheten er skrevet av en erfaren utvikler som glemte å gjøre en sjekk av minnebruken, noe som tillater at det leses ut en større mengde informasjon fra minnet enn hva som var meningen. OpenSSL-teamet hadde gode rutiner, inkludert kvalitetskontroll før ny kode tas inn, men denne feilen ble ikke oppdaget i kvalitetskontrollen heller.

Nå som stormen har lagt seg, de fleste tjenester er oppdatert, passord er byttet der det var nødvendig og Internett atter er et relativt trygt sted å være, er det på tide å se nærmere på rotårsaken: hvordan kunne Heartbleed forekomme? Og hva kan vi gjøre for å redusere sannsynligheten for tilsvarende feil i fremtiden?

Det er lett å tenke at løsningen er enkel: vi må bare slutte å bruke disse utrygge programmeringsspråkene. Men, nei det er ikke så enkelt. Det er mulig å gjøre feil i alle programmeringsspråk. Bare ulike typer feil, som har ulike konsekvenser. Det handler mer om å ha kunnskap til å bruke språket riktig, og gode nok mekanismer til å fange opp feil.

Whitehat Security publiserte nylig en rapport der de har sett på sikkerhetsutfordringen i de vanligste programmeringsspråkene brukt i webapplikasjoner. De tre mest brukte språkene er .Net (28 %), Java (25 %) og ASP (16 %). Ifølge rapporten fra Whitehat Security er det ingen vesentlig forskjell mellom disse i antall sårbarheter. De har alle i snitt 11 sårbarheter per «slot» (en «slot» definerer de som grensene til en webapplikasjon). Tallene var vesentlig lavere for bla Perl og ColdFusion. Rapporten er anbefalt lesning for de som måtte være interessert i mer detaljer.

Poenget her er at selv disse «moderne» språkene ikke er feilfrie eller 100 prosent trygge. De må fortsatt brukes riktig for at man skal unngå å lage applikasjoner som har sårbarheter.

Ulike programmeringsspråk har ulike fordeler og ulemper. Hva man velger å bruke er som regel en sammensatt beslutning, som ofte inkludere hensyn til hva utviklerteamet er kjent med og hva slags type applikasjon man skal lage. Altfor sjelden er dessverre sikkerhet en del av denne beslutningen.

Høsten 2011 gjorde en student ved NTNU, Pål Løkke Thomassen, en undersøkelse for å se på sikkerhet i praksis hos programvareindustrien i Norge. Poenget var å sammenligne hva lærebøkene og teorien sier man skal gjøre, men hva som i realiteten gjøres i industrien. Resultatet var varierende, men den ene tingen alle hadde til felles var at de hadde planer for håndtering av bugs og utrulling av nødvendige sikkerhetsoppdateringer etter produksjonssetting. Det er jo mildt sagt et nedslående resultat, og det er ingen grunn til å tro at situasjonen er endret siden da. Det dette egentlig betyr er: vi vet vi vil gjøre feil, og når vi gjør feil har vi en plan for å håndtere det. Og det peker tydelig på at sikkerhet i stor grad fortsatt er en reaktiv, og dessverre ikke proaktiv, prosess.

Statistikk fra NVD, CVE og siste Symantec Internet Security Threat Report viser at antall sårbarheter oppdaget per år de siste 10 årene er rimelig jevnt. Tallet er stabilt på omkring 5000 nye sårbarheter per år. Fokus på sikkerhet har økt i disse årene, men sårbarhetene blir ikke færre. For at det skal skje, må sikkerhet få et større fokus i systemutviklingsprosjekter enn det har i dag. Det må bli en del av prosjektet hele veien. Fra et bevisst valg av programmeringsspråk, til opplæring av utviklere og ikke minst må det testes og kvalitetssikres gjennomgående med fokus på sikkerhet. Vi trenger å bli bedre på å unngå å gjøre slike feil til å begynne med, og bedre på å fange de opp og luke de ut før kode settes i produksjon.

Teamet som utviklet OpenSSL gjorde mye av dette. Allikevel snek denne feilen seg inn i koden. Det viser oss at det ikke finnes noen garantier for å unngå feil. Akkurat som alle vet at 100 prosent sikkerhet i de fleste tilfeller er umulig å oppnå. Men, det er helt sikkert at vi kan gjøre mye mer enn det vi gjør i dag. Og løsningen begynner og slutter med kunnskap. Bare når vi kjenner til de mulige fellene, kan vi unngå å gå i dem.

Eloi Vanderbeken brukte julen til å avsløre et gapende hull i bredbåndrutere.

Den franske sikkerhetseksperten fant da en bakdør i rutere fra en lang rekke produsenter, deriblant Cisco, Linksys, Netgear og Diamond.

Han påviste at utstyr med fastvare fra taiwanske Sercomm lyttet til TCP-spørringer mot port 32764. Mens noen berørte modeller krevde tilgang fra lokalnett, skal andre ha eksponert det udokumenterte grensesnittet også direkte over internett.

Uken etter avsløringene kom en fastvareoppdatering som skulle stenge bakdøren.

Vanderbeken har nå brukt påskeferien til å påvise at feilfiksen slett ikke stenger noe hull. Bakdøren er bare gjort vanskeligere å oppdage.

I en overbevisende presentasjon (pdf) redegjør franskmannen for det nye funnet, som kan gi full administrativ tilgang, uten autentisering.

– Bakdøren lar seg reaktivere fra lokalnettet (LAN) eller fra internett-leverandørens side. Dette er bevis på at bakdøren bevisst er plantet, mener Eloi Vanderbeken.

Ifølge ham ble bakdøren aldri fjernet. Den ligger i dvale. Etter å ha gransket oppdateringen fant han at bakdøren lar seg aktivere ved å sende noen spesielt utformede ethernet-pakker til ruteren.

Når ruteren mottar disse kommandoene er det igjen fritt frem.

I praksis åpnes da bakdøren igjen på kunders allerede oppdaterte utstyr, skriver Ars Technica.

Sikkerhetsforskeren har allerede publisert konseptkode som kan påvise og utnytte bakdøren på Netgear-modellen DGN 1000, men altså med de nevnte begrensningene; dette må gjøres fra lokalnettet eller fra nettleverandør.

Ifølge ham er minst 24 ruter-modeller bekreftet sårbare. En liste er publisert her. I presentasjonen fremlagt i påsken oppgir han å ha funnet 6.000 berørte rutere på internett.

Hvor utbredt bakdøren egentlig er vites ikke. Ifølge Vanderbeken skyldes det at hver utgave av fastvaren er skreddersydd den enkelte ruter-produsent og modellnummer.

Ars Technica har forsøkt å få de berørte produsentene, og taiwanske Sercomm i tale, så langt uten å lykkes.

Google skal angivelig være i ferd å utvikle løsninger som skal gjøre det enklere å bruke ende-til-ende-kryptering i e-posttjenesten Gmail. Dette forteller en ikke navngitt kilde ved Google til VentureBeat.

Bruk av krypteringsteknologier som PGP sammen med e-post, betyr at meldingen vil krypteres av avsenderen med mottakerens offentlige nøkkel. Meldingen kan kun dekrypteres med mottakerens private nøkkel.

I Gmail i dag er ikke selve e-postene kryptert. Dataene er kryptert mens de sendes mellom brukerens nettleser og Googles servere. Dataene er også kryptert mellom Gmail-serverne og andres e-postservere dersom de eksterne serverne støtter dette. Men dataene er ikke kryptert på Google servere.

Med PGP eller annen ende-til-ende-kryptering vil også selve meldingene være krypterte. Det innebærer at innholdet ikke kan tolkes av Googles servere, verken i forbindelse med søk, spamfiltrering eller for å brukertilpasse annonsevisninger.

Det er ingen grunn til å tro at støtte for PGP er noe Google vil tilby som standardfunksjonalitet i Gmail, siden rettede annonsevisninger er selskapets viktigste inntektskilde.

Både Microsoft og Nokia kunngjorde i går at Microsofts oppkjøp av Nokias mobiltelefonvirksomhet, Devices and Service, etter all sannsynlighet vil bli fullført fredag den 25. april. Planene om oppkjøpet ble offentliggjort i september i fjor og har en verdi på 7,2 milliarder dollar.

– Dette oppkjøpet vil hjelpe Microsoft med å akselerere innovasjonen og adopsjonen av Windows Phone-telefoner. I tillegg ser vi fram til å introdusere den neste milliarden av kunder for Windows-tjenester via Nokia mobiltelefoner, skriver Brad Smith, juridisk direktør i Microsoft, i et blogginnlegg.

Med «den neste milliarden» mener en stor gruppe mennesker som i dag ikke har smartmobil eller tilgang til internett. Microsoft er langt fra den eneste aktøren som ønsker å knytte denne potensielle brukergruppen til seg.

Ifølge en e-post som Nokia sendte til mange av selskapets kunder i påsken, vil det nye selskapet hete Microsoft Mobile Oy og holde til i Espoo, Finland. Microsoft Mobile vil da være et heleid datterselskap av Microsoft Corporation.

Avtaleendringer
Smith nevner i blogginnlegget en liten håndfull endringer som har blitt forhandlet fram mellom de to selskapene.

Blant annet skal Microsoft i framtiden ha ansvaret for administrasjonen av nokia.com-domenet og tilhørende profiler i sosiale medier i en overgangsperiode på inntil et år.

Ifølge den opprinnelige avtalen skulle alle de ansatte ved Nokias Chief Technology Office fortsatt være ansatt i Nokia. Nå er det klart at 21 ansatte i Kina, som arbeider med mobiltelefoner, vil fortsette dette arbeidet i Microsoft i stedet.

Microsoft skal likevel ikke kjøpe Nokias produksjonsanlegg i Sør-Korea, noe som opprinnelig var en del av avtalen.

Derimot skriver Smith ingenting om bruken av Nokia-navnet. I den opprinnelige kunngjøringen ble det oppgitt at Microsoft kjøper varemerkene Lumia og Asha, samt rett til å bruke «Nokia» sammen med eksisterende produkter. Senere ble det kjent at Microsoft vil kunne bruke Nokia-navnet sammen med produkter basert på Series 30 og Series 40 i ti år framover, mens Nokia ikke kan lansere nye mobiltelefoner med Nokia-navnet før i 2016.

Men disse kunngjøringene fortalte ingenting om lisensiering av Nokia-navnet i forbindelse med framtidige, Windows Phone-baserte Lumia-telefoner.