Hackerkonkurransen Pwn2Own burde være kjent for de fleste, men siden i fjor har HP ZDI også arrangert en mobilorientert utgave av den samme konkurransen. I Mobile Pwn2Own er det blant annet om å gjøre å demonstrere utnyttelse av sårbarheter i nettleserne og applikasjoner for ulike smartmobiler. Årets konkurranse gikk av stabelen denne uken i forbindelse med PacSec-konferansen i Tokyo.

I alt ble det lovet ut 300 000 dollar i premier, fordelt på en rekke kategorier.

HP ZDI har publisert en rekke blogginnlegg om suksesshistorier i de ulike kategoriene. Foreløpig er det klart at i alle fall Safari for iOS og Chrome for Android har blitt knekket.

Sårbarheten i Chrome, som også berørte pc-utgavene, skal allerede være fjernet i en oppdatering som kom i går.

Utnyttelsen av Safari-sårbarheten er omtalt i videoen nedenfor.

Et japansk lag skal under konkurransen ha greid å utnytte sårbarheter i flere av Samsungs standardapplikasjoner som følger med Galaxy S4-telefonen. Sårbarhetene ble utnyttet til å skjule installasjonen av en ondsinnet applikasjon og et påfølgende tyveri av brukerdata, inkludert SMS-meldinger, kontaktliste og nettleserhistorikken.

I forbindelse med konkurransen demonstrerte to ansatte i HP ZDI også en til nå ukjent sårbarhet i Internet Explorer 11 på Windows 8.1.

– Det å utnytte en feil i IE er vanskelig på grunn av beskyttelsene og sikkerhetskontrollene de har implementert, sier Abdul Aziz Hariri i videoen nedenfor. Men ved å utnytte den samme sårbarheten to ganger fikk han og kollegaen Matt Molinyawe tilgang til en minneadresse som ga dem mulighet for fjernkjøring av kode og full kontroll over systemet.

John Markus Lerviks nye IT-eventyr Cxense (uttales «see-sens») blir av sine eiere priset til rett i underkant av 410 millioner kroner. Det er klart etter at selskapet hentet inn 90 millioner kroner for å finansiere oppkjøpet av Nordens største leverandør av digitale annonseløsninger til mediebransjen, danske Emediate.

Lervik ble for alvor kjent da Fast Search & Transfer, hvor han var en av grunnleggerne og toppsjef, ble solgt til Microsoft i 2008. Prislappen var på 6,6 milliarder kroner. I 2010 tok han med seg et knippe topper fra tidligere Fast og etablerte Cxense. På de tre årene har dette selskapet vokst voldsomt, noe verdsettelsen av selskapet er et godt eksempel på.

Stordalen kjøper
Investorer som Polaris Media, Rasmussen-familien og Storebrand kom inn for et drøyt år siden, og denne uken gjennomførte selskapet en ny kapitalutvidelse hvor de hentet inn 90 millioner kroner fra sine eksisterende aksjonærer – samt noen utvalgte nye.

En av de nye investorene som ble invitert inn er Petter Stordalen, som gjennom sitt investeringsselskap Home Capital, har satset 10 millioner kroner på oppstart-eventyret.

Stordalen kjenner imidlertid Lervik & Co. godt fra før. Sammen med Øystein Stray Spetalen og Orkla ledet nemlig Stordalen an et aksjonæropprør mot ledelsen og styret i teknologiselskapet Opticom i 2005. Opticom var storeier i Fast, og John Markus Lervik engasjerte seg i motstanden mot Stordalen & Co.

Petter Stordalen ønsket ikke å kommentere investeringen da digi.no kontaktet han fredag, men investeringsselskapet Home Capital bekrefter at de har kjøpt aksjer i
IT-eventyret.

Solgte til Microsoft
Lerviks suksess med Fast, og så langt svært imponerende resultater med Cxense, har vakt oppsikt i norske investorkretser. Interessen for å investere i selskapet skal ha vært meget god, og etter hva digi.no erfarer kunne Lervik & Co. nærmest velge og vrake i investorer. Det er imidlertid de ansatte i selskapet som sitter med aksjemajoriteten. Før kapitalutvidelsen var mer enn 60 prosent av aksjene på ansattes hender.

Cxense har utviklet en plattform med et bruksområde som koker ned til følgende: Håndtering og analyse av svært store datamengder («Big Data») i nettskyen. Dette brukes i dag inn mot mediebransjen, hvor kundene får tilgang til meget kraftige verktøy for både analysere og optimalisere for eksempel nettannonser. Men bruksområdet kan også være innenfor e-handel, finans og en rekke andre områder hvor man kan bruke enorme datamengder for analyse.

Sterk vekst
Salgsveksten fra i fjor til i år har også vært imponerende. Tall digi.no er kjent med viser at veksten har gått fra 2,3 millioner dollar i fjor til 4,3 millioner dollar i år. Dette inkluderer ikke inntektene fra selskapet de nettopp har kjøpt opp, eller inntekter fra et deleid spanske annonsenettverk hvor Cxense er inne på eiersiden. Etter det digi.no forstår, skal selskapet dessuten være kontantpositive, det betyr at de tjener mer penger enn de bruker via driften, allerede i løpet av året.

Men man skal ikke se bort fra at selskapet i den nærmeste fremtiden heller velger å prioritere kraftig vekst fremfor å bli kontantpositive.

Inntektene Cxense forventer i årene som kommer er også imponerende. Fra 2013 til 2014 regner selskapet med å gå fra 4,3 millioner dollar til 11,9 millioner dollar i omsetning. Nå er slike anslag belagt med enorm risiko, men skulle veksttakten selskapet slå til vil de kunne lukte på 100 millioner dollar i omsetning i 2017. Dette er vel og merke anslag uten inntekter fra selskapet de nyss kjøpte opp. Dessuten er det verd å merke seg at Cxense baserer seg på abonnementsinntekter – ikke lisenser.

Må møte i retten
Lervik og tidligere salgsdirektør i Fast må imidlertid møte i Oslo tingrett neste uke. De to er tiltalt for et forhold knyttet til inntektsføringen og håndteringen av en kontrakt i Fast. Saken startet allerede høsten 2008. Lervik har hele tiden nektet straffeskyld for denne saken, som over de neste ukene skal belyses i Oslo tingrett. Saken skulle vært oppe i retten tidligere i år, men ble utsatt på grunn av sykdom. Mer om tiltalen kan du lese her.

Microsoft har bekreftet at selskapet, i likhet med blant annet Google og Yahoo, lar kommunikasjonen i selskapet eget nettverk, mellom servere og serversentraler, foregå ukryptert. Dette har gjort det mulig for NSA og britiske GCHQ å tappe linjene ved hjelp av et overvåkingssystem kalt MUSCULAR.

Dette kom fram under en høring om elektronisk masseovervåkning i EU-parlamentet den 11. november, hvor blant annet visepresident med ansvar for juridiske og regulatoriske saker ved Microsoft EMEA, Dorothee Belz, deltok.

– Server-til-server-transporten er vanligvis ikke kryptert. Derfor gjennomgår vi nå våre sikkerhetssystemer for å unngå at oppfanging av kommunikasjon kan finnes sted, sa Belz.

Under høringen sa Belz også at Microsoft ikke har kjennskap til PRISM som program og heller ikke har deltatt i det.

– Vi gir ikke ufiltrert tilgang til våre datasentra. Vi henter ut dataene og gir dem videre, sa Belz. Uttalelsene er gjengitt etter omtrent 2 timer og 39 minutter i videoen nedenfor.

Også representanter for Facebook og Google deltok i panelet under høringen.

Det er i alle fall så langt ikke bekreftet at også Microsoft har blitt utsatt for MUSCULAR, men tilfellene som involverer Google og Yahoo sannsynliggjør at etterretningstjenestene tapper kablene til også andre. Kryptering av trafikken vil gjøre slik avlytting langt vanskeligere, i alle fall så lenge tjenestene ikke får tilgang til nøklene som benyttes.

Det er flere årsaker til at disse forbindelsene ikke har vært kryptert. For det første dreier det seg ikke om Internett, men kabler som eies eller leies av det enkelte selskapet. I tillegg betyr kryptering gjerne økte kostnader og redusert ytelse.

Google skal ha hatt planer om å innføre slik kryptering allerede før de første av avsløringene til Edward Snowden ble kjent. Planene har senere blitt framskyndet, men ifølge Wired fortalte Nicklas Lundblad under høringen at dette arbeidet ennå ikke er fullført. Lundblad er direktør i Google med ansvar for blant annet myndighetskontakt.

Google kom i går med en ny innsynsrapport om ulike lands innsynsbegjæringer i brukerdata i selskapets tjenester. Rapporten gjelder første halvår i år.

Google og de andre, amerikanske IT-gigantene som legger fram slike rapporter, får ikke lov til å si noe om omfanget av FISA-forespørsler (Foreign Intelligence Surveillance Act) av de amerikanske myndighetene. Sammen med blant annet Microsoft, Facebook, Yahoo og LinkedID forsøker Google å få tillatelse til å fortelle mer om dette. Selskapene har så sent som denne uken møtt motstand, noe som har resultert i et nytt søksmål mot de amerikanske myndighetene.

Det at selskapene faktisk får FISA-forespørsler, kan tyde på at NSA og andre ikke har full tilgang til alle brukerdata hos de store webaktørene, men det kan like gjerne bli gjort for syns skyld, for å dekke over at etterretningstjenestene får tilgang til det de vil uansett. Det er, som med konspirasjonsteorier flest, gjerne langt vanskeligere å bevise at noe ikke skjer, enn omvendt. Men det blir selvfølgelig enda vanskeligere dersom man ikke får lov til å legge fram bevis for noe som helst i denne sammenheng.

Men ikke alle forespørsler Google mottar om datainnsyn handler om nasjonal sikkerhet. Derfor består ikke rapporten bare av sladdede linjer. Google uttrykker likevel en viss bekymring også over disse andre forespørslene, siden omfanget har økt kraftig siden 2010, da selskapet kom med den første rapporten (som gjaldt for 2009 andre halvdel av 2009).

Antallet forespørsler har blitt mer enn doblet siden 2010, mens den amerikanske andelen av dette har vokst fra omkring 28 prosent til omtrent 42 prosent på disse årene.

Richard Salgado, som er juridisk direktør med ansvar for rettshåndhevelse og informasjonssikkerhet i Google, skriver i dette blogginnlegget at økningen dels skyldes økt bruk av Googles tjenester, men også at myndighetene i flere land enn tidligere kommer med forespørsler.

Google har gjort rapporten for USA mer detaljert enn tidligere, ved blant annet å fortelle hvor mange av forespørslene som dreier seg om sivile avlyttingsordre, trafikkdatalogger eller ved situasjoner hvor personer har vært i reel fare for å bli skadd.

I rapporten fortelles det også at andelen av forespørslene som faktisk fører til utlevering av data, har vært synkende gjennom årene, fra 76 til 65 prosent. Men man kan diskutere om dette er positivt. Riktignok betyr det at Google setter foten ned ved mange anledninger, men samtidig betyr det også at ulike lands myndigheter i økende grad sender begjæringer som blir funnet grunnløse.

Norge
Den delen av rapporten som omhandler norske forespørsler er hyggelig, men lite spennende lesning. Google har ikke fått noen innsynsbegjæringer fra norske myndigheter siden første halvår 2012.

Norske myndigheter har heller ikke bedt Google fjerne noe innhold i løpet av forrige halvår.

Sensur
Ifølge Google har selskapets tjenester blitt blokker i en rekke land i kortere eller lengre perioder så langt i år. For øyeblikket er alle Google-tjenester utilgjengelige i Sudan. Kina og Tyrkia blokkerer Google Sites. YouTube er blokkert i Pakistan, Kina og Iran, mens Marokko blokkerer Google Earth.

Andre rapporter
Google er langt fra det eneste selskapet som kommer med slike rapporter. Det samme gjør også Apple, Dropbox, Facebook, Leaseweb, LinkedIn, Microsoft, Sonic.net, SpiderOak, Twitter og Yahoo. Lenker til samtlige finnes på et stykke nede på denne siden.

USAs departement for innenrikssikkerhet (Homeland Security) er beordret til å røpe detaljene om en såkalt «kill svitsj» (hovedbryter) for landets mobilnett og trådløse nettverk.

Fra før er det kjent at departementet er gitt vide fullmakter til en spesiell mekanisme, som i gitte tilfeller kan bli brukt til å deaktivere både kommersielle og private nettverk.

Nøyaktig hvordan mekanismen fungerer, og under hvilke forutsetninger, skal ikke lenger være unntatt offentligheten. Det avgjorde en føderal domstol tirsdag, ifølge Washington Times.

Sivilt søksmål
Det er aktivistgruppen Electronic Privacy Information Center (EPIC) som har vunnet frem med et sivilt søksmål for å få innsyn etter bestemmelsene i USAs offentlighetslov, Freedom of Information Act. EPIC har også publisert rettsavgjørelsen (pdf).

Rettsordren slår fast at innsyn må gis innen 30 dager, men ga samtidig departementet anledning til å anke. Det er ikke kjent om saken blir anket.

Skal stanse terror
Myndighetenes fullmakt til å stenge ned trådløs kommunikasjon blir begrunnet med sikkerhetshensyn, nærmere bestemt for å kunne avskjære og hindre detonering av bomber.

Departementet har av samme grunn argumentert for at detaljene om mekanismen må holdes hemmelig. Personvernaktivister har uttrykt bekymring for at slik kontroll kan bli misbrukt.

– Den føderale domstolen fastslo at departementet tok feil når de anførte at de kunne holde tilbake opplysningene som en «teknikk for politietterforskning eller straffeforfølgelse». Et slikt uttrykk, forklarte retten, gjelder bare under pågående kriminelle handlinger eller etter at de er utført, skriver EPIC i en kort redegjørelse.

Kongen i statsråd har i dag utnevnt brigader Odd Egil Pedersen (54) til generalmajor. Den ferske generalen er beordret til tjeneste (som det heter) som sjef for Cyberforsvaret.

Det fremgår av en pressemelding fra Forsvarsdepartementet.

Pedersen skal erstatte generalmajor Roar Sundseth, som fyller 60 år i mars neste år, noe som er pensjonsgrensen for yrkesbefal.

– Kommandooverføringen skjer den 9. desember, sier kommunikasjonssjef Knut Helge Grandhagen i Cyberforsvaret til digi.no.

Han betegner den påtroppende kybersjefen som «en veldig god kandidat med en spennende og variert bakgrunn», både fra Forsvaret hjemme og i NATO. Pedersen har også vært kontingentsjef under Norges operasjoner i Afghanistan.

Regjeringen har publisert generalmajorens CV (pdf) som ser ut til å bekrefte den oppfatningen.

Cyberforsvaret ble offisielt etablert i september i fjor da Forsvarets informasjonsinfrastruktur (INI) byttet navn i anledning ny status som egen forsvarsgren.

– Et moderne og nettverksbasert forsvar er helt avhengig av gode og sikre IKT-tjenester. Cyberforsvaret skal både utvikle og passe på at systemene fungerer. Sjefsstillingen ved Cyberforsvaret er derfor svært viktig for Forsvaret, sier forsvarsminister Ine Eriksen Søreide i en pressemelding.

Det norske IT-selskapet Cxense, med John Markus Lervik i spissen, kjøper danske Emediate, som er Nordens største leverandør av digitale annonseløsninger. Nå er planen å bli verdensledende innenfor digital annonsering og «big data».

Det er et heftig marked de to selskapene sammen skal erobre. Ifølge en melding fra Cxense og Emediate ble det omsatt digitale annonser for 24,3 milliarder euro i 2012 og den samlede globale markedet er anslått til å ha en verdi på svimlende 503 milliarder dollar i 2013. Det er dette markedet som nå skal erobres.

Emediate har 52 prosent av det nordiske markedet innen digitale annonseringsløsninger. Dette skal nå kombineres med Cxense sin teknologi for å behandle store datamengder og tilby målrettede annonseringsløsninger.

– Cxense hjelper bedrifter til å anvende kundedata slik at de kan føre en mer relevant dialog med sine målgrupper, i riktig kontekst og i sann tid. Emediate passer som hånd i hanske til Cxense fordi selskapet bidrar til å utvide våre annonseløsninger og dermed gi oss mulighet til å tilby nye løsninger innenfor Big Data-teknologi til ledende medieselskaper i markedet, sier Pål Petersen, Chief Commercial Officer i Cxense .

CXense har vokst kraftig det siste året, og doblet inntektene. De har siden starten primært siktet seg inn mot mediemarkedet og har fått flere større mediehus på kundelisten. Du kan lese mer om selskapet, og gründer John Markus Lerviks planer her: «Det begynner å bli ganske artig».

Det norske oppstartsselskapet betaler 62 millioner kroner for samtlige aksjer i Emediate. Oppkjøpet ble finansiert av at selskapet hentet inn 90 millioner kroner i frisk kapital fra eksisterende og noen utvalgte nye investorer.

Amazon avduket denne uken en helt ny mulighet i selskapets nettsky, nemlig det å kunne kjøre både spill, applikasjoner og desktoper i nettskyen og å strømme dette via nettet til enkel klientprogramvare som kan kjøres på mange ulike enheter.

Den ene tjenesten kalles for Amazon AppStream. Den skal kunne håndtere kjøring og strømming av selv ressurskrevende 3D-spill og HD-innhold og levere dette med ytelse som ikke er mulig ved kjøring lokalt på brukerenheten, for eksempel en enklere smartmobil.

AppStream krever dog ikke at hele applikasjonen strømmes. Utvikleren kan for eksempel velge at bare de mest ytelseskrevende delene av applikasjonen gis kraft fra nettskyen, men resten kjøres lokalt.

Amazon hevder det er ytterligere fordeler med en slik løsning, ikke minst for utviklere og tilbydere av programvaren som strømmes. Blant annet er applikasjonene plattformuavhengige, noe som gjør at den bare behøver å lages én gang. Selv store applikasjoner kan leveres uten at brukeren må laste ned tilsvarende store filer. Applikasjonene er alltid oppdaterte, akkurat som webapplikasjoner, uten at brukeren må laste ned noe.

– Utviklere har fortalt oss at det er frustrerende å bygge og levere avanserte applikasjoner til massemarkedet på grunn av maskinvarebegrensninger. De ønsker å kunne tilby spektakulær grafikk og responsive, flytende opplevelser til et så stort publikum som mulig, uavhengig av hvilken enhet en person velger å bruke, sier Mike Frazzini, daglig leder for Amazon Games, i en pressemelding.

– Amazon AppStream frigjør utviklere fra disse begrensningene ved å gi dem mulighet til å strømme sine applikasjoner til enkle enheter på samme måte som om disse forbrukerne skulle ha benyttet avanserte enheter, sier Frazzini.

AppStream inkluderer et SDK (Software Development Kit) som automatisk sørger for at applikasjoner som kjøres i nettskyen automatisk er tilknyttet brukernes enheter. Dette gjøres ved hjelp av en egen protokoll som heter AppStream STX Protocol. Den skal også sørge for at videostrømmen som viser applikasjonen eller spillet blir dynamisk tilpasset den tilgjengelige båndbredden. Protokollen skal også sørge for minimal forsinkelse ved overføring av inndata fra brukeren, slik som museklikk og berøringsbevegelser.

Allerede skal mer enn tjue kunder, blant annet flere spillselskaper, har tatt i bruk AppStream i lukkede tester. Tjenesten skal nå tilbys til flere, men er fortsatt i en testfase.

Spørsmålet er om tjenesten er fleksibel nok for alle. Selve videostrømmen har oppløsning på inntil 720p med 30 bilder i sekundet. Den skal kreve forbindelser på minst 3 megabit per sekund. Det går helt sikkert flott via kabel på kontoret, men kanskje ikke like greit via et overfylt WLAN på en flyplass.

SDK-et er i første omgang tilgjengelig for å strømme applikasjoner fra Windows Server 2008 R2 i nettskyen til klienter med FireOS (Amazons Android-utgave), Android, iOS og Windows. En OS X-utgave er planlagt i 2014.

WorkSpaces
Det andre Amazon Web Services-produktet som ble lansert denne uken heter WorkSpaces. Det gjør det mulig å kjøre og administrere virtuelle desktoper i Amazons nettsky. Dette er ikke noe nytt fenomen, men Amazon hevder at totalkostnadene vil være halvparten som store som dem forbundet med de fleste tradisjonelle, virtuell desktop-infrastrukturer.

New York (NTB-Reuters-AFP): En amerikansk dommer har avvist et langvarig søksmål mot internettgiganten Google. Saksøkerne har ment at Googles digitalisering og kopiering av millioner av bøker er ulovlig.

Dommer Denny Chin avviste torsdag søksmålet som ble innledet i 2005. Han sier i kjennelsen at Googles kopieringsprosjekt representerer «rettferdig bruk» i henhold til lov om opphavsrettigheter og avviser at Google-prosjektet er lovstridig.

– Dette verken erstatter eller fortrenger bøker, for det er ikke et redskap som kan brukes til å lese bøker, sa dommer Chin.

Saksøkerne, anført av den amerikanske forfatterforeningen Authors Guild, mener at Googles bibliotekprosjekt bryter forfatternes rettigheter fordi Google kopierer bøker uten å få tillatelse fra forfatterne.

Authors Guild mener også at Google har rent kommersielle mål fordi hensikten er å skape enda større bruk av Googles søkemotor, som gir Google reklameinntekter. (©NTB)

Oslo (NTB): Kredittkortopplysninger fra 96.000 nordmenn som har benyttet tjenesten Coop HotellKupp kan være på avveie etter et datainnbrudd i et irsk selskap.

Det irske selskapet Loyaltybuild har blitt utsatt for et datainnbrudd. Selskapet leverer blant annet en hotellbestillingstjeneste for Coop Norge.

Ifølge Coop er kredittkort- og kontaktinformasjon til 96.000 kunder i Norge berørt. Selskapet presiserer at det kun gjelder kunder som har benyttet hotelltjenesten.

Selskapet har informert Datatilsynet, og hotelltjenesten er stengt. Selskapet har så langt ingen informasjon om at noen norske kunder har blitt skadelidende på grunn av hackingen.

– Vi beklager de ulemper dette måtte få for kundene, sier konstituert informasjonsdirektør Kristin Paus i Coop Norge.

Det irske selskapet som ble utsatt for datainnbruddet, har varslet irsk datatilsyn og anmeldt saken til irsk politi.

Coop Norge har varslet Datatilsynet her i landet og opplyser at de også sørger for at banker og kredittkortutstedere blir varslet. (©NTB)