Microsoft har bekreftet at selskapet, i likhet med blant annet Google og Yahoo, lar kommunikasjonen i selskapet eget nettverk, mellom servere og serversentraler, foregå ukryptert. Dette har gjort det mulig for NSA og britiske GCHQ å tappe linjene ved hjelp av et overvåkingssystem kalt MUSCULAR.

Dette kom fram under en høring om elektronisk masseovervåkning i EU-parlamentet den 11. november, hvor blant annet visepresident med ansvar for juridiske og regulatoriske saker ved Microsoft EMEA, Dorothee Belz, deltok.

– Server-til-server-transporten er vanligvis ikke kryptert. Derfor gjennomgår vi nå våre sikkerhetssystemer for å unngå at oppfanging av kommunikasjon kan finnes sted, sa Belz.

Under høringen sa Belz også at Microsoft ikke har kjennskap til PRISM som program og heller ikke har deltatt i det.

– Vi gir ikke ufiltrert tilgang til våre datasentra. Vi henter ut dataene og gir dem videre, sa Belz. Uttalelsene er gjengitt etter omtrent 2 timer og 39 minutter i videoen nedenfor.

Også representanter for Facebook og Google deltok i panelet under høringen.

Det er i alle fall så langt ikke bekreftet at også Microsoft har blitt utsatt for MUSCULAR, men tilfellene som involverer Google og Yahoo sannsynliggjør at etterretningstjenestene tapper kablene til også andre. Kryptering av trafikken vil gjøre slik avlytting langt vanskeligere, i alle fall så lenge tjenestene ikke får tilgang til nøklene som benyttes.

Det er flere årsaker til at disse forbindelsene ikke har vært kryptert. For det første dreier det seg ikke om Internett, men kabler som eies eller leies av det enkelte selskapet. I tillegg betyr kryptering gjerne økte kostnader og redusert ytelse.

Google skal ha hatt planer om å innføre slik kryptering allerede før de første av avsløringene til Edward Snowden ble kjent. Planene har senere blitt framskyndet, men ifølge Wired fortalte Nicklas Lundblad under høringen at dette arbeidet ennå ikke er fullført. Lundblad er direktør i Google med ansvar for blant annet myndighetskontakt.

Google kom i går med en ny innsynsrapport om ulike lands innsynsbegjæringer i brukerdata i selskapets tjenester. Rapporten gjelder første halvår i år.

Google og de andre, amerikanske IT-gigantene som legger fram slike rapporter, får ikke lov til å si noe om omfanget av FISA-forespørsler (Foreign Intelligence Surveillance Act) av de amerikanske myndighetene. Sammen med blant annet Microsoft, Facebook, Yahoo og LinkedID forsøker Google å få tillatelse til å fortelle mer om dette. Selskapene har så sent som denne uken møtt motstand, noe som har resultert i et nytt søksmål mot de amerikanske myndighetene.

Det at selskapene faktisk får FISA-forespørsler, kan tyde på at NSA og andre ikke har full tilgang til alle brukerdata hos de store webaktørene, men det kan like gjerne bli gjort for syns skyld, for å dekke over at etterretningstjenestene får tilgang til det de vil uansett. Det er, som med konspirasjonsteorier flest, gjerne langt vanskeligere å bevise at noe ikke skjer, enn omvendt. Men det blir selvfølgelig enda vanskeligere dersom man ikke får lov til å legge fram bevis for noe som helst i denne sammenheng.

Men ikke alle forespørsler Google mottar om datainnsyn handler om nasjonal sikkerhet. Derfor består ikke rapporten bare av sladdede linjer. Google uttrykker likevel en viss bekymring også over disse andre forespørslene, siden omfanget har økt kraftig siden 2010, da selskapet kom med den første rapporten (som gjaldt for 2009 andre halvdel av 2009).

Antallet forespørsler har blitt mer enn doblet siden 2010, mens den amerikanske andelen av dette har vokst fra omkring 28 prosent til omtrent 42 prosent på disse årene.

Richard Salgado, som er juridisk direktør med ansvar for rettshåndhevelse og informasjonssikkerhet i Google, skriver i dette blogginnlegget at økningen dels skyldes økt bruk av Googles tjenester, men også at myndighetene i flere land enn tidligere kommer med forespørsler.

Google har gjort rapporten for USA mer detaljert enn tidligere, ved blant annet å fortelle hvor mange av forespørslene som dreier seg om sivile avlyttingsordre, trafikkdatalogger eller ved situasjoner hvor personer har vært i reel fare for å bli skadd.

I rapporten fortelles det også at andelen av forespørslene som faktisk fører til utlevering av data, har vært synkende gjennom årene, fra 76 til 65 prosent. Men man kan diskutere om dette er positivt. Riktignok betyr det at Google setter foten ned ved mange anledninger, men samtidig betyr det også at ulike lands myndigheter i økende grad sender begjæringer som blir funnet grunnløse.

Norge
Den delen av rapporten som omhandler norske forespørsler er hyggelig, men lite spennende lesning. Google har ikke fått noen innsynsbegjæringer fra norske myndigheter siden første halvår 2012.

Norske myndigheter har heller ikke bedt Google fjerne noe innhold i løpet av forrige halvår.

Sensur
Ifølge Google har selskapets tjenester blitt blokker i en rekke land i kortere eller lengre perioder så langt i år. For øyeblikket er alle Google-tjenester utilgjengelige i Sudan. Kina og Tyrkia blokkerer Google Sites. YouTube er blokkert i Pakistan, Kina og Iran, mens Marokko blokkerer Google Earth.

Andre rapporter
Google er langt fra det eneste selskapet som kommer med slike rapporter. Det samme gjør også Apple, Dropbox, Facebook, Leaseweb, LinkedIn, Microsoft, Sonic.net, SpiderOak, Twitter og Yahoo. Lenker til samtlige finnes på et stykke nede på denne siden.

USAs departement for innenrikssikkerhet (Homeland Security) er beordret til å røpe detaljene om en såkalt «kill svitsj» (hovedbryter) for landets mobilnett og trådløse nettverk.

Fra før er det kjent at departementet er gitt vide fullmakter til en spesiell mekanisme, som i gitte tilfeller kan bli brukt til å deaktivere både kommersielle og private nettverk.

Nøyaktig hvordan mekanismen fungerer, og under hvilke forutsetninger, skal ikke lenger være unntatt offentligheten. Det avgjorde en føderal domstol tirsdag, ifølge Washington Times.

Sivilt søksmål
Det er aktivistgruppen Electronic Privacy Information Center (EPIC) som har vunnet frem med et sivilt søksmål for å få innsyn etter bestemmelsene i USAs offentlighetslov, Freedom of Information Act. EPIC har også publisert rettsavgjørelsen (pdf).

Rettsordren slår fast at innsyn må gis innen 30 dager, men ga samtidig departementet anledning til å anke. Det er ikke kjent om saken blir anket.

Skal stanse terror
Myndighetenes fullmakt til å stenge ned trådløs kommunikasjon blir begrunnet med sikkerhetshensyn, nærmere bestemt for å kunne avskjære og hindre detonering av bomber.

Departementet har av samme grunn argumentert for at detaljene om mekanismen må holdes hemmelig. Personvernaktivister har uttrykt bekymring for at slik kontroll kan bli misbrukt.

– Den føderale domstolen fastslo at departementet tok feil når de anførte at de kunne holde tilbake opplysningene som en «teknikk for politietterforskning eller straffeforfølgelse». Et slikt uttrykk, forklarte retten, gjelder bare under pågående kriminelle handlinger eller etter at de er utført, skriver EPIC i en kort redegjørelse.

Kongen i statsråd har i dag utnevnt brigader Odd Egil Pedersen (54) til generalmajor. Den ferske generalen er beordret til tjeneste (som det heter) som sjef for Cyberforsvaret.

Det fremgår av en pressemelding fra Forsvarsdepartementet.

Pedersen skal erstatte generalmajor Roar Sundseth, som fyller 60 år i mars neste år, noe som er pensjonsgrensen for yrkesbefal.

– Kommandooverføringen skjer den 9. desember, sier kommunikasjonssjef Knut Helge Grandhagen i Cyberforsvaret til digi.no.

Han betegner den påtroppende kybersjefen som «en veldig god kandidat med en spennende og variert bakgrunn», både fra Forsvaret hjemme og i NATO. Pedersen har også vært kontingentsjef under Norges operasjoner i Afghanistan.

Regjeringen har publisert generalmajorens CV (pdf) som ser ut til å bekrefte den oppfatningen.

Cyberforsvaret ble offisielt etablert i september i fjor da Forsvarets informasjonsinfrastruktur (INI) byttet navn i anledning ny status som egen forsvarsgren.

– Et moderne og nettverksbasert forsvar er helt avhengig av gode og sikre IKT-tjenester. Cyberforsvaret skal både utvikle og passe på at systemene fungerer. Sjefsstillingen ved Cyberforsvaret er derfor svært viktig for Forsvaret, sier forsvarsminister Ine Eriksen Søreide i en pressemelding.

Det norske IT-selskapet Cxense, med John Markus Lervik i spissen, kjøper danske Emediate, som er Nordens største leverandør av digitale annonseløsninger. Nå er planen å bli verdensledende innenfor digital annonsering og «big data».

Det er et heftig marked de to selskapene sammen skal erobre. Ifølge en melding fra Cxense og Emediate ble det omsatt digitale annonser for 24,3 milliarder euro i 2012 og den samlede globale markedet er anslått til å ha en verdi på svimlende 503 milliarder dollar i 2013. Det er dette markedet som nå skal erobres.

Emediate har 52 prosent av det nordiske markedet innen digitale annonseringsløsninger. Dette skal nå kombineres med Cxense sin teknologi for å behandle store datamengder og tilby målrettede annonseringsløsninger.

– Cxense hjelper bedrifter til å anvende kundedata slik at de kan føre en mer relevant dialog med sine målgrupper, i riktig kontekst og i sann tid. Emediate passer som hånd i hanske til Cxense fordi selskapet bidrar til å utvide våre annonseløsninger og dermed gi oss mulighet til å tilby nye løsninger innenfor Big Data-teknologi til ledende medieselskaper i markedet, sier Pål Petersen, Chief Commercial Officer i Cxense .

CXense har vokst kraftig det siste året, og doblet inntektene. De har siden starten primært siktet seg inn mot mediemarkedet og har fått flere større mediehus på kundelisten. Du kan lese mer om selskapet, og gründer John Markus Lerviks planer her: «Det begynner å bli ganske artig».

Det norske oppstartsselskapet betaler 62 millioner kroner for samtlige aksjer i Emediate. Oppkjøpet ble finansiert av at selskapet hentet inn 90 millioner kroner i frisk kapital fra eksisterende og noen utvalgte nye investorer.

Amazon avduket denne uken en helt ny mulighet i selskapets nettsky, nemlig det å kunne kjøre både spill, applikasjoner og desktoper i nettskyen og å strømme dette via nettet til enkel klientprogramvare som kan kjøres på mange ulike enheter.

Den ene tjenesten kalles for Amazon AppStream. Den skal kunne håndtere kjøring og strømming av selv ressurskrevende 3D-spill og HD-innhold og levere dette med ytelse som ikke er mulig ved kjøring lokalt på brukerenheten, for eksempel en enklere smartmobil.

AppStream krever dog ikke at hele applikasjonen strømmes. Utvikleren kan for eksempel velge at bare de mest ytelseskrevende delene av applikasjonen gis kraft fra nettskyen, men resten kjøres lokalt.

Amazon hevder det er ytterligere fordeler med en slik løsning, ikke minst for utviklere og tilbydere av programvaren som strømmes. Blant annet er applikasjonene plattformuavhengige, noe som gjør at den bare behøver å lages én gang. Selv store applikasjoner kan leveres uten at brukeren må laste ned tilsvarende store filer. Applikasjonene er alltid oppdaterte, akkurat som webapplikasjoner, uten at brukeren må laste ned noe.

– Utviklere har fortalt oss at det er frustrerende å bygge og levere avanserte applikasjoner til massemarkedet på grunn av maskinvarebegrensninger. De ønsker å kunne tilby spektakulær grafikk og responsive, flytende opplevelser til et så stort publikum som mulig, uavhengig av hvilken enhet en person velger å bruke, sier Mike Frazzini, daglig leder for Amazon Games, i en pressemelding.

– Amazon AppStream frigjør utviklere fra disse begrensningene ved å gi dem mulighet til å strømme sine applikasjoner til enkle enheter på samme måte som om disse forbrukerne skulle ha benyttet avanserte enheter, sier Frazzini.

AppStream inkluderer et SDK (Software Development Kit) som automatisk sørger for at applikasjoner som kjøres i nettskyen automatisk er tilknyttet brukernes enheter. Dette gjøres ved hjelp av en egen protokoll som heter AppStream STX Protocol. Den skal også sørge for at videostrømmen som viser applikasjonen eller spillet blir dynamisk tilpasset den tilgjengelige båndbredden. Protokollen skal også sørge for minimal forsinkelse ved overføring av inndata fra brukeren, slik som museklikk og berøringsbevegelser.

Allerede skal mer enn tjue kunder, blant annet flere spillselskaper, har tatt i bruk AppStream i lukkede tester. Tjenesten skal nå tilbys til flere, men er fortsatt i en testfase.

Spørsmålet er om tjenesten er fleksibel nok for alle. Selve videostrømmen har oppløsning på inntil 720p med 30 bilder i sekundet. Den skal kreve forbindelser på minst 3 megabit per sekund. Det går helt sikkert flott via kabel på kontoret, men kanskje ikke like greit via et overfylt WLAN på en flyplass.

SDK-et er i første omgang tilgjengelig for å strømme applikasjoner fra Windows Server 2008 R2 i nettskyen til klienter med FireOS (Amazons Android-utgave), Android, iOS og Windows. En OS X-utgave er planlagt i 2014.

WorkSpaces
Det andre Amazon Web Services-produktet som ble lansert denne uken heter WorkSpaces. Det gjør det mulig å kjøre og administrere virtuelle desktoper i Amazons nettsky. Dette er ikke noe nytt fenomen, men Amazon hevder at totalkostnadene vil være halvparten som store som dem forbundet med de fleste tradisjonelle, virtuell desktop-infrastrukturer.

Oslo (NTB): Kredittkortopplysninger fra 96.000 nordmenn som har benyttet tjenesten Coop HotellKupp kan være på avveie etter et datainnbrudd i et irsk selskap.

Det irske selskapet Loyaltybuild har blitt utsatt for et datainnbrudd. Selskapet leverer blant annet en hotellbestillingstjeneste for Coop Norge.

Ifølge Coop er kredittkort- og kontaktinformasjon til 96.000 kunder i Norge berørt. Selskapet presiserer at det kun gjelder kunder som har benyttet hotelltjenesten.

Selskapet har informert Datatilsynet, og hotelltjenesten er stengt. Selskapet har så langt ingen informasjon om at noen norske kunder har blitt skadelidende på grunn av hackingen.

– Vi beklager de ulemper dette måtte få for kundene, sier konstituert informasjonsdirektør Kristin Paus i Coop Norge.

Det irske selskapet som ble utsatt for datainnbruddet, har varslet irsk datatilsyn og anmeldt saken til irsk politi.

Coop Norge har varslet Datatilsynet her i landet og opplyser at de også sørger for at banker og kredittkortutstedere blir varslet. (©NTB)

New York (NTB-Reuters-AFP): En amerikansk dommer har avvist et langvarig søksmål mot internettgiganten Google. Saksøkerne har ment at Googles digitalisering og kopiering av millioner av bøker er ulovlig.

Dommer Denny Chin avviste torsdag søksmålet som ble innledet i 2005. Han sier i kjennelsen at Googles kopieringsprosjekt representerer «rettferdig bruk» i henhold til lov om opphavsrettigheter og avviser at Google-prosjektet er lovstridig.

– Dette verken erstatter eller fortrenger bøker, for det er ikke et redskap som kan brukes til å lese bøker, sa dommer Chin.

Saksøkerne, anført av den amerikanske forfatterforeningen Authors Guild, mener at Googles bibliotekprosjekt bryter forfatternes rettigheter fordi Google kopierer bøker uten å få tillatelse fra forfatterne.

Authors Guild mener også at Google har rent kommersielle mål fordi hensikten er å skape enda større bruk av Googles søkemotor, som gir Google reklameinntekter. (©NTB)

Den 7. mars 2012 deiser det inn et brev til Bergen kommune. Brevet forteller at de er plukket ut til en såkalt lisensgjennomgang av Microsoft.

Lite visste kommunen hvor lang tid dette skulle ta. Og hvilke vindmøller de måtte kjempe imot, bare for å slippe urettferdige krav om tilleggsbetaling på mange millioner kroner.

Bergen kommune sto foran en ni måneders lisenskrangel, utført av Deloitte på vegne av Microsoft.

– Vårt inntrykk er at de aldri satte seg inn i våre avtaler. Deloitte kom inn med et metodeverk og en måte å telle på som ikke passer i det hele tatt. Et av hovedproblemene er at de er veldig opptatt av hvor mange ansatte vi har, sier IT-direktør Kjetil Århus i Bergen kommune til digi.no.

Legger du sammen fastansatte, innleide konsulenter og midlertidige er det rundt 27 – 28.000 som jobber for landets nest største kommune.

– Når de gjør en analyse av den typen tall og ikke er interesserte i avtalene våre, som sier at vi skal betale for faktisk bruk, da blir rapporten helt ubrukelig. Resultatet av Deloittes første gjennomgang var at Bergen kommune bare på Office-lisenser var skyldig 8 millioner kroner, fortsetter IT-direktøren.

– En ting er at tallet er voldsomt. Tallet er jo feil. Vi vet at vi er à jour. Dette er utrolig frustrerende og fører til at vi bruker flere måneder på å få Deloitte til å erkjenne at vi har en avtale der vi skal telle reell bruk.

Deloitte Norge takket nei til å svare på kritikken som reises i denne artikkelen.

– Jeg registrerer det som sies, men vi kan dessverre ikke gi noen kommentar til innholdet i et spesifikt revisjonsoppdrag, skriver kommunikasjonsdirektør Frode Vik Jensen i Deloitte i en epost til digi.no.

Sauser alt sammen
Etter hvert i den langdryge prosessen blir Microsoft Norge selv mer og mer aktive. Først etter et betydelig antall møter griper Microsoft inn og instruerer Deloitte, forteller Århus.

– Det burde de gjort allerede før prosessen. Deloitte skjønte heller ikke at vi hadde to ulike lisensavtaler, en for campus (skole og utdanningssektoren) og en for det administrative. De sauser alt sammen.

Kommunen presiserer at de har veldig mange grupper ansatte som ikke bruker IT-verktøy. Å beregne lisenskrav etter en ren opptelling av totalt antall ansatte blir da urettferdig.

– Vi har heldigvis god kompetanse og avtaleforståelse. Jeg synes synd på andre kunder som blir utsatt for denne typen autoritet uten å ha det. Tenk mellomstore eller små kommuner som gir etter uten å bruke tiden det tar å rette opp.

– Totalt meningsløst
Århus er usikker på om Microsofts kunder har grunn til å føle seg lurt i slike tilfeller, men er iallfall sikker på at det er «totalt meningsløst» å bruke å så mye tid på en prosess for gjennomgang av programvarelisenser.

– Jeg er mest bekymret hvis andre utsettes for dette uten å klare å stå imot, sier IT-direktøren.

Tilbake til start
Bergen kommune så tidlig at lisensgjennomgangen bar galt av sted. Da prøvde de å involvere Microsoft.

– Til slutt var det en del møter vi nektet å gjennomføre hvis ikke Microsoft Norge også deltok. Etter hvert ble de mer og mer aktive. Og til slutt.. Historien endte med ingenting.

Med ingenting mener Kjetil Århus at kommunen til slutt vant frem med sitt opprinnelige standpunkt. Kommunen har og hadde en ryddig oversikt over lisensbruken. De rapporterer inn jevnlig, slik de skal etter avtalene.

– I noen år har vi hatt en økning i bruken og da fått tilleggsregning. Dette året hadde vi ikke økning og var à jour. Det endte med at vi var korrekt lisensiert, sier han.

Men å vinne frem med synspunktet de har hatt hele veien tok altså ni måneder.

– Hva burde vært gjort annerledes?

– Hvis Microsoft skal granske sine norske kunder med tredjeparts revisjonspartnere, så må de skolere dem på hvilke avtaler kundene har. Det nytter ikke å komme med europeiske eller amerikanske revisjonsmetodeverk uten å kjenne til gjeldende avtaler. Kunnskap om lokale forhold og avtaler må jo være en forutsetning for å gjøre en god jobb, sier Århus.

Microsoft: Beklager på generell basis
Microsoft opererer med ulike former for lisensgjennomgang. Retten til å føre kontroll fremgår av alle lisensavtalene og er en betingelse for å benytte programvaren.

Alle kunder kan forvente å bli kontaktet i forbindelse med en eller annen form for lisensgjennomgang minst én gang i løpet av en treårsperiode, opplyser programvaregiganten.

Etter det digi.no erfarer er lisensrevisjon (audit) regnet som mest «ubehagelig» for kunden, mens det Bergen kommune opplevde var en såkalt SAM («software asset management») Baseline-prosess, som i utgangspunktet skal være en snillere prosess. I senere artikler skal vi gå nærmere igjennom forskjellene.

Hilde Lervik er med tittelen «Anti-Piracy Lead» sjef for Microsoft Norges anti-piratvirksomhet. Det er hun som er ansvarlig for lisenskontrollene.

– Bør Microsofts norske kunder forvente at en lisensrevisjon kan ta bortimot ett år å gjennomføre?

– Tiden dette tar varierer veldig fra kunde til kunde og avhenger av kompleksitet, sier Lervik.

– I hvilken grad er Bergen kommunes opplevelse representativ for andre kunder?

– Vi kan ikke kommentere på spesifikke avtaler eller prosesser som vi har med våre kunder. Generelt sett synes vi det er sterkt beklagelig hvis våre kunder har en dårlig opplevelse med SAM Lisensgjennomgang (som dette var) eller revisjoner/Audits. Microsoft Norge har løpende kontakt med våre partnere innen dette området og alle tilbakemeldinger blir selvfølgelig tatt svært alvorlig og vi forbedrer våre egne og partners prosesser kontinuerlig.

digi.no ønsker å rette søkelyset på Microsofts praksis med lisensrevisjon. Har du tips eller egne erfaringer? Kontakt vår journalist på e-post eller mobil 90 85 88 19. Vi behandler alle tips konfidensielt.

EU-kommisjonen har gitt tillatelse til surfing på mobil og nettbrett på fly i europeisk luftrom.

Tidligere har det vært forbudt for flypassasjerer å bruke 3G- og 4G-forbindelse til å surfe på mobilen.

Men i over 3.000 meters høyde har det vært tillatt å ha sendere til den eldre generasjonen av mobilforbindelser, som hovedsakelig brukes til samtaler og sms.

Det nye vedtaket som ble fattet torsdag baner vei for at flyselskapene kan tilby å bruke mobildata under flygingene over 3.000 meters høyde.

Bakgrunnen for det tidligere forbudet har vært frykt for at signalene kunne forstyrre flyets utstyr til radioforbindelser til bakken. Men det nye systemet skal flyene ha forbindelse til bakken via en satellitt, inntil en sikker kommunikasjon direkte mellom flyet og landjorda er på plass.

For noen uker siden sa også amerikanske luftfartsmyndigheter ja til å fjerne mange av begrensningene på bruken av elektroniske dingser på fly.

– Etter hvert vil passasjerer kunne lese e-bøker, spille spill og se film på sine telefoner, nettbrett og datamaskiner i alle faser av flyturen, med svært få restriksjoner, het det i en uttalelse fra den amerikanske luftfartsmyndigheten Federal Aviation Administration (FAA).

De nye reglene vil imidlertid ikke åpne for bruken av mobiltelefoner til samtaler underveis. (©NTB)