KOMMENTAR: Normalt er det ikke pent å mobbe et ransoffer, men her må vi gjøre et unntak.

Adobe opplevde nylig alle moderne kunnskapbedrifters store skrekk. Noen tok seg inn og knabbet en masse kildekode til produktene deres. Levebrødet.

Med på lasset fikk tyvene med seg persondata tilhørende 153 millioner kunder, hvorav minst 38 millioner aktive brukere. Det inkluderer i alle fall navn, brukernavn, passord, e-postadresser og kortopplysninger.

Ting som det i utgangspunktet er kjipt ikke å ha full kontroll med, og særlig for selskapet som mer enn noen andre har sluttet å selge programvare – alt i et forsøk på å få kundene til å skaffe seg abonnement og leie verktøy som Photoshop, Illustrator, Acrobat og så videre i stedet for å kjøpe til odel og eie som før.

Men datainnbrudd kan ramme alle. Sympatien lå derfor først hos det som er verdens fjerde største programvareutvikler. Ikke nå lenger.

For etter nærmere betenkningstid kan Adobe nå fortelle at de stjålne passordene slett ikke var hashet, slik de tidligere har antydet.

Passordene var bare kryptert med 3DES, noe som kan gjøre et enklere å knekke dem, ifølge Telenors sikkerhetssenter.

Angriperne kom over en backup-løsning som egentlig skulle vært lagt ned. Da hjelper det lite at Adobe senere skal ha begynt på ta i bruk ekstra beskyttelse, noe alle sikkerhetseksperter og utviklere flest vet er god skikk i omgang med persondata som krever sikring.

Enveis-kryptering alene kommer nemlig ofte til kort. Det er først i kombinasjon med teknikkene hashing og salting at krypterte passord oppnår en anerkjent grad av sikring. Først da blir det virkelig vanskelig for uvedkommende å knekke dem.

Og her tråkket altså Adobe i baret. Ikke bare har de hatt et lemfeldig forhold til sikring av databasene. De har også brutt med elementær tankegang og rutiner rundt sikring av kundenes passord.

Ikke bare er det nå mulig å gjette seg fram til passordene, som for lengst er spredd i fildelingsnettverk på internett. Sikkerhetsselskapet Sophos redegjør for at passord-hint samtidig lå lagret i klartekst. Passord-katastrofen er et faktum.

Adobe kan pelle seg inn i skammekroken.

Lavabit og Silent Circle hadde ikke noe annet valg enn å stenge sine respektive krypterte e-postjenester.

Det skjedde etter krav fra amerikanske myndigheter om innsyn som truet med å blottlegge brukernes kommunikasjon. Tjenestene som var laget for å unngå overvåkning valgte da heller å legge ned.

«Mørk e-post»
Lavabit-gründeren Ladar Levison har imidlertid ikke tenkt å gi seg med det. Nå går han sammen med nevnte Silent Circle og starter en kronerulling på Kickstarter.

Målet er å hente inn nærmere 200.000 dollar til utvikling av såkalt «mørk e-post» i betydning en ny avlyttningssikker protokoll for elektronisk post i åpen kildekode. Innsamlingen har stor fart og det er hentet inn flere tusen dollar i støtte bare mens denne artikkelen ble skrevet.

Arbeidet skal sikre ende-til-ende-kryptering både av selve meldingens innhold og i overføringen. Prosjektet planlegger også å lansere klienter for både Windows, Mac, Linux samt smarttelefoner og nettbrett i form av iOS og Android.

Dette i motsetning til vanlig e-post som verken har konvolutt, signatur eller noen iboende sikring. Dagens epost-protokoll med sine røtter helt tilbake på 1960-tallet er helt blottet for sikkerhetsarkitektur.

Fordi krypteringen blir del av selve protokollen vil «mørke e-postmeldinger» ikke kunne avskjæres og leses av uvedkommende. Brukerne loves den samme sikkerheten som PGP-kryptering gir, uten noe plunder og heft.

– Hvis noen bruker e-post i dag, så vil de kunne bruke Dark Mail i morgen, heter det.

Dark Mail Alliance ber nå likesinnede virksomheter om å ta del i initiativet.

HGST, som nå eies av Western Digital, lanserte i går en harddisk litt utenom det vanlige. For det første er dette den første harddisken med lagringskapasitet på 6 terabyte. Men slike rekorder settes jo jevnlig. Det er andre egenskaper som gjør Ultrastar He6 virkelig spesiell.

Ultrastar He6 er nemlig den første harddisken som er basert på HGSTs HelioSeal-plattform, som ble avduket allerede i september i fjor. Harddisken er hermetisk lukket og fylt med helium. Bortsett fra at helium har en sjuendedel av massen til luft, oppgir ikke HGST nøyaktig hva det er ved helium som er så fordelaktig. Men det er tydelig at dette har stor effekt for både kapasitet, effektforbruk, vekt og kjøling.

Den nye harddisken leveres med en helt ordinær 3,5 tommers formfaktor. Inne i harddisken har HGST fått plass til hele sju plater, samtidig som at høyden er den samme som selskapet 4 terabyte harddisk med fem plater. Samtidig er effektforbruket til harddisken på tomgang redusert med 23 prosent til 5,3 watt, mens vekten er redusert med 50 gram til 640 gram.

Lavere effekt betyr redusert behov for kjøling, noe som er viktig ikke minst i datasentre. Men fordi Ultrastar He6 også er hermetisk lukket, kan harddisken brukes sammen med væskebaserte kjøleanlegg, så lenge væsken som benyttes er ikke-ledende. Vanlige harddisker er ganske tette, men blir ifølge HGST skadet dersom de dyppes i slik væske.

De nye heliumfylte harddiskene har blitt utviklet i samarbeid med flere større leverandører og brukere av lagringssystemer. De skal allerede ha blitt testet hos Netflix og CERN, som begge har planer om å ta disse harddiskene i bruk. Begge de to virksomhetene har store behov for lagringsplass, og harddiskenes reduserte krav til plass og kjøling fører til reduserte kostnader.

Brygging av øl har lange tradisjoner i kongeriket Norge. Tilbake i middelalderen var det lovpålagt å brygge den skummende drikken. Lovbrytere risikerte strenge straffer.

De siste årene har kunsten fått en moderne renessanse og interessen for «flytende korn» er sterkt økende. Ikke minst blant teknologer.

Tørste ingeniører
Før helgen stilte Bouvet sine lokaler i Myrens verksted på Torshov i Oslo til disposisjon og inviterte til historiens første NM i ølbrygging for IT-bransjen.

– De to største gruppene innen hjemmebrygging er faktisk lærere og IT-folk, forteller primus motor Anders Volle i Bouvet til digi.no.

Volle er selv Oslo-mester i ølbrygging og medlem i Norsk Hjemmebryggerforening (Norbrygg) og burde således vite hva han snakker om.

– Da jeg deltok på JavaZone i september var det nesten ikke en stand der man ikke diskuterte ølbrygging. Hvorfor akkurat denne kombinasjonen? Begge deler er jo nerding. Man må være nøye med på temperaturer, og noen bygger avanserte webapplikasjoner for å følge med på gjæringsprosessen, sier han.

Høy kvalitet på ølet
Arrangementet fredag blir beskrevet som en suksess. De 240 plassene til øltørste publikummere var revet bort i forkant. Rundt 24 virksomheter var representert med til sammen 37 ulike konkurrerende brygg.

En av dommerne var Lars Marius Garshol fra Bouvet. Han uttaler følgende etter mesterskapet:

– Det var gjennomgående høy kvalitet på ølene, så det er helt tydelig at det er mange flinke bryggere blant IT-folket. Og ikke minst var det stor variasjon, og mange kreative øl. Vi hadde blant annet en grønn berliner weisse, en øl med kantarell og en røkt saison.

Helt til topps gikk en smektende variant fra Hafslunds Jon Andreas Pretorius, som fagjuryen mente var best. Publikumsprisen ble vunnet av Colin Eick, Håkon Zahl (Schlumberger), Stian Danenbarger (Bouvet) og Wolfgang Roger Eick.

Foruten arrangør Bouvet deltok ansatte fra virksomhetene med opptil flere hjemmebryggede øl i mesterskapet: Accenture, Aker Solutions, Avento, Bekk, Comoyo, Conduct, Finn.no, Fredrikstad kommune IT-avdeling, Hafslund, HP, Idium, IFI (UiO), Iterate, Logic, Making Waves, Mnemonic, Novanet, Roaf, Steria, Teknograd, Telecomputing, UiB og Visma.

<!–

–>

Hele resultatlisten er som følger.
Fagjuryens pris:

1. Jon Andreas Pretorius, Hafslund
2. Colin Eick, Håkon Zahl (Schlumberger), Stian Danenbarger (Bouvet), Wolfgang Roger Eick
3. Kåre Blakstad (Finn.no), Kristian Nordal (Arktek)

Publikumsprisen:

1. Colin Eick, Håkon Zahl (Schlumberger), Stian Danenbarger (Bouvet), Wolfgang Roger Eick
2. Harald Berge (Roaf)
3. Kristian Otnes (Bouvet)
4. Kåre Blakstad (Finn.no, Kristian Nordal (Arktek)
5. Erik Ingebrigtsen (Aker Solutions)
6. Arnstein Søndrol (Bouvet)

New York Times mener at forholdet mellom NSA og webgiganter som Google, Facebook og Twitter har endret seg fra et samarbeid til krig. Spesielt forrige ukes avsløring om at NSA har koblet seg til de ikke-krypterte, interne fiberforbindelsene til flere av disse selskapene, har satt sinnene i kok.

Alle de store, amerikanske webaktørene behandler offisielle forespørsler fra blant annet NSA om utlevering av brukerdata. Men mye tyder på at disse forespørslene bare har vært et dekke for den virkelige datainnsamlingen, som skal ha blitt gjort bak rygge på disse selskapene.

Det skal være flere årsaker til at de nevnte linjene har ikke har vært krypterte, men ytelse og kostnader er trolig de viktigste, sammen med en tydelig feilslått tro på at amerikanske etterretningstjenester spiller med åpne kort.

Noen av disse selskapene har nok likevel hatt en mistanke om at slikt har foregått. Blant annet ble det allerede i september kjent at Google hadde fremskyndet planer om ende-til-ende-kryptering mellom selskapets ulike datasentraler. Dette var likevel lenge etter de første av Edward Snowdens avsløringer.

Til New York Times sier Christopher Soghoian, en analytiker ved American Civil Liberties Union, at alle de store selskapene, riktignok i varierende grad, nå gjør tiltak som skal sikre at det blir vanskeligere å drive overvåkning uten deres samtykke.

– Men det de ikke kan gjøre, er å designe tjenester som virkelig holder myndighetene ute. Dette skyldes dere annonsebaserte forretningsmodell, og de er ikke villige til å gi opp denne forretningsmodellen, mener Soghoian.

Tiltak
New York Times nevner en del eksempler på hva de ulike selskapene har gjort for å skjerpe sikkerheten. De aller fleste har gjort eller vil gjøre sikre HTTP-forbindelser til standard. Både Google, Facebook og Yahoo har økt lengden på nøklene som kreves for å dekryptere dataene. Facebook skal ta i bruk Perfect Forward Secrecy, noe som innebærer at det genereres nye nøkler til hver økt eller melding. Google tok i bruk dette allerede i 2011. Dessuten skal innholdet i flere tjenester krypteres.

I alle fall Google, Microsoft, Facebook, Yahoo, Apple og AOL har flere ganger skrevet åpne brev til amerikanske myndigheter med bønn om å få lov til å fortelle mer om mengden av forespørsler de selv får fra NSA og andre amerikanske etterretnings- og sikkerhetstjenester. Det kan kanskje virke litt unødvendig nå, dersom også de nyeste lekkasjene stemmer. Men selskapene ønsker tilsynelatende å få fram mest mulig informasjon, noe som kanskje kan gi dem en mulighet til å renvaske seg for de opprinnelige påstandene, om at de bistår NSA i den massive overvåkningen.

I tillegg til Facebook-gründer Mark Zuckerberg, som har kommet med syrlig kritikk mot de amerikanske myndighetene, er det Google-ledelsen som uttalt seg mest kritisk om innholdet i avsløringene, i alle fall offentlig.

Men også i fortrolige samtaler skal temperaturen ha vært høy. Både Google-sjef Larry Page og sjefadvokat i selskapet, David Drummond, ha sagt at de følte seg forrådt av myndighetene da NSA-lekkasjene begynte og myndighetene unnlot å forklare offentligheten hvilken rolle teknologiselskapene egentlig spiller i denne saken. Dette forteller tre ikke navngitte kilder til New York Times.

Erics Schmidt
I dag publiserte Wall Street Journal et videointervju med Googles styreformann, Eric Schmidt.

På spørsmål om hva Schmidt mener om Snowden og hans lekkasjer av klassifisert informasjon, innleder han med å gå til angrep på NSA.

– Det er virkelig skandaløst at National Security Agency så etter mellom datasentrene til Google, dersom dette stemmer. Skrittene den organisasjonen var villige til å ta uten god rettsstøtte for å utføre sitt ærend og potensielt krenke folks personvern, er ikke OK. I lys av dette har Snowdens avsløringer hjulpet oss med å innse at det er fullt mulig at flere avsløringer gjenstår, sier Schmidt.

Han nevner et eksempel, nok en gang med forhold om at det stemmer, hvor NSA skal ha samlet inn informasjonen om telefonsamtalene til 320 millioner mennesker for å identifisere omtrent 300 personer som kanskje kunne være en risiko. Schmidt mener dette er en svikt i de grunnleggende rettsprinsippene.

– Du er nødt til å innta et sterkt standpunkt til fordel for personvern. Personvern er virkelig den retten som må få være i fred, sier han.

Men det er ikke så enkelt å bli klok på Schmidt når det gjelder personvern. I en del tilfeller må pressen ta noe av skylden for dette, ved å ta ting ganske ut av sin sammenheng.

For eksempel er sitatet «… dersom du har noe du ikke ønsker at noen skal vite om, burde du kanskje ikke ha gjort det i utgangspunktet» hentet fra en uttalelse om at e-postmeldinger blir oppbevart på servere, og at de fleste stevninger Google får (i 2009) angående kriminelle, handler om utlevering av e-post.

Men for knapt to måneder siden sa Schmidt i et intervju med The Guardian noe helt annet enn det han sier i dag.

– Det har vært spionasje i årevis, det har vært overvåkning i årevis, også videre. Jeg skal ikke avsi noen dom over dette, det er en del av vårt samfunns natur, sa Schmidt den gang.

Nå har pipen fått en ganske annen lyd.

KOMMENTAR: I forrige uke fant justisdepartementet det hensiktsmessig å skryte av en ny sikkerhetsløsning for statsråder og nøkkelpersoner i departementene: Disse skulle få en mulighet til å kryptere sine mobilsamtaler.

Digi.no var et av flere medier som ba om å få vite mer om denne ordningen. Justisdepartementet nektet å si noe, av sikkerhetsmessige hensyn. Nasjonal sikkerhetsmyndighet (NSM) lot derimot en medarbeider beskrive løsningen på en åpen blogg.

Tilfellet viser at to offentlige instanser, begge med nøkkelroller innen nasjonal sikkerhet og beredskap, har ulike oppfatninger om hvor skillelinjen bør gå mellom det man skal og ikke skal gi innsyn i.

Økt åpenhet sto sentralt i statsministerens løfter til det norske folk etter 22. juli 2011. Statsministeren erkjente at manglende åpenhet var medvirkende til at terroren og massemordene kunne skje. Graden av åpenhet og innsyn framstår følgelig som en målestokk for hvor mye samfunnet har lært av tragedien.

Åpenhet er sentralt for mediene. Man kan ikke kritisere det man ikke vet. Man kan ikke kritisere uten innsyn. Det er populært å framheve medienes kritiske rolle. Det er et tankekors at det ikke er like populært å gi mediene innsynet de trenger for å kunne kritisere.

Som tilfellet med justisdepartementet og regjeringens nye løsning for mobilkryptering viser, ønsker man ros for å innføre et nytt sikkerhetstiltak. Man ønsker derimot ikke å åpne for kritikk av sikkerhetstiltaket.

Det er ikke prinsipielt galt å nekte innsyn i sikkerhetstiltak. Det kan være legitime grunner til både å nekte innsyn og til å gi det. Det kan være vanskelig å finne hvor skillelinjen bør trekkes. I dette tilfellet trakk justisdepartementet og NSM skillelinjen på helt forskjellige steder.

22. juli 2011 burde for alvor satt sikkerhetstiltak på den offentlige dagsorden. I Norge føres diskusjon om sikkerhet på et dilettantisk nivå. Forslaget om å sperre området rundt regjeringskvartalet i Oslo for biltrafikk ble aktivt og bevisst motarbeidet av mediene, ikke med utgangspunkt i departementsansattes sikkerhet, men med utgangspunkt i mulige negative følger for bymiljøet. Breivik-dommen i Oslo tingrett (24. august 2012) dokumenterer utilstrekkeligheten i det offentlige ordskiftet. Mer åpenhet kunne gitt en mer begrunnet debatt, og kanskje satt fart i et tiltak som i dag, i etterpåklokskapens lys, framstår som innlysende.

Mer åpenhet om sikkerhetsspørsmål kunne kanskje gjort AUF-erne på Utøya mer skeptiske overfor den falske politimannen som dukket opp uanmeldt. Kanskje de hadde tenkt på å innhente en uavhengig bekreftelse på at en politimann var sendt for å beskytte dem.

Kanskje et offentlig ramaskrik om politiets udugelige samband og utilstrekkelige utrustning hadde utløst en utvikling der de kunne ha utnyttet de mulighetene de beviselig hadde for å stanse terroristen før han rakk å gjennomføre massemordet på Utøya.

Altså er det et åpenbart behov for mer åpenhet om sikkerhetstiltak. Justisdepartementet bør merke seg dette, og være mer innstilt på å utsette seg for kritikk.

Så er spørsmålet: NSM er mer åpne enn justisdepartementet. Er de åpne nok? Trekker de skillelinjen på riktig sted?

Redaksjonen i digi.no ba leserne sende innspill til spørsmål om regjeringens nye løsning for mobilkryptering. Vi fikk gode tips, og vi samlet disse i en lang e-post som vi sendte til både justisdepartementet og NSM.

Vi fikk samme svar fra begge: Ingen kommentar. Justisdepartementet holdt fast ved sin skillelinje. NSM var ikke villig til å rokke ved sin.

Hvor bør skillelinjen gå? Har digi.no trådt over en strek ved å be om innsyn i opplysninger som kunne skadet rikets interesser dersom de ble kjent?

Spørsmålene som også NSM nekter å besvare, gjelder tre hovedområder. Et er den kjente motsetningen mellom «sikkerhet gjennom åpenhet» kontra «sikkerhet gjennom uklarhet». Et annet gjelder alternativer til den valgte løsningen TopSec Mobile.

Det tredje tema gjelder en teknologisk detalj: Muligheten for at løsningen har en bakdør til den amerikanske etterretningstjenesten NSA.

Når gir uklarhet bedre sikkerhet?
En leser støtter at justisdepartementet ikke ville fortelle hvilken løsning som var valgt for mobilkryptering. Han vil gjøre høystakken som en angriper må lete i for å finne sikkerhetsnålen, så stor som mulig. Ved å la være å opplyse om den konkrete løsningen, gjør man livet vanskeligere for spionen. NSM ville ikke kommentere dette.

At TopSec Mobile bruker 256-bit utgaven av AES-algoritmen for å kryptere mobil tale, vakte allmenn anerkjennelse. Det er en anerkjent åpen standard, der sikkerheten ligger i matematikken og ikke i hemmelighold: Åpenhet og sikkerhet går hånd i hånd.

På den andre siden er det et spørsmål om hvordan algoritmen er implementert. Har man hatt adgang til kildekoden til TopSec Mobile? Har man i så fall gjennomgått koden? Hva er grunnlag for tilliten til at TopSec Mobiles implementasjon er tilfredsstillende?

Selve produktet
TopSec Mobile er tilleggsutstyr til vanlig smartmobil eller bærbar pc. Tilleggsutstyret krypterer samtalen og formidler den som tale over IP. Sambandet håndteres av egne servere. Det betyr at samtalen er kryptert fra ende til ende. Eventuell datafangst hos en teleoperatør vil følgelig ikke kunne avsløre noe av innholdet i samtalen.

TopSec Mobile er tilleggsutstyr som ikke gjør noe med selve mobilen. Løsningen vil kunne angripes gjennom mobilen, for eksempel gjennom en app som fanger opp en samtale og formidler den over mobilnettet. Spørsmålet er ikke hvor sannsynlig det er, men hvorvidt det er mulig. Digi.no spurte også om hvorvidt NSM vurderte denne risikoen da de valgte løsningen. Det får vi altså ikke svar på.

Hvorfor valgte ikke NSM heller å utstyre statsrådene og nøkkelpersonene med en dedikert mobiltelefon med innebygget ende-til-ende kryptering? Lesere viser til den såkalte Merkel-mobilen.

Mistanke om NSA-bakdør
TopSec Mobile bruker en ikke-oppgitt ECC-løsning («elliptic curve cryptography») til nøkkelutveksling når samtalen settes opp. Man behøver ikke være konspiratorisk anlagt for å stusse over hvorfor de ikke presiserer hvilken ECC-løsning de har valgt.

Årsaken er at det gjennom mange år i sikkerhetsmiljøer har heftet mistillit til en bestemt ECC-løsning, kjent som Dual_EC_DRBG.

I november 2007 skrev digi.no: Anbefalt krypto-nøkkel kan ha bakdør, inspirert av bloggen til Bruce Schneier, The Strange Story of Dual_EC_DRBG.

Dual_EC_DRBG er en standard fra det amerikanske standardiseringsorganet NIST, National Institute of Standards and Technology. Schneier fortalte om en sårbarhet i standarden, som under visse omstendigheter kunne gjøre det mulig for en med helt spesiell kunnskap og dekryptere meldinger håndtert av løsningen. Sårbarheten burde ha ført til at standarden ble avvist. Men det satt tre representanter fra NSA i komiteen, og standarden ble stående, til tross for andre mangler, blant annet dårlig ytelse.

Schneier antydet følgelig en mistanke: Amerikansk etterretning har fått vedtatt en kryptostandard med en mulig bakdør som kan gi dem tilgang til informasjon som standarden skulle verne mot innsyn.

I høst ble det kjent at dokumenter lekket av Edward Snowden styrker denne mistanken.

Dokumentene tyder på at NSA har skrevet selve standarden Dual_EC_DRBG, og at det har skjedd med tanke på å sikre etterretningstjenesten en anledning til å avlytte kommunikasjon, for eksempel nøkkelutveksling i forkant av en kryptert samtale. Den som fanger opp nøkkelutvekslingen i forkant av en samtale med utstyret til TopSec Mobile, vil kunne følge med i selve samtalen.

Artikkelen hele sikkerhetseliten bruker den gjør rede den styrkede mistanken til Dual_EC_DRBG, og gir en oversikt over validerte implementasjoner.

Selskapet bak TopSec Mobil står ikke på listen over validerte implementasjoner av Dual_EC_DRBG. Det kan likevel ikke utelukkes at de har valgt nettopp denne ECC-løsningen.

Er det interessant å vite om NSM har tillatt justisdepartementet å kjøpe en krypteringsløsning med bakdør til amerikansk etterretning?

NSM kunne ha avkreftet dette formelt ved å besvare spørsmålet digi.no stilte: Er det sjekket at ECC-løsningen i TopSec Mobile ikke er berørt av denne mistanken?

NSM valgte å ikke avkrefte denne mistanken.

Et siste spørsmål: Er dette en hensiktsmessig måte å håndtere balansegangen mellom innsyn og sikkerhet på?

21. oktober var flere hundre ansatte i IKT-staben til NAV og deres nå nedlagte moderniseringsprogram samlet på et konferansehotell på Fornebu utenfor Oslo. Samlingen var tilfeldigvis sammenfallende med den første leveransen som moderniseringsprogrammet hadde gjort til NAV.

NAV-direktør Joakim Lystad omtalte leveransen som en «ny grunnmur» og en «teknisk plattform» som NAV skal bygge videre. Men ikke alle i NAVs enorme organisasjon deler denne entusiasmen.

I forkant av arrangementet ble det holdt en limerick-konkurranse. Vinneren skulle offentliggjøres under middagen. I juryen satt en sentral leder i IKT-staben til NAV. Vinneren ble denne limericken.

«NAV skulle modernisere
Og gikk over bekken etter flere
Det gikk ikke bra
Og Joakim sa
Dere kan jo faen ikke levere!»

Bekken i verset er Akerselva: NAV har kontorer på hver sin side av Akerselva oppe ved Sannergata i Oslo. Joakim er Joakim Lystad, toppsjef i NAV.

Mottagelsen var blandet da nidverset ble lest opp. Flere ansatte syntes ifølge våre kilder dette var veldig morsomt, og bifalt limericken med applaus. De NAV-ansatte som jobbet i moderniseringsprogrammet reagerte imidlertid svært negativt på den åpenbare hetsen. At det var en av NAVs sentrale IT-direktører som var med å kåre limericken til det beste bidraget gjorde ikke saken bedre.

To dager etterpå sendte den samme lederen ut en e-post til samtlige deltagere på arrangementet hvor han la seg paddeflat.

– Jeg er veldig lei meg for at jeg ikke brukte hodet mitt på en mer fornuftig måte mandag kveld. Limericken som ble presentert under middagen såret mange som har stått på i flere måneder og gjort en fantastisk jobb for å lykkes med moderniseringsleveransen. Det var tankeløst av meg og naturligvis ikke hensikten. Jeg vil på det sterkeste beklage det som ble sagt i denne forbindelse, og at jeg publiserte denne limericken. Håper alle kan akseptere min beklagelse, skriver lederen i e-posten digi.no har fått innsyn i.

Fredag samme uke ble det kjent for de ansatte, og omverdenen, at moderniseringsprogrammet til NAV blir lagt ned. I stedet skal ressursene flyttes inn i «linjen.»

I sin interne kommunikasjon har Joakim Lystad gitt følgende forklaring på hvorfor de omorganiserer prosjektet, som har en ramme på hele 3,3 milliarder kroner.
«Arbeidet med uførereformen har vært mer komplisert og krevende enn vi først forutså. I tillegg har arbeidet lagt beslag på mye ressurser og IKT-kapasitet. Jeg mener at vi ikke har hatt god nok effektivitet i moderniseringsarbeidet, og at vi ikke har samarbeidet godt nok på tvers. (vår utheving, red. anm.) I toppledergruppen har vi diskutert om måten vi har gjennomført arbeidet på så langt, er den rette modellen for resten av moderniseringsarbeidet.»

Teknisk Ukeblad kunne tidligere i høst fortelle at lederen for moderniseringsprogrammet fikk nye oppgaver i sommer, og at prosjektet ble kraftig nedskalert de siste månedene – før det ble parkert i slutten av oktober.

Når digi.no konfronterer ledelsen i NAV med limericken tar de sterk avstand fra den og understreker at dette ikke er representativt for etatens syn på moderniseringsprogrammet. IKT-direktør Nina Aulie skriver i en e-post at vedkommende leder i ettertid har tatt det svært tungt.

– Limerickens innhold oppsummerer ikke holdningen til verken ledelsen eller IKT avdelingen. Da jeg stilte lederen spørsmål om saken, så er det min oppfatning at det der og da gikk opp for ham at dette var både uheldig og ubetenksomt og egnet til å bli oppfattet på en uønsket måte. Han tok dette tungt og har siden beklaget til de som var tilstede på samlingen og til moderniseringsprogrammets ledelse, forteller Aulie til digi.no.

Har du tips eller innsyn i hva som skjer i NAV? Ta kontakt med oss i all fortrolighet: Enten på e-post ([email protected]) eller mobil: 92839359.

Get satte opp hastighetene på bredbåndet de tilbyr sist i mars 2012.

M-abonnementet, et av deres mest populære produkter, fikk den største prosentvise fartsøkningen med et hopp fra 20 til 30 megabit/s i nedlasting. Opplastingen gikk samtidig fra 2 til 5 megabit.

Flaskehals
Men drøyt halvannet år senere er det fortsatt noen kunder som betaler de samme 479 kroner i måneden som før, uten å få glede av fartsøkningen.

Hvorfor? De har rett og slett ikke byttet det gamle bredbåndmodemet, som ikke støtter mer enn 20 megabit i sekundet og følgelig er en flaskehals.

– Vi økte hastigheten fra 20 til 30 Mbps – uten å øke prisen, og kundene som ønsket den nye hastigheten kunne bytte modemet fra en versjon som støttet 20 Mbps (Eurodocsis 2.0-standarden) til den helt nye standarden Eurodocsis 3.0. Dette modemet håndterer hastigheter inntil 400 Mbps, forteller informasjonssjef Anders Bigseth i Get til digi.no.

Selskapet har opplyst om nødvendigheten av å bytte utstyret, blant annet i intervju her på digi.no og informasjonsbrev til kunder, men det har tydeligvis ikke alle fått med seg.

Modem-tørke
Kort tid etter hastighetsøkningen gikk de dessuten tomme for nye modem.

– Modemleverandøren vår hadde dessverre produksjonsutfordringer akkurat da omleggingen ble gjort.

Dessverre for berørte kunder er Get også i disse dager tomme for modem, og denne gangen vet de ikke når situasjonen vil bedre seg.

Get som har rundt 237.000 bredbåndskunder i Norge (tallet er eksklusiv partnere) ønsker av konkurransehensyn ikke å røpe hvor mange kunder som sitter på utrangerte modem.

– Grunnen er at produktansvarlige i bransjen relativt enkelt kan regne hjem informasjon om oss, selv kun med bruddstykker av historien, skriver Bigseth.

Dermed vet vi ikke hvor mange M-abonnenter som maksimalt får 20 megabit selv om tilbudet de betaler for kan gi opptil 50 prosent mer.

Bigseth hevder at «det store flertallet av kundene har byttet modem». digi.no forsøkte å innvende at hvis bare et fåtall sitter på gammelt utstyrt, så er det neppe konkurransesensitivt å oppgi hvor mange de gjelder, uten at det hjalp.

– Svaret er at det store flertallet har byttet modem, og resten vil få informasjon etter hvert, sier informasjonssjef Anders Bigseth.

Mange pc-brukere benytter seg av sikkerhetsprogramvare som beskytter mot både skadevare og phishingforsøk, men de siste årene har mange av nettleserne blitt stadig bedre til å beskytte brukerne mot slikt på egenhånd.

En ny rapport fra NSS Labs – som riktignok bare tar for seg Chrome, Firefox, Internet Explorer og Safari – forteller at Firefox og Safari er best på å beskytte mot phishing, men er klart svakest i sin beskyttelse mot skadevare som benytter sosial manipulering. Internet Explorer har ifølge NSS Labs den svakeste phishingbeskyttelsen, men er best til å beskytte mot skadevare som benytter sosial manipulering, med blokkering av nesten 100 prosent av forsøkene. Chrome ligger noe bak teten på begge områder, men er nettleseren som har gjort de største framskrittene på disse områdene de siste årene.

Andre nettleserorienterte sikkerhetsrisikoer, slik som kjente sårbarheter, var ikke innenfor omfanget av testen.

Nå er det ikke all skadevarespredning som tar i bruk sosial manipulering. For eksempel kan ondsinnede bryte seg inn på legitime nettsteder og legge igjen ondsinnet kode der. I forbindelse med det ganske ferske tilfellet med nettstedet php.net, ble nettstedet blokkert av Chrome og Firefox, men ikke av Internet Explorer. Et enda ferskere tilfelle dreier seg om spredning av skadevare via annonser i Microsofts egen Bing-tjenestene.

For å stoppe slike tilfeller før de har blitt manuelt oppdaget og lagt i en svarteliste, må man kunne gjenkjenne selve skadevaren, siden det ikke benyttes noen spesielle metoder for å lokke brukeren dit. Tradisjonell «antivirusprogramvare» er gjerne nødvendig for å oppdage slikt, i all fall dersom skadevaren lastes ned ved hjelp av «drive-by download».

Chrome
Nå er det klar at Google Chrome snart vil kunne beskytte brukerne også mot slik spredning av skadevare, rett og slett ved å blokkere nedlasting av ondsinnede filer og å varsle brukeren om dette. Denne funksjonen er nå implementert i en tidlig testversjon (Canary) av en kommende Chrome-utgave og omtales her. Dette kommer i tillegg til Safe Browsing-funksjonaliteten, som var den som blokkerte skadevarespredningen via PHP.net. Men Googles Linus Upson oppgir ingen detaljer om hvordan den nye funksjonen vil oppdage skadevare.

Upson skriver derimot mer om en annen funksjon, som kan komme til nytte dersom man først har fått skadevare på maskinen. Ofte kan tilsynelatende attraktiv programvare gjøre uønskede endringer i nettleseroppsettet, for eksempel ved å installere verktøylinjer, endre startside eller injisere plagsomme annonser. Disse programmene og endringene de gjør, kan ofte være vanskelig å bli kvitt.

Den nevnte Canary-utgaven av Chrome inkluderer nå en mulighet til å tilbakestille nettleseren til «fabrikkinnstillingene».

Apple-direktør og øverste teknisk leder for iOS-utvikling, Henri Lamiraux, forlater selskapet der han har jobbet i store deler av sitt voksne liv.

Lamiraux var en høyt respektert leder, blant annet ansvarlig for applikasjonene som følger med iPhone, iPod og iPad, samt iOS-rammeverket som lar utviklere bygge programvare til plattformen, ifølge 9to5mac.

Han bekrefter for øvrig selv sin avgang på LinkedIn, der det fremgår at han har jobbet for Apple helt siden 1990.

Franskmannen jobbet i sin tid tett med daværende iOS-topp Scott Forstall på den originale iPhonen, og har ifølge The Verge satt sitt navn på en rekke sentrale patenter.

I nyere tid rapporterte han direkte til Craig Federighi, som overtok ansvaret for programvareutvikling av både OSX og iOS da Forstall fikk sparken i fjor høst.

Det er ikke klart hvem som etterfølger Henri Lamiraux, som nå har status som «pensjonert».