Det israelske IT-sikkerhetsselskapet Check Point har lansert en ny sikkerhetsarkitektur kalt Software Defined Protection (SDP). Arkitekturen er i prinsippet leverandøruavhengig.

I en hvitbok om SDP (pdf, 75 sider) presenteres prinsippene for arkitekturen. Underveis forklares det hvordan arkitekturen kunne spart Iran for skadene påført av det amerikansk-israelske kybervåpenet Stuxnet høsten 2010, og hvordan den kunne hindret sabotasjen mot RSAs SecurID våren 2011.

Stuxnet førte til skader på opptil 1000 sentrifuger i Irans urananrikningsprogram, hvilket gjorde at Irans atomprogram ble satt anslagsvis to år tilbake. Sabotasjen mot SecurID tvang RSA til å erstatte 40 millioner kodebrikker og skadet selskapets omdømme.

De siste tretti sidene i hvitboken forklarer hvordan SDP kan tillempes ved hjelp av produkter og tjenester levert av Check Point.

Arkitektur i tre lag
Check Point beskriver SDP som både arkitektur og metodologi. Andre ord som går igjen i hvitboken, er «pragmatisk», «modulær» og «smidig». SDP er ment å anvendes av spredte bedrifter og organisasjoner. Den virker også ved bruk av tjenester i nettskyen, og når de ansatte tyr til smartmobiler og andre typer mobile enheter. Det er en stor grad av automatikk, samt mulighet for effektive grep i krisesituasjoner.

Som med programvaredefinerte nettverk, er grunnideen å skille mellom ulike lag. SDP har tre lag: håndheving («enforcement»), kontroll og styring («management»).

Kjernen i dette er kontrollaget. Der samles og behandles trusselinformasjon fra en rekke kilder. Behandlingen uttrykkes i form av tiltak og regler som sendes til håndhevingslaget.

Håndhevingslaget gjør det kontrollaget gir beskjed om. SDP forutsetter en bestemt segmentering av nettverket, og at håndhevingen skjer på både fysiske og virtuelle punkter.

Styringslaget er der IT-sikkerhetsmannskapet kommer inn, med verktøy for å definere grunnleggende regler, definere segmenter, overvåke hendelser og håndtere kriser.

Det kreves høy ytelse i håndhevingslaget og dynamikk i kontrollaget. Oppfylles disse betingelsene lover SDP et nettverk som er i stand til å verne mot sikkerhetsbrudd også i perioder der trusselbildet endrer seg raskt. Ifølge Check Point støtter arkitekturen både tradisjonell nettverkssikkerhet og tilgangskontroll, og nye fenomener som programvaredefinerte nettverk og utstrakt bruk av mobile klienter.

Håndhevingslaget
På hvilke punkter i nettverket skal sikkerheten håndheves? Filosofien med å bygge mur rundt interne ressurser generelt, holder ikke, ifølge Check Point. I stedet må man identifisere hvilke entiteter – personer, utstyr, tjenester og data – som krever de samme tillatelsene, støtter de samme forretningsprosessene, angår de samme ressursene og kan underlegges det samme sikkerhetsnivået.

Dette må gjennomgås punkt for punkt, ressurs for ressurs. Et segment kan bare omfatte entiteter med de samme tillatelsene, som inngår i de samme forretningsprosessene, som angår de samme ressursene og kan underlegges det samme sikkerhetsnivået. Forskjell på ett av disse trekkene innebærer at entitetene ikke kan tilhøre samme nettverkssegment.

Når segmentene er definert, kan de grupperes og organiseres hierarkisk. Illustrasjonen øverst i denne artikkelen anviser en typisk måte å gruppere segmenter på. Ved hvert håndhevingspunkt kan trafikk sperres. Hver segmentgruppe – LAN, DMZ, de tre ulike servertypene – omfatter egne (under)segmenter.

På et samlepunkt øverst i hierarkiet plasseres en sikkerhetsport («security gateway») som konsoliderer segmentenes håndhevingspunkter.

Til slutt etableres pålitelige kanaler for å verne om samspill og dataflyt mellom nettverkssegmentene.

Segmentering mot Stuxnet
Stuxnet-smitten dukket opp i Irans urananrikningsanlegg ved at en smittet minnepinne ble koplet til en intern Windows-arbeidsstasjon. Derfra spredte den seg selv gjennom et internt nettverk, og nådde punkter med forbindelse til Internett. Da etablerte ormen kontakt med eksterne kontrollservere. Ormen utvekslet kode og informasjon med disse serverne: Det gjorde det mulig å infiltrere anleggets Scada-systemer. Sentrifugene fikk feilaktige instrukser fra Scada, samtidig som Scada-operatørene fikk tilbakemeldinger om at alt var i orden.

Check Point mener at en hensiktsmessig anvendelse av SDP på flere vis: SKP ville hindret smitte fra å overføres fra minnepinnen til arbeidsstasjonen. Et håndhevingspunkt på lokalnettet ville hindret etablering av kontakt med ormens kontrollservere. Riktig segmentering ville hindret operatør-pc-ene – de med tilgang til sentrifugenes kontrollsystemer – fra å være tilgjengelig over nettet.

Snokvern ved LAN- og WAN-segmentene kunne avdekket smitte og hindret spredning. Snokvernet ville analysert ormen og laget en skreddersydd signatur som kunne vært brukt til å rense systemet.

Kontrollaget
Kontrollagets oppgave er å uttrykke – i programvare – hva som skal defineres og hvordan, og fordele disse instruksene til fysiske eller virtuelle enheter, applikasjoner og tjenester, mobile enheter, og ressurser i nettskyen.

Laget skal avverge og motvirke trusler, verne om data, og sørge for tilgangskontroll i samsvar med anvisninger fra styringslaget.

At alt kontrollaget gjør, skjer i programvare, er nødvendig for at sikkerheten skal kunne reagere raskt og for at det ikke skal være påkrevet med endringer i maskinvare hver gang en ny trussel dukker opp eller det innføres ny teknologi i systemet. Det er også påkrevet, ifølge Check Point, at kontrollaget automatisk oppdaterer sine tiltak og regler på grunnlag av informasjon fra en mengde kilder, alt fra sikkerhetsfikser for applikasjoner til stordata om trusselbildet.

SDPs kontrollag er tilpasset teknologi for automatisk analyse av potensielle trusler og for risikoanalyse. Det fordrer at bedriften legger et grunnlag der hvert nettverkssegment utsettes for risikoanalyse.

RSA kunne greid seg bedre med SDP
Angrepet mot RSA startet med målrettet phishing for å lure ansatte til å åpne et råttent e-postvedlegg. Én lot seg lure. Vedlegget inneholdt et angrep gjennom en hittil ukjent sårbarhet i Adobe Flash, som lot angripere etablere et fotfeste i RSAs interne nett. Der rotet de rundt til de fikk samlet tilstrekkelig med bruker-ID-er til å oppnå privilegert tilgang. De fant fram til følsomme data rundt SecurID, og fikk hentet ut denne informasjonen.

Ifølge Check Point så RSA at de var under angrep, men de var ute av stand til å gripe inn. Korrekt implementert sikkerhet kunne avverget dataranet.

• Det infiserte vedlegget kunne vært testet i en sandkasse.
• Mens selve angrepet skjedde gjennom en ukjent sårbarhet, ble det brukt kjent ondsinnet kode for å fullføre angrepet. Denne koden burde vært blokkert.
• Den infiserte pc-en skulle ikke hatt tilgang til serverne med den følsomme informasjonen.
• Utgående tilgangskontroll hadde sperret for overføring av de følsomme dataene.
• De følsomme dataene burde vært lagret kryptert.

Styringslaget
Poenget med styringslaget i SDP er å integrere IT-sikkerhet med bedriftens forretningsprosesser. Tilgangskontroller i datanettverk utføres tradisjonelt overfor nettverksadresser og tjenester. Virtualiserte miljøer og tjenesteorientert arkitektur der nettverk rekonfigureres dynamisk gjør denne tilnærmingen vanskelig. Svaret er å løse dette med et modulært, åpent og herdet rammeverk.

Check Point legger to grunnleggende prinsipper til SDP. For det første skal administrator-oppgaver utføres med så lave privilegier som mulig, enten de utføres manuelt eller automatisk. For det andre skal oppgaver fordeles og ansvar delegeres.

Innen IT-avdelingen kan tilgangskontroll og trusselhåndtering fordeles til hver sin gruppe. Fordeling av brukerrettigheter kan delegeres ut av IT-avdelingen, og utføres av vanlige sjefer, gitt hensiktsmessige verktøy. Sluttbrukere skal selv stå ansvarlig for sikkerhetsvalgene de gjør. Ønsker man tilgang til en hittil ubrukt skytjeneste, skal det diskuteres, også fra et sikkerhetssynspunkt. Avgjørelser skal bygges inn i systemet, for å sikre synlighet.

Gartner kom i går med tall for det globale nettbrettmarkedet i 2013. Tallene viser at Android i løpet av fjoråret erstattet iOS som den dominerende nettbrett-plattformen. Ifølge Gartner skyldes dette i stor grad bedre kvalitet på de mindre og billigere nettbrettene, både fra kjente og mindre kjente leverandører.

Salget av Windows-baserte nettbrett økte betydelig i fjor, men Microsoft har enda mindre andel i nettbrettmarkedet enn i smartmobilmarkedet. Gartner mener at Microsoft nettbrett-økosystem har mislykkes i å oppnå noen større forbrukerinteresse

Roberta Cozza, forskningsdirektør i Gartner, sier at Microsoft er nødt til å skape et mer overbevisende økosystem for forbrukere på tvers av alle mobile enheter, siden nettbrett og smartmobiler er i ferd med å bli de viktigste enhetene for levering av applikasjoner og tjenester til disse brukerne. Microsoft og partnerne gjør det ifølge Gartner langt bedre i ultramobil-markedet, som er mer produktivitetsorientert.

Selv om Apple beholder plassen som største nettbrettleverandør med svært god margin, var Samsung på andre plass den globale leverandøren som virkelig opplevde stor vekst i nettbrettleveransene i fjor. Selskapet leverte 336 prosent flere nettbrett i 2013 enn i 2012. Også Asus, Amazon og Lenovo på de neste plassene økte leveransene av nettbrett i fjor, men veksten var langt svakere enn veksten til Samsung.

Svært mange pc-brukere benytter fortsatt Windows XP. Tallene som oppgis av ulike aktører, spriker veldig, men det dreier seg trolig om 15 og 30 prosent av brukerne.

Microsoft forsøker igjen og igjen å få disse brukerne til å forlate den gamle plattformen før supporttiden løper ut, noe den gjør den 8. april. Da er det slutt på sikkerhetsoppdateringer til Windows XP. Det er ingen tvil om at nettilknyttede, Windows XP-baserte pc-er vil bli ekstra utsatt for sikkerhetsangrep etter dette.

I et blogginnlegg i går kunngjorde Microsoft at brukere med Windows XP Home eller Professional, som oppdaterer operativsystemet via Windows Update, vil bli vist følgende advarsel fra og med den 8. mars.

Advarselen inkluderer en lenke til denne siden.

Advarselen vil deretter bli vist én gang i måneden, med mindre brukeren deaktiverer den.

Migrering
I blogginnlegget anbefaler Microsoft Windows XP-brukerne å ta i bruk verktøyet PCmover Express for å flytte brukerdata og innstillinger fra Windows XP-maskinen til en pc med Windows 7 eller nyere. Verktøyet skal gjøres tilgjengelig på denne siden i løpet av uken. En mer avansert utgave, som koster penger, skal også kunne flytte applikasjoner.

Det er mange mulige årsaker til at XP-brukerne ikke oppgraderer. For mange betyr en oppgradering at de må kjøpe en ny pc, i alle fall dersom de skal følge Microsofts råd om å ta i bruk Windows 8.1.

Konservative
Brian Fagioli i Betanews har en god kommentar om akkurat dette. Han skriver at den eneste virkelige grunnen til de som fortsatt klamrer seg til Windows XP har til å oppgradere, er sikkerheten. For disse brukerne kan budskapet om berøringsskjermer og Modern UI med helt egne apper rett og slett være frastøtende.

Fagioli mener at Microsoft i stedet bør trekke fram funksjonalitet som selv de konservative XP-brukerne raskt kan lære seg å sette pris på, for eksempel automatisk sikkerhetskopiering av personlige data, støtte for ny maskinvare, bedre skjermstøtte, bedre skadevarebeskyttelse og muligheten til å resette systemet uten at brukerens filer og dokumenter blir berørt.

Man hører svært lite om disse nyhetene i Windows 8 fra Microsoft. I stedet forsøker selskapet å selge Modern UI til brukere som egentlig vil ha Windows 7.

Det er riktignok fortsatt på konseptstadiet, men Datastickies ser ut til å kunne bli en spennende kombinasjon av Post-it-lapper og elektronisk lagring.

Konseptet er at informasjonen lagres på grafén; et materiale som består av ett lag av karbonatomer som er ordnet i et sekskantmønster. Materialet leder elektrisitet bedre enn silisium.

Les også: Fantastiske muligheter med grafén

Dermed mener skaperne av Datastickies at man kan lagre store mengder data på en overflate ikke tykkere enn et papirark. For å lese av dataene foreslås en optisk overføringsflate som skaperne ser for seg at kan være en integrert del av datamaskiner, TV-er, lydanlegg og så videre. Man klistrer da den klebrige undersiden direkte på flaten og kan dermed lese data direkte.

Vel så spennende er muligheten for å kombinere flere slike lapper slik at den totale lagringsplassen økes, rett og slett ved å klistre dem på hverandre.

Skaperne, Parag Anand og Aditi Singh, vant en Red dot designpris for konseptet i fjor. Hvorvidt det blir til et håndfast produkt med årene, vil tiden vise.

Mer informasjon finnes på datastickies.com

Tone Bringedal korrigerer meg i et innlegg når det gjelder prosessen rundt «sikker digital postkasse». Hun sier at Altinn ble vurdert hele tiden, men at grunnen til at Altinn til sist ikke ble valgt som alternativ var at «Det er gjort grundige juridiske vurderinger som konkluderer med at offentlig finansierte virksomheter som Brønnøysundregistrene ikke kan konkurrere i marked med private virksomheter».

Les Haraldsens opprinnelige innlegg: Tenkes det nytt rundt Staten og IKT?

Saksgangen her er imidlertid noe mer nyansert og komplisert enn som så:

I den utredning som Difi gjorde på dette området i 2012 var konklusjonene når det gjaldt Altinn at «Det er verifisert at Altinn kan benyttes som sikker digital postboks tjeneste for offentlig sektor. (…) Risikoene som er identifisert for Altinn er i første rekke knyttet til organisatoriske og forvaltningsmessige forhold».

I den pressemelding som ble sendt ut om dette fra Difi 20.6 2012 i forbindelse med utsendelsen av og høringsnotat om dette, sies det: «Difi anbefaler å bruke postbokser fra næringslivet fremfor Altinn, fordi vi mener dette vil føre til en raskere overgang fra post på papir til digital post (…) Likevel ser vi at forskjellene mellom alternativene er relativt små, og at Altinn vil kunne fungere som et fullgodt alternativ hvis markedet ikke klarer å levere løsninger med riktig kvalitet og pris.» (Mine uthevinger).

Det var altså flere forhold, men spesielt tidsaspektet (realisering og utbredelse) som gjorde at Altinn-alternativet ble vurdert som mindre aktuelt i den anbefaling som ble lagt frem i 2012. Etter å ha vurdert høringsuttalelsene og landet endelig på tjenestekjøpsalternativet (innhenting av tilbud fra det åpne marked), kom den juridiske vurdering inn, nemlig at Anskaffelsesreglementet sier at offentlig finansierte ikke kan konkurrere eller selges i konkurranse med private leverandører i et kommersielt marked.

Det betyr altså at det ikke var noen juridiske hindringer for at Altinn kunne ha vært valgt direkte som ett av alternativene – dersom en ellers mente det var det riktige alternativet. (Det er også et spørsmål om det også kunne vært valgt også i det tilfellet. I den utredning som advokatfirmaet Wikborg og Rein gjorde for Difi (se Utredningens Vedlegg 6) åpner de for at det kunne skje dersom en hadde fulgt «markedsinvestorprinsippet»).

Jeg sier ikke at en har gjort en feil vurdering eller valgt feil: men prosessen tilsier at Altinn kunne vært valgt både før – og kanskje også i forbindelse med tjenestekjøpsvalget – dersom en legger til grunn premissene som Wikborg og Rein fremsetter (hvor realistiske de er er en annen debatt). Det er altså ikke de juridiske betraktningene som egentlig er de avgjørende, men heller om Altinn var egnet – for å si det enkelt – til denne type funksjonalitet. Og det er en helt fair vurdering.

Men til det prinsipielle her: offentlig finansierte prosjekter kan ikke delta i konkurranse om leveranser til det offentlige i et kommersielt marked. Slike prosjekter kan heller ikke selges til andre aktører eller land i konkurranse med private aktører.

Dette er en viktig grensedragning som jeg er helt enig i: Skill privat fra offentlig sektor når det gjelder konkurranser om leveranser til offentlig sektor. Men det utelukker altså ikke at offentlig sektor kan velge egne løsninger til andre oppgaver.

Men spørsmålet er hvor konsistent og konsekvent dette prinsippet anvendes i offentlig sektor.

Det sies i innlegget fra Difi at det aldri har vært meningen at Brønnøysundregistrene skulle spille noen rolle i realiseringen av e-faktura-prosjektet. Det er ikke riktig. Altinn var planlagt å være aksesspunkt for mottak av standard efaktura til det offentlige.

Mange – og jeg var blant dem – argumenterte mot dette, nettopp fordi bruk av en offentlig aktør i dette tilfelle ville være konkurransevridende i forhold til den private infrastruktur (banker og meldingsformidlere) som opererte i markedet. Jeg skrev da et brev til departementet på vegne av markedsaktørene. Brevet kan med fordel leses da det inneholder den samme prinsipielle begrunnelse fra vår side, som Difi nå legger til grunn for ikke å la Altinn konkurrere i det private marked. Brevet referer også til en en prinsipiell vurdering fra advokatfirmaet Wikborg og Rein, se spesielt avsnittet om Konkurranserettslig vurdering av statlige aktører som informasjonsformidlere. De konkluderer med at Altinn kan konkurrere i det kommersielle marked. Resultatet ble imidlertid at Altinn ble droppet, og de private leverandørene ble aksesspunkt etter en godkjennelsesprosess.

Saken har derfor betydning langt utover anskaffelsen av digital postkasse, og som bør gjøres til gjenstand for en mer grundig prinsipiell diskusjon enn det kan gjøres i dette korte innlegget. Det bør derfor følges opp på et av de frokostmøtene som Difi nå har begynt å arrangere, f.eks.: «Hva er anskaffelsespraksis og -prinsipper for leveranser til offentlig sektor?» Jeg vet at mange vil være interessert i å delta på et slikt arrangement ut i de henvendelsene jeg har fått i denne saken. Idèen er hermed lansert, og utfordringen gitt til Difi.

Oslo kommune skal få helt nye nettsider for 15 millioner kroner. Arbeidet står klart til høsten. Det skriver Aftenpostens lokalavis Osloby.

– Vi bygger nettsidene helt om og starter med en ren database med null artikler, forteller André Myrbråten, kommunikasjonsansvarlig for prosjektet til digi.no.

Ifølge ham er rundt 30 mennesker i gang med arbeidet. Om lag 20 av dem er ansatte i kommunen. Resten er ulike innleide konsulenter. – Vi har trukket inn brukergrensesnitteksperter, grafiske designere og frontend-utviklere.

Disse er tatt inn på kommunens eksisterende rammeavtaler. Det betyr bistand fra utviklere og designere fra Itera, prosjektleder fra Steria og frontend-utviklere fra CoreTrek, som også har levert dagens publiseringsløsning. Netlife Research bistår med innholdsekspertise.

50.000 sider
Selve den tekniske publiseringsplattformen beholdes fra tidligere. – Dette er et rent innholds- og strukturprosjekt. Det handler om å få kontroll på innholdet vårt, sier Myrbråten. I dag består Oslo kommunens nettsider av 50.000 nettsider. Mye av dette er nyheter og uprioritert innhold.

– Vi har vært veldig flinke til å informere om ting kommunen mener vi bør informere om, men litt mindre flinke til å tilby det brukerne faktisk ser etter. Nå skal vi bli mer brukerrettet, forteller spesialrådgiveren.

Kommunen jobber med brukersentrert design som metode. Det er utførte flere brukerundersøkelser og -intervjuer både på gamle sider og de nye som er under utvikling.

Slik har de kartlagt hvilke forventninger brukerne har til hva de leter etter når de besøker nettportalen. Det er laget en liste over 80 prioriterte innholdsområder. De skal også kartlegge et 50-talls egne virksomheter om hva de mener er viktig innhold, inkludert de enkelte bydelene. Hver av hovedstadens bydeler er større enn en gjennomsnittlig norsk kommune.

Dette prosjektet vil ikke utløse nye digitale tjenester. Det har Oslo kommune et eget løp for å skape.

Mobilutgave
Foruten ny grafisk profil og bedre innhold vil kommunens innføring av mobilutgave bli en kjærkommen nyhet for osloborgerne fra høsten. Omlegging til såkalt responsivt design er del av prosjektet vi omtaler her.

Oslo kommune har faktisk ikke hatt egen mobilutgave før.

– Nå skal vi komme oss på mobil. Det er 2014. Vi er klar over det. Mobiltrafikken har fordoblet seg hvert eneste år de siste årene og er nå på 30 prosent. Så det er helt åpenbart fornuftig å satse på responsivt design, sier André Myrbråten.

Forrige omlegging av kommunens nettsider skjedde i 2010, da som et mindre ansiktsløft. Nettsidene som sådan er langt eldre. Oslo innførte CorePublisering fra CoreTrek allerede for ni år siden, den 1. mars 2005.

Apple kunngjorde i dag at flere bilprodusenter skal begynne å tilby selskapets nye CarPlay-løsning allerede denne uken. Først ut er Ferrari, Mercedes-Benz og Volvo. Honda, Hyundai og Jaguar skal tilby CarPlay i bilmodeller senere i år. I tillegg skal systemet tilbys i framtidige modeller fra BMW, General Motors (Chevrolet og Opel), Kia, Land Rover, Mitsubishi, Nissan, PSA Peugeot Citroën, Subaru, Suzuki og Toyota.

CarPlay skal gjøre det enklere å bruke iPhone i bilen, ved å bruke bilens innebygde grensesnitt og volumkontrollen i rattet. Ved hjelp tale eller enkel berøring skal man kunne telefonere, bruke kartapplikasjonen, lytte til musikk og å få tilgang til meldinger. Siri er en sentral del av det hele. Også tredjepartsapplikasjoner som Spotify og iHeartRadio støttes.

CarPlay er basert på Lightning-kontakten som ble introdusert med iPhone 5. Eldre modeller støttes ikke.

Apple har i mer enn ti år samarbeidet med bilprodusenter om integrasjon mellom selskapets produkter og biler. Selskapets enhetlige grensesnitt og design har gjort dette enkelt. Men langt fra alle bileiere har et passende Apple-produkt eller noe ønske om å skaffe seg det. For mange av disse bileierne er derfor ønskelig at bilprodusentene i alle fall ikke låser seg til én leverandør.

Flere av de nevnte bilprodusentene er medlemmer av Open Automotive Alliance, en bilvariant av Open Handset Alliance. Målet for denne alliansen er både å utvikle Android-baserte infotainment-systemer for biler og å sikre bedre integrasjon mellom separate Android-enheter og biler. De første resultatene av dette skal bli tilgjengelige i år.

Mercedes-Benz og Google
En bilprodusent som i alle fall så langt ikke er offisielt medlem av Open Automotive Alliance, er Daimler, som blant annet eier Mercedes-Benz. Men nå tyder mye på at selskapet også skal tilby Android-integrasjon.

I en stillingsannonse som har blitt oppdaget av tyske mobiFlip.de, utlyser Daimler en stilling som applikasjonsansvarlig for sømløs integering av Android-baserte smartmobiler med «head unit» i Mercedes-Benz-bilene ved hjelp av det som omtales som «Google Projected Mode». Med «head Unit» menes bilens underholdningssystem.

Blant funksjonaliteten som nevnes, er avspilling av multimedia, sending og mottak av meldinger, samt navigasjon. Dette skal kunne kontrolleres gjennom bilens kontroller.

I stillingsannonsen, som mobiFlip.de har tatt en kopi av, skriver Daimler at utvikleren med Google Projected Mode vil bidra til en av de viktigste, teknologiske innovasjoner innen telematikk, som skal brukes i alle Mercedes-Benz-biler i alle markeder i verden.

Daimler ser i ettertid ut til å fjernet stillingsannonsen, men en ganske likelydende annonse – bortsett fra at Google Projected Mode overholdet ikke nevnes, finnes her.

Et uregulert japansk selskap, Mt. Gox, var inntil nylig verdens største børs for den digitale valutaen bitcoin. 7. februar sluttet Mt. Gox brått all handel i bitcoin, og siden forduftet selskapet helt.

Fredag søkte Mt. Gox om å bli slått konkurs.

Selskapet forklarer at 850 000 bitcoin er borte. 750 000 til hørte kundene, 100 000 var deres egne. Etter dagens bitcoinkurs er det samlede tapet rundt 480 millioner dollar. Ifølge konkursbegjæringen har Mt. Gox nettofordringer på 2,7 milliarder yen, tilsvarende 160 millioner kroner. Omsetningen i regnskapsåret ut mars 2013 var 135 millioner yen, det vil si under 8 millioner kroner.

I en erklæring sier Mt. Gox at det er «stor sannsynlighet» for at de har vært utsatt for et tyveri.

Bitcoin skapes kontinuerlig gjennom en kryptografisk «utvinningsprosess» som enhver kan delta i. Det er hittil skapt rundt 12 millioner bitcoin. Tapet til Mt. Gox innebærer følgelig at rundt 7 prosent av verdens bitcoinbeholdning er på avveier.

Vekstraten i verdens bitcoinbeholdning er anslått til 25 hvert tiende minutt. Vekstraten reduseres over tid, og det er satt en øvre grense på 21 millioner bitcoin. Utvinningsprosessen vil opphøre om noe over hundre år.

Konkursbegjæringen til Mt. Gox ser ut til å ha lite påvirkning på bitcoinkursen.

På Coindeks.com vises bitcoinkursen fortløpende. Kursen var nede i 543 dollar fredag, men passerte 570 dollar i morges. I desember og januar var det langt villere svingninger enn det Mt. Gox har utløst, fra over 1100 dollar 4. desember til 522 dollar 18. desember og så 950 dollar 6. januar.

Øverste sikkerhetsansvarlig Andreas Antonopoulos i Blockchain.info, et selskap som tilbyr sikker lagring av Bitcoin, sier til Bloomberg at selskaper som håndterer bitcoin sikrer dem ved å oppbevare dem på et digitalt lagringsmedium uten tilknytning til nettet, gjerne noe så enkelt som en minnepinne. I sjargongen er dette «kald lagring», («cold storage») mens bitcoin på nettilkoplet lagringsenhet er på «varmt lager» («warm storage»).

Antonopoulos mener Mt. Gox må ha surret i sin løsning for å veksle mellom varme og kalde bitcoin.

Stiftelsen bak Bitcoin, Bitcoin Foundation, har ikke kommentert konkursbegjæringen til Mt. Gox, men de har an annen forklaring på hva som har skjedd. De mener Mt. Gox er rammet av et sikkerhetshull i sin egen programvare.

Stiftelsens styre omfatter tre valgte representanter fra bransjen. Mt. Gox var en av disse, men trakk seg 23. februar.

I et blogginnlegg publisert 10. februar forklarte Bitcoin Foundation at miseren hos Mt. Gox skyldes teknisk svikt i selskapets «svært skreddersydde» programvare for bruk av Bitcoin.

De viser til en sårbarhet, kalt «transaction malleability» (kan oversettes til transaksjonstøyelighet) i den standardiserte metoden for å overføre Bitcoin, som har vært kjent siden 2011 men som ikke har latt seg tette.

Sårbarheten gjør at det er mulig, på et visst punkt i en transaksjon, å endre transaksjonens ID før den bekreftes. Det fordrer at de som håndterer en transaksjon, selv må legge inn en ekstra sjekk på transaksjonens ID. I bloggen hevdes det at Mt. Gox ikke har fulgt opp dette i tilstrekkelig grad.

Bitcoin Foundation er fortsatt optimistisk på den digitale valutaens vegne, og inviterer til sitt årlige internasjonale forum, Bitcoin 2014 i Amsterdam, 15. til 17. mai.

Flere nettsteder og Linux-distribusjoner har de siste årene valgt vekk MySQL som primært databasesystem til fordel for blant annet MariaDB. Årsaken skal ha vært misnøye med hvordan Oracle har administrert prosjektet etter oppkjøpet av Sun, som ble kunngjort i 2009.

Men nå er det klart at én av de viktigste Linux-distribusjonene har valgt å gå mot strømmen. Ubuntu-grunnlegger og Canonical-sjef Mark Shuttleworth kunngjorde i forrige uke at den kommende langtidsutgaven Ubuntu 14.04 LTS («Trusty Tahr») vil ha MySQL 5.6 som standard relasjonsdatabasesystem. Denne versjonen av Ubuntu skal gis ut i april.

– Kudos til MySQL-teamet hos Oracle for å engasjere seg åpent og på en vennlig måte, for å innhente Ubuntu-medarbeidernes tillit og for gi oss selvsikkerheten å levere stabile desimal-utgaver i Ubuntu som standard, skriver Shuttleworth.

I praksis betyr dette etter alt å dømme at Oracle vil levere MySQL-pakkene direkte til Ubuntu-brukerne, uten at de må pakkes om.

– Det har stort betydning når vi kan gi en oppstrømsaktør mulighet til å levere sine beste «bits» direkte til Ubuntu-brukerne ved å bruke den fantastiske umiddelbarheten i pakkesystemet. Vi kan bare gjøre det når vi har etablert et felles sett med verdier, og dette er et flott eksempel, skriver Shuttleworth, som ønsker at også andre leverandører tilbyr programvaren sin på en slik måte.

Lærerikt
Oracle har siden i fjor tilbudt MySQL gjennom en egen pakkebrønn og har ifølge norske Yngve Svendsen, direktør for MySQL Engineering Services hos Oracle, lært mye av dette.

– Når du er oppstrøms kan du du lett henfalle til en modus hvor du slutter å lytte skikkelig til de som sitter nedstrøms og er nødt til å prosessere det du utgir. Det vil alltid være en viss mengde med forskjellige prioritering og meninger mellom oppstrøms og nedstrøms, men ved å plassere oss selv nedstrøms og på den måte til en viss grad måtte «eat our own dogfood», har vist seg å være svært lærerikt og nyttig, skriver Svendsen. Han innrømmer at Oracles distribusjon av MySQL til Linux har vært mangelfull.

Han forteller videre at teknikere og utviklere fra MySQL-teamet har samarbeidet med felleskapene til både Debian og Ubuntu om å gjøre MySQL 5.6 tilgjengelig for begge distribusjoner. MySQL 5.6 ble inkludert i en eksperimentell Debian-versjon i midten av februar.

Planen framover er å gi ut vedlikeholdsoppdateringer av MySQL 5.6 annenhver måned.

– Dette er passer ikke hundre prosent for Linux-distribusjoner, hvor tilnærmingen historisk har vært å velge en spesifikk MySQL-utgivelse som skal brukes i en ny hovedutgave av distribusjonen. Senere vedlikehold har i stor grad bestått av at distributøren har fikset kjente feil og sårbarheter ved enten å hente forbedringene fra senere MySQL-utgivelser eller å implementere sine egne feilfikser, skriver Svendsen.

Blant hensiktene med denne tilnærmingen, som Svendsen også understreker, er å unngå at eventuelle nyheter som innføres med nye utgaver av programvaren, fører til kompatibilitetsproblemer i den aktuelle distribusjonen. Nå skal Oracle være garantist for at dette ikke vil skje i Ubuntu 14.04 LTS.

– Jeg mener at Oracle har vært en utmerket forvalter av MySQL, med virkelige investeringer og utmerket kvalitet, sier Shuttleworth i et intervju med ZDNet. Han sender et spark til annet Red Hat, som er blant aktørene som har valgt vekk MySQL til fordel for MariaDB.

– Jeg mener at tendensen til å innbille seg konspirasjoner og misligheter er ett av de tristere aspektene ved åpen kildekode-programvare.

Shuttleworth understreker likevel at Ubuntu med glede vil inkludere solid kode fra MySQL-avleggere som Percona, SkySQL og MariaDB etter hvert som de modnes.

Lederkabalen fortsetter å bli lagt, få uker etter at nyutnevnt spar ess Satya Nadella inntok toppjobben etter Steve Ballmer.

Direktør forretningsutvikling og evangelisering Tony Bates forlater Microsoft. Det samme gjør markedsdirektør Tami Reller, skriver Recode. Bloomberg har senere bekreftet lekkasjene.

Nadella informerte internt om endringene fredag. En offentlig kunngjøring er ventet først tirsdag denne uken.

Ifølge kildene vil direktør for avansert strategi Eric Rudder midlertidig fylle tomrommet etter Tony Bates, mens mangeårig markedssjef Chris Capossela vil overta Rellers oppgaver.

At Bates forsvinner kommer ikke som noen stor overraskelse. Den tidligere Skype-sjefen skal ha vært tapende finalist til jobben som konsernsjef i Microsoft.

Kontroversiell «bulldoser»
Arkitekten bak den kontroversielle, noen vil si barnslige svertingen av Google, Scroogled-kampanjen, Mark Penn, skal samtidig overlate ansvaret for annonsering til Chris Capossela.

Penn skaffet seg opprinnelig et navn i Washington D.C (USAs hovedstad, ikke delstaten Washington der Microsoft har hovedkontor) som en skarp politisk rådgiver, bråkebøtte og bulldoser mot Clinton-familiens politiske motstandere.

Mark Penn er i dag direktør (executive vice president) for annonsering og strategi. Han vil etter endringen ikke lenger ha ansvaret for Microsofts enorme markedsføringsbudsjett.

Derimot seiler han muligens opp som Microsofts tredje viktigste, etter konsernsjef Satya Nadella og viseadministrerende direktør Kevin Turner.

Ifølge Bloomberg skal Penn nemlig bli utpekt til chief strategy officer. Vi får vente til Microsofts formelle kunngjøring med å konkludere, men antakelig snakker vi her om et opprykk.

New York Times beskriver Mark Penn som en svært polariserende figur også i Microsoft, slik han var det i politikken. Han skal ha vært en svært betrodd rådgiver for Steve Ballmer, en posisjon han ser ut til å beholde med Satya Nadella i topplederstolen.