Daily Archives: February 3, 2014

De mange afsløringer om NSA-overvågning, og især balladen om e-mail-udbyderen Lavabit, har vist, at det ikke er nemt at undgå, at andre kan læse med.

Lavabit blev set som en af de sikreste muligheder, og efter sigende var det også Lavabit, som Edward Snowden brugte til fortrolig kommunikation, men firmaet måtte lukke ned, da de amerikanske myndigheder krævede krypteringsnøglerne til SSL-forbindelsen mellem server og brugere udleveret.

Nu er et nyt alternativ dukket op, Virtru, hvor konceptet ikke er baseret på en sikret, central server, men i stedet satser på at lade kryptering og dekryptering af e-mails foregå helt lokalt, via et browserplugin. Det skriver CIO.com.

At lade selve krypteringen foregå lokalt på brugerens egen computer er på ingen måde nyt, men forskellen på Virtru og klassiske krypteringsløsninger som PGP, er muligheden for at bruge Gmail og andre populære webmailtjenester. Brugerne kan – efter at have installeret browserpluginnet – skrive e-mails på næsten normal vis, uden at skulle rode særlig meget med teknikken.

Med Virtru installeret bliver tastetrykkene krypteret øjeblikkeligt, så for eksempel Googles servere kun ser krypteret tekst. Også vedhæftede filer bliver krypteret, før de sendes afsted.

Den slags intervention i kommunikationen med Gmail, Outlook.com og Yahoo har krævet en hel del teknisk arbejde, forklarer Will Ackerly, en af de to brødre bag Virtru.

Han arbejde i årene 2004 til 2012 for NSA og dykkede der ned i formatet TDF – Trusted Data Format – som er open source og populært internt i efterretningstjenesterne. Det er også det format, Virtru bruger, sammen med avanceret krypteringsteknologi. For eksempel bliver der genereret en ny nøgle for hver eneste udveksling af e-mails, for at undgå at en opsnappet nøgle giver adgang til alle tidligere e-mails.

Will Ackerlys mange år hos NSA vil nok vække mistro hos mange potentielle brugere af Virtru, men hos tænketanken Center for Democracy and Technology er holdningen omvendt, at netop er dem, som kender til NSA’s metoder, der bedst er i stand til at beskytte alle andre mod NSA-overvågningen.

Desuden er teknologien bag Virtru open source, så alle kan kigge med og vurdere, om der er lagt svagheder eller bagdøre ind.

Det tog Windows 8.1 tre måneder at overhale Vista i markedsandele, men det gør endnu næsten ikke indhug i Windows 7. Det kan man læse ud af data fra Net Applications .

Tilsammen sluttede Windows 8 og 8.1 2013 med en andel på 10 procent. De to operativsystemer er dog trådt meget forsigtigt ind i 2014, hvor de kun et steget fra en samlet andel på 10.49 procent til 10,58 procent. Faktisk faldt Windows 8’s markedsandel med 0,20 procentpoint, mens Windows 8.1 steg med små 0,35 procentpoint.

Windows 7 er siden december faldet marginalt med 0,03 procentpoint til 47,49 procent

Samlet set gik Windows tilbage i alle måneder i 2013 på nær marts, juli og november og endte året i status quo med en tilbagegang på 0,01 procentpoint. Til sammenligning øgede OS X sin andel med 0,14 procentpoint til 7,68 procent, mens Linux dalede med 0,13 procentpoint til 1,60 procent.

Net Applications monitorerer mere end 40.000 websites og høster der igennem data fra 160 millioner unikke besøgende.

Har du taget skiftet til Windows 8.1, og undret dig over, at det skal være så kringlet at finde sluk-knappen? Så er der godt nyt på vej.

Den første opdatering af Windows 8.1, der kommer på gaden i marts, vil nemlig introducere en dedikeret powerknap på startskærmen, ved siden af profilbilledet øverst. Det skriver Betanews.com, som har afprøvet en foreløbig udgave af opdateringen, der er blevet lækket på nettet.

Den lækkede udgave af Windows 8.1 Update 1 er tre uger gammel, og der er mindst en måned til endelig lancering, så der kan stadig nå at ske ændringer her og der.

For eksempel var der rygter om, at den nye version af Windows som standard ville boote til det klassiske skrivebord, i stedet for den nye startskærm, der kom med Windows 8 og Modern UI-brugergrænsefladen. Det er ikke tilfældet i den lækkede version, men det udelukker ikke, at den endelige opdatering vil opføre sig sådan, lyder vurderingen.

Udover en sluk-knap får startskærmen også en søgeknap i topmenuen, måske i erkendelse af, at charms-konceptet – den skjulte menu i højre side af skærmen – ikke er intuitivt for de rigtig mange Windows 8-brugere, som ikke har en touchskærm, men bruger mus og tastatur.

Opdateringen byder også på en smule mere sammensmeltning af de to forskellige miljøer i Windows 8-land, nemlig den klassiske Windows-oplevelse og Modern UI-delen med egne apps. Som noget nyt vil man nemlig kunne se på skrivebords-miljøets proceslinje, hvilke Windows 8-apps, der kører. Det bliver også muligt at låse app-butikken Windows Store fast på proceslinjen.

Bruger man en Windows 8-app, der typisk er i fuld skærm, vil man fremover også kunne tilgå proceslinjen, og app’en bliver gjort mere ‘windowiseret’ og får en titellinje i toppen, der gør det nemmere at ændre størrelsen eller at lukke app’en.

Ifølge Google var den brede offentligheds reaktion, da CIA’s chef blev afsløret i at bolle udenom, at lede efter billeder af elskerinden.

Jeg satte mig derimod og stirrede op i loftet, for lidt længere nede i artiklen stod der at FBI havde afsløret det ved at aflytte hans telekommunikation.

Min tankerække startede fra “Når chefen for CIA ikke kan holde en affære hemmelig mere…” og så lod jeg bare fantasien spille.

Hvis man skal kunne bruges til noget i sikkerhed, skal man have en god fantasi, som et minimum bedre end modparten og hvis jeg skal være helt ærlig, så synes jeg egentlig at FOSS-verdenen er lidt fantasiløs på det punkt.

Senere begyndte Edward Snowden’s afsløringer at rulle og jeg kan sige med 100% åben pande, at kun en detalje har overrasket mig: Deres passive “radar” aflytningsudstyr.

Det burde ikke have overrasket mig, Soviet brugte præcist samme krølle på Maxwells Ligninger da de bug’ede USAs nybyggede ambassade.

Jeg har i forskellig sammenhæng prøvet at vække FOSS miljøet ud af “vi skruer bare kryptografien helt op på 11″ tankegangen, f.eks med en klumme i ACM Queue og forskellige skriverier her på V2 og ing.dk.

Men der er meget stor forskel på at skrive op og ned af dørstolper og på at kunne spille på alle tangenterne, så da Philip Paeps kastede en “closing keynote” på FOSDEM i min retning, skulle der ikke meget til at overtale mig: Her var chancen for at banke budskabet hjem.

Ideen med at give en NSA præsentation faldt lige for og derfra faldt brikkerne hurtigt på plads: Hovedparten af mine sldes var færdige på nogle få timer og jeg morede mig som jeg sjældent har moret mig mens jeg laver slides.

En særlig lille krølle på halen var at jeg skulle bruge nogle CODENAMES og de kan naturligvis ikke allesamen være SAWFISH.

Jeg ved at alle USAs hemmelige tjeneste har en “knap” man trykker på og så får man et CODENAME. Det blev indført fordi medarbejderne simpelthen ikke kunne lade være med at lave dårlige jokes når de valgte kodeord, ofte så dårlige at enhver journalist kunne gætte sig til hvad det handlede om.

Så omhyggelig behøver jeg ikke at være, så mine kodeord kommer med en playlist.

Philip spurgte på et tidspunkt om jeg havde set auditoriet hvor jeg skulle tale og nævnt at Robert Watson var “duly impressed” men jeg fangede nok ikke lige det hint, for jeg så først “Janson” auditoriet ca. 15 minutter før jeg skulle på.

Javel ja…

Her har twitter-bruger @avsm taget et billede fra en af de bagerste rækker:

Her kar Ollivier (aka Keltia) taget et billede fra en af de forreste rækker:

Iflg. en tilfældig webside er der “over 1400 siddepladser” og på øjemål var der under 20% ledige, så noget i stil med 1200 tilhørere.

Helt klart en ny personlig rekord.

Her er mine slides.

Bagefter fik vi en god lille snak om forskellen på problemer der kan løses med kryptografi og problemer der kun kan løses med politik.

phk

PS: Den gode nyhed var at selvom de havde set 8000+ MAC addresser på deres WLAN, så de kun 29 TELNET sessioner — der er trods alt sket fremskridt.

Er du typen, som grundigt sammenligner priser på en vare, før du slår til, eller svinger du Visa-kortet, så snart du ser noget, du kunne tænke dig?

Den viden er værdifuld for firmaer, der sælger til dig på nettet, og ved at holde øje med, hvilke sites du tidligere har besøgt, med hjælp fra tredjeparts-cookies, kan du få stemplet som et luksusdyr, der ikke kigger så nøje på prisen – og så stiger prisen med op til 50 procent. Det skriver Politiken.dk.

Forskeren Nikolaos Laoutaris fra Barcelonas polytekniske universitet har undersøgt fænomenet og kunne dokumentere, at alt fra hotelophold til tasker blev dyrere, når kunden tidligere havde kigget på dyre biler og smykker, i forhold til en anden profil, der havde besøgt prissammenlignings-sider. Den største prisforskel var på hoteller, hvor ’luksusdyret’ blev præsenteret for priser, der var op til 50 procent højere end normalt.

Udover at blokere for tredjepart-cookies eller at slette dem løbende, kan man også gøre det til en vane at bruge browserens private/inkognito-funktion, hvor websiden ikke får adgang til cookies på brugerens maskine.

En anden faktor, der spiller ind på butikkernes prissætning, er geografi. For eksempel er der eksempler på, at prisen på e-bøger hos Amazon svinger med 100 procent, afhængigt af hvilket land, den besøgende befinder sig i.

I over to år har websider i alle EU-lande været underlagt regler, der skulle beskytte og oplyse forbrugerne om, at der blev plantet cookies lokalt hos den besøgende. Men resultatet – de mange pop-ups med ‘ok’-knapper – er en fiasko, der ikke virker efter hensigten, lyder det nu fra alle sider, også blandt de politikere, der vedtog reglerne.

Som Ingeniøren og Version2 i dag kan fortælle, er opbakningen fra både politisk side, erhvervslivet, it-fagforeningen Prosa og Forbrugerrådet Tænk til den danske implementering af EU-lovgivningen, som har bevirket, at stort set alle hjemmesider er blevet udstyret med dialogbokse om cookies, ikke-eksisterende.

Og nu vil it-ordfører for Venstre Michael Aastrup Jensen spørge erhvervsminister Henrik Sass Larsen (S) om, hvorvidt den danske håndhævelse af det bagvedliggende EU-direktiv kan sættes på pause, da den nuværende implementering ikke fungerer.

»Hele lovgivningen har været en fejl fra starten af. Jeg har hele tiden været kritisk over for det. Men vores redskaber i forhold til at stoppe det har været ret begrænsede. Det er jo EU-lovgivning. Så det har været vores tolkning af EU-lovgivningen, vi har kunnet skrue lidt på,« siger Michael Aastrup Jensen.

Han har også tidligere været ude med riven efter cookie-lovgivningen.

»Jeg kan ikke se noget formål med det andet end bureaukrati,« siger Michael Aastrup Jensen.

Mens der er bred enighed om, at den nuværende såkaldte cookiebekendtgørelse ikke virker efter hensigten, så er en anden og langt mere diskret sporingsteknologi måske slet ikke omfattet af den lovgivning, der i dag bevirker, at hjemmesider skal gøre tydeligt opmærksom på brugen af cookies.

Device fingerprinting kaldes den, og det er en metode, som kan identificere brugernes computere helt uden at skrive de små tekstfiler, kaldet cookies, ned på maskinen. Teknologien fungerer ved at registrere oplysninger om fonte, browsertype, plug-ins i browsere, skærmopløsning og så fremdeles. Oplysningerne kan kombineres og bruges til at skabe et unikt ‘fingeraftryk’ af brugerens udstyr. Fingeraftrykket kan så lagres i en database og bruges til at genkende en maskine (pc, tablet, smartphone) ved en anden lejlighed.

Reelt altså det samme, som ­cookies bliver brugt til. Dog med den forskel, at der ikke bliver skrevet oplysninger til brugerens udstyr.

Selve cookiebekendtgørelsen er trods navnet teknologineutral og omfatter som udgangspunkt forskellige teknologier til identificering af brugere på nettet. Men for at lovgivningen finder anvendelse, skal der i udgangspunktet være tale om, at der enten bliver lagret oplysninger i brugerens udstyr, eller at allerede lagrede oplysninger bliver tilgået.

På vej mod fælles forståelse

Den danske myndighed på området, Erhvervsstyrelsen, kan på nuværende tidspunkt ikke oplyse, hvorvidt teknologier som device fingerprinting er omfattet af bekendtgørelsen.

»Vi taler med myndighederne i de øvrige EU-lande for at få en fælles forståelse for, hvordan vi tolker det her,« siger kontorchef i Erhvervsstyrelsen Brian Wessel, som forventer at kunne komme med en nærmere udmelding til foråret.

Professor i it-ret ved Københavns Universitet Henrik Udsen kalder det en gråzone i forhold til, hvorvidt skærmopløsning, fonte og lignende kan betragtes som lagrede oplysninger i denne sammenhæng.

»Det er det springende punkt. Man kan ikke læse ud af direktivet, hvad man har tænkt på. Da man skrev det, har man nok ikke haft det i tankerne,« siger Henrik Udsen.

»Men ud fra en formålsbetragtning synes jeg, det peger i retning af, at det også kan være omfattet af bekendtgørelsen,« siger han.

Mens de europæiske myndigheder finder ud af, hvordan de skal forholde sig til device fingerprinting, så er teknologien allerede i brug flere steder. Det fortæller post.doc. ved KU Leuven-universitetet i Belgien Nick Nikiforakis, som har forsket i området.

Han forklarer, at det kan være svært for brugerne at vide, om det bliver sporet via denne teknologi, netop fordi der ikke bliver sat tydelige spor på deres maskine:

»På sin vis er det mere invaderende end med cookies. En bruger kan klikke på et par dialoger og se, hvilke cookies et website bruger.«

På mobile enheder er det dog sværere at identificere brugere med device fingerprinting, fordi de mobile browsere er mindre unikke, påpeger Nick Nikiforakis.

Device fingerprinting er generelt ikke helt så præcist som cookies til at identificere klienter unikt. En undersøgelse fra 2010 foretaget af Elec­tronic Frontier Foundation baseret på én type implementering af device fingerprinting viste en genkendelse på op til 94,2 procent af 470.161 browsere, såfremt klienten havde Flash eller Java aktiveret.

Regel nummer 1, når du skifter firmanavn, er at tjekke, om domænet er ledigt eller til at få fat i. Det glemte PBS åbenbart, da firmaet skiftede navn til Nets tilbage i 2010, og endte i en kamp med den dengang selvstændige webudvikler Sten Axelsen.

Han brugte nemlig domænet Nets.dk og ville ikke sælge, og Nets måtte opgive kampen, efter en masse dårlig omtale i sagen, der fik alverdens Sten-supportere til at samle 65.000 kroner ind til ham til at betale en advokat, hvis sagen røg i retten.

Men nu har Nets i al stilhed langt om længe fået fat i domænet, for Sten Axelsen besluttede at sige ja tak, da firmaet igen henvendte sig i efteråret 2013 med et tilbud. Det skriver Computerworld.dk.

Der er flere grunde, forklarer han, men først og fremmest var domænet blevet en belastning, for phishing-svindlere sendte mails ud i massevis med nets.dk som falsk afsender, og det gav en masse brok og op mod 30 e-mails om dagen fra sure modtagere af falske nets.dk-mails.

Samtidigt har Sten Axelsen skiftes sin status som selvstændig webudvikler ud med et fast job, og derfor bruger han ikke længere nets.dk-siden i arbejdssammenhæng. Og så kom Nets denne gang med en fair pris, som dog skal holdes hemmeligt af aftalens parter.

Sten Axelsens manglende vilje til at sælge i 2010 skyldtes nemlig i høj grad også, at Nets prøvede at luske sig til domænet ved at tilbyde 100 kroner for det gennem en mellemmand, ifølge webudvikleren fra Stenløse. Senere kom Nets så med et tilbud på 50.000 kroner for domænet, og det afviste Sten Axelsen også, ifølge ham selv i vrede over det første, meget lave tilbud.

Nets har siden navneskiftet måtte nøjes med nets.eu-domænet, hvilket har ført til masser af kritik. Det er nemlig ikke oplagt for den almindelige dansker, at det er betalingsfirmaets korrekte internetadresse, og den forvirring er en hjælpende hånd til phishing-svindlere, lyder kritikken.

Da Nets i 2010 truede Sten Axelsen med juridisk kamp for at overtage Nets.dk-domænet, fik det mange på barrikaderne og til lommerne, hvilket altså førte til indsamlingen af 65.000 kroner. Dem fik Sten Axelsen aldrig brug for, da Nets til sidst opgav sagen, men det har ikke været muligt at tilbagebetale dem alle. Undervejs skiftede hans bank nemlig navn og ejer flere gange, så data om overførslerne gik tabt, ligesom nogle ikke skrev afsender på bidraget, fortæller han. Omkring to-tredjedele af støttebeløbet kunne han betale tilbage til giverne.

Yahoo arbejder på at genoptage sin tidligere position som søgegigant. Det siger flere Yahoo-ansatte ifølge University Herald.

Ifølge kilderne har Yahoo nemlig iværksat to projekter under kodenavnene “Fast Break” og “Curve Ball”. Projekterne skal efter sigende hjælpe internetvirksomheden med at få fod på søgemarkedet.

De to projekter er ifølge ansatte ved Yahoo et forsøg på at gøre op med sin afhængighed af Microsoft, som i øjeblikket står bag søgeresultaterne på Yahoo.com. Men nu sigter Yahoo altså efter at tage kontrol over den bagvedliggende søgemaskine.

Projekterne har en tidsramme på tre til fire måneder og kunne ende med en helt ny søgemaskine. Muligvis en søgemaskine som henvender sig mere specifikt til det mobile marked istedet for desktop.

I 2009 indgik Yahoo i en 10 årig aftale med Microsoft om at anvende Microsoft reklame- og søgeservices, men med Yahoos brand klistret ovenpå. Aftalen har dog ikke opnået den succes, man forventede da man indgik i den.

Det ser ud til, at Apple har planer om at udvikle en række produkter, der skal sikre at brugerne holder sig sunde. Det skriver The Verge.

Det fremgår nemlig, at højtstående ansatte i Apple holdt møde med den amerikanske Fødevare- og Lægemiddelforvaltningen (FDA) i december. På mødet blev der angiveligt talt om medicinske smartphone apps.

Mødet kommer i kølvandet på et rygte, om at Apple arbejder på et stykke software under navnet Healthbook. Det skulle eftersigende være et app, som minder meget om Passbook, men istedet for kodeord gemmer Healthbook detaljerede informationer brugernes helbredstilstand.

Derudover har Apple hyret en række eksperter i fitness, medicin og små elektroniske enheder over de sidste par måneder. Flere af de nyligt ansatte har tidligere arbejdet på sundhedssensorer, hvilke tyder på at Apple har planer om at udvikle sin egen hardware til at overvåge kroppens sundhedstilstand.