Daily Archives: April 14, 2014

Der er dårligt nyt for danske e-handlende, der er kunder hos Ewire. Den danske betalingsleverandør er nemlig lukket pr. 11. april. Det fremgår af en meget kortfattet besked på virksomhedens hjemmeside. Ewire, der bedst kan beskrives som en dansk pendant til Paypal, har været et populært alternativ for blandt andet webbutikker, der ønskede at modtage Dankort, Mastercard og andre betalingskort uden at lave en indløsningsaftale med Nets.

Ewire har endnu ikke meldt noget ud om omstændighederne for lukningen og har mandag formiddag ikke besvaret Version2s henvendelser. Dermed er det uvist, hvad der sker med kundernes penge. Og på diverse internetfora diskuteres det allerede flittigt, hvad der skal blive af de penge, som kunderne har på deres Ewire konti, hvis virksomheden går i betalingsstandsning. Netbutikker, der bruger Ewire, kan nemlige ende med at skulle afsende varer, uden at modtage betaling for dem.

Hvis man har købt noget på en webshop, der bruger E-Wire, så trækkes køberens penge med det samme og overføres til Ewire. Senere overfører Ewire så beløbet til kunden. Så alle de virksomheder, der har penge til gode hos Ewire for varer, der allerede er bestilt, står altså i en penibel situation, hvis virksomheden er gået konkurs.

Version2 vil forsøge fortsat at komme i kontakt med Ewire

Hvis det lyder for godt til at være sandt, er det ikke sandt og selvfølgelig er Fri software ikke gratis: Nogen skal betale for pizzaen og de hvide tennissokker i sidste ende.

Diverse open source software projekter har “foundations” der prøver at skrabe penge sammen til udvikling og vedligehold, men det overordnede billede er at de alle kører med røven i vandskorpen hele tiden.

Tag OpenSSL som aktuelt eksempel: Deres “foundation” er godt nok et kommercielt foretagende, men omsætningen er under en million dollars om året og det meste af den omsætning er konsulentydelser og hjælp med certificering og kun meget lidt, omkring to tusinde dollars, er donationer der skal gøre koden bedre.

Slag på tasken: Indtil for en uge siden beskyttede OpenSSL ikke under en milliard dollars i eCommerce om måneden.

Problemerne i OpenSSL er dybe og alvorlige, der er brug for at definere et helt nyt gennemtænkt API og der er brug for at skrive koden om fra grunden, med falkeblik for sikkerhed i alle ender og kanter. Hvis resultatet skal blive godt, skal der sættes to spidskompetente venner på opgaven og det vil tage dem et par år eller tre og koster noget der ligner 1.5 millioner dollars, før der kommer noget brugbart ud af indsatsen.

Jeg tror hurtigt at vi kan blive enige om at det ville være en rigtig god investerig, globalt set, så hvorfor sker det ikke bare ?

Fordi, som omkvædet lyder i den gamle revysang: “Hvem skal nu betale, hvem har råd til det ?”

Vi kan hurtigt blive enige om, at et firma som Akamai, der har OpenSSL som en meget central komponent i deres produktportefølje burde spytte i kassen.

Men hvad med svømmeklubbens der bruger HTTPS på deres login-side ?

Skal de betale 25 kroner i bankgebyr for at donere 13 øre, alt iberegnet, til OpenSSL ?

Lige siden de opdagede Open Source, har økonomer prøvet at hitte rede i hvordan økonomien virkede og de har mildest talt ikke haft ret meget held med sig, for den fungerer overhovedet ikke.

Der er ingen overordnet struktur eller mønster i de beløb der tilflyder udviklerne, det er i langt højere grad tilfældige konsekvenser af personlige forbindelser, tidligere og nuværende ansættelsesforhold og andre “usaglige” faktorer, end hvem Open Source softwaren kommer hvor meget til gavn, der styrer.

Både politik, etik og moral er involveret og det er dybt komplext, på alle niveauer.

Tag f.eks Apple, som ikke donerer til nogen Open Source projekters “foundations”, hvilket forarget blev fremført forleden.

Apple sponsorerer til gengæld LLVM compileren og det har gjort den til et konkurrencedygtigt alternativ til GCC.

BSD tilhængerne føler formodentlig at Apple har gjort mere end deres del, mens en del GPL tilhænger føler at Apple pissede i punchen.

Systemløsninger som vi har set det i andre brancher[1] er ikke farbare på grund af det internationale aspekt og ud over at gå foran med et godt eksempel, kan samfund og lovgivere næppe bidrage til problemets løsning[2]

Men det kan lade sig gøre, det har f.eks har bevist med min “Varnish Moral License”, men det er ikke noget der sker af sig selv: Man skal ud og ruske folk, for at minde dem om at Open Source udviklere også har børn, huslån og utætte tage der skal fyldes penge i.

I tilfældet OpenSSL kan vi diskutere op og ned hvem der har gjort hvilke fejl: Udviklerne der ikke har råbt op om behovet for resourcer til at renovere klytkoden, eller firmaerne der har brugt den uden at kigge kritisk på den til at begynde med.

Derfor bliver det spændende at se hvad der nu sker: Kaster firmaerne penge efter OpenSSL, (og gør de det med dårlig samvittighed, eller fordi de ser en plan for forbedring de tror på ?) eller vil de hellere droppe ballast og kaste penge efter en (nystartet ?) konkurrent til OpenSSL ?

Eller falder det hele bare tilbage i den vandte gænge når støvet har lagt sig ?

phk

[1] F.eks: Bioliotekspenge til forfattere, blankmedieafgift og CODA til musikken, 10% af offentlige byggeprojekter til billedkunstnere osv.

[2] Retfærdigvis må jeg dog påpege at RMS’s McArthur Award i 1990 havde vidtrækkende betydning, men det er tvivlsomt om en regering kunne have fundet på udvælge en så rabiat figur og det er derfor næppe en relevant model i samfundsmæssig kontext.

Din indbakke har nok modtaget advarsler fra en stribe webtjenester, som beder dig skifte password, fordi en meget kritisk sårbarhed i OpenSSL-protokollen gennem to år kunne bruges af hackere til at få fortrolige data ud.

Og nu blander USA’s ministerium for Homeland Security sig i koret og sender en generel advarsel til befolkningen om Heartbleed-hullet, med en opfordring til at skifte password alle de steder, der er risiko for kompromittering. Det skriver britiske BBC.

I advarslen skriver myndighederne, at der endnu ikke er konstateret angreb, som udnytter Heartbleed-sårbarheden, men at det stadig er ganske sandsynligt, at hackere nu vil gå efter de tjenester, som endnu ikke har fået lukket hullet.

Det er derfor vigtigt at holde øje med, om de forskellige websteder er blevet sikre, før man skifter password – ellers vil man kunne forære sit nye password til eventuelle hackere, så længe hullet stadig står åbent.

I Danmark kom der også fredag en melding fra Digitaliseringsstyrelsen med en opdatering om Heartbleed-problemerne og en forsikring om, at de store offentlige web-tjenester ikke var ramt. Beskeden kom kort efter en Version2-artikel med kritik af manglende udmeldinger til befolkningen.

Sårbarheden i OpenSSL-protokollen gør det muligt for hackere at få tilsendt en del af dataene i serverens hukommelse og dermed få fingre i for eksempel passwords og certifikater. Problemet har ramt alt fra webmail-tjenester til IP-telefoni og firewalls.

Dog skriver BBC, at routere til hjemmebrug ikke er så udsatte, som det ellers har været meldt ud. De færreste har nemlig kryptering, der kræver certifikater, i brug på deres hjemmeudstyr.

Opdateret: Melding fra Digitaliseringsstyrelsen tilføjet

Efterhånden kan min tillid til SSL ligge på et meget lille sted. De seneste tre kritiske fejl SSL-implementationerne er tilstrækkeligt til at råbe vagt i gevær. Men dette er ikke den eneste grund til at miste tilliden til SSL.

Gennem et styke tid har jeg testet flere websteder med Qualys SSL Labs SSL Server Test og det generelle indtryk er deprimerende. Min bank får for eksempel karakteren C, borger.dk får karakteren B og nets-danid.dk får ligeledes et B.

Sidst men ikke mindst har jeg ingen god grund til at stole på de 222 rod-certifikater der er installeret i min browser. Der er flere historier om at CA’erne udsteder suspekte certifikater.

Så SSL, som vi bruger det i dag, giver efter mening ikke den sikkerhed vi har behov for. Så hvad gør vi så?

Det bemærkelsesværdige ved de tre fejl i Apple’s SSL, GnuTLS og OpenSSL er at der er tale om dumme programmørfejl i kode der burde være ligetil at skrive. Det er altså ikke (kun) fordi SSL er specielt svært at implementere, vi er bare for dårlige til at kode.

Så kan man råbe op om bedre kvalitetsstyring og mere code-review og ende ud i an lang diskussion om hvorvidt open source er bedre end closed source. Mit forslag er mere radikalt: Fjern 80% af koden! Det vil sige alle unødvendige ciphers og alle unødvendige udvidelser til den grundlæggende protokol.

Det vil med det samme fjerne 80% af mulighederne for den slags fejl vi har set og det vil automatisk give alle websteder karakteren A, for alle de valgmuligheder som administratorene ikke kan gennemskue er fjernet.

Så skal vi bare finde ud af hvem der skal bestemme hvad der skal understøttes. Jeg tror ikke på komiteer, så jeg vil foreslå at Apple, Google, Microsoft og måske OpenSSL sætter sig sammen og definere den fremtidige protokol. De er ikke valgt ud fra at jeg har tillid til nogen af dem, men at hvis de 3(+1) siger at sådan bliver det, så følger resten efter.

Der er nogle få krav til dem: Der skal vælges op til tre cipher-suiter. En til low-end devices, en standard suite og en til paranoid brug. Alle suiterne skal understøtte forward security. Eventuelt kan der vælges et sæt cipher-suiter til nødstilfælde hvis standard-suiterne bliver brudt. Serveropsætningen skal kunne foretages med en enkelt parameter om nød-suiterne skal tages i brug.

Tilbage er så problemet med certifikater og CA’erne. Hvis det er muligt er self-signed certifikater at foretrække. Det er selvfølgelig ikke muligt for generelle websteder, men kan yde en bedre beskyttelse for en webservice. Istedet for bare at stole på et vilkårligt CA skal applikationen forvente et konkret certifikat.

Til generel brug og på længere sigt sætter jeg min lid til DANE hvor man bruger DNS-systemet som erstatning for CA’erne. Det giver mindst samme sikkerhed som CA’ernes domæne-validerede certifikater og så kan vi nøjes med at bruge CA’erne til at udstede EV-certifikater som et supplement til at de skal findes i DNS.

Dermed kan jeg som domæne-ejer være sikker på at der ikke er en af 222 CA’er der kommer til at udsteder et certifikat for min service. Men der er en bonus-fordel: Med et bliver https noget en webudbyder uden videre kan tilbyde alle sine kunder uden meromkostninger og merbureaukrati. I dag er der (heldigvis) ikke nogle af CA’erne der bare uden videre vil udstede en million certifikater, med DANE er det ikke alene let, det er også sikkerhedsmæssigt uproblematisk. Hvis kunden flytter sit websted vil certifikatet automatisk blive fjernet fra DNS og dermed revoket. På den måde kan vi endelig få SSL alle steder og ikke kun på websteder hvor ejerne eksplicit ønsker det.

Det er min plan for fremtiden: En stærkt forsimplet protokol skal gøre det lettere at overskue implementationen og server-opsætningen og CA’erne skal reduceres til at yde et supplement til en certifikat-model der lægger kontrollen hos domæne-ejerne.

Stik imod tidligere antagelser er det muligt for hackere at udnytte en sårbarhed i OpenSSL til at udtrække private krypteringsnøgler fra hjemmesider. Det skriver Ars Technica.

Det blev opdaget under et forsøg, hvor en række hackere og sikkerhedseksperter udfordrede hinanden i at udnytte sikkerhedshullet, der er døbt Heartbleed, fordi sårbarheden er i modulet Heartbeat.

Kun ni timer efter konkurrencen var skudt i gang, havde softwareingeniør Fedor Indutny og Ilkka Mattila fra NCSC-FI fået adgang til serverens private nøgler udelukkende ved at udnytte Heartbleed-hullet.

Derfor tyder det på, at det ikke er nok at opdatere sine servere til en version uden Heartbleed-hullet. Som udgangspunkt bliver det nemlig ikke vist i serverloggen, om en hacker har været inde og hente de private krypteringsnøgler, og det er derfor muligt, at en hacker været inde og hente nøglerne inden en sikkerhedsopdatering.

Alle, der har adgang til en hjemmesides private krypteringsnøgle, kan klone hjemmesiden og lave en side, der stort set er magen til den originale. På den måde kan hackere narre private oplysninger ud af brugerne.

Derfor anbefaler CloudFlare nu, at internettjenester får sig nogle nye SSL-certifikater.

Telia, Tele2, 3 og den lokale internetudbyder Bahnhof er stoppet med at logge svenskernes internetfærden, stik imod den svenske lovgivning. Det skriver ZDNet.

Det sker, efter at EU-Domstolen dømte, at direktivet om telelogning af EU’s borgere strider mod borgernes grundlæggende rettigheder.

»Vi stoppede dataindsamlingen allerede timer efter EU-dommen torsdag den 8. april. Vi har også permanent slettet alle tidligere indsamlede data,« siger Bahnhof CEO Jon Karlung til ZDNet.

Bahnhof opfører sig altså i overensstemmelse med EU’s dom over logningsbekendtgørelsen. Selvsamme EU-domstol gav dog Sverige en bøde så sent som sidste år for ikke at have fulgt det EU-direktiv, som domstolen nu finder ulovligt.

Siden maj 2012 har det været lovpligtigt for Sveriges internetudbydere at logge kundernes data. Det indbefatter ifølge ZDNet kundernes lokationsdata fra mobilen, internettjenester, e-mails og internet-telefoni seks måneder tilbage i tiden.

Selvom Sveriges lokale lovgivning ikke har ændret sig, så har de svenske telemyndigheder meldt ud, at de ikke har tænkt sig at håndhæve logningsloven på grund af EU-Domstolens afgørelse.

Netop som supporten på Windows XP udløber, så er Statens It i færd med at få de sidste brugere over på Windows 7 som en del af det store it-projekt ‘Statens it-arbejdsplads’. Men det har ikke været en smertefri proces.

»Det har været et hårdt år. Vi har med 1.500 fagsystemer at gøre, og vi undervurderede opgaven med at flytte applikationerne. Der var meget teknisk gæld hos kunderne. Det er ikke alle fagsystemer, der er lige nye,« fortæller direktør Michael Ørnø fra Statens It til Version2.

I alt har Statens It skullet flytte knapt 10.000 brugere fra de forskellige pc-opsætninger de brugte fordelt på 80 offentlige institutioner over på én fælles platform med samme pc-hardware. Nu kører alle brugerne Windows 7 og benytter samme Exchange-miljø og filservere. Hardwaren er standardiseret helt ned til, at alle bruger samme dockingstation.

Men projektet var ikke kun en udskiftning af pc-hardwaren og opgradering fra Windows XP til Windows 7. Mange ministerier og styrelser havde gamle systemer, som det viste sig at være svære at flytte til den nye platform.

»Der er eksempelvis integration med Microsoft Office. Det er typisk i ESDH-systemet, hvor der er en knap i Outlook eller Word til at arkivere i ESDH-systemet. Det kan godt være lidt tricky at få til at køre i en ny Outlook,« forklarer Michael Ørnø.

Alle brugere er opgraderet til Office 2010, men for visse ESDH-systemer lå der koblinger til systemer hos eksterne leverandører, som skulle overføres fra Office 2003 til Office 2010.

Måtte drøne rundt og hjælpe brugere

Ud over de tekniske vanskeligheder med fagsystemerne, løb Statens It også ind i, at den procedure for udskiftning, som var planlagt, viste sig at være problematisk.

»Vi havde arbejdet tæt sammen med et større ministerium om et logistisk forløb, hvor vi holdt et kursus for medarbejderne om formiddagen, og mens de sad til kursus, skiftede vi deres pc. Men i praksis viste det sig ikke at være så godt,« fortæller Michael Ørnø.

Den første plan gik på, at man for at forstyrre arbejdet mindst muligt tog én medarbejder fra hvert kontor af gangen. Men det betød, at når medarbejderen kom tilbage fra kurset til sin nye pc og derefter havde problemer, så skulle it-supporterne rundt i hele ministeriet for at hjælpe medarbejdere.

»Vi drønede rundt. Så vi fandt ud af, at det var smartere at tage opgradering kontorvis og lade brugerne få deres pc i slutningen af kurset og logge på første gang, mens de sad i kursuslokalet, og vi kunne hjælpe,« siger Michael Ørnø.

Med 1.500 fagsystemer, som i visse tilfælde stammer fra 1990′erne, og som Statens It ikke ejer, men blot skal sørge for tilgængeligheden af, så var det oplagt at bruge virtualisering til at få dem over på en ny platform.

»Hvis vi ikke kunne flytte applikationen til Windows 7, så tænkte vi, at vi kunne pakke det ind i noget Citrix. Det kan være godt til at holde noget kørende i et stykke tid. Men det lød bedre, da vi udtænkte det, end det viste sig at være i praksis,« fortæller Michael Ørnø.

Ved at lægge en applikation ind i Citrix, forsvandt integrationen til andre applikationer som Office. I så fald skulle der også lægges en – vel at mærke gammel – Office ind sammen med applikationen, og det kunne skabe forvirring hos brugerne, som kunne ende med at sidde og skifte mellem to forskellige udgaver af Office.

Samtidig viste det sig at være vanskeligt at få de virtualiserede applikationer, som ikke var udviklet til at køre på den måde, til at levere en tilfredsstillende ydelse i Citrix-miljøet.

Maskinen klar til at kunne flytte nye kunder

»Det ville nok have været nemmere, hvis vi havde kunnet bide projektet over i to, så vi først bare skulle have opgraderet fra Windows XP til Windows 7. Men vi er glade for, at vi er kommet gennem det,« siger Michael Ørnø.

Han peger på, at Statens It nu har opbygget en teknisk og organisatorisk maskine, som kan tage en kundes infrastruktur og flytte det fra én platform til den fælles platform.

»Vi har hele tiden haft 8. april i baghovedet (udløbet af supporten for Windows XP, red.). Sikkerhedsdagsordenen er jo ikke noget, der bliver mindre, og Windows 7 er mere moderne. På Windows XP er du nødt til at være lokal administrator for eksempelvis at kunne installere en printer. Det behøver du ikke i Windows 7, så vi har kunnet fjerne de fleste administratorrettigheder. Det er noget, der rykker på klientsikkerheden,« forklarer Michael Ørnø.

Næste projekt på desktop-siden bliver at kunne styre opdateringer bedre i forbindelse med eksempelvis månedlige opdateringer af platformen, ligesom Statens It er i gang med et pilotprojekt sammen med en kunde om den nyeste version af Office.

»Mail, kalender og ESDH er den centrale del af alles hverdag i administrationen. Før fik jeg en del opkald fra et ministersekretariat, som havde problemer med synkronisering af kalender på iPad, da vi kørte Exchange 2003. Det kører meget bedre, nu vi er skiftet til Exchange 2010,« siger Michael Ørnø.

I direkte forlængelse af sidste uges blog-indlæg om børneprogrammering satte jeg mig i dag med hjemmesiden http://code.org. Det er et site, som prøver at forøge interessen for at programmere. Man bliver guidet igennem sjove programmeringsøvelser, og rammen er meget kendt: Flappy Bird, Angry Birds og Plants vs. Zombies.

Da jeg startede med at se på Flappy Bird på code.org, blandede min datter Louise på 10 sig hurtigt, og hun forklarede med det samme hvor håbløs jeg var til det. Perfekt start

code.org har bl.a. et glimrende forløb på ca. en time, hvor man lærer at løse sjove programmeringsopgaver. Opgaverne har som nævnt Flappy Bird, Angry Birds og Plants vs Zombies som fokus. Mellem de enkelte opgaver giver Bill Gates, Mark Zuckerberg og andre kendiser en en introduktion til det man nu skal i gang med at løse. Louise synes, det var ret sjovt at lave sit eget Flappy Bird. Især var det sjovt at lave reglerne i Flappy Bird om, så man fik fire point når man rammer en forhindring (se nederst til højre i billedet)

Som det ses på billedet er det ret ærgeligt at noget af hjemmesiden er oversat til dansk, men ikke alt. Det var en god udfordring for 10-årige Louise, men det vil være en del bedre hvis alt blev oversat.

Programmeringsforløbet afsluttes med en “Plants vs. Zombies” opgave, hvor Zombien skal følges igennem en labyrint kun ved brug af de programmeringsblokke som ses til højre i billedet:

Louise var lidt stolt, da programmeringsforløbet blev afsluttet med et diplom. Glimrende

Når jeg kigger på Louises tilgang til den slags programmeringsforløb kan jeg se store perspektiver for at få flere unge til at interessere sig for programmering af computere.

Min søn Frederik har tidligere været i praktik hos Casalogic, hvor han gav den gas en uge som programmør.
Det kan lade sig gøre.

Et argument for at sætte programmering på skoleskemaet er at de fleste af vores børn anvender computere fra barnsben.
Programmering giver brugeren en spændende vej til at bruge computeren langt mere aktivt og kreativt.
Vi kommer helt sikkert til at mangle dygtige programmører i fremtiden, og jeg synes det vil være ærgeligt hvis man ikke finder plads til programmering – helst integreret i undervisningen, men ellers som emneuger, og/eller valgfag i 7-10 klasse.

Er det bedre, at skrive til vores undervisningsminister om vores nye folkeskole:

Kære Christine Antorini

Kommer undervisningsministeriet med planer hvor folkeskolens elever vil få
mulighed for at få uddannelse i programmering af computere?

MVH Peter Toft

Hvor tager vi debatten for at komme videre?

Der er nok mange programmører, som kan genkende det med at sidde som kodeslave i den store virksomhed, mens man i sin fritid arbejder på den hjemmeside eller applikation, som men inderst inde selv synes er rigtig fed. Den applikation, sidemanden arbejder på i sin fritid, er til gengæld en tåbelig mobil-app, der kan give besked om stive brystvorter i nærheden.

HBO’s nye komedieserie ‘Silicon Valley’ lægger meget ambitiøst op til, at for første gang i verdenshistorien har nørderne muligheden for at bygge imperier. Er din idé god nok til, at du bliver den næste Steve Jobs eller Mark Zuckerberg? Eller skal du tage imod checken, når chancen byder sig, og overlade din drøm til andre?

Det er ofte svært at bedømme en tv-serie på det første afsnit. Førstehåndsindtrykket fra Silicon Valley er af en serie, der gør meget ud af at ramme portrættet af de store, nye it-virksomheder med fuld skrue på satiren lige fra Seqways til røvsyge, møgdyre fester, hvor Kid Rock forgæves spiller for et uimponeret publikum.

Vi får kun lige snuset til persongalleriet og den bærende historie om et startup, og selvom der er potentiale for, at rollerne kan brillere, når de bliver poleret, og vi har lært dem bedre at kende, så giver første afsnit os ikke nok til ligefrem at udløse latterkramper.

Der er dog lovende lyspunkter, som når vores hovedperson Richard kalder Steve Jobs for en ‘poser’, fordi han ikke skrev noget kode.

Seriens svaghed er, at den spiller meget på klichéer fra Silicon Valley, som forudsætter et vist kendskab til den kontrast og de konflikter, man finder i hele området omkring Santa Clara og San Francisco-bugten.

Når hovedpersonerne kører på arbejde med firmaets egne busser og diskuterer den høje husleje, så er det lokal satire. Google og Facebooks busser har ført til protestaktioner i San Francisco, fordi de nye internetfirmaers høje lønninger har presset huslejerne op i de kvarterer, der tidligere var så nedslidte, at den nederste del af middelklassen havde råd til at bo i byen.

I USA er det normalt kun er de fattige, der tager bussen, men i Silicon Valley har it-firmaerne deres eget system af busser, så de ansatte ikke er afhængige af offentlig transport, men heller ikke skal betale de cirka 2.500 kroner om måneden, som en parkeringsplads i San Francisco kan koste i leje.

Andre klichéer er lettere at genkende. Eksempelvis indretningen med spraglede Hooli-farver i de enorme kontorlandskaber, som skal se meget friske og uformelle ud, men under overfladen stadig følger de samme regler for corporate adfærd som i et klinisk Wall Street-kontor.

Det mest lovende i serien er de glimt af nørdsatire, vi får at se, som heldigvis er helt universelle. Som eksempelvis da direktøren for Hooli fra panoramavinduet i sit hjørnekontor deler sine observationer af de menige programmører på sikker afstand, som var han på safari:

»Sært. Hvorfor bevæger disse programmører sig altid i grupper på fem? Der er altid en høj, hvid fyr. En lav asiat. En tyk fyr med en hestehale. En fyr med et vildt skæg. Og en inder. Det er som om, de bytter, indtil de alle sammen har den rette gruppe.«

Selve udtalelsen kan lyde racistisk og dum, men det kan også ses på metaplanet som en kommentar til, hvordan nørder ofte fremstilles stereotypisk, og det er netop det, serien forsøger at undgå. Der bliver gjort grin med nørder, men det er set fra nørdernes perspektiv, så vi griner med nørderne og ikke bare af nørderne. Også selvom visse af nørderne udstiller de usympatiske træk, som vi også kan være skyldige i.

Det også et absolut plus, at serien ikke forfalder til ‘techno babble’ af værste Hollywood-skuffe, men i hvert bliver forsøgt en balancegang mellem plausibelt uden at blive detaljeret teknisk. Man sidder bestemt ikke og frygter, at hovedpersonen pludselig kan hacke en mainframe blot ved at taste ekstra hurtigt.

Vi har fået et meget klassisk åbningsafsnit, hvor vi skulle nå at etablere både personer, univers og stil. Det gør første afsnit til en ret gennemsnitlig oplevelse i forhold til, hvad vi ellers er vant til i en HBO-serie. Derfor bliver det afgørende for seriens holdbarhed, om den kan give persongalleriet mere plads, når vi skal nå gennem lidt mindre handling på en halv time, end det åbenbart var nødvendigt i seriens premiere.