Daily Archives: April 22, 2014

I morgen formiddag afleverer formanden for det danske Piratparti, Rolf Bjerre, mere end 100.000 opfordringer til at løslade svenske Gottfrid Svartholm Warg i form af en international underskriftindsamling til justitsminister Karen Hækkerup.

Warg er varetægtsfængslet på femte måned og mistænkt for at have hacket CSCs mainframe og stjålet oplysninger fra politiet, CPR-registret og Schengens register over efterlyste personer.

Rolf Bjerre håber, at overrækkelsen af underskrifter til ministeren kan være med til at sætte politisk fokus på sagen.

»Formålet er at få spredt ordet om denne her sag. Og det er mit håb, at justitsministeren bliver aktiveret af det og tænker, at det var da en sag, der var værd at sætte sig ind i. Men det er et håb,« siger Rolf Bjerre til Version2.

Underskriftindsamlingen blev oprindeligt startet af en mand fra Estland, men er blevet overdraget til Rolf Bjerre, da den estiske mand faldt i unåde i de digitale aktivistmiljøer på grund af en angiveligt upassende indsamling af penge.

Underskriftindsamlingen til fordel for Warg overgås ifølge Rolf Bjerre kun af indsamlingen mod salget af Dong til Goldmann Sachs. De er dog svære at sammenligne, da de små 200.000 underskrivere imod Dong-salget mest var danske underskrifter, hvor underskrifterne for løsladelse af Gottfrid Svartholm Warg kommer fra hele verden.

Udover Gottfrid Svartholm Warg er en ung dansk mand også mistænkt i sagen. Han sidder varetægtsfængslet på tiende måned, og de lange varetægtsfængslinger afledte allerede i januar kritik hos Retspolitisk Forening.

Formand Bjørn Elmquist mente, at det var i strid med menneskerettighederne og påpegede, at så lange varetægtsfængslinger normalt bruges i forbindelse med personfarlig kriminalitet.

Retssagen mod den unge dansker og Gottfrid Svartholm Warg skal køre fra starten af september til slutningen af oktober, og indtil videre holdes de mistænkte stadig varetægtsfængslet med den begrundelse, at politiet frygter, at de vil slette eventuelle beviser.

Justitsminister Karen Hækkerup modtager personligt underskriftindsamlingen i morgen klokken 12 ved Justitsministeriet.

De færreste internetsurfere kan se sig fri for at have mødt fejlmeddelelsen “404 Not Found”, når de har klikket på et såkaldt dødt link.

Og med mindre man er heldig eksempelvis at finde en cachet version af linkets indhold i Googles søgemaskine, er der som regel ikke det store at stille op, når man møder 404-muren.

Men det vil et nyt projekt gøre op med ved at tilføje en ny attribut til HTML-standarden. Attributten, kaldet mset, vil i følge The Daily Dot blandt andet gøre det muligt for afsenderen at referere til flere forskellige datoer for og udgaver af hyperlinkets indhold.

For internetbrugerne vil det først og fremmest betyde, at de altid vil blive dirigeret til den senest tilgængelige version af det indhold, som linket refererer til. En funktionalitet, der potentielt set vil kunne udrydde problemet med døde links.

Men projektet har også et andet potentiale, som blandt andet vil kunne bruges i kampen mod censur og i journalisters researcharbejde.

»Hvis alle hyperlinks blev annoteret med en publikationsdato, ville du automatisk kunne se en arkiveret version af det indhold, som forfatteren ønskede dig at se det,« fortæller folkene bag projektet.

Læs mere om projektet på GitHub.

Det katastrofale Heartbleed-hul i OpenSSL-protokollen, som blev brugt af alverdens webservere, er måske nok blevet lukket – men det er ikke holdbart at køre videre med OpenSSL. Derfor må der en helt ny og gennemsikret SSL-løsning til.

Sådan lyder rationalet bag et nyt open source-projekt, hvor holdet bag styresystemet OpenBSD har sat sig for at ’forke’ OpenSSL. Det sker ved at splitte hele OpenSSL-kodebasen ad og lade en ny, slankere og mere sikker version stige op af asken. Navnet på projektet er nu besluttet, nemlig LibreSSL.

Det fremgår af en bevidst utrolig grim hjemmeside, hvor OpenBSD-folkene kortfattet fortæller om projektet og beder om bidrag til at fortsætte. Foreløbig findes LibreSSL nemlig kun til OpenBSD, men med det rette finansielle fundament vil projektet fortsætte og blive kompatibelt med andre styresystemer også, lyder meldingen.

Men om LibreSSL er løsningen på den nuværende tillidskrise til sikkerheden på internettet, er for tidligt at sige, mener Poul-Henning Kamp, open source-udvikler og dybt involveret i ’konkurrenten’ FreeBSD samt blogger på Version2.

»Jeg vil vente og se, hvad de har lavet, før jeg tager stilling. Jeg vil se koden først,« siger han til Version2.

Han understreger omvendt også, at OpenBSD-holdet er højt kvalificeret til at løse opgaven.

»Hvis der er nogen, der kan redde den kodebase, er det dem. De er bestemt kompetente, og OpenBSD har et antal gange før gjort noget, som fik stor betydning, med deres lidt kompromisløse holdning,« siger Poul-Henning Kamp.

I flere sammenhænge har han slået på tromme for, at OpenSSL må aflives fuldstændigt, fordi det skandaleramte open source-projekt er så kodemæssigt problematisk, at det ikke står til at redde.

De 300.000 linjers kode er et stort rod, som er dårligt dokumenteret, og koden rummer for eksempel 6.740 Goto-kommandoer, skriver Poul-Henning Kamp i et indlæg på fagmediet ACM Queue, og samme toner slår han an i et blogindlæg på Version2:

»Problemerne i OpenSSL er dybe og alvorlige, der er brug for at definere et helt nyt gennemtænkt API, og der er brug for at skrive koden om fra grunden, med falkeblik for sikkerhed i alle ender og kanter,« skriver Poul-Henning Kamp.

Som med al anden kritisk kode er det store spørgsmål, om man stoler på udviklerne bag, og lige med OpenBSD-holdet er ’stoler’ et lidt svært ord at bruge, fortæller FreeBSD-udvikleren, der kalder OpenBSD-folk for mere politiske.

»OpenBSD-folkene har en højere kredibilitet end mange andre, og jeg tror på, at de ikke lægger bagdøre ind i koden. Men de kan også være nogle asociale røvhuller, og de kan også være en lille smule for politiske,« lyder hans karakteristik.

LibreSSL-projektet er under alle omstændigheder et skridt i den rigtige retning, vurderer Poul-Henning Kamp.

»De fjerner en masse crap, som i hvert fald ikke gavner noget, fra koden. Så det må blive inkrementelt bedre. Spørgsmålet er så, hvor meget bedre det bliver. Men det er godt, at der kommer fokus på OpenSSL-koden, og det er ikke noget dårligt crew til den opgave,« siger han.

OK, OpenSSL er ikke helt død – rygterne svirrer bare

Vi har allesammen hørt om Heartbleed formoder jeg, der kom efter annonceringen på http://heartbleed.com/ og mit blogindlæg http://www.version2.dk/blog/opdater-openssl-og-dit-os-nu-57202 en sand tsunami af artikler og indlæg på diverse fora omkring SSL, OpenSSL og CA (Certificate Authority) vanvid.

Faktisk holdt jeg i fredags en lille brainstorm over lidt morgenmad med min ven Martin, og vi har identificeret nok konklusioner til at fylde de første 10-15 blogindlæg. Nedenstående er blandt andet baseret på vores snak, Tak Martin Clausen.

En af konklusionerne, eller et par skal man måske sige, er relateret til OpenSSL og Open Source. Kort forklaret.

• OpenSSL er noget crap, det bliver aldrig godt – slå dyret ihjel bag laden. Det synspunkt deler vores egen PHK med artiklen OpenSSL must die, for it will never get any better.
• OpenSSL er en vital del af vores infrastruktur, og underfunded i ekstrem grad
• Open Source er ikke automatisk sikkert. Det er som sådan ikke en ny konklusion og er udtalt af Spaf flere gange
• OpenSSL vægter speed fremfor korrekthed, dette var en stor WTF for mig, tak til Martin som kender OpenSSL og endda har resultater hvor et rent C SSL bibliotek er hurtigere end OpenSSL assemblerkode!
• Lette bugs opdages, svære bugs opdages eventually – og fixes derefter ret hurtigt. Jeg er meget pro-open source, men firmaer som Coverity der scanner software for sikkerhedsfejl har erfaring for at dette er rigtigt. Find eksempelvis deres Open Source Integrity Report 2013 siger “Open Source Code Quality Surpasses Proprietary Code Quality In C/C++ Projects”

Nå, men for at starte bagfra Coverity siger i deres “Coverity Scan: 2013 Open Source Report”:

In 2013, for the first time, we saw open source quality for the projects in the Scan service surpass that of proprietary projects at all code base sizes. The 2012 Coverity Scan Report looked at a sample analysis of more than 250 proprietary code bases totaling more than 380 million lines of code, with an average codebase of nearly 1.5 million lines of code, and we found that open source code had lower defect density levels up to 1 million lines of code. For the 2013 report, we analyzed approximately 500 million lines of code across almost 500 proprietary C/C++ projects.

Så hvorfor er OpenSSL så “elendig”? Bemærk gåseøjne, der er formentlig kun få personer der ville kunne programmere, endsige styre et projekt af den størrelse gennem så mange år med så skiftende forhold og krav. Specielt når vi taler om OpenSSL så er det noget alle bruger (de fleste Unix systemer har OpenSSL og bruger det), så burde det ikke have en masse funding? Nej, det lader til at der ikke er nok funding til at der er bestilt et regulært audit af koden.

Audit, hvad er det? Audit er når en gruppe dedikeret sætter sig og gennemlæser koden, prøver at afdække fejl og sikkerhedsproblemer i design, algoritmer, kode, funktioner osv. Det er noget som er begyndt at spire i højere grad og for nyligt er der kommet nogle gode rapporter omkring audit af flere værktøjer, herunder: Truecrypt audit og Cryptocat audit

Så hvad skal vi gøre? Funde Open Source er 100% nødvendigt, bruger du det og har det værdi så smid penge efter det! Jeg betaler gladeligt penge til OpenBSD og OpenSSH fordi jeg bruger det dagligt. Det er derfor med stor fornøjelse jeg læste om LibreSSL

Hvad er LibreSSL? Det er OpenSSL efter en tur i grønthakkeren. OpenBSD folkene har påtaget sig opgaven med at skrælle OpenSSL ned til en størrelse der kan håndteres. De startede med at annoncere det OpenBSD has started a massive strip-down and cleanup of OpenSSL
og efter en uges tid kom der en statusrapport One week of OpenSSL cleanup . De smider ligeledes twitter updates med skræmmende humor og referencer til skrald de finder når de vender de gamle sten.

Nu er der så også kommet en hjemmeside – som dog er meget kortfattet – fordi de er i fuld gang med arbejdet. Den er dog i Comic Sans, så det borger for kvaliteten …
http://www.libressl.org/

Jeg støttede kort efter at heartbleed blev annonceret penge til OpenBSD foundation både privat og fra firmaet, og kan varmt anbefale at I også hiver kortet frem.

OpenBSD er et projekt som uden tvivl har gjort meget for internetsikkerhed og uden OpenBSD havde vi ikke OpenSSH som alle Linux distributioner bruger (jeg er aldrig stødt på en Linux uden OpenSSH, men prove me wrong ). Det er bevist med OpenBSD at man kan lave et operativsystem med ekstrem fokus på sikkerhed, som samtidig KAN bruges – selvom det er langsommere end Linux og de andre BSD’er.

Jeg kan sagtens se at OpenBSD vil kunne lave samme process med OpenSSL/LibreSSL som de har gjort med OpenSSH-OpenBSD og OpenSSH-portable til andre Unix varianter. De har erfaringen, sikkerhedsviden, programmerer sikkert – med fokus på korrekthed fremfor hastighed! De mangler formentlig blot flere resourcer til at gøre det.

Bemærk dog at mange ikke er enige med Theo de Raadt som er OpenBSDs hårde diktator. Jeg har nok vænnet mig til det, og jeg ved og stoler på hvordan han er. Nogle vil sige konsekvent en idiot, men jeg vil fokusere på de gode ting som konsekvent med hensyn til rettigheder, licenser, erfaring med at styre sikkerhed, proven track record med OpenBSD/OpenSSH osv. Så ja, det her er et fundraiserindlæg og kom nu igang.

Hvis du af en eller anden grund stadig ikke synes Theo og OpenBSD foundation skal have dine penge, så find andre lignende projekter som CryptoCat, Sudo eller dit eget ynglingsprojekt og støt det – så der kan betales et audit af projektet.

Hvis du ejer en europæisk udgave af Nokias tablet Lumia 2520, skal du passe på med at oplade den i stikkontakten med den medfølgende lader.

Nokia har nemlig udsendt en officiel advarsel om, at en produktionsfejl i AC-300-opladeren kan betyde, at brugeren i visse tilfælde kan få stød af opladeren.

Problemet skyldes, at et stykke plastik omkring laderens udskiftelige stik kan rive sig løs. Hvis det sker, vil laderen i følge Nokia kunne give stød, hvis brugeren kommer i kontakt med de interne komponenter.

»Selv om vi ikke har modtaget henvendelser omkring dette mulige kvalitetsproblem, så er kvalitet og sikkerhed første prioritet i Nokia. Vi undskylder over for de, der har købt en Lumia 2520, og vi arbejder på højtryk for at gøre ulejligheden så kortvarig som muligt,« udtaler Nokias Jo Harlow, der er EVP for Smart Devices.

Nokias advarsel gælder både den medfølgende lader og rejseoplader-sættet. Det anslås, at omkring 30.000 AC-300 opladere og 600 rejseopladere er berørt af fejlen.

Jeg ved ikke, om det er en eller anden form for miljøskade fra at have arbejdet i it-branchen i mange år, men jeg bliver altid så glad, hver gang der sniger sig lidt mere teknologi ind i verden. Jeg er nok en af dem, der ender med at sidde og nusse med en robotkat på plejehjemmet, mens et lille modeltog med jævne mellemrum kører forbi med Werthers Echte (eller vent lidt, jeg vil egentlig hellere have lakridser).

Jeg har især en forkærlighed for teknologi, der sætter mig i stand til at træffe og eksekvere flere valg selv. Jeg valgte læge efter hvem der havde et elektronisk bookingsystem, som – omend klodset – giver mig mulighed for selv at danne mig et overblik over mulighederne og booke, når det passer mig. Ikke ligesom hos min tandlæge, hvor man kan ringe ned og forhandle med klinikassistenten for at få nogle bud på, hvornår hun tror, at det kunne passe mig.

Jeg fløj med Norwegian i dag, hvor de har fået “snack bar”-bestillinger indbygget i en Android-tablet i sædet, så man direkte vælger, bestiller og betaler fra sædet, og kort tid efter får det bestilte leveret af kabinepersonalet. Meget mere behageligt end da jeg bestilte room service i morges og skulle ringe og forklare en hotelansat med meget dårlige engelskkundskaber, hvad jeg gerne ville have. Det blev næsten det rigtige, jeg fik leveret.

Der er meget endnu, jeg gerne ville have automatiseret; desværre fik jeg engang købt en for tidlig/dårlig udgave af en robotstøvsuger, med det resultat, at ægtemanden har mistet tiltroen til konceptet og ikke er til at overtale til at købe en ny – nå ja, for desuden mangler vi en dims, der inden støvsugeren slippes løs har samlet legoklodser og andet godt op fra gulvet suk. Men jeg vil bare så gerne slippe af med alt, hvor jeg har den mindste fornemmelse af, at det er spild af menneskelig tid og kræfter at bakse med det (også selvom det retfærdigvis skal siges, at det sjældent er mig, der støvsuger derhjemme).

Jeg håber virkelig ikke, at jeg nogensinde når en alder, hvor jeg synes, at ny teknologi er noget underligt noget og bare vil have, at alting skal være, som det pleje. Men indtil videre er det dog betryggende, at min far stadig sender mig mails, om at jeg må se at få opdateret iOS og links til artikler, han har læst på version2, og at min mor er ferm til at checke vores Google-kalendere, før hun laver en aftale. Måske har jeg en hel del tid at løbe på endnu, ind til I bliver nødt til at sætte mig ind i en eller anden virtual reality-verden, hvor det hele er stivnet i 2030.

I kølvandet på afsløringen af sikkerhedshullet Heartbleed i OpenSSL er en 19-årig canadier som den første blevet anholdt for at have udnyttet bristen.

Det canadiske politi, RCMP, har sigtet den 19-årige for at have hacket sig ind i og stjålet følsomme oplysninger fra Canadian Revenue Agencys it-system, der blandt andet administrerer skatteoplysninger. Det skriver SC Magazine.

Ifølge Canadian Revenue Agency er der over en periode på seks timer blevet stjålet 900 såkaldte sociale forsikringsnumre fra agenturets it-system. Tyveriet er sket et tidspunkt før den 8. april, hvor agenturet netop patchede sine servere for sikkerhedsbristen i OpenSSL.

Politiets specifikke mistanke om, at teenageren skal have udnyttet Heartbleed, er i sig selv interessant. Sikkerhedshullets art betyder nemlig, at det kan være vanskeligt at afgøre, om en server i det hele taget er blevet udsat for et angreb.

Ifølge Yan Zhu fra Electronic Frontier Foundation kan det kun lade sig gøre, hvis offeret holder logs over sine datapakker – hvilket hun pointerer ikke sker særlig tit.

Den anholdte forventes at blive stillet for en dommer den 17. juli.

En række smartphone-producenter og teleselskaber er nu indgået i en fællesaftale om at indføre en dræberknap eller kill switch i alle nye smartphones. Det skriver Epn.dk

En dræberknap gør det muligt at slette alt data på sin smartphone, i tilfælde af at den er blevet stjålet. Samtidig sikrer funktionen også, at den stjålne smartphone fremover er ubrugelig.

Bag den nye aftale står velkendte selskaber som Apple, Google, Samsung, Microsoft, Motorola, Nokia, HTC og Huawei sammen med de fem største teleselskaber i USA.

Aftalen forpligter selskaberne til at udstyre alle smartphones efter juli 2015 med den såkaldte dræberknap-funktion.

Det er en aftale som kommer i kølvandet på en stærk stigning af smartphone tyverier i USA. Derfor håber man nu på, at en dræberknap kan ødelægge markedet for stjålne smartphones, ved at gøre telefonerne ubrugelige.

»Denne fleksibilitet giver forbrugerne adgang til de bedste funktioner og applikationer, som dækker deres unikke behov, mens det også beskytter deres smartphones og den værdifulde information, de indeholder,« siger Steve Largent, direktør i erhvervsorganisationen CTIA – The Wireless Association.

Ifølge Jakob Willer, direktør for brancheforeningen Teleindustrien, er der ikke nogen planer om at indføre en lignende aftale i Danmark.

»Det er ikke noget, vi var drøftet i brancheregi. Muligvis har selskaberne selv gjort sig vervejelser om det,« siger han i et skriftligt svar til Jyllands-Posten.

Microsoft har annonceret, at opkøbet af Nokia Devices bliver gennemført fredag den 25. april. Købet skulle oprindeligt være gennemført i slutningen af sidste kvartal til en pris på 7,1 milliarder dollar, men blev udsat af regulative myndigheder. Det skriver Ars Technica.

Overraskende køber Microsoft ikke Nokias produktionsfabrik i Sydkorea, som hovedsageligt producerer Nokias smartphones. Fabrikken var udsat for fyringsrunder i 2012, men blev omstillet samme år til produktion af smartphones.

Microsoft er ikke kommet med nogen forklaring på, hvorfor fabrikken ikke er med i købet.

Derudover vil handlen byde på navneforandringer i Nokia. Et brev fra Nokia Devices and Services til en af sine leverandører, afslører nemlig, at afdelingen fremover vil blive kendt som en ny virksomhed under navnet Microsoft Mobile.

Microsofts satsning med ny brugergrænseflade i Windows 8 blev ikke modtaget med begejstring blandt kunderne – og nu truer tekniske problemer med at give styresystemet ny modvind.

Version2 skrev i sidste uge, hvordan Microsoft på den ene side kræver, at man installerer en ny opdatering oven på Windows 8.1 – kendt som 8.1. Update eller Windows 8.1.1 – og samtidig fraråder virksomhedskunder, som installerer via WSUS-serveren, at hente opdateringen på grund af tekniske problemer.

Men det er ikke kun gennem WSUS-serveren, at Windows 8.1 Update giver ballade, fortæller indehaveren af Hadsten Computer, som hjælper både private og virksomheder med deres Windows-maskiner.

»Microsoft har massive problemer. Jeg har aldrig oplevet så mange problemer med Windows før, og jeg har arbejdet med Windows siden version 3.1 (fra 1990’erne, red.). Det her er Windows Vista nr. 2 – bare meget værre end Vista,« siger Stefan Granholm, der har drevet Hadsten Computer siden 2008.

Han downloadede selv den nye opdatering, men siden da har Windows bedt om en aktiveringskode. Den kode, der fulgte med hans Windows-licens, virker ikke.

»Først ville den slet ikke opdatere til Windows 8.1.1, men da det endelig lykkedes, står der, at den ikke er aktiveret og at jeg har en ulovlig kopi. Jeg har også prøvet med telefonaktivering flere gange, men det kan man ikke, for der er for mange tal i licenskoden,« fortæller han.

Ud over problemerne med aktivering har opgraderingen til 8.1 Update også fjernet syv programmer på computeren, blandt andet Paint.net. Kampen for at få lov at opgradere har foreløbig krævet omkring 15 arbejdstimer, vurderer Stefan Granholm, som også ad flere omgange har talt med Microsofts support i både Danmark og England, uden at det har hjulpet.

»Jeg talte med Microsoft i en time, hvor de prøvede at fjernstyre min computer og aktivere den. Men bagefter siger den stadigvæk, at den ikke er aktiveret. Men Microsoft er ligeglade,« siger han.

Al balladen kunne måske være et helt lokalt problem med hans computer, men det er ikke tilfældet, fortæller han.

»Jeg har haft 14-15 privatkunder, som har henvendt sig til mig med samme problem. De har haft alle mulige forskellige computere, fra Asus til Lenovo, så det er ikke hardwaren,« siger Stefan Granholm.

Nu vil han nedgradere til Windows 7 for at kunne komme videre og slippe for Windows 8-problemerne.

»Det her kan jeg jo ikke arbejde med, så jeg er nødt til at skifte tilbage til Windows 7. Men jeg skulle jo gerne lære at arbejde med Windows 8, for det er det, som kunderne får som standard på en ny computer,« siger Stefan Granholm.

Kunder hos Hadsten Computer går dog som oftest hjem med en Windows 7-maskine, for Stefan Granholm har nu valgt kun at sælge Windows 8-computere til kunderne, hvis folk beder om det.

»Vi solgte i forvejen ikke ret mange Windows 8-licenser. På et halvt år har vi solgt fire af dem mod over 100 Windows 7-licenser. Virksomheder vil ikke have det, og brugergrænsefladen er elendig for private,« siger han og nævner som eksempel, hvordan Windows 8 som standard kører Internet Explorer i Metro-version, som ikke kan køre Java og dermed NemID.

Windows 8 er også siden lanceringen i 2012 blevet proppet med meget store opdateringer på flere gigabyte, noterer han. Fra version 8.0 til og med 8.1 har der været over seks gigabyte opdateringer, og den nyeste Windows 8.1 Update – som har givet så mange problemer – fylder selv 800 megabyte.

»Når du siger til kunderne, at denne her computer kommer med Windows 7 – så køber de den,« siger han.