Sikkerhetsselskapet Palo Alto Networks kunngjorde denne uken at selskapet har funnet en godt skjult bakdør i smartmobiler som tilbys av den kinesiske mobilprodusenten Coolpad. Bakdøren skal ha blitt funnet i 24 ulike modeller fra selskapet, som selv opplyser at det har levert mer en 10 millioner mobiler. Bakdøren omtales i en ny rapport fra selskapet.

Ifølge Palo Alto Network leveres mobilene fra Coolpad med en modifisert Android-versjon som gjør det vanskelig for antivirusprogrammer å oppdage bakdøren.

Fullstendig kontroll
– Vi forventer at Android-leverandøren forhåndsinstallerer programvare på enhetene som tilbyr funksjonalitet, og at de holder applikasjonene sine oppdatert. Men CoolReaper-bakdøren som beskrives i denne rapporten overgår det brukerne kan forvente, ved å gi Coolpad fullstendig kontroll over de berørte enhetene, å skjule programvaren for antivirus-programmer og for å la brukerne være ubeskyttet mot ondsinnede angripere. Vi oppfordrer Coolpad-brukerne til å se etter om bakdøren finne på enhetene deres og å gjøre tiltak for å beskytte sine data, sier Ryan Olson, etterretningsdirektør ved Palo Alto Networks’ Unit 42, i en pressemelding.

Palo Alto Network kan ikke gi noe sikkert svar på om også enheter solgt på utsiden av Kina har bakdøren, som ser ut til å ha blitt tatt i bruk i løpet av de siste tolv månedene.

Installerer og ringer
Ifølge sikkerhetsselskapet åpner bakdøren for en mengde muligheter. Dette inkluder installasjon og aktivering av applikasjoner uten at brukerne varsles eller samtykker til dette, sletting av data, avinstallering av eksisterende applikasjoner, deaktivering av systemapplikasjoner, sending eller injisering av vilkårlige SMS- og MMS-meldinger, oppringning av vilkårlige telefonnummer, samt opplasting av informasjon om enheten, posisjonen, applikasjonsbruken, anrops- og meldingslogger til Coolpads servere. Det skal også være mulig å varsle brukerne om falske OTA-oppdateringer (Over-The-Air) som ikke oppdaterer enheten, men i stedet installerer uønskede applikasjoner.

Unit 42-avdelingen til Palo Alto Network ble oppmerksomme på bakdøren etter å ha registrert at Coolpad-kunder i Kina hadde klaget på dette dette i ulike internett-fora. I november skal en kinesisk sikkerhetsforsker som samarbeider med nettstedet Wooyun.org ha identifisert en sårbarhet i det sentrale kontrollsystemet for CoolReaper. Dette avslørte at hvordan Coolpad selv kontrollerer bakdøren. I tillegg skal den kinesiske nyhetstjenesten Aqniu.com skal ha omtalt bakdøren allerede den 20. november.

Svarer ikke
Palo Alto Network skal fram til i går ha sendt flere forespørsler til Coolpad, uten å få svar. Det opplyses at også Googles Android Security Team har fått tilgang til informasjonen Palo Alto Network har samlet inn, men det er lite trolig at det er noe Google kan gjøre. For Coolpads mobiler er etter alt å dømme basert på fritt tilgjengelige Android Open Source Project, ikke Android-versjonen som Google i langt større grad kontrollerer.

Forrige fredag behandlet KS Hovedstyre et forslag til evaluering av KommIT – et år før prosjektperioden er over. Den evaluering som ble foreslått har klare føringer på at nedleggelse av KommIT og å videreføre aktivitetene i regi av KS Innovasjon og utvikling, altså «i linjen», var et klart alternativ.

Det saksdokumentet som ble lagt frem, angir to hovedgrunner til dette.

KommIT har uttalt seg i IKT-politiske spørsmål som har vært i strid med KS politikk på området. «Grenseflatene mellom KommIT som program KS`s linje er uklare på det IKT-strategiske området», heter det i Rambøll-rapporten. Det har ført til uklare signaler og svekket omdømme omkring KS sine IKT-politiske standpunkter, som det heter i saksdokumentene. Det var en klar forutsetning fra begynnelsen av at «KS skal ha det overordnede interessepolitiske ansvaret på vegne av kommunesektoren og for å samordne IKT-utviklingen i sektoren. Samtidig som KS vil få en tydeligere interessepolitisk profil, skal KS ha en pådriverrolle og være premissgiver og bestiller for en koordinert IKT-utvikling».

Dette har åpenbart ikke fungert. Ikke bare sett ut i fra KS synsvinkel, men også fra statens side. Det er velkjent at KommIT – som har representert KS i samordningsorganet SKATE – har gitt IT-politiske signaler forskjellig fra KS.

«Bestiller-rollen» mellom KS og prosjektet KommIT har ikke fungert tilfredsstillende, sier sakspapirene. Det betyr at det har vært dårlig kommunikasjon mellom KommIT og KS. Helt konkret betyr det at KommIT har vært opptatt av behov som kommer frem fra kommunene, og ikke fra det behov som defineres fra KS sentralt, eller fra statlige prosjektforslag til IKT-satsinger. KS har i et skriv til Kommunal- og moderniseringsdepartementet (KMD) nylig klaget på at de ikke har blitt tatt tilstrekkelig hørt når det gjelder store statlige IKT-prosjekter. KMD har foreløpig pekt på at samordningsorganet SKATE er det organ hvor dette skulle ivaretas.

Her er en nok ved et kjernepunkt: KommIT har i liten grad representert den overordnede strategi og de synspunkter som KS har overfor samordningsorganet SKATE.

Det er også klart at det fra statlig side har vært misnøye med hvordan KommIT har fungert i forhold til de forventninger staten hadde – og staten (KMD) er både fødselshjelper og finansiell bidragsyter til KommIT.

Oppgaven til KommIT har vært:

«1. Kommunesektoren skal være en tydelig stemme inn i den pågående IKT-samordningen i
offentlig sektor.
2. Kommunesektoren skal forholde seg til en felles IKT-arkitektur i sin rolle som bestiller,
tjenesteyter og -forvalter.
3. Kommunesektoren skal ha kompetanse til å styre egen IKT-utvikling, være profesjonelle
bestillere i møte med leverandørene (min utheving) og å ha et tilstrekkelig digitalt kompetansenivå blant sine brukere.»

Den første oppgaven er altså ikke tilfredsstillende løst da den har kommet i konflikt med de overordnede strategier og ønsker fra KS.

Den andre oppgaven er tilfredsstillende løst da KommIT langt på vei har blitt et «mini-Difi», dvs å utvikle og utbre standarder, standard arkitekturprinsipper, felleskomponenter, prosjektmodell og gevinstrealiseringsverktøy basert på hva Difi har utviklet. Her scorer KommIT høyt.

Den tredje oppgaven er mangelfullt utført. Mange hadde forventning om at det ble etablert et IKT-leverandørforum, og at KommIT skulle kunne inngå rammeavtaler med IKT-leverandørene på vegne av hele kommunesektoren. I stedet har en knyttet seg tett opp til én leverandør – Altinn – og prediket at «alt» bør gå gjennom Altinn.

KommIT har her tatt en rolle som overgår selv hva Altinn selv ønsker – Lars Peder Brekk har senest på Altinn-dagen sagt at Altinn ikke nødvendigvis skal være alt for alle. Samtidig som en slik holdning utfordrer hva staten og Difi ønsker f.eks. i forbindelse med utbredelsen av Sikker Digital Postkasse (SDP). Uten å ta stilling til hvordan Altinn skal fungere i den totale sammenheng i forhold til andre felleskomponenter: Det åpenbart ikke en prosjektleder i kommunesektoren skal ha noen avgjørende stemme i det.

KommIT har oppnådd mye i løpet av kort tid både med hensyn til konkrete leveranser i kjølvannet av det Difi har produsert, men også skapt begeistring og oppslutning om IKT-tiltak, og som KS selv sier: «som en møteplass som stimulerer innovasjonskraft hos kommunene». Det flere nå frykter er at å tilbakeføre disse aktivitetene til KS – som en mer byråkratisk og politisk organisasjon – vil svekke innovasjonskraften i kommunesektoren.

Det vil ikke nødvendigvis skje – prinsipielt må innovasjon skjer «i linjen» der prosessene foregår, og ikke gjennom en utenforstående enhet. Det som er problemet her, er at KS heller ikke er «i linjen», men en interesseorganisasjon utenfor der hvor aktivitetene pågår. Men det er enda mere galt å legge innovasjonskraften til et miljø som pr. definisjon er interessert i større utbredelse av Altinn. (KommIT-lederen var tidligere ansatt i Accenture som fikk utviklingsansvaret for Altinn i sin tid, og hvor de la inn «innovasjon» som en integrert del av tilbudet – for å differensiere seg fra andre IKT-leverandører).

Det er prinsipielt galt at innovasjonsarbeidet skjer gjennom en ekstern IKT-leverandør. Dette gjelder enten det er offentlig eller privat sektor.

Det var et riktig steg i sin tid å etablere KommIT for å få samordnet kommunenes behov og aktiviteter innen kommunesektoren. KommIT har også oppnådd mye i løpet av sine til nå 2 år, men først og fremst i å fremme felles IKT-arkitektur. Som leder har imidlertid Kommit-sjefen mislykkes ved ikke å klare godt nok å forholde seg til sin oppdragsgiver, men skapt usikkerhet omkring de IKT-politiske føringene og uavhengighet i forhold til «bestiller-rollen».

KommIT-sjefens avgang åpner nå flere alternativer for KommITs videre skjebne etter endt prosjektperiode i slutten av 2015. Muligheten for at prosjektet som sådan fortsetter etter prosjektperiodens utløp om ett år med ny ledelse, nytt mandat og avklaring av samarbeidsproblemene med KS, er nå mulig i langt større grad enn hvis KommIT-lederen hadde fortsatt.

Og da er kanskje tiden inne til å ta nye og større grep. En undersøkelse (pdf) gjennomført av IKT Norge i sommer viste at veien er langt frem til at kommunesektoren er «digitalisert». Samtidig viser også undersøkelser fra IKT Norge at 90 prosent av kommunene ønsker sentral styring og kontroll over IKT og IKT-anskaffelser. KS må derfor nå ta tak i denne utfordringen som KommIT ikke har gjort, nemlig å få utarbeidet en felles IKT-strategi for hele kommunesektoren for alle lovpålagte – og dermed identiske tjenester – levert av IKT-leverandører som kan og vil levere det samme til alle, basert på felles kommunal anskaffelse.

Leder for Innovasjonsavdelingen i KS, Trude Andresen sa om dette i sommer:

«Leverandørene har en avgjørende rolle i digitaliseringen av offentlig sektor. Kommunene får et problem når leverandørene har løsninger basert på gammel teknologi som ikke er tilpasset nye krav, standarder og felleskomponenter. Ofte tilbyr leverandørene de samme tilpasningene til flere kommuner og til samme pris, selv om utviklingskostnad allerede er dekket. KS mener at leverandørene må forplikte seg til å ta i bruk standarder og felleskomponenter, men også være med i utvikling av disse.

Norge er et lite land, og gjennomføring av store IKT-satsninger vil ofte medføre press på de samme leverandørene. Resultatet er innføring av reformer og nye løsninger stykkevis og delt, i ulikt tempo og med ulik kvalitet. Det gjør at vi ikke får tatt ut gevinster av IKT-investeringene.»

Leverandørene må involveres og forpliktes, er hennes budskap.

Nettopp.

KommIT-lederen går til Evry som ansvarlig for kommunale tjenester fra 1.2 2015. Det tar hennes engasjement for kommunesektoren ett nivå opp, som hun selv sier til digi.no. Mange vil si at det er å bringe engasjementet tilbake til å være en av mange, fremfor å være den ene som setter rammebetingelsene for IKT i kommunesektoren.

Google kom i sommer med en alfaversjon av et produkt som kalles for End-To-End, som er en nettleserutvidelse til Chrome for PGP-basert ende-til-ende-kryptering av e-post sendt via Gmail.

Denne uken gjorde Google løsningen, som stadig er en alfaversjon, til åpen kildekode. Allerede har løsningen fått flere bidrag fra blant annet sikkerhetsteamet i Yahoo, og et par sårbarheter har nå blitt fjernet. Dette gjaldt dog ikke i selve kryptobiblioteket, som flere andre prosjekter nå ønsker å bruke.

Google understreker at løsningen på ingen måte er klar til bruk. Men selskapet regner med å kunne tilby en mer komplett løsning i løpet av det kommende året.

Fordelen med ende-til-ende-krypteringen er at meldingene forblir krypterte fra de sendes fra avsenderens maskin til de mottas og dekrypteres hos mottakeren. Det er i utgangpunktet ingen mulighet for uvedkommende lese innholdet underveis. Det er dog bare selve meldingskroppen, ikke «hodet», som er kryptert.

Det finnes tilsvarende løsninger allerede, men målet til Google er at End-To-End skal være enklere å bruke.

Den nye klyngen av datasentre som er under oppseiling i Vennesla nord for Kristiansand satser tungt på å få Statnett til å legge fiber i den kommende utenlandskabelen til Tyskland.

Årsaken er behov for flere direkte bredbåndsforbindelser til kontinentet enn dagens tilknytning til Danmark.

IKT Norge har allerede satt i gang en prosess med sikte på at den nye tysklandskabelen får fiber.

– Her er IKT Norge vår allierte, og vi har spilt inn at vi vil være en kommersiell aktør på dette, sier styreleder Peder Nærbø hos Bulk, eiendoms- og logistikkselskapet bak det nye datasenteranlegget N01 Campus.

Det betyr at selskapet er innstilt på å leie mørk fiber på denne utenlandskabelen.

Store kunder
Etter tre års planlegging i det stille, ble planene presentert onsdag. Det store spørsmålet når det dukker opp slike prosjekter, er gjerne hvilke storkunder som kan være aktuelle.

Facebook? IBM?

– Vi har store kunder på blokka, men det er ikke sikkert at vi ønsker å ta inn en slik storkunde i starten. Det kan legge beslag på det meste av kapasiteten, mens vi ønsker oss flere etableringer i oppstarten, sier Nærbø.

Han tviler ikke på etterspørselen.

– Behovet for lagring dobler seg hver 18 måned, og Europa har den høyeste veksten, argumenterer han.

Spaden i jorda
Noen større interessenter har såpass hastverk at det blir vanskelig å få området klart i tide. Her skal kundene kunne velge mellom alt fra flat asfalt med fiber og strøm for containerløsninger til tomme haller for eget utstyr og nøkkelferdige alternativer.

Investeringene kan beløpe seg til opp mot 10 milliarder kroner de neste ti årene.
Her er Bulks egen presentasjon av prosjektet.

- Når kan man høre summingen fra det første datasenteret?

– Vi regner med at noen ønsker å teste området til å begynne med. Da kan vi i prinsippet ta i mot en containerbasert løsning i løpet av et par uker. Men for området som helhet bør vi gjøre ting i rekkefølge, som å få unna alt nødvendig sprengningsarbeid først. Nå foregår det mye planlegging, mens spaden stikkes i jorda til våren, sier Nærbø.

Midt i smørøyet
N01 Campus skal anlegges i Stølheia – midt i smørøyet for tilgang til vannkraft, med fem ulike lokalnett i dette knutepunktet. Kapasiteten nå er på 400 megawatt (MW), mens metningspunktet ligger på 1000 MW.

Artikkelen er korrigert på grunn av flere misforståelser mellom digi.no og kilde.

Oslo (NTB): Telenor-sjef Jon Fredrik Baksaas blir som ventet kalt inn til høring i Stortingets kontroll- og konstitusjonskomité i forbindelse med korrupsjonsmistankene i Vimpelcom-saken.

I tillegg til Baksaas, er Telenors styreleder Svein Aaser innkalt til høringen som vil finne sted 14. januar. Det samme er næringsminister Monica Mæland (H) og hennes forgjenger i statsrådsstolen, Arbeiderpartiets Trond Giske.

En enstemmig komité står bak innkallingen. At Baksaas har trukket seg fra styret i Vimpelcom vedkommer ikke saken, sier komitéleder Martin Kolberg.

– Han kalles inn i egenskap av å være direktør i Telenor, sier han.

Korrupsjonsmistankene mot delvis Telenor-eide VimpelCom fikk nytt liv etter at Klassekampen publiserte dokumenter som antyder at mer enn 600 millioner kroner er betalt fra VimpelCom til postkasseselskapet Takilant som betaling for telelisenser.

Svenske TeliaSonera har lenge vært etterforsket for sine overføringer av 2,2 milliarder kroner til selskapet. (©NTB)

Til tross for mye fokus på åpen kildekode og åpne formater, så har ikke Googles nettskybaserte dokumentapplikasjoner hatt særlig god støtte for Open Document Format (ODF), som er standardformatet i blant annet OpenOffice. Blant annet har støtten for presentasjoner (ODP-filer) manglet helt. Det er dog litt uklart hvorfor Googles ODF-støtte har vært så mangelfull, også sammenlignet med løsninger fra konkurrentene.

Men denne uken har det skjedd en utvikling på denne fronten. I en melding skriver Google Drive-teamet at Google Drive nå har støtte for import av alle de tre vanligste ODF-filformatene, .odt for tekstbehandlingsdokumenter, .ods for regneark og .odf for presentasjoner. Det betyr at det ikke bare er mulig å laste slike filer opp i Google Drive, men også å få dem konvertert til Google Docs, Sheets eller Slides, slik at de kan redigeres.

Kunngjøringen inneholder også noen mindre nyheter knyttet til Microsoft Office-dokumenter.

Hva er så bakgrunnen for at Google nå får fart på en utvikling som tilsynelatende har ligget på is ganske lenge?

Alt tyder på at det er press fra myndighetene i ulike land, men kanskje først og fremst Storbritannia, hvor alle etater nå må kunne støtte dokumenter levert som ODF, HTML eller PDF. En rekke etater har til nå krevd at innleveringer fra publikum gjøres i Microsoft Office-formater. Disse etatene må nå planlegge hvordan de skal kunne bruke de påkrevde formatene.

Dette kom fram under en ODF Plugfest som ble arrangert i London i forrige uke. Det er Computerworld UK som omtaler dette.

Også i Norge ble det for noen år siden innført lignende krav. Men det har senere skjedd enkelte endringer på den fronten. En oversikt over hvilke land som har innført ODF som et standardformat for redigerbare dokumenter, finnes her.

Google, som ønsker å tilby tjenester og maskinvare til offentlig sektor i mange land, må forholde seg til kravene om støtte for ODF. Det er trolig derfor selskapet nå ruller ut forbedret støtte for disse formatene i Google Drive.

Det som dog er ganske overraskende, er at den forbedrede støtten kommer allerede nå. For under ODF-arrangementet i London i forrige uke sa Googles åpen kildekodesjef, Chris DiBona, blant annet at støtte for ODF-presentasjoner ikke ville komme før sommeren 2015.

Det er ingen hvem som helst som hevder dette heller.

– Ingen bør innbille seg noe annet. Med Sonys kollaps har Amerika tapt sin første kyberkrig. Dette setter en svært svært farlig presedens.

Newt Gingrich (71) skriver dette i en twittermelding i natt norsk tid.

Gingrich er en politisk slugger, historiker, forfatter og rådgiver. Han var lenge i nominasjonskampen om å bli republikanernes kandidat til presidentvalget i USA i 2012.

No one should kid themselves. With the Sony collapse America has lost its first cyberwar. This is a very very dangerous precedent.

— Newt Gingrich (@newtgingrich) December 17, 2014

Og som Speaker i den amerikanske kongressen fra 1995 til 1999 var han formelt den andre i rekken til å overta presidentembedet, etter USAs videpresident og senatets president pro tempore.

Sony should release “the Interview” online for free so North Koreans can’t censor American creativity–should have Korean language version

— Newt Gingrich (@newtgingrich) December 17, 2014

Kraftsalven kom etter at filmselskapet Sony Pictures valgte å trekke actionfilmen «The Interview», som skulle hatt premiere 1. juledag.

Sony bekrefter nå at de har ingen planer om å gi ut filmen, som har kostet 300 millioner kroner å produsere.

Årsaken er terrortrusler fra hackergruppen «Guardians of Peace», som truet med å angripe kinoer hvis de viste filmen. En rekke større kinobedrifter tok truslene på alvor og valgte å ta filmen av plakaten.

Den elleville actionkomedien med Seth Rogen og James Franco i hovedrollene handler om en talkshow-vert som får i oppdrag av CIA å ta livet av Nord-Koreas leder Kim Jong Un.

Amerikanske myndigheter skal nå ha konkludert med at Nord-Korea er sentralt involvert i hackingen av Sony Pictures, ifølge New York Times.

Det er det ikke alle som kjøper.

Bevisene for Nord-Koreas angivelige involvering er «skrøpelige», skriver teknologimagasinet Wired, som riktig påpeker at det er svært vanskelig, hvis ikke umulig å med sikkerhet kunne fastslå hvem som sto bak datainnbruddet.

– Påstandene om hvem som står bak et hvert hackerangrep må tas med en solid klype salt. Dyktige hackere bruker proxyer og falske IP-adressser både for å skjule sine spor og plante falske hint i sin skadevare for å lede etterforskerne på villspor. Når hackere faktisk blir identifisert, så skjer det som regel fordi de har gjort tabber, eller at en arrestert kollaboratør blir informant, mener Wired.

– Hackerne vant. Wow.
Rob Lowe, som er blant en rekke stjerner med cameoroller i filmen uttrykte i natt sin overrakelse på Twitter: – Wow. Alle bukket under. Hackerne vant. En full seier for dem. Wow, sier han.

Wow. Everyone caved. The hackers won. An utter and complete victory for them. Wow.

— Rob Lowe (@RobLowe) December 17, 2014

Gebrokkent engelsk
Sonys beslutning om å avlyse hele Nord-Amerika-premieren 1. juledag er det hittil klareste tegnet på at hackernes innflytelse vokser.

– Husk 11. september 2001. Vi råder deg til å holde deg for seg selv og unna stedene på det tidspunktet, heter det blant annet i trusselen som tirsdag ble publisert på gebrokkent engelsk fra gruppen Guardians of Peace.

Det er den samme gruppen hackere som hevder å stå bak datainnbruddet hos Sony 24. november. FBI, som etterforsker innbruddet, utstedte tidligere denne uken en advarsel til kinoer og andre bedrifter knyttet til Sonys film «The Interview», om at de kunne bli rammet av dataangrep.

Gruppen hevder å ha plyndret 100 terabyte med data fra Sony Pictures.

Evry har kapret nok en leder med fersk kompetanse fra kundemassen.

«Helsesjef» Jan Rylund hos Microsoft Norge bytter beite og skal jakte de solide sykehuskontraktene for Evry.

Og onsdag kunne digi.no melde at Kirsti Kierulf slutter som leder av KommIT for å bli ny direktør for kommunesektoren hos IT-giganten.

Les mer om bakgrunnen for KommIT.

Ullevål
Rylund har bakgrunn fra sykehus, men de siste årene har han pushet løsninger for Microsoft.

På cv-en har han tre år som prosjektleder og fungerende IT-direktør ved Ullevål Universitetssykehus.

De siste åtte årene har dagene gått med til salg og leveranser til offentlig helse i Microsoft Norge og for å følge opp dette selskapets helsestrategi.

Stillingsingsinstruksen omfattet også ansvaret for forhandlingsledelse og foredrag.

Bevisst strategi
Nå satser Evry på å dra nytte av Rylands teknologiske helsekompetanse – og legger ikke skjul på at det er en bevisst strategi.

– Arbeidet med å posisjonere oss for ytterligere lønnsom vekst med helhetlige løsninger for Helse-Norge er et svært viktig satsningsområde fremover. Mye av dette arbeidet må skje i et nært samspill med aktørene i helsesektoren og gjennom økt fokus på blant annet å utvikle en god partnerstrategi. For å lykkes med dette har Evry behov for å styrke sin nærhet til sektoren og vår kjennskap til sektorens strategiske og operative utfordringer og muligheter, heter det i en pressemelding.

Sjefene blir kundene
På samme vis er Kierulf hentet inn.

Evry er storleverandør til kommunesektoren, hvor hun har jobbet i to år med å få både kommuner og leverandører til å samle seg om mer felles standardiserte løsninger.

Nå skal hun selge slike løsninger til sine tidligere oppdragsgivere.