Google App Engine har en lang rekke alvorlige sårbarheter.

Det hevder polske sikkerhetsselskapet Security Explorations, som redegjorde for funnet på seclist.org i helgen.

Blant de mer enn 30 sårbarhetene forskerne fant er det 22 som skal ha latt seg utnytte til å bryte ut av Java-sandkassen og kjøre vilkårlig kode.

App Engine er en skybasert applikasjonsserver, en såkalt platform-as-a-service (PaaS) som lar kunder rulle ut og kjøre skalerbare applikasjoner i Googles infrastruktur.

Løsningen støtter en rekke ulike språk deriblant Java, Python, PHP og søkegigantens eget programmeringsspråk Go.

Appliksjonene kjører på virtuelle servere i Googles maskinklynge, og det selskapet oppgir er et trygt kjøremiljø beskyttet av sandkasse-teknologi.

Adam Gowdiak i Security Explorations ramser i kunngjøringen opp noen av forholdene de har avdekket så langt:

– we bypassed GAE whitelisting of JRE classes / achieved complete Java VM
security sandbox escape (17 full sandbox bypass PoC codes exploiting 22
issues in total),
– we achieved native code execution (ability to issue arbitrary library
/ system calls),
– we gained access to the files (binary / classes) comprising the JRE
sandbox, that includes the monster libjavaruntime.so binary (468416808
bytes in total),
– we extracted DWARF info from binary files (type information and such),
– we extracted PROTOBUF definitions from Java classes (description of 57
services in 542 .proto files),
– we extracted PROTOBUF definition from binary files (description of 8
services in 68 .proto files),
– we analyzed the above stuff and learned a lot about the GAE environment
for Java sandbox (among others).

Sperret konto
Forsøkene på å lære mer ble avbrutt lørdag, da forskerne ble kastet ut av Google App Engine, noe forskerne selv påtar seg skylden for.

– Det er utvilsomt går egen skyld. Sist uke snoket vi litt for aggressivt rundt i det underliggende operativsystemet / sandkassen og foretok ulike systemkall for å lære mer om feilkodene vi oppdaget, selve sandkassen og så videre, skriver administrerende direktør Adam Gowdiak i Security Explorations.

Adam Gowdiak er en sikkerhetsekspert det er all grunn til å ta på alvor. Polakken har gjennom flere år avdekket utallige sårbarheter i Java.

Han har sørget for å overlevere detaljene om sårbarhetene de har funnet til Google, som nå vil ettergå opplysningene.

Google sier til Eweek at de tar alle rapporter om sårbarheter i produktene deres svært alvorlig.

– Vi undersøker nå meldingen Security Explorations sendte ut på Full Disclosures epostliste. Vi har ingen grunn til å tro at kunders data og applikasjoner er i fare, sier talspersonen.

Nettsky-bruken vokser raskt i norske bedrifter, sier nettverksselskapet Datametrix, på bakgrunn av en undersøkelse utført av Norstat.

Undersøkelsen (gjennomført i september) tok for seg 300 ledere i norske bedrifter, innenfor både offentlig og privat sektor, og resultatetne sammenlignes mot en tilsvarende undersøkelse i fjor.

I motsetning til privatmarkedet, der folk flest er vant til å bruke skybaserte tjenester som Netflix, Spotify eller Facebook, har det tatt lenger tid for nettskyen å få fotfeste i bedrifter, skriver Datametrix i pressemeldingen.

Nå skjer det imidlertid ting, og 60 prosent av norske virksomheter sier at de har tatt i bruk en eller annen form for skytjenester. Det er 17,7 prosent flere enn i fjor.

Den største veksten er innenfor tjenester og applikasjoner i skyen, der stadig flere bedrifter har behov for mobilitet, og ønsker å ha tilgang til data hvor som helst og når som helst. 41 prosent av bedriftene har tatt slike løsninger i bruk, noe som er en dobling sammenlignet med fjoråret. En annen fordel er også mer forutsigbare kostnader, sparte ressurser på drift, samt bedre sikkerhet hos en profesjonell ekstern leverandør av skytjenester i motsetning til løsninger utviklet internt. Mange bransjer er mer bevisst enn noensinne på å sette ut alt som ikke er kjernevirksomhet.

Den største veksten ser man i privat sektor, skriver Datametrix, der bruker av nettsky har økt fra 24 prosent i 2013 til 40 prosent i år. Veksten i offentlig sektor er litt mindre, fra 35 til 44 prosent.

De største virksomhetene benytter seg i hovedsak av server- og lagringskapasitet fra skyen, mens de minste virksomhetene, på rundt 20 til 35 ansatte, satser mest på applikasjoner og tjenester fra nettsky.

51 prosent av bedriftene foretrekker også abonnementsløsninger der man betaler per bruker, det er altså et flertall som foretrekker å leie nettskytjenester fremfor å eie egne.

Datametrix forventer også mer vekst fremover, spesielt fra de større virksomhetene, som gjerne bruker litt mer tid på å bevege seg ut i skyen.

I påvente av at politikerne skal se verdien av å innføre programmering i pensum på barneskolen har grasrotbevegelsen «Lær Kidsa Koding» tatt skjeen i egen hånd.

Ildsjeler over hele landet har i dag tatt fri fra jobb for å lære ungene noe av det Norge skal leve av etter oljen.

Minst 8.000 elever er påmeldt årets utgave av «kodetimen». Microsoft lot like godt alle ansatte som ønsket det få en dag fri for å stille opp.

Deres bidrag alene resulterte i kodetime for anslagsvis 500 elever.

I klasse 7b på Ullevål skole i Oslo var det Microsoft ved direktør samfunnskontakt Kristine Beitland som tok kommandoen. Godt hjulpet av Microsoft-kollega Kristine Hofer Næss og prosjektleder Siri Sundby fra konsulentselskapet Promis.

T-skjorter med kodetimen og Microsoft-logo ble delt ut. Pepperkaker og godteri likeså. Ikke rart dette ble godt mottatt.

– Har dere lyst til å prøve?

– Eeeey! svarte en entusiastisk klasse med 12-åringer.

Etter en kjapp intro var elevene i full sving. Remser med kommandoer som styrte en sint fugl ble lett stablet på plass i nettleseren.

Det er drag´n´drop-programmering det gikk i. Litt enkel matematikk, litt logikk og litt kreativ tenkning.

– Vi har vært så heldige å få være med i timen for å lære dere digital sløyd. Rundt omkring i verden er det nå en internasjonal kodeuke. Barn på deres alder i USA, England, Tyskland og i hele Norden sitter og koder, sa Beitland.

12-åringene tok dette enkelt. Alle gjøv løs på oppgavene.

Grisebank
Den grønne grisen i det Angry Birds-inspirerte programmet hadde ikke en sjanse, for å si det sånn.

Elevene var flinke til å hjelpe hverandre også. Hørt fra klasserommet:

– Du må dra sånn. Da hopper den på grisen.

– Åh… dritsmart.

Med bistand fra skolens IKT-lærer Sjur Torp og de tre utsendte fra databransjen gikk undervisningsopplegget som smurt.

Kontaktlærer (det som før het klasseforstander) Sylvi Rykkje kunne mest observere timen fra bakerste benk.

– Jeg husker vi fikk den første datamaskinen her på skolen på 1990-tallet. Det var en gave fra foreldre som skulle kvitte seg med noe gammelt utstyr. Den ble nok lite brukt. Men ikke lenge etter fikk vi en bedre pc med Word og pedagogiske programmer, sier kontaktlæreren.

I dag er datamaskinen en mer naturlig del av undervisningen, men selv om et smartboard har fått den mest sentrale plassen – og dekker over mesteparten av en gamle krittavlen, er det en vei å gå også her. Ullevål skole har 32 bærbare pc-er å fordele på de 78 elevene i syvende trinn.

Fremtidens utviklere
Sundby er utdannet sivilingeniør fra NTNU og var den eneste med faktisk programmeringserfaring til stede. Hun har til gjengjeld blant annet vært med å lage Finn.no og en løsning for å søke visum på nett.

– Det er fryktelig lenge siden, men programmering ser da ganske likt ut ennå. Det er sikkert tre-fire eller fem stykker i denne klassen som kommer til å jobbe med programmering når dere blir store, sa prosjektlederen fra Promis.

Følelsen av mestring er der allerede for elevene i klasse 7b på Ullevål skole etter en vel blåst kodetime, som varte bare altfor kort.

Microsoft-direktør Kristine Beitland foreslo imidlertid at elevene kunne prøve mer hjemme sammen med mamma og pappa.

Prøv selv
Det kan også alle andre gjøre. Bryn deg på oppgaven elevene i 7b fikk prøve her: http://studio.code.org/s/2/puzzle/1

For flere oppgaver og mer om initiativet se ressursene code.org, kidsakoder.no og kodetimen.no. Det er fullt mulig å tilpasse undervisningsoppleggene til den enkelte klasse og skole, og hvem som helst kan gjennomføre en kodetime – når de vil.

Facebooks Graph Search ble introdusert tidlig i fjor, og har hittil vært tilgjengelig bare på desktop. Poenget er at man kan søke på en helt annen måte enn hva som er vanlig i andre søketjenester, Graph Search fungerer best når man søker med hele setninger formet som genuine spørsmål, for eksempel søker etter venner som bor i en spesifikk by eller er født i et spesielt år.

Det er også langt enklere å finne tilbake til spesifikke oppdateringer eller bilder man har lagt ut.

Graph Search er interessant og det er derfor veldig relevant at det nå kommer til mobilversjonen av Facebook.

De samme omfattende søkefunksjonene der man kan finne venner eller hendelser etter lokasjon, årstall og lignende er nå tilgjengelig på mobilappen, og det introduseres også en annen nyhet: Mulighet til å søke gjennom venners innlegg. Det åpner for ganske mange muligheter, for eksempel for å søke gjennom venners anbefalinger for restauranter, musikk, utesteder eller hva det måtte være. Man kan finne bilder tatt på spesifikke steder, venners meninger om filmer, spill eller nye plater. Funksjonaliteten gir på en måte et nytt liv til eldre oppdateringer, mange av dem hadde man kanskje ikke en gang fått med seg da de ble lagt ut opprinnelig.

Man kan selvsagt bare søke gjennom innlegg som i utgangspunktet ble delt offentlig, og Facebook påpeker at det ikke innebærer noen endringer i personverninnstillinger.

Det nye mobile søket er imidlertid kun tilgjengelig på iOS per i dag, men skal komme til Android innen kort tid. Det krever også at man har satt Facebook på iOS til engelsk. Digi.no byttet språk, og funksjonen ble da aktivert øyeblikkelig, men det er ikke sikkert at alle som vil får tilgang allerede i dag – Facebook skriver at det nye søket vil rulles ut over de nærmeste dagene.

Microsoft elsker Linux, hevder Microsoft-sjef Satya Nadella. Nå kan det vise seg at Google, av samme grunn, ønsker å elske Windows. Begge deler handler selvfølge om nettskyen.

Mange bruker fortsatt Windows, både på server og klient. Det er et område Google nå ønsker å tjene mer penger på, ved å gjøre det enklere å kjøre Windows-servere og applikasjoner i selskapets nettskyplattform.

I går presenterte Google tre nyheter relatert til dette.

Den viktigste er nok at Google nå har kommet med i Microsoft License Mobility-program, noe som innebærer at eksisterende Windows Server-applikasjoner, som SQL Server, SharePoint Sercer, Lync Server og Exchange Server, kan flyttes fra lokale servere og opp i Googles nettsky uten ekstra lisenskostnader. Detaljer om ordningen finnes her.

Google kunngjorde i går også at selskapet har gjort Windows Server 2008 R2 Datacenter Edition tilgjengelig som en betatjeneste i Google Compute Engine. Denne kan tilbys med blant annet lokal SSD-lagring og nettverkstilbudene som selskapet lanserte i begynnelsen av november. Google planlegger også støtte for Windows Server 2012 og 2012 R2.

Den tredje nyheten er at selskapets nettskykunder kan bruke en Chrome-app fra Fusion Labs til å kjøre «remote desktop»-økter på kundenes egne Windows-instanser i Google Compute Engine, uten krav om annen programvare enn Chrome.

På spørsmål fra Gigaom om hvorfor bedrifter som satser på Windows bør velge Googles nettsky framfor for eksempel Microsoft Azure, svarer Greg DeMichillie, Google direktør for produktledelse, at nesten alle bedrifter ønsker å være «multicloud», ikke minst for å unngå innelåsning.

Så langt i år er det sendt 4,6 milliarder sms-meldinger i Telenors nett.

Til sammenligning viste opptellingen for hele fjoråret 4,5 milliarder meldinger.

Dermed blir det en solid rekord i år, og selskapet regner med 5 milliarder tekstmeldinger for 2014.

1992
– I oktober ble det sendt 451 millioner tekstmeldinger. Det er det høyeste vi noen gang har målt i løpet av en måned, sier leder av mobildivisjonen Bjørn Ivar Moen.

Den første sms-en ble sendt i 1992, og det er ingen tegn til at den modne teknologien er på vei ut.

Bevisst satsing
Veksten kan virke overraskende, siden det finnes så mange alternative løsninger på internett.

Snapchat og chatte-funksjonen på Facebook er eksempler på såkalte «over the top»-løsninger som brukes mye. Det vil si nettbaserte kommunikasjonsløsninger.

På den annen side har mobilselskapene satset bevisst på å utvikle tekstmeldingene til noe mer enn koz og klemz og LOL-innhold.

Tannlege og engangskode
Det er bedriftsmarkedet som i første rekke sørger for økningen.

Både offentlig sektor og privat næringsliv bruker i stadig større grad sms til kommunikasjon med sine forbindelser.

Eksempler er engangskoder, tannlegetime, varsel om pakke i posten eller forsinkelser på buss eller tog. I tillegg er det mulig å levere selvangivelsen og bestille helsetrygdkort over sms.

Ikke minst kommer det stadig nye mobile betalingsløsninger med sms som bærer.

Både og
– Vårt inntrykk er at folk bruker chat- og meldingsapplikasjoner parallelt med tekstmeldinger, sier Bjørn Ivar Moen.

Og hvordan ligger det an med bildetjenesten mms?

Den utgjør en liten brøkdel av totalen.

Mens det gikk 433 millioner tekstmeldinger over linjene i november i år, viser opptellingen skarve 7,1 millioner mms-meldinger.

Innlogging i nettbanken med Bank ID for mobil byr på problemer for enkelte Android-telefoner. Hvis brukeren berører skjermen utenfor det aktive påloggings-området, forsvinner påloggings-bildet.

Da går tjenesten i stå, og brukeren får ikke mulighet til å fortsette tjenesten.

Fort gjort
En leser har henvendt seg til digi.no og gir følgende beskrivelse:
– Når bildet forsvinner, vil det være umulig å logge inn i nettbanken igjen – inntil programmet på mobilen går på en timeout. Det vises på mobilen med en timeout-melding. Problemet kan lett oppstå hvis man for eksempel skulle berøre mobil-skjermen for å hindre at den går i svart rett før innloggingsbildet for BankID skal vises.

Les også: Java-fri nettbank

Flere banker
I dette tilfellet ble det brukt en mobil av typen Sony Xperia med Android operativsystem. Mobiloperatøren er Onecall, og banken er Ya Bank.

Digi.no gjør selv et forsøk med en annen type Android-telefon og Telenor som operatør. Innloggingen gjøres på Skandiabanken. En bevisst berøring av skjermen utenfor påloggingsbildet gir samme konsekvens som beskrevet over.

Låser seg
Det mest rasjonelle er vel å gjøre et nytt forsøk på å logge seg inn. Da lyder beskjeden på skjermen at det allerede pågår et innloggingsforsøk.

Brukeren blir bedt om å vente i fem minutter. Problemet ser med andre ord ut til å oppstå uavhengig av både operatør og bank.

Ukjent sak
Hos BankID har man så langt ikke fått melding om lignende tilfeller. Selskapet får problembeskrivelse og skjermbilder oversendt fra digi.no og lover å undersøke saken.

Kort tid etter kan kommunikasjonssjef Hege Steinsland bekrefte feilen.
– Vi har gjenskapt situasjonen på en Android-telefon. Er man uheldig å trykke utenfor idet man skal klikke på ok eller avbryt, så må man altså vente før man kan prøve igjen, sier Steinsland.

Iphone slipper unna
Hvorfor denne feilen oppstår, kan ikke BankID svare på ennå. Men fagfolkene der har så langt kunnet slå fast at fenomenet har å gjøre med en kombinasjon av BankID på mobil og Android-telefon.

– På Iphone er det ikke mulig å trykke utenfor fordi dialogen overtar hele bildet, forklarer Steinsland.

Telenors hardt pressede konsernsjef Jon Fredrik Baksaas trekker seg fra styret i Vimpelcom. Han begrunner det med mulige interessekonflikter i korrupsjonsetterforskningen av selskapet.

Ved å gå ut av Vimpelcom styre med umiddelbar virkning, løser Jon Fredrik Baksaas mulige interessekonflikter, opplyser selskapet i en pressemelding.

Vimpelcom etterforskes for å ulovlig ha betalt 600 millioner kroner for telelisenser i Usbekistan. I mars ble Telenor-sjefen avhørt av Økokrim som vitne i korrupsjonssaken.

– Jeg går ut av styret for fokusere helt og fullt på å ivareta Telenors interesser som eier. Telenor har nulltoleranse for korrupsjon, og som eier i Vimpelcom vil vi støtte den pågående etterforskningen, sier Baksaas i meldingen.

Interessekonflikt
Som styremedlem i Vimpelcom, fikk Baksaas tilgang til informasjon som han ikke kunne dele med Telenor.

– Med de spørsmålene som har vært rundt etterforskningen, hadde Baksaas en dobbeltrolle. Det ble sendt brev til Vimpelcom med avgjørelsen i dag, sier pressekontakt Glenn Mandelid i Telenor til NTB. Baksaas selv kunne mandag ikke kommentere saken.

Baksaas har sittet i Vimpelcoms styre siden 2010. Avgjørelsen om å trekke seg er tatt i samråd med styret i Telenor.

– Styret har utnevnt en egen komité bestående av styremedlemmer med ansvar for å følge opp utviklingen til selskapet. Ved å gå ut av styret i Vimpelcom, fjernes eventuelle fremtidige interessekonflikter for Telenors konsernsjef, sier styreformann Svein Aaser i Telenor.

Telenors konserndirektør med ansvar for Europa, Kjell Morten Johnsen, vil representere selskapet med to stemmer i Vimpelcoms styre.

Minoritetseier
Telenor er minoritetseier med 33 prosent av aksjene i Vimpelcom, men sitter med en stemmeandel på 43 prosent. Vimpelcom etterforskes for hvordan selskapet skaffet seg mobillisenser i Usbekistan.

– Telenor nominerer tre stemmer i styret i Vimpelcom. Når de er valgt, er de Vimpelcoms tillitsmenn som styremedlemmer, utdyper Mandelid.

I et møte i Stortingets kontroll- og konstitusjonskomité før helgen ble det klart at næringsminister Monica Mæland (H) må forklare seg om Vimpelcom-saken i en åpen høring. Trolig blir også Telenor-sjef Baksaas innkalt.

– Jeg tar beslutningen om at han trekker seg til etterretning. Ellers har jeg ingen kommentar, sier næringsminister Monica Mæland (H) til NTB via sin kommunikasjonssjef.

Presidentdatter
Korrupsjonsmistankene mot Vimpelcom fikk nytt liv for to uker siden. Da publiserte Klassekampen dokumenter som antyder at mer enn 600 millioner kroner er betalt fra Vimpelcom til postkasseselskapet Takilant som betaling for telelisenser.

Svenske TeliaSonera har lenge vært etterforsket for sine overføringer av 2,2 milliarder kroner til Takilant, som eies av Gayene Avkayan. Hun er en nær venninne av den usbekiske presidentdatteren Gulnara Karimova. (©NTB)

Microsoft-eide Skype kom i forrige uke med en ny versjon av Skype-klienten for Windows. Denne utgaven, 7.0.0.100 gjør det mulig for brukere av Skype å gjennomføre videosamtaler med brukere Microsoft Lync, og omvendt. Siden i fjor har det vært mulig for Skype- og Lync-brukere kunnet kommunisere ved hjelp av tale og lynmeldinger.

For å få til videosamtaler på tvers av de to plattformene, har det vært nødvendig for Microsoft å gjøre en hel del i den underliggende mediestakken. Felles er nå aktivert kryptering av både media og signalering ved hjelp av TLS og SRTP. Standard for videosamtaler mellom Lync og Skype er også lyd- og videokodekene SILK og H.264 SVC. Dessuten tas det i bruk flere ulike metoder, som STUN, TURN og ICE, for traversering av brannmurer.

Lync 2013-klienten for både Windows, Android og iOS støtter videosamtaler med Skype. Men foreløpig er det bare desktop-utgave av Skype som støtter dette. Det kreves også at Skype-brukeren er logget inn med en Microsoft-konto.

Microsoft lover dog at flere Skype-klienter vil få slik støtte i løpet av noen måneder, i første omgang klientene til Android og iOS.

Microsoft fullførte oppkjøpet av Skype i oktober 2011, året etter at Microsoft slo sammen produktene Communications Server, Communications Online og Communicator til «Lync». I første halvdel av 2015 blir Lync til Skype for Business, noe betyr ytterligere integrasjon mellom de to tjenestene. Denne skal blant annet få støtte for SkypeID-er og gjøre det enklere å finne Skype-brukere i den globale Skype-katalogen.

Nord-Korea har satt sammen en egen elitegruppe med hackere, som lever et luksusliv i det ellers lutfattige landet, skriver nyhetsbyrået Reuters.

Saken er naturligvis knyttet mot det svært omfattende og mye omtalte angrepet på Sony Pictures, der store mengder av personlig informasjon og uutgitte filmer ble lekket. Man har beskyldt Nord-Korea for å ha stått bak innbruddet, noe landet selv nå nekter for – men synes likevel det var velfortjent.

Ifølge Reuters, som siterer flere avhoppere fra det lukkede landet, samles de unge og talentfulle hackerne i en celle kalt Bureau 121, som igjen er en del av det militære spion-nettverket til landet. Hacker-angrepene og innbruddene gruppen utfører er godkjent og støttet av staten.

Meningen bak Bureau 121 er først og fremst å spionere på naboen i sør, som Nord-Korea fremdeles er offisielt i krig med. USA er likevel også et aktuelt mål for hackerne.

Hackerne skal være håndplukket av regjeringen og trent fra de er rundt 17 år gamle. Det er tilsammen 1800 personer i teamet og de er ansett for å være en elitegruppe i militæret. Nord-Korea kaller kyberoperasjonene sine for den hemmelige krigen, ifølge avhopper-kildene. Og de jobber ikke bare i landet, flere av hackerne befinner seg utenfor Nord-Koreas grenser, som en del av operasjoner kamuflert som vanlige selskap.

Hjemme i Nord-Korea lever hackerne et luksuriøst liv sammenlignet med den vanlige borger, de får blant annet store leiligheter i elegante deler av hovedstaden Pyongyang. De hackerne som kommer fra rurale områder får anledning til å hente hele sin familie til et bedre liv i storbyen.

Interessen er åpenbart stor, over 2,500 søker visstnok til universitetet der blant annet kyberkrigerne utdannes hvert år. Rundt hundre personer går ut av skolen hvert år, og blant disse er nyrekrutteringene til Bureau 121.

Grupppen skal ha stått bak flere større angrep mot sørkoreanske banker og vandalisert offentlige regjeringssider. Metodene som ble brukt skal imidlertid vært temmelig enkle og lite sofistikerte.

Hvorvidt det er Bureau 121 som står bak angrepene på Sony, forblir imidlertid uavklart. Sikkerhetsekspertene strides om metodene og fremgangsmåten henger sammen med det som er forventet fra den kanten, og det er ikke umulig at innbruddet ble gjennomført av sympatisører eller noen med oppmerksomhetsbehov.