En sivilingeniør og godt voksen utvikler fra Østlandet opplevde det som fortoner seg som et mareritt. Han ble kastet ut av Googles Play Store.

Alle hans mobilapper er fjernet. Utviklerkontoen er sperret. Det er ifølge ham umulig å anke på avgjørelsen.

– Hvis Google mener at en app bryter med deres retningslinjer vil den bli fjernet. Gjentar dette seg blir også utviklerkontoen sperret på livstid. Det er umulig å appellere, hevder utvikleren, som ønsker å være anonym, til digi.no.

Han hevder å være et uskyldig offer for håndheving av det han kaller et vagt regelverk, og at hele situasjonen må bero på en feil.

– Google tar ofte avgjørelser basert på automatiske kontroller, uten menneskelig inngrep.

Flere tusen andre har opplevd akkurat det samme, hevder mannen og trekker blant annet parallell til en amerikansk programmerer med lignende erfaring. Innlegget han viser til ble publisert på medium.com i mars, men er siden blitt slettet. (Lenken peker mot en cachet utgave som fortsatt er tilgjengelig). Artikkelen har tittelen «Banned for Life. The hidden danger when developing for Android».

En underskriftskampanje som ber Google-ledelsen om å respektere arbeidet til små og uavhengige Android-utviklere er signert av over 1500 personer.

– Det er frustrerende og helt forferdelig å bli kastet ut. Det kommer veldig uventet. Jeg trodde ikke de kunne oppføre seg på den måten. Det er jo slik at Google har noen retningslinjer om hva appene kan inneholde, men disse er veldig vage.

Nordmannen skjønner ikke hvorfor han er kastet ut.

– Når de fjerner en app og henviser til retningslinjene, så sier de ikke hva det gjelder. Det er helt umulig å forstå hva den egentlige årsaken til reaksjonen er, sier han.

– Beskyldt for plagiat
Han trekker likevel fram to episoder som sentrale i det som skal ha skjedd. Det er ved gjentatte brudd på Googles regler at man risikerer å få utviklerkontoen deaktivert.

– I det første tilfellet var det en indisk utvikler som anklaget meg for å ha kopiert appen hans gjennom reverse engineering, men det hadde jeg på ingen måte gjort. Med henvisning til amerikansk opphavsrettlov DMCA fjerner Google da appen automatisk, underforstått at de overlater til partene å gjøre opp seg imellom i rettsvesenet. Men jeg fikk aldri noen stevning. Resultatet er at han klarte å bli kvitt en konkurrerende app, og jeg mistet min.

Senere skal han ha mottatt en epostmelding fra Google som informerte om at en annen av appene hans var slettet. Det ble hevdet at appen inneholdt skadevare eller virus.

– Hva årsaken til at de trodde det har jeg aldri funnet ut, men flere antivirusleverandører begynte å rapportere at appen inneholdt skadevare. Det gjorde den ikke. Jeg jobbet i flere måneder med å få dem til å fjerne appen min fra svartelistene deres, men fra Google fikk jeg ingen svar når jeg sendte klage. Dermed tok de også utviklerkontoen min.

Jan Grønbech er norgessjef i Google. Han var ikke kjent med dette tilfellet, men uttaler seg på generelt grunnlag.

– Du får ikke Google Play i tale. Det blir som å be om å få snakke med noen på kundeservice for (eposttjenesten) Gmail, det får du heller ikke. Google har mange millioner brukere og all kundeservice skjer via nett. Så er det heller ikke sånn at det er en menneskerett å få selge produkter i Google Play. Vi har retningslinjer. Bryter man disse risikerer man å bli kastet ut. Dersom man blir kastet ut er det ingen måte å følge opp det på, det kan nok stemme, sier Grønbech til digi.no.

Har apper hos Amazon
Den bannlyste utvikleren har nå Android-programmene sine hos den konkurrerende app-butikken til Amazon.com, samt i andre tredjeparts app-distribusjonskanaler.

Appene som Google fjernet skal blant annet ha vært et program for opptak av video fra mobiltelefonen uten at det synes. – Drosjesjåfører brukte den for å overvåke passasjonerer, men appen er ikke ulovlig, sier han.

En annen skal ha fungert som en anti-tyveri-app som knipset et bilde dersom noen tuklet med telefonen din, slik han forklarer det.

– Har du noen som helst forståelse om hvorfor Google reagerte mot akkurat dine apper? Kan du ha opererert i en gråsone?

– Nei, jeg mener jeg ikke har gjort det.

Han sier han har forsøkt å klage på avgjørelsen.

– Jeg har forsøkt alt. Jeg har sendt brev til hovedkontoret i USA. Jeg har også forsøkt via Google Norge, men de har ikke noe med dette å gjøre. Det er Google Irland som steller med dette, men der fikk jeg bare til svar at de ikke tok imot henvendelser.

– Det er ikke min historie som er viktig her. Det viktige er at Google er ganske nådeløse og jævlige når det gjelder dette. Hvis jeg blir fjernet for en feil, er det da riktig at jeg skal straffes for dette hele livet? spør han.

Mange sikkerhetseksperter og systemleverandører advarer nå mot en sårbarhet (CVE-2014-6271) som har blitt funnet i bash (Bourne Again SHell), en kommandotolk som er en del av GNU-prosjektet. Den programvaren er svært mye brukt i Unix-lignende systemer, inkludert OS X og Linux-distribusjoner. Sårbarheten kalles for «Shellshock» av enkelte.

Sårbarheten, som skal ha blitt oppdaget av franske Stephane Chazelas i forrige uke, involverer måten bash evaluerer «environment»-variabler på. Ifølge Red Hat er det en del av problemet at man kan lage slike variabler med spesielt utformede verdier allerede for bash kalles. Disse variablene kan inneholde kode som kjøres så snart skallet blir anropt.

Dette kan utnyttes av en angriper til å omgår restriksjoner i systemet ved at kommandoene i «environment»-variablene blir kjørt allerede før restriksjonene har blitt innført.

Sårbarheten skal ha blitt innført i versjon 1.13 av bash. Denne versjonen kom for mer enn 20 år siden. Det er ukjent om sårbarheten har blitt utnyttet tidligere.

Problemet med bash er at det ikke bare brukes av lokalt påloggede brukere som tar i bruk kommandolinjegrensesnittet, men potensielt også i en mengde andre sammenhenger. Red Hat nevner blant annet at Apaches webserver med modulene mod_cgi eller mod_cgid kan være berørt dersom CGI-skript enten er skrevet i bash eller starter underskall.

Maskiner som får tildelt IP-adresser ved hjelp av DHCP bruker skall-baserte skript til å konfigurere systemet. Disse kan hente verdier fra en potensielt ondsinnet server, noe som ifølge Red Hat kan føre til at vilkårlige kommandoer kan kjøres, typisk som root, på DCHP-klientmaskiner.

Alle versjonen av bash skal nå være patchet med en sikkerhetsfiks som sikrer at det ikke er tillatt med kode etter slutten på en bash-funksjon. Men bash-oppdateringene må distribueres og tas i bruk på alle berørte systemer, og det er tvilsomt at disse patchene løser hele problemet.

The bash patch seems incomplete to me, function parsing is still brittle. e.g. $ env X='() { (a)=>\’ sh -c “echo date”; cat echo

— Tavis Ormandy (@taviso) 24. september 2014

En ny patch skal derfor ha blitt utarbeidet. Men det er tvilsomt at den er blir bredt rullet ut allerede nå.

Verre enn Heartbleed?
Sikkerhetsbloggeren Robert Graham mener at Shellshock er minst like ille som SSL-sårbarheten Heartbleed, som ble oppdaget i våres. Det er fortsatt mange som ennå ikke har fjernet Heartbleed fra sine systemer.

I think I was wrong saying #shellshock was as big as #heartbleed. It’s bigger.

— Robert Graham (@ErrataRob) 25. september 2014

Graham begrunner dette med at bruken av bash, i likhet med OpenSSL, er svært uoversiktlig, fordi programmet utnyttes av så mange andre programmer på systemene. Dessuten brukes både bash og OpenSSL på svært mange systemer som sjelden blir oppdatert. Graham skriver at internett-tilknyttede videokameraer er spesielt utsatt fordi programvaren deres ofte bygger på web-tilknyttede bash-skripts, og fordi denne typen enheter typisk blir sjeldnere oppdatert enn pc-er og webservere.

Det som kanskje gjør Shellshock enda litt verre enn Heartbleed, er at det er langt enklere å utnytte det. Illustrasjonen i toppen av artikkelen viser hvordan et enkelt eksempel tar seg ut på i henholdsvis en sårbar og en patchet utgave av bash.

Alle som har berørte systemer, inkludert Linux, BSD og Mac OS X, anbefales å installere sikkerhetsoppdateringene så snart som mulig. Det har ikke kommet meldinger om omfattende angrep basert på sårbarheten, men siden den er så enkel å utnytte, er det trolig bare et tidsspørsmål før det vil skje.

Nettstedet Android Authority hevder å ha svært gode kilder på at det ikke er lenge til nye Nexus-enheter dukker opp.

Som kjent er Nexus-maskinvaren Googles referanse-mobiler og nettbrett for Android-plattformen. Smartmobilene i Nexus-serien pleier å komme på høsten – den forrige modellen, Nexus 5, ble lansert den 31. oktober i fjor, og var produsert av LG.

Ifølge kildene er altså en ny Nexus rett rundt hjørnet, og vil vises frem enten den 15. eller 16. oktober.

Det er litt uavklart hvem som vil produsere enhetene, og hvilke formater de vil finnes i. Android Authority mener at det er snakk om et HTC-utviklet Nexus 9-nettbrett, samt en stor telefon i «phablet»-format fra Motorola. For bare få dager siden kom det frem informasjon om at HTC jobber tett med Google om et nytt nettbrett, og det kan altså være Nexus 9.

Samtidig er det ventet at Googles mye omtalte og spennende Android L vil få en endelig lanseringsdato, og utrullingen av det nye operativsystemet vil skje fra 1. november.

Android L er etterlengtet – det bringer med seg en overhaling av grensesnittet, bedre varslinger samt en raskere utviklingsmotor som vil innebære forbedringer i ytelse og batterilevetid.

Det er rimelig å anta at de nye Nexus-enhetene vil være utstyrt med Android L fra starten av – eller få en oppdatering svært raskt etter lansering.

KRONIKK: Når vi i Friprogsenteret leste oppslaget i Nordlys om at ledelsen i Helse Nord legger seg flat etter å ha betalt 460 euro for «gratis» programvare kunne vi ikke gjøre annet en å trekke på smilebåndet. At programvaren det er snakk om er fri programvare og at donasjonen til prosjektet er en vanlig måte å støtte et programvaremiljø på, har dessverre både gått journalisten og ledelsen i Helse Nord «hus forbi». Dette er spesielt uheldig med tanke på at Helse Nord bruker store milionbeløp på programvare og strengt tatt burde ha kompetanse på dette området. Dette er den samme organisasjonen (Helse Nord) som for noen år siden ble tvunget til å kjøpe lisenser for over 40 millioner kroner fra Microsoft uten noe form for anbud på grunn av manglende internkontroll.

Med dette som bakteppe er det altså at vi i Friprogsenteret med et smil sier til Helse Nord: «Vi er ikke sint – bare veldig veldig skuffa». Samtidig som vi ser det komiske i denne saken så er dette et eksempel på en trend vi mener er svært uheldig. Vi ser en utvikling hvor veldig mange offentlige virksomheter nå bruker fri programvare uten å bidra med kode tilbake til prosjektene eller med økonomiske bidrag.

Gjenbruk og deling av løsninger og digitalt innhold har vært et «hett tema» i mange møterom og konferanser de siste årene og organisasjoner som Difi og KS jobber nettopp med disse mulighetene på vegne av stat og kommune.

Snakker man med prosjektene i Difi, Nav, hos Skatteetaten, KS KommIT eller noen av de andre store IKT-lokomotivene i offentlig sektor ser man at mange av disse bruker enten biblioteker eller utviklingsplattformer som er underlagt en fri programvarelisens. Ser man på store prosjekter innenfor utdanning så gjelder det samme. Dette er selvsagt gledelig men paradokset er nå at mange av prosjektene i Norsk offentlig sektor faktisk gjenbruker mye programvare fra internasjonale miljøer, men vi registrerer veldig få bidrag til kodemiljøene.

I etterkant av saken rundt «Heartbleed» har vi i Friprogsenteret vært i kontakt med miljøet rundt OpenSSL og spurt dem om de mottar noen betydelige bidrag fra norsk offentlig sektor. Svaret fra dem er at det gjør de ikke, verken i form at bidrag til koden eller i form av andre typer bidrag til økosystemet rundt prosjektet. (Se også kommentaren i digi.no Nettsikkerhet på dugnad? red.anm.) Når vi samtidig vet at OpenSSL brukes i eller av mange prosjekter i Norge mener vi at tiden er inne for økt fokus på at norsk offentlig sektor burde bidra til globale kodemiljøer.

«Deling og gjenbruk mellom kommuner og etater er smart, men hvorfor skal vi dele med andre utover Norges grenser?».

Vi får faktisk dette spørsmålet av og til, gjerne med bakgrunn i at en offentlig etat eller kommune faktisk er satt til å løse en oppgave for en spesifikk målgruppe i Norge, og ikke andre land. De opplever at delingskultur mellom kommuner og etater er lurt men finner ikke noe belegg for å bruke tid eller penger på å dele sine løsninger internasjonalt.

Svaret fra oss i Friprogsenteret har to viktig sider:

• Den ene er at hvis du gjenbruker så er det riktig og viktig at man bidrar tilbake. Hele konseptet med gjenbruk og deling bygger nettopp på dette prinsippet.
• Det andre er at hvis man deler og viser frem programvaren man har utviklet så øker det kvaliteten på programvaren gjennom at man får hjelp til videreutvikling og feilsøking fra et community.

Hjelp til selvhjelp
Det handler altså ikke bare å gi noe tilbake. For store private aktører som IBM, Google, Netflix, Facebook og Twitter handler det faktisk om at de deler for å øke kvaliteten på sine teknologiske rammeverk. Samtidig som disse aktørene bygger mye av sine teknologiske imperier på fri programvare vet de så alt for godt at crowdsourcing i kombinasjon med en bevisst strategi rundt gjenbruk og deling faktisk gagner dem selv.

Ledelsen i Google har gjentatte ganger utlyst dusør for å få utviklere over hele verden til å bidra til å finne feil. Det er ganske enkelt fordi Google har forstått at et godt globalt community, programmerer og feilsøker «i ring rundt» selv de beste utviklerteamene i Google. Google er ikke alene om dette, Microsoft og andre gjør noe av det samme.

Det hadde vært spennende å se effekten av at Altinn eller Nav hadde utlyst dusør til de som finner feil i deres kildekode. Det er ikke sikkert dusøren trenger å være så stor. Med all den oppmerksomheten feilene i Altinn har fått de siste årene vil det nok gitt bra med «street-cred» for den utvikleren som hadde funnet feil eller forbedret koden.

Friprogsenteret foreslår derfor at regjeringen i samarbeid med KS nå legger føringer på både kommuner og etater som gjør at all programvare som utvikles for offentlige midler skal deles under en fri lisens. Vi foreslår også at dette gjelder for digitalt innhold som dokumenter, lyd, bilder, filmer og digitale læringsressurser som er utviklet og betalt med offentlige midler.

Regjeringen har allerede definert gode kjøreregler for deling av offentlige data som vi mener det er mulige å utvikle videre til å gjelde følgende områder:

• Åpne offentlig data.
• Programvare utviklet med offentlige midler.
• Digitalt innhold og kunnskapsressurser utviklet med offentlige midler.
• Klare regler og veiledning for offentlige virksomheter som ønsker å donere penger til fri programvaremiljøer eller miljøer som utvikler fritt digitalt innhold.

Vi presiserer for ordens skyld at dette ikke vil være til hinder for at offentlige virksomheter fortsatt leier lukket programvare og lukkede digitale ressurser fra leverandører. Det er programvaren og de digitale ressursene vi i offentlige sektor selv utvikler, eller betaler utvikling av, vi mener burde være underlagt en fri lisens.

PS! Vi i Friprogsenteret er alltid ute etter å komme i kontakt med offentlige prosjekter i Norge som har bidratt med donasjoner eller kode til globale fri programvare-prosjekter.

Den 31. oktober er sluttdatoen for Microsofts leveranser av flere Windows 7-utgaver til pc-produsenter. Dette gjelder utgavene Home Basic, Home Premium og Ultimate.

I praksis betyr dette at pc-produsentene ikke lenger kan bestille disse Windows 7-versjonene etter utgangen av neste måned. Men de kan selge pc-er med operativsystemet så lenge de har lisenser på lager.

Microsoft har derimot ennå ikke satt noen sluttdato for leveransene av Windows 7 Professional, som er rettet mot bedriftsmarkedet. Microsoft opplyser at salget vil fortsette i et helt år etter at sluttdatoen har blitt bestemt.

Det ordinære leveransene av Windows 7, altså uavhengig av pc-kjøp, ble avsluttet den 31. oktober i fjor. Denne leveransestoppen omfatter også Professional-utgaven.

Windows 7 vil bli støttet av Microsoft med blant annet sikkerhetsoppdateringen fra til og med den 14. januar 2020.

Også de separate leveransene av Windows 8 vil avsluttes den 31. oktober 2014, men det skyldes at Windows 8 i praksis har blitt erstattet av Windows 8.1.

Applikasjonsutvikleren Craig Hockenberry har publisert en rapport der han advarer mot bruk av nettlesere som er innebygd i iOS-applikasjoner.

Det er tross alt veldig vanlig at diverse tredjeparts-apper sender brukeren til innebygde nettlesere for pålogging eller andre funksjoner, og omgås på denne måten for eksempel Safari.

Det er ikke trygt, mener Hockenberry, og det er relativt enkelt for uvedkommende å plukke opp brukernavn og passord på denne måten.

Applikasjonene kan essensielt se hva man taster inn, og det er fint mulig å se denne informasjonen hvis man går gjennom HTML-koden. Informasjonen genereres av appen, ikke nettsiden, og kan enkelt lastes opp til en annen server, skriver Hockenberry. Han påpeker også at eksempelet han viser i en video ikke er phishing, men det faktiske Twitter-nettstedet. Eierne av nettsiden kan ikke gjøre noe med problemet.

Hockenberry sier at han har fått de samme resultatene på både iOS 7 og iOS 8, og mest sannsynlig gjelder det eldre versjoner også.

Her viser Hockenberry hvordan appen kan lese påloggingsdata.

Han påpeker at selskapet han jobber for, som utvikler appen Twitterific, mener at den eneste måten å sikre seg på er å bruke Safari for pålogging. Det er den eneste nettleseren på iOS som er sikker nok. Problemet er at en slik fremgangsmåte åpner et nytt nettleservindu, noe som er mindre brukervennlig og forvirrende.

Hockenberry skriver at det ikke finnes noe enkel måte å løse problemet på heller, med mindre Apple skulle bestemt seg for å slippe en ny versjon av iOS for hver versjon av Safari eller WebKit, eller gjør om kravene til apputviklere om brukervennlighet – slik at det ble mer akseptert å gå over til Safari for inntasting av personlig informasjon.

Eirik Lae Solberg (H) er finansbyråd i Oslo kommune. Onsdag la han fram et budsjett med en historisk satsing på IKT. Hovedstaden skal bruke 550 millioner kroner på moderniseringen.

Storstilt satsing
– Vi har satt av midler for å investere i en bedre og oppdatert IT-infrastruktur. Dette vil frigjøre ressurser og gjøre de ansatte i kommunen bedre rustet til å utføre oppgavene sine. Det betyr også at vi de nærmeste årene vil gjennomføre en storstilt satsing på digitale tjenester for innbyggerne, sier Solberg til digi.no.

Opprusting av infrastrukturen henger direkte sammen med utviklingen av de varslede elektroniske tjenestene. – Det er en forutsetning for å levere gode ende-til-ende-løsninger. Vi er helt avhengig av å ha oppdaterte og gode fagsystemer internt i kommunen.

«Heldigitalt»
– Vi satser utelukkende på heldigitale løsninger. Noen også helautomatiske i den forstand at du skal få svar etter noen sekunder, fordi systemet finner ut at alle forholdene med søknaden er i orden. Andre tjenester vil også være heldigitale, men med behov for at en saksbehandler ser på saken før du får svar, sier Solberg.

Uttrykket heldigitale tjenester krever kanskje en oppklaring. Til nå har mange tjenester bare vært delvis elektroniske. Du fyller ut et skjema på nett, men må kanskje skrive ut et dokument og sende det inn med gammeldags postgang, eller sende inn digitalt men få svaret i frankerte brev. Den heldigitale tjenesten er således elektronisk hele veien.

IKT-investeringene blir fordelt i den kommende økonomiplanen for perioden 2015-2018. Opposisjonspolitikere har allerede varslet at de støtter denne delen av budsjettet, som etter alle solemerker dermed kommer til å bli vedtatt.

Det er for tidlig å si hvordan alle millionene vil bli fordelt.

– En stor del av potten vil gå til det IKT-Norge kaller digitale selvbetjeningsløsninger, men også til infrastruktur.

«Petter Smart»-pott
En avsetning på cirka 120 millioner kroner, det kan bli mer, går til en ny stimuleringsordning som virksomhetene i Oslo kommune kan søke på, fortsetter finansbyråden.

– De som kommer opp med de mest innovative løsningene med størst innvirkning for innbyggerne vil få innvilget midler. Så ønsker vi også å utløse kreativitet i virksomhetene. De kan identifisere hvilke løsninger som gir mest gevinst.

Solberg skal selv lede en styringsgruppe for IKT som lager en innstilling for hvem som får penger fra denne ordningen, før den endelige beslutningen tas i byrådet.

IT-bakgrunn
Bakgrunnen fra IT-bransjen, finansbyråden er tidligere kommunikasjonsdirektør i fire år for Microsoft Norge, har spilt inn på Solbergs forståelse av hvor viktig digitalisering er for samfunnet.

– Foruten å holde orden på Oslo kommunes økonomi har modernisering vært viktigst for meg siden jeg ble finansbyråd i april. IT brukt på riktig måte er viktig for å få til det. Jeg kan si at jeg har et stort engasjement for at Oslo skal bli en foregangskommune i tilbudet av gode digitale tjenester til innbyggerne. Min bakgrunn fra IT-bransjen har nok gjort at jeg forstår hvor viktig det er, vedgår han.

Kritikere som tidligere har kalt hovedstaden en teknologisk sinke valgte onsdag å juble for den foreslåtte pengebruken på IKT, som matcher eller overgår selv det ledestjernen Stockholm bruker på området.

– Det har vært naturlig å sammenligne oss med de andre nordiske hovedstedene som Stockholm og København, som har de samme utfordringene som oss. Men også Fredrikstad, på enkelte områder også Stavanger, for eksempel innen velferdsteknologi, har vært inspirasjonskilder, sier Solberg.

«Min Side»
Det er ikke så kjent ennå, men Oslo har etablert sin egen nettportal for digitale tjenester og dialog med det offentlige, kalt Min Side.

Dermed gjør de motsatt av staten, som valgte å legge ned en tilsvarende samleside.

– Det er riktig, men vi mener det er riktig å ha et sted hvor innbyggerne får en oversikt både over tjenestene som tilbys, men også den viktigste korrepondansen med kommunen og status på saksbehandling den enkelte har inne.

I portalen er det blant annet mulig å søke om engangs skjenkebevilling for lukkete selskap som bryllup, firmafester og så videre, og få svar ganske umiddelbart.

Portalen er foreløpig i startgropen og følgelig ennå ikke særlig kjent, men det skal den bli. Løsningen skal på sikt utvides med langt flere tjenester enn i dag.

Solberg viser til en «tjenestetrapp» som er formulert i denne presentasjonen (pdf) for å illustere hvilke elektroniske tjenester som skal komme i årene frem mot 2018.