Anonymiseringsnettverket til Tor Project kan ha vært under angrep i så lenge som fem måneder denne våren. Det skriver Roger Dingledine, direktør og medgründer av prosjektet, i et blogginnlegg.

Angrepet, som ifølge Dingledine gikk ut på å forsøke å av-anonymisere brukere, ble oppdaget den 4. juli. Hvor lenge det har pågått er ukjent, men relemaskinene som ble brukt i angrepet ble tilsluttet nettverket den 30. januar i år. Angrepet gikk blant annet ut på å modifisere headere i Tor-protokollen for å bekrefte trafikk og har trolig vært rettet mot personer som enten drifter eller besøker skjulte tjenester (hidden services) i Tor.

Ifølge Dingledine må personer som på en eller annen måte har brukt disse skjulte tjenestene en gang mellom februar og 4. juli gå ut fra at de har blitt berørt, men han kan ikke fastslå hva «berørt» egentlig inkluderer – det er fortsatt uklart.

– Vi vet at angrepet så etter brukere som innhentet beskrivelser av skjulte tjenester, men angriperne kunne sannsynligvis ikke se noe trafikk på applikasjonsnivå, skriver Dingledine. Med dette mer han sider som har blitt lastet eller om brukerne faktisk har besøkt de tjenestene som de har slått opp.

– Angrepet forsøkte sannsynligvis også å finne ut hvem som har publisert beskrivelser av skjulte tjenester, noe som ville gi angriperne mulighet til å finne lokaliseringen til den skjulte tjenesten. I teorien kan angrepet også ha blitt brukt til å knytte brukere til deres destinasjoner i vanlige Tor-kretser også, men vi har ikke funnet noe bevis på at angriperne har drevet noen utgangsreleer, noe som gjør dette angrepet mindre sannsynlig.

Dingledine forteller videre at sårbarhetene som ble utnyttet i sårbarheten har blitt fjernet fra nyere utgaver av Tor-programvaren, og at releserverne bør oppgraderes til denne. Også vanlige Tor-brukere anbefales å ta i bruk kommende utgaver av Tor Browser så snart disse er klare.

Black Hat-konferansen?
Det har dukket opp spørsmål om hvorvidt avlysningen av et foredrag om Tor under Black Hat-konferansen i Las Vegas neste uke kan ha noe med dette angrepet å gjøre. Det virker ikke helt usannsynlig.

– Vi brukte flere måneder på å forsøke å få informasjon fra forskerne som skulle hode Black Hat-foredraget, og til slutt fikk vi noen hint fra dem om hvor «relay early»-celler kunne brukes i «traffic confirmation»-angrep, noe som førte til at vi begynte å se etter slike, faktiske angrep, skriver Dingledine.

Han skriver videre at forskerne i det siste ikke har svart på e-posthenvendelsene fra Tor-prosjektet, så koblingen mellom angrepene og det avlyste foredraget er ikke blitt bekreftet, men Dingledine mener at det er sannsynlig.

– Faktisk håper vi at forskerne var de som utførte disse angrepene, siden det ellers må ha vært noen andre.

Dingledine skriver også at endringene i protokolheaderne også kan ha hjulpet andre angripere med å av-anonymisere brukerne.

– Så dersom dette angrepet var et forskningsprosjekt (altså ikke ondsinnet med hensikt), ble det gjort på en uansvarlig måte fordi det utsetter brukere for risiko for all framtid.

Ifølge BBC News skal foredraget til de to sikkerhetsforskerne, Alexander Volynkin og Michael McCord, ha blitt avlyst på grunn etter fordi advokatene til arbeidsgiveren deres, Carnegie Mellon University, har insistert på dette.

Angrepet kan også ha blitt utført av en rekke andre parter. Tor-nettverket brukes blant annet av regimemotstandere i en rekke land, som har behov for å skjule sin aktivitet på internett fra myndighetene. Men heller ikke vestlige sikkerhets- og etterretningstjenester er uten interesse av å bryte seg inn i Tor, til tross for at tjenesten opprinnelig ble utviklet for den amerikanske marinen og at amerikanske myndigheter fortsatt donerer betydelige beløp til prosjektet.

De nektet angivelig å la seg kjøpe opp av Facebook for 1 milliard dollar i fjor. Senere skal budet ha blitt tredoblet, uten at det var nok til å overbevise de unge gründerne.

Snapchat skal nå være i forhandlinger om å få den kinesiske e-handelsgiganten Alibaba som investor, melder Bloomberg.

En emisjon vil prise selskapet til svimlende 10 milliarder dollar, drøyt 62 milliarder norske kroner, ifølge nyhetsbyråets kilder.

Ikke verst for en knapt tre år gammel mobilapp, som lar brukere sende hverandre bilder og filmklipp som slettes etter noen sekunder.

Så skal lynmeldingstjenesten også ha fortsatt å øke sin betydelige popularitet med uforminsket styrke.

Brukerne sender nå mer enn 700 millioner såkalte «snaps» hver dag, og deler ytterligere en halv milliard «historier» med hverandre, oppgir selskapet. Det er nesten en dobling fra i fjor høst.

Stort i Norge
En stor overvekt av disse brukerne er svært unge, mellom 13 og 25 år, har Snapchat-sjef Evan Spiegel sagt. Så mange som 70 prosent av dem skal være kvinner.

Han har også uttalt seg spesifikt om Norge, som visstnok står i en særstilling i utbredelsen av den amerikanske meldingsappen.

Snapchat er i aktiv bruk på annenhver norske smartmobil, hevdet Spiegel på en konferanse i november, ifølge teknologibloggen AllthingsD.

Seoul (NTB-AFP): Elektronikkgiganten Samsungs overskudd falt 21 prosent i andre kvartal. Konkurranse fra billige kinesiske mobiltelefoner er en av årsakene til det dårlige resultatet.

– Andre kvartal ble påvirket av flere faktorer, blant annet svakt globalt salg av smarttelefoner og nettbrett, skriver det sørkoreanske selskapet i en uttalelse torsdag.

Resultatet før skatt var på 7.790 milliarder won, tilsvarende 47,6 milliarder kroner. Tilsvarende tall i samme periode i fjor var 60,1 milliarder kroner, og nedgangen var dermed på 21 prosent.

Omsetningen i andre kvartal tilsvarte 319,8 milliarder kroner, noe som var 9 prosent lavere enn i samme periode i fjor.

I tillegg til konkurransen fra Kina blir høy won-kurs holdt fram som en av forklaringene på at elektronikkgiganten har gått gjennom en vanskelig periode. (©NTB)

Ansatte i bedrifter med Googles Apps for Business kan nå bruke videokonferansetjenesten Hangouts uten å måtte ha en egen Google+-profil, noe som tidligere har vært nødvendig. Hangouts ble opprinnelig utviklet som en del av Google+, men blir nå altså mindre avhengig av den sosiale tjenesten.

En konsekvens av dette er at Hangouts vil tilbys med de samme tjenestebetingelsene som andre Google Apps for Business-produkter. Dette inkluderer telefonstøtte og 99,9 prosent garantert oppetid, i tillegg til en håndfull sertifiseringer. Senere skal tjenesten også integreres med Google Apps Vault.

Med Hangouts kan brukerne delta i videokonferanser med inntil 15 deltakere. Dette kan gjøres direkte fra pc-nettleseren eller med spesielle enheter som Chromebox. Google Apps-utgaven av Hangouts skal snart også gjøres tilgjengelig for smartmobiler og nettbrett.

Google kunngjorde i går også samarbeid med leverandører som Blue Jeans og InterCall, som skal tilby tjenester som gjør det mulig la brukere med mer tradisjonelt videokonferanseutstyr (H.323 eller SIP) eller kun telefon, å delta i Hangouts-konferansene.

Det loves også forbedringer til Chromebox, for eksempel muligheten til å se publikum på én skjerm og en presentasjon på en annen, samtidig.

For brukere som ikke er tilknyttet et Google Apps for Business-abonnement, vil Hangouts fungere som tidligere.

Den personlige, digitale assistenten som ble introdusert med Windows Phone 8.1, Cortana, vil fra og med neste uke bli tilgjengelig for utviklere som en alfa- eller betautgave i flere land enn tidligere. Dette bekreftet Microsoft i går, sammen med flere andre nyheter til selskapets mobiloperativsystem.

Neste uke skal Microsoft gjøre den første oppdateringen til Windows Phone 8.1 tilgjengelig som en forhåndsvisning for utviklere, og den klart største nyheten er at Cortana nå gjøres tilgjengelig for brukere i Kina, Storbritannia, Canada, India og Australia.

Spesielt den kinesiske utgaven er interessant, for selv om den ifølge Microsofts Joe Belfiore skal fungere på samme måte som den amerikanske utgaven, så er kinesisk (mandarin) temmelig forskjellig fra engelsk. I tillegg skal den kinesiske varianten av Cortana ha en hel del funksjonalitet spesielt tilpasset det kinesiske markedet, inkludert informasjon om luftkvalitet sammen med værmeldingen.

Men også Cortana i andre land skal leveres med ny og/eller lokal funksjonalitet.

En annen vesentlig nyhet er muligheten til å putte de flisene i mapper. Mappene kan gis navn og vil på hjemmeskjermen stadig vise oppdateringer som de underliggende flisene normalt vil presentere.

Apps Corner kan sees på som en spesiell startskjerm hvor brukeren kan spesifisere hvilke apper som vises i en spesiell «sandkasse-modus» som begrenser hvilke apper som kan brukes. Denne funksjonaliteten er først og fremst ment for bedrifter. Det skal også være mulig å bruke Apps Corner til å sørge for at en spesifikk applikasjon åpnes så snart mobilen startes opp.

Det loves også blant annet forbedringer knyttet til VPN, Store-flisen og SMS-administrasjonen.

– Ironisk nok var det programvaren som er ment å skulle beskytte virksomheten som var årsaken til at de ble kompromittert.

IT-sikkerhetsselskapet Offensive Security sier de har oppdaget flere nulldagssårbarheter i Symantecs enhetlige antivirus- og sikkerhetspakke, Symantec Endpoint Protection.

Det skjedde under en penetrasjonstest, altså et simulert hackerangrep, på oppdrag ute hos en større finansinstitusjon med flere tusen ansatte.

Noen av funnene skal de ha formidlet til CERT-er (Computer Emergency Response Teams), men de sparer også deler av avsløringene til et kurs i avansert Windows-hacking som de arrangerer på Black Hat-konferansen som åpner i Las Vegas til helgen.

– Symantec sier de er kjent med de innrapporterte sårbarhetene og har iverksatt etterforskning, skriver PC World.

Det skal dreie seg om tre nulldagssårbarheter som kan gi økte systemprivilegier, altså flere rettigheter til et system hvor man allerede er logget inn.

– Vi skal publisere konseptkode for utnyttelse av sårbarhetene i løpet av de kommende dagene, skriver Offensive Security i en kunngjøring tirsdag.

– Utviklere av sikkerhetsprogramvare er ikke nødvendigvis mer sikkerhetsbevisste. Ikke tro antivirusløsninger er mindre utsatt enn noe annet, sier gründer Mati Aharoni i Offensive Security til PC World.

Selskapet har publisert et videoklipp som demonstrerer et vellykket angrep mot sårbarhetene på en oppdatert Windows 7-maskin med nyeste Symantec Endpoint Protection:

Symantec Endpoint Protection Privilege Escalation 0day from Offensive Security on Vimeo.

IDC kom i går med de første tallene om det globale smartmobilmarkedet i andre kvartal av 2014. Tallene er positive for mange leverandører, noe som har ført til en samlet vekst i markedet på 23,1 prosent, sammenlignet med samme kvartal i fjor. Totalt ble det levert 295,3 millioner smartmobiler i forrige kvartal. IDC regner med at man for første gang vil passere 300 millioner leverte enhet på et enkelt kvartal i tredje kvartal i år.

Samsung er stadig den største leverandøren av smartmobiler med klar margin, men i motsetning til de fleste andre, har Samsungs leveranser blitt redusert det siste året, med 3,9 prosent. Markedsandelene har falt fra 32,3 til 25,2 prosent siden andre kvartal i fjor. Ifølge IDC er det stor etterspørsel etter alle de tre siste generasjonene i Samsungs Galaxy S-familie, men selskapet sliter i markeder som er dominert av lokale leverandører. Det er i disse markedene mye av veksten skjer, og da særlig når det gjelder de laveste prissegmentene.

Årets andre kvartal er ofte det svakeste for Apple, siden nye iPhone-modeller gjerne gis ut på høsten. Apple har likevel økt leveransene med 12,4 prosent, sammenlignet med i fjor. Men dette er langt fra nok til å beholde fjorårets markedsandel. Men Apple tilbyr ikke lavprisprodukter, og det er denne delen av markedet det meste av veksten skjer. Det er lite som tyder på at Apple taper andeler i det øvre prissegmentet, hvor veksten er langt mer begrenset.

Kinesiske Huawei har nesten doblet leveransene siden andre kvartal i fjor. Ifølge IDC skyldes dette særlig etterspørselen etter 4G-enheter i hjemlandet og subsidieavtaler med alle de tre kinesiske mobiloperatørene. Men selskapet vokser også betydelig i andre land, særlig på grunn av lavprismodeller som Y-serien.

Lenovo fortsetter også å vokse kraftig, selv om veksten er betydelig lavere enn den var i første kvartal. Selskapet har nesten tredoblet leveransene til utlandet siden samme kvartal i fjor, da mer enn 95 prosent av enhetene ble solgt i Kina. Det er ventet at andelen som leveres til utlandet vil vokse ytterligere etter at oppkjøpet av Motorola er fullført.

LGs leveranser vokste noe langsommere enn det generelle markedet i andre kvartal, men selskapet lanserte modellen G3 i hjemlandet først i slutten av kvartalet, og det ventes at dette vil bidra til høyere leveransetall i det inneværende kvartalet.

Også mange av de mindre smartmobilleverandørene opplevde en betydelig økning i leveransene, 38,7 prosent i snitt siden andre kvartal i 2013 og 18,7 prosent siden første kvartal i år. Fire av ti smartmobiler ble levert av disse leverandørene i forrige kvartal.

Ifølge IDC er det mer enn et dusin leverandører som har potensial til å klatre opp i topp fem i tredje kvartal.

– En håndfull av disse selskapene opererer for tiden i ett enkelt land, men ingen bør mistolke det som selvtilfredshet – de innser alle muligheten som ligger på utsiden av hjemmebanen, sier Ryan Reith, programdirektør for IDCs Worldwide Quarterly Mobile Phone Tracker, i pressemeldingen.

– Etter hvert som døden til feature-telefoner nærmer seg stadig raskere, er det de kinesiske leverandørene som er klare til å lede kunder i kommende markeder over til smartmobiler, sier Melissa Chau, senior forskningssjef i IDC.

Hun mener at disse leverandørene både tilbyr mer smartmobil for pengene enn de store, globale aktørene, og samtidig bedre byggkvalitet og bedre skaleringsmulighet enn de lokale konkurrentene, noe som gir disse kinesiske leverandørene et visst konkurransefortrinn i de kommende markedene.

Synergy Research Group kom denne uken med en rapport om omsetningen til de fem største leverandørene av nettskybaserte infrastrukturtjenester i andre kvartal i år. Sammenlignet med samme kvartal i fjor er det klart at Microsoft er i særklasse når det gjelder vekst i omsetningen av nettskybaserte infrastrukturtjenester, med 164 prosent høyere omsetning enn for et år siden. Men også IBM opplever en vekst – 86 prosent – som er betydelig høyere enn den generelle veksten i markedet, som har vært på drøyt 45 prosent, sammenlignet med samme kvartal i fjor.

Ifølge Synergy ble det totalt omsatt for 3,7 milliarder dollar i dette markedet. Tallene inkluderer også hybride og private nettskyer, i tillegg til IaaS (Infrastructure as a Service ) og PaaS (Platform as a Service). SaaS (Software as a Service) er ikke inkludert.

Fortsatt er Amazons AWS (Amazon Web Services) den mest brukte nettskytjenesten, i alle fall når man måler i omsetning. Omsetningen øker mer enn den gjør i det samlede markedet, men bare litt. Det gjøre at AWS ikke lenger omsetter for mer enn nettskytjenestene til de fire største konkurrentene til sammen, slik tilfellet var for et år siden.

– Både Microsoft og IBM gir nettskyen mye fokus, og det dreier seg ikke bare om snakk. Det støtter opp om dette med store investeringer, sier John Dinsdale, sjefanalytiker i Synergy, til amerikanske Computerworld.

– Dette er i stor kontrast til Google, som har sine nettskytilbud der ute, men du får ikke følelsen av at dette er blant Googles topp-prioriteringer. Og nettskyen ble ikke nevnt en eneste gang under Googles resultatsamtale (med analytikere, journ. anm.), sier Dinsdale.

Veksten til Salesforce er derimot enda lavere, 38 prosent, men selskapet beholder likevel fjerdeplassen i dette markedet, foran Google.

– Det blitt klart at AWS endelig har støtt tøff konkurranse. Selv om de fortsatt er en formidabel leder i markedet, gjør Microsoft store framskritt innen IaaS og PaaS, mens IBM nå har er en klar leder i segmenter for private og hybride infrastrukturtjenester, sier Dinsdale i en pressemelding.

I forrige kvartal omsatte Amazon slike tjenester for nærmere én milliard dollar. Alle konkurrentene ligger et godt stykke bak dersom man bare ser på infrastrukturtjenestene. Men ifølge Synergy omsetter både Microsoft og IBM nettskyrelaterte produkter og tjenester for omtrent én milliard dollar i kvartalet, dersom man inkluderer SaaS/programvare, nettskyrelatert maskinvare og tilknyttede tjenester.

Det er ikke tilstrekkelig å oppdatere OpenSSL til en versjon som ikke berørt av den svært kritiske Heartbleed-feilen i kryptobibliotektet.

For å være fullt ut beskyttet mot sårbarheten er det nødvendig å også endre de private krypteringsnøklene, sørge for å utstede nye SSL-sertifikater og ikke minst trekke tilbake de gamle.

Det er det svært få som har gjort, advarer det amerikanske IT-sikkerhetsselskapet Venafi.

De har undersøkt hvor mange av verdens 2 000 største bedrifter som har tatt nødvendige forholdsregler etter den ekstremt alvorlige sårbarheten ble oppdaget i april.

Resultatet er ytterst nedslående.

Bare 3 prosent av selskapenes webservere har sørget for å rotere SSL-sertifikatene sine. Det betyr at 97 prosent ikke bør kjenne seg trygge, ifølge den ferske rapporten (pdf).

Det hører med til saken at de bare har undersøkt webservere som er tilgjengelig over internett. Situasjonen er trolig verre for interne systemer på innsiden av virksomheters brannmurer, som nok i mindre grad også er patchet.

Allerede i den 8. april da digi.no for første gang omtalte Heartbleed-feilen gjorde vi det klart at samtlige sikkerhetsnøkler må erstattes.

– IT-avdelingene har misforstått hvis de tror de er beskyttet mot Heartbleed bare ved å installere en programvareoppdatering. Hvis noen tar seg inn i huset ditt gjennom en åpen dør og sjeler husnøklene dine – så kan du ikke lenger stole på den samme låsen. Virksomheter må derfor finne og erstatte alle sine sikkerhetsnøkler og sertifikater – samtlige, skriver Venafi Labs i en pressemelding.

Heartbleed ble innført i OpenSSL versjon 1.0.1 utgitt i mars 2012, og var dermed del av det svært utbredte kryptobiblioteket i mer enn to år. Sårbarheten ble endelig fjernet med feilfiksen i versjon 1.0.1g, som utkom den 7. april 2014.

Sårbarheten fikk sitt navn etter at det ble avdekket en kritisk programmeringsfeil i den såkalte Heartbeat-modulen til OpenSSL. Ingen annen programmeringsfeil har fått mer oppmerksomhet i moderne tid, og sårbarheten har sågar fått sin egen logo.

[via The Register]

Sertifikater spiller en viktig rolle for hvilken tilgang applikasjoner skal ha til spesielle systemressurser i Android. For eksempel vil de aller fleste applikasjoner pent måtte holde seg innenfor sandkassen de får lov til å kjøre i, men utvalgte applikasjoner gis tillatelse til tre ut av sandkassen for å få tilgang til data som tilhører andre applikasjoner eller til de mer sensitive delene av operativsystemet. For eksempel har Google Wallet tilgang til den NFC-relaterte maskinvare som prosesserer betalingsinformasjon.

I går kunngjorde sikkerhetsselskapet Bluebox at det finnes en betydelig svakhet i dette sertifikatsystemet.

Bluebox skriver at Androids pakkeinstallasjonsprogramvare ikke gjør noe forsøk på å verifisere autentisiteten til en sertifikatkjede. Det vil si at et identitet kan hevde å være utstedt av en annen identitet, uten av Androids kryptografiske kode vil sjekke gyldigheten av påstanden. Dette kan utnyttes av ondsinnede applikasjoner ved at de kan utstyres med falske identiteter som gir dem tilgang til å tre ut av sandkassen.

Sårbarheten berører ifølge Bluebox alle Android-utgaver siden Android 2.1, men den kanskje mest innlysende måten å utnytte sårbarheten ble fjernet da webview-funksjonaliteten ble basert på Chromium.

Bluebox går i langt større detalj her.

Sårbarheten kalles for Fake ID og må i utgangspunktet sies å være svært alvorlig, ikke minst med tanke på hvor lite ivrige mange leverandører av Android-enheter er med å rulle ut Android-oppdateringer til sine kunder.

Beskyttelse
Bluebox har vært ansvarlige og gitt Google beskjed om sårbarheten i god tid før offentliggjøringen. Og Google har gjort tiltak som vil beskytte svært mange av Android-brukerne mot utnyttelse av sårbarheten, også de som ikke får noen sikkerhetsoppdatering til operativsystemet i enheten.

– Vi setter på at Bluebox på en ansvarlig måte har rapportert denne sårbarheten til oss. Tredjeparts forskning er én av måtene Android blir gjort sterkere på for brukerne. Etter å ha hørt om denne sårbarhetene, utga vi raskt en patch som ble distribuert til Android-partnere og til AOSP (Android Open Source Project, journ. anm.). Google Play og Verify Apps har også blitt forbedret for å beskytte brukerne mot dette problemet. Vi har til nå skannet alle applikasjoner som er forelagt Google Play, samt de som Google har vurdert fra utsiden av Google Play. Vi har ikke sett bevis på forsøkt utnyttelse av denne sårbarheten, skriver Google i en uttalelse til Ars Technica.

I praksis betyr dette at alle vanlige Android-enheter, altså de som benytter Google Play og tilhørende tjenester, er sikret mot utnyttelse av sårbarheten. Det gjelder også dersom de omgår sikkerhetsinnstillingene og skrur på muligheten for å installere applikasjoner fra ukjente kilder. Verify App-funksjonen skanner kontinuerlig enheten for å se etter mistenkelig atferd og skal kunne oppdage forsøk på å utnytte Fake ID-sårbarheten.

Verify App er en del av Google Play Service som er installert på alle offisielle Android-enheter med versjon 2.3 eller nyere av operativsystemet.

Det er dog mulig å deaktivere Verify App på Android-enhetene. Da skrur man av denne beskyttelsen og kan bli berørt. I eldre Android-utgaver finnes innstillingen for dette i Google Settings-applikasjonen, men fra Android 4.2 ble innstillingen flyttet over i de vanlige sikkerhetsinnstillingene til operativsystemet.

Android-enheter som ikke benytter Google Play, vil derimot kunne være i faresonen dersom leverandøren ikke har tatt i bruk sikkerhetsfiksen som Google har laget, eller implementert andre måter som sikrer mot utnyttelse av sårbarheten. Android-baserte produkter fra Amazon og Nokia er blant dem som er mest omtalt her til lands, men det finnes en rekke mindre leverandører som tilbyr Android-enheter uten Google Play-støtte i blant annet Kina.

Bluebox tilbyr en applikasjon, Bluebox Security Scanner, som kan fortelle brukeren om enheten er berørt av sårbarheten. Den opplyser at sårbarheten finnes på en helt oppdatert Nexus 5-enhet. Men skanneren er tilsynelatende bare tilgjengelig via Google Play.