Eloi Vanderbeken brukte julen til å avsløre et gapende hull i bredbåndrutere.

Den franske sikkerhetseksperten fant da en bakdør i rutere fra en lang rekke produsenter, deriblant Cisco, Linksys, Netgear og Diamond.

Han påviste at utstyr med fastvare fra taiwanske Sercomm lyttet til TCP-spørringer mot port 32764. Mens noen berørte modeller krevde tilgang fra lokalnett, skal andre ha eksponert det udokumenterte grensesnittet også direkte over internett.

Uken etter avsløringene kom en fastvareoppdatering som skulle stenge bakdøren.

Vanderbeken har nå brukt påskeferien til å påvise at feilfiksen slett ikke stenger noe hull. Bakdøren er bare gjort vanskeligere å oppdage.

I en overbevisende presentasjon (pdf) redegjør franskmannen for det nye funnet, som kan gi full administrativ tilgang, uten autentisering.

– Bakdøren lar seg reaktivere fra lokalnettet (LAN) eller fra internett-leverandørens side. Dette er bevis på at bakdøren bevisst er plantet, mener Eloi Vanderbeken.

Ifølge ham ble bakdøren aldri fjernet. Den ligger i dvale. Etter å ha gransket oppdateringen fant han at bakdøren lar seg aktivere ved å sende noen spesielt utformede ethernet-pakker til ruteren.

Når ruteren mottar disse kommandoene er det igjen fritt frem.

I praksis åpnes da bakdøren igjen på kunders allerede oppdaterte utstyr, skriver Ars Technica.

Sikkerhetsforskeren har allerede publisert konseptkode som kan påvise og utnytte bakdøren på Netgear-modellen DGN 1000, men altså med de nevnte begrensningene; dette må gjøres fra lokalnettet eller fra nettleverandør.

Ifølge ham er minst 24 ruter-modeller bekreftet sårbare. En liste er publisert her. I presentasjonen fremlagt i påsken oppgir han å ha funnet 6.000 berørte rutere på internett.

Hvor utbredt bakdøren egentlig er vites ikke. Ifølge Vanderbeken skyldes det at hver utgave av fastvaren er skreddersydd den enkelte ruter-produsent og modellnummer.

Ars Technica har forsøkt å få de berørte produsentene, og taiwanske Sercomm i tale, så langt uten å lykkes.

Uken før påske var travel for alle som jobber med informasjonssikkerhet. Heartbleed-sårbarheten i OpenSSL var unik i hvor bredt nedslagsfelt den hadde, hvor mange tjenester og brukere som ble berørt. Den var ikke unik som et eksempel på hva en enkel programmeringsfeil kan medføre. Det er en klar sammenheng her: programvare har sårbarheter, angripere utnytter disse sårbarhetene for å nå sine mål. Og, sårbarheter i programvare oppstår fordi utviklere gjør feil. Enten fordi de ikke vet bedre, eller rett og slett bare fordi alle gjør feil av og til.

I dette tilfellet har vi hørt fra utvikleren som var ansvarlig for kodebiten som inneholdt sårbarheten. OpenSSL er skrevet i C, et språk som gir mye frihet til utviklerne og derfor også stiller store krav. Koden som inneholdt Heartbleed-sårbarheten er skrevet av en erfaren utvikler som glemte å gjøre en sjekk av minnebruken, noe som tillater at det leses ut en større mengde informasjon fra minnet enn hva som var meningen. OpenSSL-teamet hadde gode rutiner, inkludert kvalitetskontroll før ny kode tas inn, men denne feilen ble ikke oppdaget i kvalitetskontrollen heller.

Nå som stormen har lagt seg, de fleste tjenester er oppdatert, passord er byttet der det var nødvendig og Internett atter er et relativt trygt sted å være, er det på tide å se nærmere på rotårsaken: hvordan kunne Heartbleed forekomme? Og hva kan vi gjøre for å redusere sannsynligheten for tilsvarende feil i fremtiden?

Det er lett å tenke at løsningen er enkel: vi må bare slutte å bruke disse utrygge programmeringsspråkene. Men, nei det er ikke så enkelt. Det er mulig å gjøre feil i alle programmeringsspråk. Bare ulike typer feil, som har ulike konsekvenser. Det handler mer om å ha kunnskap til å bruke språket riktig, og gode nok mekanismer til å fange opp feil.

Whitehat Security publiserte nylig en rapport der de har sett på sikkerhetsutfordringen i de vanligste programmeringsspråkene brukt i webapplikasjoner. De tre mest brukte språkene er .Net (28 %), Java (25 %) og ASP (16 %). Ifølge rapporten fra Whitehat Security er det ingen vesentlig forskjell mellom disse i antall sårbarheter. De har alle i snitt 11 sårbarheter per «slot» (en «slot» definerer de som grensene til en webapplikasjon). Tallene var vesentlig lavere for bla Perl og ColdFusion. Rapporten er anbefalt lesning for de som måtte være interessert i mer detaljer.

Poenget her er at selv disse «moderne» språkene ikke er feilfrie eller 100 prosent trygge. De må fortsatt brukes riktig for at man skal unngå å lage applikasjoner som har sårbarheter.

Ulike programmeringsspråk har ulike fordeler og ulemper. Hva man velger å bruke er som regel en sammensatt beslutning, som ofte inkludere hensyn til hva utviklerteamet er kjent med og hva slags type applikasjon man skal lage. Altfor sjelden er dessverre sikkerhet en del av denne beslutningen.

Høsten 2011 gjorde en student ved NTNU, Pål Løkke Thomassen, en undersøkelse for å se på sikkerhet i praksis hos programvareindustrien i Norge. Poenget var å sammenligne hva lærebøkene og teorien sier man skal gjøre, men hva som i realiteten gjøres i industrien. Resultatet var varierende, men den ene tingen alle hadde til felles var at de hadde planer for håndtering av bugs og utrulling av nødvendige sikkerhetsoppdateringer etter produksjonssetting. Det er jo mildt sagt et nedslående resultat, og det er ingen grunn til å tro at situasjonen er endret siden da. Det dette egentlig betyr er: vi vet vi vil gjøre feil, og når vi gjør feil har vi en plan for å håndtere det. Og det peker tydelig på at sikkerhet i stor grad fortsatt er en reaktiv, og dessverre ikke proaktiv, prosess.

Statistikk fra NVD, CVE og siste Symantec Internet Security Threat Report viser at antall sårbarheter oppdaget per år de siste 10 årene er rimelig jevnt. Tallet er stabilt på omkring 5000 nye sårbarheter per år. Fokus på sikkerhet har økt i disse årene, men sårbarhetene blir ikke færre. For at det skal skje, må sikkerhet få et større fokus i systemutviklingsprosjekter enn det har i dag. Det må bli en del av prosjektet hele veien. Fra et bevisst valg av programmeringsspråk, til opplæring av utviklere og ikke minst må det testes og kvalitetssikres gjennomgående med fokus på sikkerhet. Vi trenger å bli bedre på å unngå å gjøre slike feil til å begynne med, og bedre på å fange de opp og luke de ut før kode settes i produksjon.

Teamet som utviklet OpenSSL gjorde mye av dette. Allikevel snek denne feilen seg inn i koden. Det viser oss at det ikke finnes noen garantier for å unngå feil. Akkurat som alle vet at 100 prosent sikkerhet i de fleste tilfeller er umulig å oppnå. Men, det er helt sikkert at vi kan gjøre mye mer enn det vi gjør i dag. Og løsningen begynner og slutter med kunnskap. Bare når vi kjenner til de mulige fellene, kan vi unngå å gå i dem.

Både Microsoft og Nokia kunngjorde i går at Microsofts oppkjøp av Nokias mobiltelefonvirksomhet, Devices and Service, etter all sannsynlighet vil bli fullført fredag den 25. april. Planene om oppkjøpet ble offentliggjort i september i fjor og har en verdi på 7,2 milliarder dollar.

– Dette oppkjøpet vil hjelpe Microsoft med å akselerere innovasjonen og adopsjonen av Windows Phone-telefoner. I tillegg ser vi fram til å introdusere den neste milliarden av kunder for Windows-tjenester via Nokia mobiltelefoner, skriver Brad Smith, juridisk direktør i Microsoft, i et blogginnlegg.

Med «den neste milliarden» mener en stor gruppe mennesker som i dag ikke har smartmobil eller tilgang til internett. Microsoft er langt fra den eneste aktøren som ønsker å knytte denne potensielle brukergruppen til seg.

Ifølge en e-post som Nokia sendte til mange av selskapets kunder i påsken, vil det nye selskapet hete Microsoft Mobile Oy og holde til i Espoo, Finland. Microsoft Mobile vil da være et heleid datterselskap av Microsoft Corporation.

Avtaleendringer
Smith nevner i blogginnlegget en liten håndfull endringer som har blitt forhandlet fram mellom de to selskapene.

Blant annet skal Microsoft i framtiden ha ansvaret for administrasjonen av nokia.com-domenet og tilhørende profiler i sosiale medier i en overgangsperiode på inntil et år.

Ifølge den opprinnelige avtalen skulle alle de ansatte ved Nokias Chief Technology Office fortsatt være ansatt i Nokia. Nå er det klart at 21 ansatte i Kina, som arbeider med mobiltelefoner, vil fortsette dette arbeidet i Microsoft i stedet.

Microsoft skal likevel ikke kjøpe Nokias produksjonsanlegg i Sør-Korea, noe som opprinnelig var en del av avtalen.

Derimot skriver Smith ingenting om bruken av Nokia-navnet. I den opprinnelige kunngjøringen ble det oppgitt at Microsoft kjøper varemerkene Lumia og Asha, samt rett til å bruke «Nokia» sammen med eksisterende produkter. Senere ble det kjent at Microsoft vil kunne bruke Nokia-navnet sammen med produkter basert på Series 30 og Series 40 i ti år framover, mens Nokia ikke kan lansere nye mobiltelefoner med Nokia-navnet før i 2016.

Men disse kunngjøringene fortalte ingenting om lisensiering av Nokia-navnet i forbindelse med framtidige, Windows Phone-baserte Lumia-telefoner.

Google skal angivelig være i ferd å utvikle løsninger som skal gjøre det enklere å bruke ende-til-ende-kryptering i e-posttjenesten Gmail. Dette forteller en ikke navngitt kilde ved Google til VentureBeat.

Bruk av krypteringsteknologier som PGP sammen med e-post, betyr at meldingen vil krypteres av avsenderen med mottakerens offentlige nøkkel. Meldingen kan kun dekrypteres med mottakerens private nøkkel.

I Gmail i dag er ikke selve e-postene kryptert. Dataene er kryptert mens de sendes mellom brukerens nettleser og Googles servere. Dataene er også kryptert mellom Gmail-serverne og andres e-postservere dersom de eksterne serverne støtter dette. Men dataene er ikke kryptert på Google servere.

Med PGP eller annen ende-til-ende-kryptering vil også selve meldingene være krypterte. Det innebærer at innholdet ikke kan tolkes av Googles servere, verken i forbindelse med søk, spamfiltrering eller for å brukertilpasse annonsevisninger.

Det er ingen grunn til å tro at støtte for PGP er noe Google vil tilby som standardfunksjonalitet i Gmail, siden rettede annonsevisninger er selskapets viktigste inntektskilde.

Medgründer Tom Preston-Werner har sagt opp stillingen sin i GitHub, etter en offentlig skittentøyvask med sterke beskyldninger om arbeidsmiljø preget av kvinnefiendtlige holdninger.

Preston-Werner var den mest framtredende av selskapets ledere; én av tre som startet den kjente nettjenesten for kodesamarbeid tilbake i 2008.

Avskjeden kommer til tross for at han er frikjent for de mest alvorlige beskyldningene i en uavhengig granskning, lansert etter påstander om mobbing og trakassering.

Saken var basert på erfaringene til ingeniøren Julie Ann Horvath, som rettet kraftige skyts mot selskapets arbeidsmiljø da hun sluttet i selskapet i forrige måned.

– Vi tok påstandene alvorlig og iverksatte en full, uavhengig granskning. Den fant ingen bevis som støtter påstandene mot Tom og kona hans om kjønnsbasert mobbing eller represalier, ei heller påstandene om et kjønnsdiskriminerende eller fiendtlig arbeidsmiljø, skriver medgründer Chris Wanstrath i en kunngjøring.

Selv om undersøkelsen ikke fant at det har foregått noe juridisk sett galt i bedriften, oppgir han at det ble funnet bevis på «tabber og feilvurderinger». Disse blir ikke nærmere forklart.

– I lys av disse funnene har Tom valgt å levere inn sin avskjed, noe selskapet har akseptert. Tom har vært en viktig del av GitHub helt fra starten, og vi setter pris på alt han har gjort for selskapet, skriver sjefen.

Wanstrath er konsernsjef i GitHub, som etter å ha fått en stor innsprøytning av venturekapital i Silicon Valley i fjor ble verdsatt til 750 millioner dollar.

Ifølge kunngjøringen skal oppstartbedriften nå innføre en rekke nye personaltiltak og ansatte-initiativ som skal sørge for at alle bekymringer og eventuelle konflikter internt blir håndtert på forsvarlig vis.

– [På dette området] vet vi at vi fortsatt har en jobb å gjøre, skriver GitHub-toppen.

Opera Software har i flere år nå jevnlig satt nye rekorder i antall brukere, omsetning og overskudd.

De gode tidene gjenspeiles i det som må være IT-Norges heftigste lønns- og opsjonsfest. Ledelsen sopte i fjor inn nærmere 100 millioner kroner.

Konsernsjef Lars Boilesen troner øverst med 41,5 millioner kroner i kompensasjon. Det er nesten fire ganger så mye som året før. Han var fra før i den absolutte lønnstoppen i norsk næringsliv, uansett bransje.

Grunnlønna for 2013 på 3,6 millioner kroner og enda mer i bonus utgjør samlet sett ingen økning. Derimot utløste han opsjoner verdt 33 millioner kroner, ifølge årsrapporten som ble utgitt rett før påske.

På samme måte har også den øvrige ledelsen fråtset i opsjonsgevinst det siste året. Finansdirektør Erik Harrell utøvde opsjoner verdt 15,5 millioner kroner. Med lønn og bonus ble den samlede inntekten hans på drøyt 21 millioner kroner.

Teknolog og direktør for nettleserutvikling, Rikard Gillemyr, hanket inn 9,8 millioner kroner; om lag to tredeler fra opsjoner. HR-direktør Tove Selnes fikk en samlet inntekt på 5,2 millioner kroner, noe under halvparten kom fra opsjoner.

Salgs- og markedsdirektør Andreas Thome utløste opsjoner for 7,3 millioner kroner. Med lønn og bonus ble den samlede inntekten på 12,3 millioner kroner.

De eventyrlige utbetalingene skyldes suksess over tid, og det er særlig i mobilsegmentet at Norges mest kjente IT-eksport har opplevd smektende vekst.

Som digi.no tidligere har skrevet settes det stadig rekorder i inntekter og resultat. Annonser utgjør nå mer enn halve omsetningen.

Årsrapporten viser at Opera har økt de årlige inntektene sine jevnt og trutt de siste årene, fra under 100 millioner dollar i 2009 til i fjor over 300 millioner dollar (1,8 milliarder kroner). Siden 2004 er omsetningen økt ti-gangeren.

Selskapet oppgir at de ved årsskiftet hadde 350 millioner brukere. En stor overvekt (78,4 prosent) av disse er mobilbrukere.

Antall ansatte er også i sterk vekst. Nettleserfirmaet med hovedsete i Oslo har med 1039 medarbeidere aldri vært flere hoder.

I aksjonen «Opprydningen på internett 2014» har kinesiske myndigheter stengt over 100 pornosider.

I tillegg til pornonettstedene skal tusenvis av brukerkontoer på sosiale medier også være stengt, melder statlige medier.

Pornografi er ulovlig i Kina, men det er fryktet at den nye aksjonen bare er begynnelsen på et stadig mer omfattende grep kinesernes internettbruk fra statens side.

Nyhetsbyrået Xinhua rapporterer at 110 nettsider og 3.300 brukerkontoer på sosiale medier er slettet siden januar.

– Pornografien skader de yngres mentale helse og er til svært stor skade for den sosiale moral, sier en offentlig tjenestemann ifølge byrået. (©NTB)