Archive for August 5, 2014

– For meg handler skytjenester om én ting… KONTROLL

KOMMENTAR: Informasjon som vi lagrer i skyen kan bli gjenstand for lovlig innsamling. Så er spørsmålet hva som er lovlig innsamling og i forhold til hvilke lover?

Når andre land endrer sine lover er det ikke sikkert at vi i Norge lenger har det samme syn på hva som er lovlig innsamling av informasjon, ei heller at det vil det tjene våre nasjonale interesser.

Jeg vil presisere at jeg skriver dette ut i fra et sikkerhetsfaglig ståsted, hvor fokus er å beskytte informasjon på en slik måte at utenforstående ikke får tilgang til den, uavhengig av politikk, økonomi eller andre faktorer. Informasjon som skal beskyttes … bør beskyttes!

Torsdag 31. juli ble ingen god dag, i hvert fall ikke sett med nord-amerikanske teknologiselskapers øyne. Det som skjedde på torsdag kan etter min mening indirekte skade tilliten til et større antall selskaper som de fleste av oss har et forhold til. I hvert fall om torsdagens dom i en amerikansk føderal domstol blir stående, og vi forstår konsekvensene og det prinsipielle ved dommen.

LES OGSÅ: Slik får USA data utlevert fra fremmede land


Roar Thon er fagdirektør i Nasjonal sikkerhetsmyndighet (NSM)

Slik jeg tolker det er dommen fortsatt ikke er rettskraftig, men den har nå vært behandlet i to rettsinstanser, og de som bryr seg om personvern og sikkerhet bør følge nøye med på hvor dette ender opp. Jeg er ganske sikker på at amerikanske teknologiselskaper skjelver litt i buksene og det med god grunn.

I det amerikanske rettssystemet har det pågått en sak som har sin bakgrunn i at amerikanske myndigheter utstedte en rettslig ordre hvor Microsoft ble beordret til å utlevere informasjon knyttet til en e-post konto. Denne ordren nektet Microsoft å etterkommer da den etterspurte informasjonen var lagret hos et Microsoft -eid og -kontrollert utenlandsk (sett med amerikanske øyne) datterselskap i Dublin, Irland. Med andre ord, informasjonen er lagret utenfor amerikansk territorium og ikke i USA.

Det handler ikke lenger om hvor informasjonen er lagret, men hvem som lagrer den for deg

La meg stoppe opp litt her og presisere enkelte momenter før jeg går nærmere inn på konsekvensene av dommen. La det være helt klart at det finnes en rekke avtaler mellom land som gjør det mulig å begjære straffeprosessuelle og andre rettslige skritt foretatt i et annet land. Men dette skjer da i en gjensidig dialog mellom landene og i avtalene tas det høyde for de ulike juridiske forskjellene som eksisterer fra land til land. «Mutual Legal Assistance Treaties» (MLAT) er betegnelsen som blir benyttet i den amerikanske dommen som jeg straks kommer tilbake til. Skulle normale prosedyrer følges, ville amerikanske myndigheter anmodet irske myndigheter om å utstede en utleveringsordre/ransakingsordre som ville ha fulgt krav og vilkår i henhold til irske lover.

Jeg er ingen motstander av lov og rett, straffeprosess, eller internasjonale avtaler. Jeg har før min tid i NSM, selv anmodet om både pågripelser, ransaking og utlevering av informasjon og jeg har effektuert andres rettslige anmodninger om det samme. Jeg vet av egen erfaring hvor viktig det kan være å fremskaffe bevis eller informasjon som driver en etterforskning videre. Men konsekvensene etter fredagens dom er at den ser bort ifra allerede eksisterende avtaler og den utfordrer i praksis andre staters juridiske suverenitet i det digitale rom, om den ikke var utfordret nok allerede.

Fra amerikansk side argumenteres det med at det er en byrde å arbeide med andre lands myndigheter fordi det går for sakte og det tar opp mye ressurser. De tar seg retten til å gå utenom de allerede eksisterende prosesser. Dommen som falt på fredag snur om på tidligere prinsipper og praksis når det gjelder juridisk tilgang til digital informasjon. Dommen tar i realiteten ikke hensyn til HVOR informasjonen fysisk befinner seg, men HVILKEN nasjonalitet selskapet har som tilbyr tjenesten/lagrer informasjonen. Om selskapet er amerikansk, så mener man etter dommen, at amerikanske myndigheter kan forlange å få utlevert informasjon uavhengig av hvor informasjonen befinner seg i verden.

Microsoft har i to rettsinstanser blitt pålagt å utlevere informasjonen direkte til amerikanske myndigheter uavhengig av hva slags lover Microsoft er underlagt innenfor EU og i Irland. Microsoft har anket avgjørelsen og andre amerikanske selskaper sitter nok på gjerdet og venter i spenning. Det bør vi også gjøre her i Norge.

Et universelt problem med sikkerhet i skyen
Men denne saken handler egentlig ikke spesifikt om den amerikanske dommen på fredag. Saken er bare en god beskrivelse av hvilke utfordringer vi står ovenfor når vi virkelig skal begynne å diskutere det offentliges bruk av skytjenester. Hva slags løsninger skal staten velge når staten virkelig kommer til å flytte offentlig informasjon, helseinformasjon, personverninformasjon og annet ut i skyen? Hvor sikre kommer de løsningene til å bli? Det er ikke første gang jeg tar opp det temaet, men den amerikanske dommen endrer situasjonen for mange globale skytjenesteleverandører som allerede er leverandører av slike tjenester i Norge. Det gjør at det er relevant å ta problemstillingen opp på nytt.

De fleste av oss bruker skytjenester bevisst og ubevisst, og det er viktig å forstå at informasjonen som vi legger igjen i det digitale rom, kan bli gjenstand for lovlig innsamling. Men så er det sentrale spørsmål hva som er lovlig innsamling og i forhold til hvilke lover? Hva når et annet lands lover gir anledning til industrispionasje eller innhenting av andre årsaker enn rent strafferettslige. Det er ikke sikkert at Norge har det samme syn på hva som er lovlig innsamling av informasjon, ei heller at det vil tjene våre nasjonale interesser.

Jeg påstod i et tidligere blogginnlegg at sikkerhet i skyen ikke bare handler om at noen kan hacke seg inn for å hente ut informasjon, men også at andre med loven i hånd kan få utlevert din, kommunens, bedriftens og statens informasjon. Ikke fordi informasjonen befant seg i “skyen”, men på en server plassert på en annen stats territorium. Jeg påstod at dette var noe som vi burde ha et bevisst forhold til. Situasjonen kan gjennom dommen endre seg ytterligere og spørsmålet er hva som er mottiltakene?

Vi kan se på denne forenklede fremstillingen:

Informasjon i skyen FØR dommen

  • Norsk informasjon lagret i skyen + Skyen/lagringen befinner/skjer seg i et annet land = underlagt annet lands lovverk.

Tiltak for å beskytte informasjon på en bedre måte er å sørge for at informasjonen fysisk befinner seg innenfor nasjonal jurisdiksjon. Da blir formelen som følger:

  • Norsk informasjon lagret i skyen + Skyen/lagringen skjer/befinner seg i Norge = underlagt norsk lov.

Informasjon i skyen ETTER dommen

  • Norsk informasjon lagret i skyen + Skytjenestene leveres av et amerikansk selskap + lagringen skjer i et tredje land = Underlagt annet lands lovverk + amerikansk lovverk på grunn av tjenesteleverandør.

Eller

  • Norsk informasjon lagret i skyen + Skyen/lagringen skjer i Norge + men skytjenestene leveres av et amerikansk selskap = Underlagt norsk lov + amerikansk lovverk på grunn av amerikansk tjenesteleverandør.

Mottiltakene for å beskytte sin informasjon bedre er å fjerne en verdi fra formelen og legge til en annen verdi. Da blir regnestykket som følger:

  • Norsk informasjon lagret i skyen + Skyen/lagringen skjer/befinner seg i Norge + Norskeid skytjenesteleverandør = Underlagt norsk lov.

Bruk av skytjenester krever kontroll, kontroll og atter kontroll
Skyen åpner mange nye forretningsmuligheter. Små og store leverandører satser stort på å utvikle og posisjonere seg i det som allerede er blitt et stort globalt marked. Stadig nye løsninger tilbys i det kommersielle markedet til virksomheter og forbruker. Men i ly av dagens situasjon bør norske selskaper virkelig se mulighetene og gripe sjansen.

Bruken av skytjenester har mye positivt over seg og det kan være mye å hente når det gjelder effektivisering og ressursbruk. Vi kan sågar få bedre sikkerhet ved å bruke skyen fordi tjenester profesjonaliseres, men da bør vi unngå å skaffe oss unødvendige problemer ved å plassere våre verdier på steder eller hos leverandører som utfordrer hvem som skal ha tilgang til den informasjonen.

For meg handler skytjenestene om en ting. KONTROLL! – Kontroll over hvem som er leverandør, kontroll med hvem som har tilgang til data, kontroll med hvor informasjonen blir lagret, kontroll med hvordan informasjonen transporteres og sist og ikke minst, nasjonal kontroll over nasjonal informasjon. Det betyr ikke at det ikke finnes sikkerhetsutfordringer utover dette, men en god regel innen sikkerhetsarbeidet er å redusere risiko så mye som overhode mulig.

Jeg våger å påstå at et av de viktigste og sentrale spørsmål er om vi skal ha informasjonen vår i en nasjonal sky eller om vår nasjonale informasjon skal kunne transporteres og lagres utenfor landets grenser og av hvem? Uten nasjonal kontroll og -lagring er ikke skytjenester bare et spørsmål om teknologi og forretningsjus, men andre lands nasjonale lovgivning blir plutselig trusselfaktorer som påvirker vår mulighet til å beskytte informasjonen.

Proteksjonisme er kanskje ikke sett på som et positiv ord i mange kretser, men når det kommer til det offentliges beskyttelse av nasjonal informasjon og verdier er det kanskje et veldig positivt ord.

Det skyer til i vest, så det er bare å sette i gang her i nord.

Innlegget til fagdirektør Roar Thon er gjengitt med tillatelse og er tidligere publisert på Sikkerhetsbloggen til NSM.

Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

Real fartsøkning for SSD

Det sier seg selv at raskere datateknologier stort sett er en fordel, og SSD-disker har de siste årene introdusert raskere dataoverføring for stadig flere brukere.

Utviklingen stopper imidlertid ikke, og datterselskapet til Western Digital, HGST, viser nå frem fremtidens superhastigheter, ifølge PC World.

Det er foreløpig bare snakk om en demonstrasjon, ikke et kommersielt produkt, og det går nok en stund før vi ser slike hastigheter i den virkelige verden. Men prototyper er gjerne tegn på faktiske teknologier som blir tilgjengelig for alle på sikt.

– Verdens raskeste
HGST hevder at deres løsning er verdens raskeste SSD, og dette oppnås ved et nytt grensesnitt med eksepsjonelt lav forsinkelse.

Selskapet bruker vanlig PCIe-tilkobling for å vise frem teknologien, og det nye grensesnittet bruker Linux-drivere på serversiden.

Kort fortalt bruker den nye løsningen noe som kalles PCM-minne, som er langt raskere enn NAND-flashminne. NAND bruker rundt 70 mikrosekunder på å respondere på data, mens PCM kan gjøre det på ett mikrosekund.

PCM står for phase change memory, og er såkalt ikke-flyktig minne. Teknologien er fortsatt under utvikling. Potensialet er stort, der PCM gjør data tilgjengelig for systemet mye raskere enn tradisjonell NAND.

Det kan imidlertid fortsatt ta to til tre år med utvikling før PCM-løsninger begynner å bli rimelige nok. Det finnes også flere konkurrerende teknologier som RRAM og MRAM, som alle lover bedre ytelse enn flashminne.

Kombinasjonen av PCM og grensesnittet til HGST resulterer i imponerende hastigheter, men HGST sier at de ikke velger å støtte én bestemt teknologi. Grunnen til at selskapet gikk for PCM var fordi denne teknologien var mest tilgjengelig der og da, sier Ulrich Hansen i HGST. De prøver ikke å spekulere hvilken av de kommende minneteknologiene vil nå produksjon først.

Også grensesnittet mellom minnet og serveren er foreløpig ikke ment til å erstatte NVMe-standarden, som i overskuelig fremtid kommer til å være standarden for rask datakommunikasjon for SSD-disker. Hansen forteller at de ikke ønsker å konkurrere med eksisterende, åpne standarder, som også kan videreutvikles på sikt.

Det er likevel tydelig at mye raskere lagring er på vei i årene fremover.

Advarer mot hacking av fly

I forbindelse med den store sikkerhetskonferansen Black Hat i Las Vegas kommer det for tiden frem en god del informasjon om potensielle usikkerhetsmomenter i teknologi vi tar for gitt.

Nå advarer sikkerhetseksperten Ruben Santamarta mot noe så alvorlig som potensiell hacking av passasjerfly via dårlig sikrede Wi-Fi-nettverk og andre kanaler.

Santamarta har tidligere advart at utstyr for satellitt-kommunikasjon som brukes i luftfart, av militære, skip, medier eller nødetater, kan være sårbart. I april i år publiserte han en lang avhandling (pdf) om dette.

For dårlig sikkerhet
Nå kommer han med mer konkrete eksempler, og sier (via Reuters) at utstyr for satellitt-kommunikasjon gjerne er helt åpent og usikret. Santamarta skal vise frem disse funnene under et foredrag på torsdag, som ventes å bli blant Black Hats mest populære.

Ifølge eksperten oppdaget han svakhetene ved å dekode fastvaren til kommunikasjonsutstyr fra en rekke produsenter som Harris, Hughes, Cobham, Thuraya, JRC og Iridium. Programvaren er stort sett fritt tilgjengelig for alle uten større restriksjoner.

Teorien til Santamarta er at en hacker kan bruke Wi-Fi-nettverket – eller underholdningssystemet – i et fly, for å få tilgang til kommunikasjonsutstyret ombord. På denne måten frykten han at det mulig å forstyrre navigasjons- og sikkerhetsutstyr på flyet.

Vanskelig i praksis
Det er imidlertid bare en teori – Santamarta sier at han har testet prosessen i innendørslaboratorier hos sikkerhetsselskapet IOActive, der han selv jobber. Han innrømmer at det ville vært vanskelig å gjennomføre slike angrep i den virkelige verden.

Han vil likevel advare produsenter av kommunikasjonsutstyr om at muligheten for sikkerhetshull er tilstede, og oppfordre dem til å ta sikkerhet på alvor.

Produsentene av utstyret har varierende svar på påstandene: Selskapet Cobham, som produserer kommunikasjonsutstyret som Santamarta brukte til testing, sier at hackere må ha fysisk tilgang til enhetene for å påvirke dem, og at de ikke kan nås via Wi-Fi-signaler. Den fysiske tilgangen skal naturligvis være underlagt streng kontroll i de relevante miljøene.

Selskaper som Iridium og Harris forteller at de regner faren for denne type innbrudd for å være ekstremt liten, men de vil likevel ta sine forholdsregler.

Santamarta sier på sin side at han vil ha dialog med produsentene av utstyret, og svare på ytterligere spørsmål under sin presentasjon.

Blodrøde tall for Surface

Satsingen på hybridmaskinene kjent under produktnavnet Surface fortsetter å påføre Microsoft store tap.

Det siste året har enhetene belastet regnskapet med flere hundre millioner dollar i underskudd. Det viser beregninger utført av amerikanske Computerworld, basert på Microsofts årlige Form 10-K-rapport til USAs finanstilsyn SEC (Securities and Exchange Commission) som kom fredag.

Totalt skal Microsoft nå ha tapt 1,7 milliarder dollar, drøyt 10,6 milliarder norske kroner siden Surface-brettene så dagens lys første gang i oktober 2012.

Microsoft har tapt store penger på Surface-satsingen i hvert eneste påfølgende kvartal og regnskapsår.

I årsregnskapet vi omtalte for to uker siden oppga Microsoft at Surface-serien omsatte for 409 millioner dollar siste kvartal, hovedsaklig takket være andregenerasjons enhter og nye Surface Pro 3 (som først lanseres i Norge sent denne måneden).

Men i motsetning til de foregående kvartalsregnskapene ble ikke kostnadene forbundet med maskinvaren oppgitt, det får vi først nå. Med 409 millioner dollar i oppgitt omsetning og estimerte kostnader på 772 millioner dollar har serien påført Microsoft et tap på 363 millioner dollar i månedene april, mai og juni, ifølge Computerworld.

Det er ikke mulig å bryte tallene nærmere ned, men deler av kostnadene skylder en ikke nærmere detaljert avskrivning selskapet tok i kvartalet, for design og produksjon av et ukjent antall enheter av mini-Surface med mindre skjerm. Denne var ventet, men produktet ble kansellert i siste liten.

Konkurransen – slik Microsoft ser det
Som ledd i den årlige rapporteringen til finansmyndighetene gjør selskapet i K-10-rapporten også rede for konkurransesituasjonen.

I denne delen av dokumentet oppgir Microsoft at «Surface-enhetene har konkurranse fra pc-er, nettbrett og andre maskinvareprodusenter, som inkluderer mange av dagens nåværende eller potensielle partnere».

Segmentet omtaler også Nokias gamle mobildivisjon som formelt ble innlemmet forrige kvartal og gjør Microsoft for første gang til en mobilprodusent. Innen mobiltelefoner oppgir Microsoft at konkurransen «først og fremst kommer fra Samsung og Apple, samt mange andre mobilprodusenter».

– Vi tror at våre telefoner vil konkurrere gjennom å være skreddersydd til praktisk talt en hvilken som helst demografi og geografi verden over, gjennom å tilby et unikt industridesign og bildeteknologier (mulig de mener foto-egenskaper her, oversatt fra imaging technologies, red.anm.) innen både høye og lave prisnivåer, og gjennom å innlemme Microsofts «digital work and digital life experiences».

Dette krever kanskje en forklaring. Microsoft har i motsetning til gamle Nokia bestemt seg for å satse på ett eneste operativsystem på alle telefoner, nemlig Windows Phone. Det gjelder både de mest avanserte og dyreste smartmobilene og de enkleste håndsettene.

I siste kvartal utgjorde imidlertidig Nokias salg av såkalte featuretelefoner, enklere og langt rimeligere modeller hele 84 prosent av salget. Bare 16 prosent var Lumia-enheter med Windows Phone, som er det eneste operativsystemet Microsoft vil videre. Her har selskapet mildt sagt en utfordring, men mener altså at inkludering av Microsofts programvare (herunder Office-produkter) kan gjøre det mulig.

Ny skjermteknologi kan gjøre lesebrillene overflødige

Svært mange trenger lesebriller eller linser for å kunne lese det som står på skjermen problemfritt.

Slik trenger det ikke å være om noen år, skal vi tro forskere.

Et samarbeid mellom Massachusetts Institute of Technology (MIT), Berkley-universitetet og Microsoft, kan føre til en virkelighet der slike hjelpemidler ikke lenger vil være nødvendig. I hvert fall når det gjelder brillebruk foran elektroniske skjermer.

Dette skriver MIT Technology Review.

Bedre skjermer, ikke bedre briller

Aktørene har tatt tak i synsproblematikken litt i motsatt ende, sammenlignet med dagens synshjelpemidler. I stedet for å utvikle bedre briller eller linser, har de valgt å endre på selve skjermen i stedet.

Ideen går ut på at skjermen skal forutse hvordan brukerens øye forvrenger lyset, slik at de i stedet kan reversere denne forvrengingen før lyset treffer øyet.

I en nylig publisert artikkel har forskerne beskrevet hvordan det hele fungerer.

Skreddersydd for synet ditt

Der kommer det frem at en spesiell algoritme, som baseres på brukernes egen brille/linse-styrke, sørger for å korrigere skjerminnholdet slik at det skreddersys for brukernes øyebehov.

I tillegg til denne algoritmen har forskerne plassert et plastlysfilter bestående av mange tusen små hull foran skjermen. Det algoritmen sørger for, er å endre lyset som kommer fra pikslene slik at når det passerer plastfilteret, treffer det netthinnen til brukeren og lager et skarpt bilde.

Forskerne vil presentere arbeidet sitt under datakonferansen SIGGRAPH i august, men de har allerede utviklet en prototyp ved hjelp av en Ipod Touch.

– Tok litt tid å finne posisjonen

En av dem som har jobbet med teknologien, er Fu-Chung Huang i Microsoft. Den tidligere Berkley-studenten har selv testet teknologien på sin egen nærsynthet.

– Det krever presis kalibrering mellom øyene og skjermen og det tok litt tid å finne den perfekte posisjonen for øyet, sier Huang til IEEE Spectrum.

– Men med øyesporing-teknologi kan den neste versjonen kompensere for brukerens bevegelser og justere bildet slik at det holder seg i fokus.

Ved hjelp av dette systemet skal altså brukeren kunne, uten å anstrenge seg, lese det som står på skjermen uten noen eksterne hjelpemidler.

– Kan forandre liv

– Vi lever nå i en verden der skjermer er overalt, og vi tar for gitt at vi er i stand til å samhandle med dem.

Ordene tilhører Brian Barsky, Berkley-professoren som har ledet arbeidet med skjermteknologien.

Overfor Science Daily forklarer han hvorfor gjennombruddet kan bli viktig for fremtidens skjermer.

– Folk med større synsavvik har ofte skjevheter i hornhinnen, og dette gjør det ofte svært vanskelig å finne kontaktlinser som passer. I noen tilfeller kan dette være et problem som gjør det vanskelig å bli værende i visse yrker, fordi mange er nødt til å se på en skjerm som en del av sitt arbeid, sier Barsky, og legger til:

– Denne forskningen kan forandre deres liv, og jeg er lidenskapelig opptatt av det potensialet som ligger her.

Potensielle utfordringer

Som Rachel Metz ved MIT Technology Review påpeker er det fortsatt en del utfordringer knyttet til den nye teknologien. Brukeren er blant annet avhengig av å sitte en bestemt lengde fra skjermen for at den skal fungere optimalt.

Alternativet er som nevnt programvare som følger hodebevegelsene og på egen hånd justerer bildet etter disse bevegelsene.

Barsky mener imidlertid at dette ikke blir et så stort problem. Han sier vi allerede med dagens skjermer flytter oss i forhold til skjermens posisjon for å oppnå best leseopplevelse. Han mener derfor at det blir lett å overføre denne vanen til deres fremtidige skjermteknologi.

Men hva med oss som ikke har samme styrke på begge øynene? Forskerne har ikke utdypet denne problematikken i rapporten sin, så her får vi nok bare vente og se.

Det vil trolig ta flere år før teknologien vil være å finne i kommersielle produkter.

River vekk tilliten til USB

Det er ikke første gang det avdekkes potensielle farer med USB-tilkoblingen, som så godt som alle forholder seg. Det har tross alt lenge vært mulig å spre skadevare via USB-minnepinner.

Denne gangen er det imidlertid verre. Ifølge sikkerhetsekspertene Karsten Nohl og Jakob Lell kan datamaskiner kapres via USB-enheter, gjennom sårbarhet i selve fastvaren (firmware) i enhetene. Dermed kan ondsinnet programvare forbli skjult og i realiteten være umulig å fjerne for de aller fleste.

Utviklet skadevare
Nohl og Lell har selv utviklet et skadelig program som kalles «BadUSB» for å demonstrere problemet. BadUSB legger seg direkte inn i USB-enhetens fastvare, og blir derfor ikke påvirket av eventuell sletting av innholdet på for eksempel en minnepinne. Skadevaren forblir uoppdaget selv hvis brukeren formaterer enheten.

BadUSB kan deretter ta fullstendig over pc-en, endre filer eller påvirke internett-trafikken ved å endre DNS-oppføringen.

Sikkerhetsekspertene hevder at det ikke finnes noen sikker metode å motvirke hullet på, bortsett fra å forby deling av USB-enheter mellom pc-er, eller å fysisk sperre USB-portene på datamaskinen.

Selv om USB-baserte minnepinner kan virke som den mest åpenbare metoden for å utnytte sårbarheten, gjelder dette også andre typer utstyr. Tastaturer, mus eller kameraer kan bli omprogrammert til å bære med seg BadUSB, og Nohl og Lell skal ha fått angrepsmetoden til å fungere via en Android-basert mobiltelefon.

Kan smitte i det uendelige
Det blir verre: Ifølge forskerne kan de farlige programmene flytte på seg frem og tilbake mellom pc-er og USB-enheter. En smittet maskin kan overføre skadevare til et «rent» USB-produkt, som deretter kan infisere nye maskiner.

Blant eksemplene på faremomenter som sikkerhetsekspertene har vist frem er erstatning av trygge programmer med en usikker versjon som inneholder en bakdør, eller etterligning av et tastatur for å skrive inn kommandoer på systemet. Koden kan også legges inn på smarttelefoner for å spionere på datatrafikk eller samtaler.

Siden USB-firmwaren ikke viser tegn på manipulering, skal det være tilnærmet umulig å oppdage at skadelig programvare er blitt lagt inn.

Professor Matt Blaze fra universitetet i Pennsylvania sier til Wired at det er grunnlag for å frykte at etterretningsorganet NSA (National Security Agency) allerede har brukt denne type løsninger. Lekkasjene til Edward Snowden har beskrevet et spionprodukt kalt Cottonmouth, som kan ha vært en måte å kompromittere datamaskiner på gjennom samme type bakdører som Nohl og Lell beskriver.

Maner til forsiktighet
Sikkerhetsforskerne skal ha vært i kontakt med én taiwanesisk produsent av USB-enheter, som skal ha nektet for at denne type sikkerhetshull var mulig. Det ser ikke ut til at en konkret løsning på problemet foreligger med det første, og i mellomtiden sier Nohl og Lell at den beste sikkerheten er å endre hele vår tilnærming til USB-ustyr.

Det viktigste er å ikke plugge dine USB-enheter inn i ukjente datamaskiner, og ikke plugge ukjente USB-enheter inn i din datamaskin. Man bør behandle USB som (smittebærende) sprøyter, sier Karsten Nohl, selv om det strider mot de grunnleggende prinsippene til USB-porten.

Forskerne skal redegjøre nærmere for BadUSB under Black Hat-konferansen i Las Vegas denne uken.

Nei til utenlandsk antivirus

Regjeringen i Beijing har fjernet amerikanske Symantec og russiske Kaspersky Lab fra listen over godkjente antivirus-leverandører.

Begge er ekskludert fra å levere produkter til kinesiske myndigheter. Det kunngjorde den offisielle og statskontrollerte avisen People’s Daily søndag, melder Reuters.

– Vi undersøker saken og er i dialog med kinesiske myndigheter. Det er for tidlig å gå nærmere inn i detaljene nå, sier Kaspersky-talsmann Alejandro Arrango.

Kinas statlige innkjøpsorgan varslet samtidig at fem leverandører er tillatt brukt i offentlige anskaffelser. Samtlige av disse er kinesiske leverandører: Qihoo 360 Technology, Venustech, CAJinchen, Beijing Jiangmin og Rising.

Dermed kan det se ut til at kampanjen mot utenlandsk teknologi, som tidligere har rammet blant annet Microsoft og IBM, nå er utvidet til å gjelde også IT-sikkerhetsprodukter.

Kina har det siste året strammet kraftig inn på bruken av utenlandsk produsert teknologi. Det som minner om proteksjonisme har vært forklart med en dyp mistro til produktenes sikkerhet. Det skjer i kjølvannet av NSA-skandalene avslørt av Edward Snowden, samt påstandene om hacking og spionasje som hagler mellom USA og Kina.

Microsoft, Apple og Google er blant selskapene som i statlig kontrollerte kinesiske medier har blitt kritisert for å samarbeide med USAs angivelige spionasje mot landet. Kina skal også ha bedt landets banker fjerne IBM-servere og erstatte dem med lokalt produserte alternativer.

Nylig ble Microsoft også utsatt for politirazzia ved selskapets kontorer i fire kinesiske byer i en sak som angivelig gjelder mistanke om misbruk av markedsmakt.

Ifølge Reuters skal Symantec allerede i forrige måned ha ført samtaler med kinesiske myndigheter etter meldinger om at Kina skal ha nedlagt forbud mot selskapets snokvern-produkt (data loss prevention).

– Symantec legger ikke inn skjult funksjonalitet eller bakdører i noen av sine teknologier – verken for NSA eller noen andre etater, sier selskapet i en uttalelse, ifølge Bloomberg.

Microsoft i søkmål mot Samsung

Microsoft gikk fredag til rettslige skritt for å beskytte milliardinntektene de får i royalites fra tilbydere av Android-enheter.

Det skjer gjennom et søksmål levert i New York mot Samsung, med påstand om brudd på en avtale om krysslisensiering av patenter.

Nevnte avtale fikk stor oppmerksomhet da den ble kjent høsten 2011, ettersom Samsung ble en av de første som gikk med på å betale Microsoft for retten til å bruke Googles operativsystem Android i sine mobiltelefoner.

Minst 20 større teknologiselskaper har inngått lignende avtaler. Alle betaler Microsoft en ikke kjent sum for hver Android-enhet de selger. Det skyldes at Microsoft skal ha flere hundre patenter som berører Android-baserte enheter.

Så, hva har skjedd som får Microsoft til å trekke sin lisenspartner Samsung for retten?

Det virker opplagt at partene er blitt uenige i tolkningen av avtalen, og dette skal ha skjedd i kjølvannet av Nokia-oppkjøpet.


Samsung har betalt Microsoft for retten til å bruke Googles operativsystem Android, her representert ved den grønne maskotten.

– Vi tar ikke lett på å måtte gå til rettslige skritt, og særlig mot et selskap som vi har hatt et langt og fruktbart samarbeid med. Men dessverre, så oppstår det uenighet selv blant partnere, skriver Microsofts juridiske visedirektør David Howard i et blogginnlegg om søksmålet.

Mobilmarkedet har firedoblet seg siden avtalen med Samsung ble undertegnet i 2011, og Samsung er blitt verdens største leverandør av mobiltelefoner. Fra å ha levert 82 millioner smarttelefoner det året, har leveransene økt til 314 millioner Android-baserte smarttelefoner bare tre år senere, skriver han og viser til tall fra analyseselskapet IDC.

Ifølge Howard skal Samsung ha bestemt seg for å ikke lenger overholde avtalen høsten 2013, etter det ble kjent at Microsoft kjøper opp Nokias mobildivisjon.

– Samsung begynte å bruke oppkjøpet som en unnskyldig for å bryte kontrakten, skriver Microsoft-direktøren.

Den sørkoreanske teknologiganten har foreløpig ikke rukket å foreta seg stort i saken, foruten å utgi en svært kort uttalelse som gjengis av en rekke amerikanske medier.

Samsung sier de vil «gjennomgå klagen i detalj og deretter avgjøre hvilke tiltak som er nødvendige» for å svare.

David Howard avslutter sitt blogginnlegg ved å fastslå at Microsoft føler seg sikre på å vinne frem med kravene.

App lar blinde finne frem

San Francisco flyplass (SFO) er i ferd med å ta i bruk teknologi som vil gjøre genuin forskjell – nemlig å gjøre det langt enklere å navigere seg rundt terminalen for synshemmede.

Flere hundre små enheter blir installert rundt terminal 2 av flyplassen, og disse skal kommunisere med en smarttelefon-applikasjon. Når brukeren beveger seg rundt i terminalen vil disse «radiofyrene» aktiveres, og smarttelefonen vil kunne gi informasjon om interessepunkter med en stemme, eller vise relevante punkter på et kart. På denne måten vil synshemmede kunne enklere finne frem til alt fra strømuttak til kafeer, og ikke minst nå gaten i tide.

Per i dag skal systemet bare fungere med iPhone, men støtte for Android skal også være på vei. På sikt vil funksjonaliteten utvides til å kunne gi relevant informasjon også til andre brukere, som ikke er synshemmet.

Merkene leveres av firmaet indoo.rs, og er fysisk sett på størrelse med en bruskork, koster 20 dollar å produsere, og skal kunne leve i fire år på ett batteri. De installeres slik at de blir knapt synlige, og kommuniserer med smarttelefonene over bluetooth.

Et konkurrerende selskap til indoo.rs, Estimote, har allerede eksperimentert med lignende løsninger på Heathrow-flyplassen i London, der radiomerker som støtter Apples kommunikasjonsprotokoll iBeacon ble installert på områder som tilhører Virgin Atlantic, og disse kan gi informasjon til selskapets kunder når de befinner seg i nærheten. Dette systemet ble imidlertid ikke spesifikt designet for synshemmede brukere.

Radiofyr-teknologier er et voksende fenomen, og stadig flere tar dem i bruk for å gi kunder og brukere informasjon om sine tjenester, skriver The Verge. Når det gjelder prosjektet på San Francisco-flyplassen, er det fortsatt under testing, og skal bli fullt tilgjengelig i løpet av høsten.

Mann (41) tatt for barneporno

En 41 år gammel mann bosatt i Houston, Texas er arrestert og siktet for besittelse av barnepornografi.

Det skjedde etter at Google tipset organisasjonen «National Center for Missing & Exploited Children» (NCMEC) om funn av barnepornografiske bilder som den siktede skal ha sendt gjennom sin Gmail-konto til en venn.

Politiet ble deretter varslet av NCMEC. Politibetjent David Nettles bekrefter dette overfor den lokale tv-stasjonen KHOU Channel 11 News.

– Han forsøkte å unngå å bli tatt gjennom å skjule bildene i e-post. Vi har ikke adgang til å se denne informasjonen, men det har Google, sier Nettles.

Tipset ledet til ransakelsesordre, og ved 41-åringens bopæl skal det ha blitt funnet barnepornografisk materiale på mannens mobiltelefon og nettbrett. Det ble også funnet inkriminerende innhold i tekstmeldinger og e-post.

Den arresterte mannen er registrert seksualforbryter, og ble dømt for overgrep mot en 8 år gammel gutt i 1994, ifølge den amerikanske nyhetskanalen.

– De fleste vil helt sikkert applaudere bruken av teknologi for å skanne e-post i et slikt tilfelle, skriver Business Insider.

Samtidig raser debatten om hvor mye personvern brukere kan forvente å ha når de benytter Googles e-posttjeneste. Svaret er: Ingen, bemerker avisen.

Google har vært åpen om at de analyserer innholdet i e-posten til brukerne sine for å levere skreddersydd reklame. Etter et søksmål valgte nettgiganten i våres å oppdatere sine brukervilkår for å tydeliggjøre denne praksisen.

Amerikanske nettleverandører er lovforpliktet å rapportere barneporno til politiet hvis de avdekker det. De er imidertid ikke forpliktet å lete etter slikt materiale, skriver Business Insider.

I sin omtale av tipset som ledet til arrestasjonen av 41-åringen har avisen valgt å vinkle saken med et spørsmål i tittelen: «Gikk Google for langt?»