FinFisher eller FinSpy er navn på en bred portefølje med trojaner, spionvare og overvåkningsplattform, utviklet av det tysk-britiske selskapet Gamma Group og solgt til politimyndigheter, etterretning og myndigheter.

Selskapet er omgitt med et tykt slør av taushet. På egne nettsider oppis det at de utelukkende handler med autoriserte myndigheter og etater. Men Gamma Group har fått kritikk for at produktene også er brukt til overvåkning av av politiske motstandere og sivilbefolkning i diktaturer og regimer.

Bak produktene står noen av verdens mest dyktige spesialister, hvis vi skal tro selvskrytet på lysbilder som tidligere er lekket, gjengitt av sikkerhetseksperten Mikko Hyppönen i F-Secure i fjor. De viser at Gamma også utvikler maskinvare, forgiftede USB-enheter, for å bryte seg inn i utstyr.

En stor lekkasje av hvilke egenskaper FinFisher-pakken med statlig skadevare har, er nå dukket opp, ifølge det britiske teknologinettstedet The Register.

Dokumenter datert så sent som april 2014 viser hvordan FinSpy i visstnok svært liten grad lar seg oppdage i test med 35 kjente antivirusprodukter i markedet.

Lekkasjen kommer i form av en serie satiriske innlegg fra den falske Twitter-kontoen GammaGroupPR de siste dagene.

– Her i Gamma International har vi nå gått tom for flere myndigheter å selge til, så nå åpner vi salget til alle! heter det i meldingen som åpnet ballet.

Here at Gamma International, we’ve run out of governments to sell to, so we’re opening up sales to the general public!

— Phineas Fisher (@GammaGroupPR) August 3, 2014

Skjermbilder av spionvaren, samt prislister, produktbrosjyrer og brukermanual er blant de mange dokumentene som tilsynelatende er lekket og lastet opp på Dropbox.

Selv om dokumentene ser autentiske ut, er det ikke bekreftet at de er ekte.

I prislisten oppgis det at FinSpy har en listepris på 1,45 millioner euro, eller drøyt 12 milioner kroner. Det tilbys også en lang rekke tilleggspakker, kurs og support.

Som tatt ut av en spionfilm
Fra tidligere har New York Times beskrevet egenskapene til FinFisher. Avisen betegnet i 2012 programvaren som noe som kunne være tatt ut av en spionfilm.

Spionvaren skal være svært sofistikert og spesielt utformet for å unngå oppdagelse. Den støtter alle større mobile operativsystemer og pc-operativsystemer, inkludert Windows, Mac og Linux-distribusjoner.

KOMMENTAR: Informasjon som vi lagrer i skyen kan bli gjenstand for lovlig innsamling. Så er spørsmålet hva som er lovlig innsamling og i forhold til hvilke lover?

Når andre land endrer sine lover er det ikke sikkert at vi i Norge lenger har det samme syn på hva som er lovlig innsamling av informasjon, ei heller at det vil det tjene våre nasjonale interesser.

Jeg vil presisere at jeg skriver dette ut i fra et sikkerhetsfaglig ståsted, hvor fokus er å beskytte informasjon på en slik måte at utenforstående ikke får tilgang til den, uavhengig av politikk, økonomi eller andre faktorer. Informasjon som skal beskyttes … bør beskyttes!

Torsdag 31. juli ble ingen god dag, i hvert fall ikke sett med nord-amerikanske teknologiselskapers øyne. Det som skjedde på torsdag kan etter min mening indirekte skade tilliten til et større antall selskaper som de fleste av oss har et forhold til. I hvert fall om torsdagens dom i en amerikansk føderal domstol blir stående, og vi forstår konsekvensene og det prinsipielle ved dommen.

LES OGSÅ: Slik får USA data utlevert fra fremmede land

Slik jeg tolker det er dommen fortsatt ikke er rettskraftig, men den har nå vært behandlet i to rettsinstanser, og de som bryr seg om personvern og sikkerhet bør følge nøye med på hvor dette ender opp. Jeg er ganske sikker på at amerikanske teknologiselskaper skjelver litt i buksene og det med god grunn.

I det amerikanske rettssystemet har det pågått en sak som har sin bakgrunn i at amerikanske myndigheter utstedte en rettslig ordre hvor Microsoft ble beordret til å utlevere informasjon knyttet til en e-post konto. Denne ordren nektet Microsoft å etterkommer da den etterspurte informasjonen var lagret hos et Microsoft -eid og -kontrollert utenlandsk (sett med amerikanske øyne) datterselskap i Dublin, Irland. Med andre ord, informasjonen er lagret utenfor amerikansk territorium og ikke i USA.

Det handler ikke lenger om hvor informasjonen er lagret, men hvem som lagrer den for deg

La meg stoppe opp litt her og presisere enkelte momenter før jeg går nærmere inn på konsekvensene av dommen. La det være helt klart at det finnes en rekke avtaler mellom land som gjør det mulig å begjære straffeprosessuelle og andre rettslige skritt foretatt i et annet land. Men dette skjer da i en gjensidig dialog mellom landene og i avtalene tas det høyde for de ulike juridiske forskjellene som eksisterer fra land til land. «Mutual Legal Assistance Treaties» (MLAT) er betegnelsen som blir benyttet i den amerikanske dommen som jeg straks kommer tilbake til. Skulle normale prosedyrer følges, ville amerikanske myndigheter anmodet irske myndigheter om å utstede en utleveringsordre/ransakingsordre som ville ha fulgt krav og vilkår i henhold til irske lover.

Jeg er ingen motstander av lov og rett, straffeprosess, eller internasjonale avtaler. Jeg har før min tid i NSM, selv anmodet om både pågripelser, ransaking og utlevering av informasjon og jeg har effektuert andres rettslige anmodninger om det samme. Jeg vet av egen erfaring hvor viktig det kan være å fremskaffe bevis eller informasjon som driver en etterforskning videre. Men konsekvensene etter fredagens dom er at den ser bort ifra allerede eksisterende avtaler og den utfordrer i praksis andre staters juridiske suverenitet i det digitale rom, om den ikke var utfordret nok allerede.

Fra amerikansk side argumenteres det med at det er en byrde å arbeide med andre lands myndigheter fordi det går for sakte og det tar opp mye ressurser. De tar seg retten til å gå utenom de allerede eksisterende prosesser. Dommen som falt på fredag snur om på tidligere prinsipper og praksis når det gjelder juridisk tilgang til digital informasjon. Dommen tar i realiteten ikke hensyn til HVOR informasjonen fysisk befinner seg, men HVILKEN nasjonalitet selskapet har som tilbyr tjenesten/lagrer informasjonen. Om selskapet er amerikansk, så mener man etter dommen, at amerikanske myndigheter kan forlange å få utlevert informasjon uavhengig av hvor informasjonen befinner seg i verden.

Microsoft har i to rettsinstanser blitt pålagt å utlevere informasjonen direkte til amerikanske myndigheter uavhengig av hva slags lover Microsoft er underlagt innenfor EU og i Irland. Microsoft har anket avgjørelsen og andre amerikanske selskaper sitter nok på gjerdet og venter i spenning. Det bør vi også gjøre her i Norge.

Et universelt problem med sikkerhet i skyen
Men denne saken handler egentlig ikke spesifikt om den amerikanske dommen på fredag. Saken er bare en god beskrivelse av hvilke utfordringer vi står ovenfor når vi virkelig skal begynne å diskutere det offentliges bruk av skytjenester. Hva slags løsninger skal staten velge når staten virkelig kommer til å flytte offentlig informasjon, helseinformasjon, personverninformasjon og annet ut i skyen? Hvor sikre kommer de løsningene til å bli? Det er ikke første gang jeg tar opp det temaet, men den amerikanske dommen endrer situasjonen for mange globale skytjenesteleverandører som allerede er leverandører av slike tjenester i Norge. Det gjør at det er relevant å ta problemstillingen opp på nytt.

De fleste av oss bruker skytjenester bevisst og ubevisst, og det er viktig å forstå at informasjonen som vi legger igjen i det digitale rom, kan bli gjenstand for lovlig innsamling. Men så er det sentrale spørsmål hva som er lovlig innsamling og i forhold til hvilke lover? Hva når et annet lands lover gir anledning til industrispionasje eller innhenting av andre årsaker enn rent strafferettslige. Det er ikke sikkert at Norge har det samme syn på hva som er lovlig innsamling av informasjon, ei heller at det vil tjene våre nasjonale interesser.

Jeg påstod i et tidligere blogginnlegg at sikkerhet i skyen ikke bare handler om at noen kan hacke seg inn for å hente ut informasjon, men også at andre med loven i hånd kan få utlevert din, kommunens, bedriftens og statens informasjon. Ikke fordi informasjonen befant seg i “skyen”, men på en server plassert på en annen stats territorium. Jeg påstod at dette var noe som vi burde ha et bevisst forhold til. Situasjonen kan gjennom dommen endre seg ytterligere og spørsmålet er hva som er mottiltakene?

Vi kan se på denne forenklede fremstillingen:

Informasjon i skyen FØR dommen

• Norsk informasjon lagret i skyen + Skyen/lagringen befinner/skjer seg i et annet land = underlagt annet lands lovverk.

Tiltak for å beskytte informasjon på en bedre måte er å sørge for at informasjonen fysisk befinner seg innenfor nasjonal jurisdiksjon. Da blir formelen som følger:

• Norsk informasjon lagret i skyen + Skyen/lagringen skjer/befinner seg i Norge = underlagt norsk lov.

Informasjon i skyen ETTER dommen

• Norsk informasjon lagret i skyen + Skytjenestene leveres av et amerikansk selskap + lagringen skjer i et tredje land = Underlagt annet lands lovverk + amerikansk lovverk på grunn av tjenesteleverandør.

Eller

• Norsk informasjon lagret i skyen + Skyen/lagringen skjer i Norge + men skytjenestene leveres av et amerikansk selskap = Underlagt norsk lov + amerikansk lovverk på grunn av amerikansk tjenesteleverandør.

Mottiltakene for å beskytte sin informasjon bedre er å fjerne en verdi fra formelen og legge til en annen verdi. Da blir regnestykket som følger:

• Norsk informasjon lagret i skyen + Skyen/lagringen skjer/befinner seg i Norge + Norskeid skytjenesteleverandør = Underlagt norsk lov.

Bruk av skytjenester krever kontroll, kontroll og atter kontroll
Skyen åpner mange nye forretningsmuligheter. Små og store leverandører satser stort på å utvikle og posisjonere seg i det som allerede er blitt et stort globalt marked. Stadig nye løsninger tilbys i det kommersielle markedet til virksomheter og forbruker. Men i ly av dagens situasjon bør norske selskaper virkelig se mulighetene og gripe sjansen.

Bruken av skytjenester har mye positivt over seg og det kan være mye å hente når det gjelder effektivisering og ressursbruk. Vi kan sågar få bedre sikkerhet ved å bruke skyen fordi tjenester profesjonaliseres, men da bør vi unngå å skaffe oss unødvendige problemer ved å plassere våre verdier på steder eller hos leverandører som utfordrer hvem som skal ha tilgang til den informasjonen.

For meg handler skytjenestene om en ting. KONTROLL! – Kontroll over hvem som er leverandør, kontroll med hvem som har tilgang til data, kontroll med hvor informasjonen blir lagret, kontroll med hvordan informasjonen transporteres og sist og ikke minst, nasjonal kontroll over nasjonal informasjon. Det betyr ikke at det ikke finnes sikkerhetsutfordringer utover dette, men en god regel innen sikkerhetsarbeidet er å redusere risiko så mye som overhode mulig.

Jeg våger å påstå at et av de viktigste og sentrale spørsmål er om vi skal ha informasjonen vår i en nasjonal sky eller om vår nasjonale informasjon skal kunne transporteres og lagres utenfor landets grenser og av hvem? Uten nasjonal kontroll og -lagring er ikke skytjenester bare et spørsmål om teknologi og forretningsjus, men andre lands nasjonale lovgivning blir plutselig trusselfaktorer som påvirker vår mulighet til å beskytte informasjonen.

Proteksjonisme er kanskje ikke sett på som et positiv ord i mange kretser, men når det kommer til det offentliges beskyttelse av nasjonal informasjon og verdier er det kanskje et veldig positivt ord.

Det skyer til i vest, så det er bare å sette i gang her i nord.

Innlegget til fagdirektør Roar Thon er gjengitt med tillatelse og er tidligere publisert på Sikkerhetsbloggen til NSM.

Det sier seg selv at raskere datateknologier stort sett er en fordel, og SSD-disker har de siste årene introdusert raskere dataoverføring for stadig flere brukere.

Utviklingen stopper imidlertid ikke, og datterselskapet til Western Digital, HGST, viser nå frem fremtidens superhastigheter, ifølge PC World.

Det er foreløpig bare snakk om en demonstrasjon, ikke et kommersielt produkt, og det går nok en stund før vi ser slike hastigheter i den virkelige verden. Men prototyper er gjerne tegn på faktiske teknologier som blir tilgjengelig for alle på sikt.

– Verdens raskeste
HGST hevder at deres løsning er verdens raskeste SSD, og dette oppnås ved et nytt grensesnitt med eksepsjonelt lav forsinkelse.

Selskapet bruker vanlig PCIe-tilkobling for å vise frem teknologien, og det nye grensesnittet bruker Linux-drivere på serversiden.

Kort fortalt bruker den nye løsningen noe som kalles PCM-minne, som er langt raskere enn NAND-flashminne. NAND bruker rundt 70 mikrosekunder på å respondere på data, mens PCM kan gjøre det på ett mikrosekund.

PCM står for phase change memory, og er såkalt ikke-flyktig minne. Teknologien er fortsatt under utvikling. Potensialet er stort, der PCM gjør data tilgjengelig for systemet mye raskere enn tradisjonell NAND.

Det kan imidlertid fortsatt ta to til tre år med utvikling før PCM-løsninger begynner å bli rimelige nok. Det finnes også flere konkurrerende teknologier som RRAM og MRAM, som alle lover bedre ytelse enn flashminne.

Kombinasjonen av PCM og grensesnittet til HGST resulterer i imponerende hastigheter, men HGST sier at de ikke velger å støtte én bestemt teknologi. Grunnen til at selskapet gikk for PCM var fordi denne teknologien var mest tilgjengelig der og da, sier Ulrich Hansen i HGST. De prøver ikke å spekulere hvilken av de kommende minneteknologiene vil nå produksjon først.

Også grensesnittet mellom minnet og serveren er foreløpig ikke ment til å erstatte NVMe-standarden, som i overskuelig fremtid kommer til å være standarden for rask datakommunikasjon for SSD-disker. Hansen forteller at de ikke ønsker å konkurrere med eksisterende, åpne standarder, som også kan videreutvikles på sikt.

Det er likevel tydelig at mye raskere lagring er på vei i årene fremover.

I forbindelse med den store sikkerhetskonferansen Black Hat i Las Vegas kommer det for tiden frem en god del informasjon om potensielle usikkerhetsmomenter i teknologi vi tar for gitt.

Nå advarer sikkerhetseksperten Ruben Santamarta mot noe så alvorlig som potensiell hacking av passasjerfly via dårlig sikrede Wi-Fi-nettverk og andre kanaler.

Santamarta har tidligere advart at utstyr for satellitt-kommunikasjon som brukes i luftfart, av militære, skip, medier eller nødetater, kan være sårbart. I april i år publiserte han en lang avhandling (pdf) om dette.

For dårlig sikkerhet
Nå kommer han med mer konkrete eksempler, og sier (via Reuters) at utstyr for satellitt-kommunikasjon gjerne er helt åpent og usikret. Santamarta skal vise frem disse funnene under et foredrag på torsdag, som ventes å bli blant Black Hats mest populære.

Ifølge eksperten oppdaget han svakhetene ved å dekode fastvaren til kommunikasjonsutstyr fra en rekke produsenter som Harris, Hughes, Cobham, Thuraya, JRC og Iridium. Programvaren er stort sett fritt tilgjengelig for alle uten større restriksjoner.

Teorien til Santamarta er at en hacker kan bruke Wi-Fi-nettverket – eller underholdningssystemet – i et fly, for å få tilgang til kommunikasjonsutstyret ombord. På denne måten frykten han at det mulig å forstyrre navigasjons- og sikkerhetsutstyr på flyet.

Vanskelig i praksis
Det er imidlertid bare en teori – Santamarta sier at han har testet prosessen i innendørslaboratorier hos sikkerhetsselskapet IOActive, der han selv jobber. Han innrømmer at det ville vært vanskelig å gjennomføre slike angrep i den virkelige verden.

Han vil likevel advare produsenter av kommunikasjonsutstyr om at muligheten for sikkerhetshull er tilstede, og oppfordre dem til å ta sikkerhet på alvor.

Produsentene av utstyret har varierende svar på påstandene: Selskapet Cobham, som produserer kommunikasjonsutstyret som Santamarta brukte til testing, sier at hackere må ha fysisk tilgang til enhetene for å påvirke dem, og at de ikke kan nås via Wi-Fi-signaler. Den fysiske tilgangen skal naturligvis være underlagt streng kontroll i de relevante miljøene.

Selskaper som Iridium og Harris forteller at de regner faren for denne type innbrudd for å være ekstremt liten, men de vil likevel ta sine forholdsregler.

Santamarta sier på sin side at han vil ha dialog med produsentene av utstyret, og svare på ytterligere spørsmål under sin presentasjon.

Satsingen på hybridmaskinene kjent under produktnavnet Surface fortsetter å påføre Microsoft store tap.

Det siste året har enhetene belastet regnskapet med flere hundre millioner dollar i underskudd. Det viser beregninger utført av amerikanske Computerworld, basert på Microsofts årlige Form 10-K-rapport til USAs finanstilsyn SEC (Securities and Exchange Commission) som kom fredag.

Totalt skal Microsoft nå ha tapt 1,7 milliarder dollar, drøyt 10,6 milliarder norske kroner siden Surface-brettene så dagens lys første gang i oktober 2012.

Microsoft har tapt store penger på Surface-satsingen i hvert eneste påfølgende kvartal og regnskapsår.

I årsregnskapet vi omtalte for to uker siden oppga Microsoft at Surface-serien omsatte for 409 millioner dollar siste kvartal, hovedsaklig takket være andregenerasjons enhter og nye Surface Pro 3 (som først lanseres i Norge sent denne måneden).

Men i motsetning til de foregående kvartalsregnskapene ble ikke kostnadene forbundet med maskinvaren oppgitt, det får vi først nå. Med 409 millioner dollar i oppgitt omsetning og estimerte kostnader på 772 millioner dollar har serien påført Microsoft et tap på 363 millioner dollar i månedene april, mai og juni, ifølge Computerworld.

Det er ikke mulig å bryte tallene nærmere ned, men deler av kostnadene skylder en ikke nærmere detaljert avskrivning selskapet tok i kvartalet, for design og produksjon av et ukjent antall enheter av mini-Surface med mindre skjerm. Denne var ventet, men produktet ble kansellert i siste liten.

Konkurransen – slik Microsoft ser det
Som ledd i den årlige rapporteringen til finansmyndighetene gjør selskapet i K-10-rapporten også rede for konkurransesituasjonen.

I denne delen av dokumentet oppgir Microsoft at «Surface-enhetene har konkurranse fra pc-er, nettbrett og andre maskinvareprodusenter, som inkluderer mange av dagens nåværende eller potensielle partnere».

Segmentet omtaler også Nokias gamle mobildivisjon som formelt ble innlemmet forrige kvartal og gjør Microsoft for første gang til en mobilprodusent. Innen mobiltelefoner oppgir Microsoft at konkurransen «først og fremst kommer fra Samsung og Apple, samt mange andre mobilprodusenter».

– Vi tror at våre telefoner vil konkurrere gjennom å være skreddersydd til praktisk talt en hvilken som helst demografi og geografi verden over, gjennom å tilby et unikt industridesign og bildeteknologier (mulig de mener foto-egenskaper her, oversatt fra imaging technologies, red.anm.) innen både høye og lave prisnivåer, og gjennom å innlemme Microsofts «digital work and digital life experiences».

Dette krever kanskje en forklaring. Microsoft har i motsetning til gamle Nokia bestemt seg for å satse på ett eneste operativsystem på alle telefoner, nemlig Windows Phone. Det gjelder både de mest avanserte og dyreste smartmobilene og de enkleste håndsettene.

I siste kvartal utgjorde imidlertidig Nokias salg av såkalte featuretelefoner, enklere og langt rimeligere modeller hele 84 prosent av salget. Bare 16 prosent var Lumia-enheter med Windows Phone, som er det eneste operativsystemet Microsoft vil videre. Her har selskapet mildt sagt en utfordring, men mener altså at inkludering av Microsofts programvare (herunder Office-produkter) kan gjøre det mulig.