Dagens utgave av Internet Explorer kan være den siste, i alle fall i den form nettleseren leveres i i dag. Dette til tross for at nettleser-teamet til Microsoft har kommet med jevnlige oppdateringer om hva som skal komme under skallet i selskapets neste nettleser.

Det er tilsynelatende flere kilder som omtrent samtidig har begynt å prate anonymt om Microsofts nye nettleserplaner. Både Neowin og ZDNet siterer ikke navngitte personer som skal ha kjennskap til i alle fall deler av planene.

Det er likevel en twittermelding fra Thomas Nigro, som er «Student Partner Lead» i Microsoft, som har satt fart på ryktene. Han skriver at Microsoft er i ferd med å lansere en ny nettleser som ikke er Internet Explorer, og som vil være standard nettleser i Windows 10.

Ok so Microsoft is about to launch a new browser that’s not Internet Explorer and will be the default browser in Windows 10. Wow.

— Thomas Nigro (@ThomasNigro) December 18, 2014

Ifølge ZDNets Mary Jo Foley og hennes kilder kan man trolig sette likhetstegn mellom denne nye nettleseren og produktet som til nå har blitt omtalt ved kodenavnet Spartan.

«Fork»
Spartan skal etter alt å dømme bli en langt lettere nettleser, fortsatt basert på JavaScript-motoren Chakra og renderingmotoren Trident, men uten en hel masse arv fra gamledager. I hvilken grad dette er forenlig med offisielle meldinger om nettopp kompatibiliteten med utdaterte nettsteder i kommende Microsoft-nettlesere, kan man nok diskutere. Men helt uforenlig er det ikke.

Ifølge Foleys kilder vil Windows 10 ikke bare leveres med Spartan, men også med dagens Internet Explorer 11. Sistnevnte tilbys for å sikre bakoverkompatibilitet. Ifølge Neowins kilder har Microsoft rett og slett delt Trident i to separate kodebaser, noe som skal resultere i en ny .DLL-fil når nettleseren leveres.

Dersom man med Spartan støter på en webside som ber nettleseren om at den skal gjengis i en kompatibilitetsmodus, vil den mer ressurskrevende utgaven av Trident brukes til å vise siden, forklarer kildene til Neowin.

Kun Windows?
Spartan skal ifølge kildene tilbys både til pc og mobile enheter. Det spekuleres nå på om Spartan også kan bli tilbudt til andre plattformer. IE-teamet til Microsoft har nylig avvist at det finnes planer om å tilby IE til noe annet enn Windows. Men Spartan er ikke IE.

Les også: Vurderte å døpe om IE

På hvilket tidspunkt Microsoft kommer til å fortelle noe mer konkret om nettleserplanene i Windows 10, er ukjent. Men det anses ikke som usannsynlig at selskapet vil lette litt på sløret den 21. januar, når selskapet skal avduke ytterligere nyheter i det kommende operativsystemet.

Om Spartan også vil komme til eldre Windows-versjoner, er ukjent. Men det er vanskelig å se for seg at Microsoft ikke vil tilby en oppdatert nettleser til selskapets mest brukte operativsystem, Windows 7, også årene som kommer.

Neowin drøfter i denne litt nyere saken muligheten for at Microsoft gjør Trident til åpen kildekode, samt hvorfor det ville være uheldig å bytte ut Trident med WebKit, i alle fall nå som Operas Presto-motor i praksis er nedlagt.

I sommer skrev digi.no og mange andre om den store mengden av svindelapplikasjoner i Windows Store, appbutikken til Windows 8.x. I stor grad var det applikasjonsutgivere som misbrukte mer eller mindre kjente varemerker for å tilby egne apper som i beste fall var rene kopiprodukter, i verste fall skadevare.

Da dette ble avdekket kom Microsoft raskt på banen og fikk fjernet i alle fall de verste tilfellene.

Nå kan det synes som at Microsoft på nytt har sovet litt i timen. En leser tipser oss om at en utgiver har lagt 10-15 varer i butikken, varer som tilsynelatende er ganske kjente spill til Windows. For dette disse tar utgiveren mellom 29 og 65 kroner. Spillene koster vanligvis flere hundre kroner stykket dersom man kjøper dem gjennom vanlige kanaler.

Den eneste informasjonen som er oppgitt om utgiveren, som har et navn som er nesten identisk med det til et kjent filmselskap, er en Hotmail-adresse.

Dersom man i utgangspunktet tror at man helt trygt kan kjøpe apper og spill i Windows Store, vil man kunne komme til å kjøpe ett eller flere av de aktuelle spillene. Dessverre er det gjerne slik at det som ser ut til å være for godt til å være sant, stort sett er nettopp dette.

Når man kjører «spillet», som er en Modern UI-basert app, blir man vist en illustrasjon fra spillet, sammen med en nedlastingslenke. Lenken har en URL som peker til en IP-adresse, men URL-en inneholder også et tekstbit som avslører at den er tilknyttet et nettsted som tilbyr det som framstår som piratkopierte spill helt gratis.

Brukeren har i praksis betalt utgiveren og Microsoft noen tiere for å laste ned et piratkopiert spill, med eventuell fjerning av kopisperrer («crack») og det hele. Markedsføringen i Windows Store er dermed villedende og basert på misbruk av andres varemerker, selv om noen av dem som kjøper nedlastingslenken i Windows Store sikkert ikke tar det så tungt at de har fått en piratkopi – i alle fall dersom spillet fungerer og er uten skadevare.

For Microsofts del ser det ikke så bra ut. Selskapets butikk har blitt en markedsplass for piratvare. For det er på ingen måte gitt at dette dreier seg om et engangstilfelle eller ikke vil skje igjen.

Nettstedet som tilbyr spillene gratis, tilbyr store mengder spill. Det er uklart hvor kjent nettstedet er. Det har egne sider både på Facebook, Google+ og Twitter, men følges ikke av mer enn til sammen cirka 10 000 brukere. Nettstedet skal ha blitt opprettet i 2013. Det har interessant nok en egen DMCA-side (Digital Millennium Copyright Act) hvor det opplyses at lenker til opphavsrettsbeskyttet materiale vil bli slettet i henhold til nettopp DMCA. Selve spillene lagres på nettskyserver i Canada og Storbritannia.

Microsoft svarer
Digi.no varslet Microsoft Norge om det aktuelle innholdet i Windows Store mandag ettermiddag. Tirsdag morgen er det stadig tilgjengelig i butikken.

– Vi forsøker å gjøre Windows Store til en opplevelse med høy kvalitet for våre kunder. Basert på tilbakemeldinger fra både kunder og utviklere arbeider vi kontinuerlig med å forbedre og oppdatere Windows Store. Slike oppdateringer gir blant annet retningslinjer til utviklere og innebærer også at vår egen evne til å identifisere, kontrollere og fjerne problematiske apper eller andre produkter forbedres. Dette er en kontinuerlig prosess og vi forsetter arbeidet med å alltid kunne bli bedre, sier kommunikasjonsdirektør i Microsoft Norge, Christine Korme, i en kommentar til digi.no.

Utover dette har Microsoft Norge foreløpig ikke svart på våre spørsmål om disse funnene.

Apple har i det stille innført angrefrist på digitale kjøp.

Innen to uker kan du heve kjøpet og få pengene tilbake.

Tidligere har innhold kjøpt i iTunes, App Store. iBook Store eller Mac App Store hatt en angrefrist som bortfalt straks nedlastingen var påbegynt. Slik også den norske angrefristloven fungerer.

Men nå har Apple foretatt en betydelig utvidelse av retten til å returnere innhold som er kjøpt og levert digitalt.

– Hvis du velger å kansellere bestillingen din, kan du gjøre dette innen 14 dager etter at du mottok kvitteringen din, uten å måtte oppgi noen grunn.

Det skriver Apple selv på sin norskspråklige side med vilkår og betingelser, som sist ble oppdatert den 16. desember.

Unntaket er elektroniske gavekort, som ikke lar seg refundere etter at koden er innløst.

Måten man kansellerer et kjøp på fremgår av retningslinjene, der Apple blant annet skriver:

– For å kansellere bestillingen din, må du informere oss om avgjørelsen din. For å sikre øyeblikkelig behandling anbefaler vi deg å bruke «Rapporter et problem»-funksjonen.

Apples 14 dagers angrefrist gjelder kun i EU-området, skriver Cnet via tyske iFun. Sistnevnte var først ute med å omtale endringen i en sak mandag.

Gjennom EØS-avtalen er også Norge omfattet. For disse endringene er ikke noe Apple har funnet på selv. Snarere er dette tilpasning til EUs nye forbrukerdirektiv som trådte i kraft i juni.

Dermed er det grunn til å anta at angrefristen for digitale kjøp er noe også andre app-kanaler kommer til å måtte forholde seg til.

Enn så lenge ser det ikke ut til at Microsoft og Google har foretatt seg noe.

2-timers retur
Google opererte lenge med refusjon innen et kvarter i sin app-butikk, men dette ble i høst utvidet til en 2-timers frist.

Hvis du kjøper en app eller et spill i Google Play som du angrer på, kan du innen de to timene er utløpt heve kjøpet med full refusjon, ifølge denne supportsiden.

Microsoft
Microsoft opererer i utgangspunktet ikke med noen angrefrist i Windows (Phone) Store, med mindre det viser seg at appen eller innholdet du kan kjøpt ikke kan installeres på enheten, eller dersom du kjøpte en app som Microsoft senere samtykker i var feilaktig beskrevet på produktsiden da appen ble kjøpt, slik dagens vilkår beskriver det.

I praksis har det også tidligere vært mulig å klage iallefall på feilkjøp hos app-butikkene vi nevner i denne artikkelen, men da med en mer plundrete prosess og et uvisst utfall avhengig av klagebehandling hos selskapene.

USA medgir at det massive hackerangrepet mot Sony Pictures kanskje ikke ble utført fra Nord-Korea, men fastholder at Pyongyang må ha vært oppdragsgiver.

President Barack Obama slo før jul fast at det var Nord-Korea som sto bak hackingen, noe eksperter på datasikkerhet var raske til å stille spørsmål ved.

– Det er soleklart for oss, basert på de bevisene vi har samlet inn, at Nord-Korea ikke har stått bak eller påbegynt angrepet mot Sony, slo grunnleggeren og lederen av datasikkerhetsselskapet Norse, Sam Glines, fast.

Se også digi.nos kommentar: Ingen rykende digital pistol

Kjent kode
Norse heller til den teorien at hackerne må ha hatt medhjelpere hos Sony. Andre dataeksperter viser til at hackere verden over kjenner til koden i programmet som ble benyttet.

– Jeg tror at det var forhastet å fastslå med sikkerhet at Nord-Korea sto bak før etterforskningen var over, sier den tidligere politietterforskeren Mark Rasch som er ekspert på datakriminalitet.

Tvilen melder seg
Konsulentfirmaet Taia Global har analysert lydopptakene der de anonyme hackerne tar på seg ansvaret for datainnbruddet hos Sony. Det er mer som taler for at de kommer fra Russland enn fra Nord-Korea, er deres konklusjon.

Også blant etterforskerne i USA er tvilen nå i ferd med å melde seg.

Nord-Korea har ikke kapasitet til å gjennomføre visse deler av det sofistikerte angrepet på egen hånd, men kan ha leid andre til å gjøre det for seg, sier en av etterforskerne som vil være anonym.

– Er ansvarlige
FBI fastholder likevel at Nord-Korea sto bak hackingen av Sony, selv om de ikke nødvendigvis utførte den selv.

– FBI har konkludert med at Nord-Koreas regjering er ansvarlige for tyveriet og ødeleggelsene av data fra nettverket til Sony Pictures Entertainment, heter det i en kunngjøring fra FBI.

Nord-Korea nekter for å ha stått bak angrepet og har tilbudt seg til å samarbeide med amerikanerne om etterforskningen for å renvaske seg fra anklagene. (©NTB)

Halvannet år etter at Edward Snowden sto fram som kilden fortsetter etterretningshemmelighetene han lekket til utvalgte medier å dryppe ut med jevne mellomrom.

Der Spiegel har i romjulen publisert en mengde nye dokumenter under overskriften «På innsiden av NSAs krig mot internettsikkerhet».

De beskriver nok en gang hvordan etterretningen i «Five Eyes»-landene, det vil si USA, Storbritannia, Canada, Australia og New Zealand, målrettet jobber for å knekke kryptering og svekke krypteringsstandarder for å lette arbeidet med å overvåke all slags elektronisk kommunikasjon.

Materiellet avdekker en stadig større evne, antakelig i takt med økt tilgang på maskinkraft, til å avlytte kryptert samband over for eksempel HTTPS, VPN og SSH.

Ingen av de tre nevnte protokollene synes å medføre nevneverdig hodebry for etterretningsorganet National Security Agency (NSA). Det samme gjelder Skype, som de ifølge lekkasjene har kunnet overvåke i sin helhet siden februar 2011.

Superdatamaskiner i anlegg ved NSAs hovedkvarter Fort Meade i delstaten Maryland, samt ved datasenteret deres i Oak Ridge i Tennesse, blir ifølge et dokument brukt for å knekke krypterte forbindelser.

Å overvåke private Facebook-meldinger er trivielt, mens avskjæring og dekryptering av e-post sendt gjennom den Moskva-baserte nettjenesten mail.ru er klassifisert med en «moderat» vanskelighetsgrad, altså lar også det seg gjøre uten de største anstrengelsene.

Straks mer interessant, sett med personvernøyne, er de områdene som spionorganet tilsynelatende sliter med å knekke.

Det inkluderer blant annet den åpen kildekode-baserte ende-til-ende krypteringsprotokollen OTR (off-the-record), krypteringsverktøyet Truecrypt (prosjektet ble brått ble nedlagt i år), lynmelderen CSpace og et system for sikker IP-telefoni kalt ZRTP.

Z-en i sistnevnte protokoll stammer fra en av utviklerne, nemlig Phil Zimmermann, samme ekspert som skapte krypteringløsningen Pretty Good Privacy (PGP) i 1991.

Snart 24 år senere foreligger det ingen ting som tyder på at NSAs guruer eller noen andre har klart å knekke PGP.

Tvert imot antyder NSAs dokumenter det motsatte, med interne anekdoter som denne: «Ingen dekryptering er tilgjengelig for denne PGP-krypterte meldingen». De har da kontroll med headerdata, men ikke det faktisk innholdet i meldingen.

Interessant nok viser et NSA-dokument at etterretningssamarbeidet Five Eyes enkelte ganger selv tyr til PGP for å sikre kommunikasjonen dem i mellom. Et bedre skussmål for teknologiens sikkerhet kan man vel knapt tenke seg.

ZRTP ser også ut til å holde vann. Det en sentral protokoll blant annet nedfelt i en spesialtilpasset versjon av Android kalt PrivatOS brukt i kryptomobilen Blackphone, også det et prosjekt Zimmermann er med på.

Ordet «katastrofalt» blir av NSA brukt om tilfeller der et overvåkningssubjekt i tillegg benytter seg av anonymiseringsnettverket Tor (The Onion Router). Kombinasjonen tung kryptering og anonymiseringen Tor-nettverket bringer med seg, resulterer i det e-tjenesten kaller «et tilnærmet fullstendig tap av innsikt i målets kommunikasjon».

Dette til tross for at lekkasjene både nå og tidligere beskriver NSAs forsøk på å de-anonymisere Tor-brukere, blant annet gjennom forsøk på å kontrollere såkalte exit-noder i nettverket.

Av Øyvind Stensby og Aleksander Gorkowienko, PA Consulting Group

Aftenposten har avdekket bruk av «IMSI-catchere», som trolig er satt opp for å gi ukjente aktører sensitiv informasjon.

Hovedproblemet er at slike enheter enkelt kan bygges basert på vanlige mobil-komponenter eller annet lavkost radioutstyr, og at dette utstyret blir billigere for hver måned. Med andre ord, hvem som helst med teknisk innsikt og onde hensikter kan være i stand til å fange opp hva du og jeg sier. Videre finnes det en mengde oppskrifter på nettet som detaljert beskriver hvordan man kan bygge passive GSM-baserte avlytningsenheter.

Konsekvensen er at det ikke lenger nødvendigvis er agenter som bedriver klassisk sikkerhetsspionasje eller industrispionasje som står bak slik avlytning.

Det kan like gjerne være presse, ulike former for «hacktivister» eller andre som står bak. Trusselbilde er sammensatt og det eneste som er helt sikkert er at noen hele tiden kan få tak i ukryptert informasjon i mobilnettet. Det er et tankekors at informasjonssikkerhet i stor grad blir en salderingspost i IT-prosjekter, og at det i stor grad er en «det går stort sett bra»-holdning til informasjonssikkerhet.

Er det mulig å sikre seg mot slik overvåking?

Selvsagt finnes det tiltak som reduserer muligheten til overvåking. Det første er å se på hvordan IMSI sendes i nettet. TMSI bør i større grad benyttes. Dette hindrer at abonnenten blir identifisert. Videre kan det installeres programvare som alarmerer brukeren når det ikke foreligger kryptering. På samme måte som det finnes oppskrifter for folk med onde hensikter på nettet, finnes det også oppskrifter for hvordan man kan sikre seg på nettet.

Det er et interessant åpen kildekode-prosjekt kalt Android IMSI Catcher Detector, som har til hensikt å avdekke og unngå falske base stasjoner (IMSI-fangere), og andre basestasjoner med dårlig eller ingen kryptering. Prosjektet har til hensikt å advare brukere om at kryptering er skrudd av i tillegg til flere andre beskyttelsesmekanismer. Kanskje er det slike tiltak som kan bli videreutviklet for å sikre telefonene til samfunnets nøkkelpersonell? Inntil dette er i drift bør det innføres sikkerhet i prosessene rundt bruk av mobilkommunikasjon. Regjeringen bør vurdere hyppig bytte av SIM-kort og telefon, og telefonen må selvfølgelig slås av og legges utenfor lyttbar avstand til møterom der viktige beslutninger tas.

Vi kan bare håpe at kommunikasjonsløsningene for pasientdata og andre kommende samfunnskritiske prosjekter tar høyde for den nye trusselen. Bruk av IMSI-catchere og andre «Man In The Midle»-angrep på kommunikasjon er kommet for å bli, og bedrifter og myndigheter må ta hensyn til dette når nye prosjekter planlegges.

Inntil videre får vi holde oss til den gamle, men utrolig effektive regelen fra Forsvaret når det gjelder behandling av fortrolig informasjon: «Mottoet er lett; hold tett».