Shellshock, sårbarheten i kommandotolken bash som ble offentlig kjent denne uken, blir allerede utnyttet av ondsinnede. Dette forteller blant annet AlienVault Labs til Threatpost.

AlienVault skal ha ved hjelp av en «honningkrukke» ha lokket til seg to ulike skadevarer som forsøker å utnytte sårbarheten. Den ene skal være en ombygd IRC-bot skrevet i Perl. Denne forsøker å bygge et botnet som kan brukes til å utføre DDoS-angrep. Koden til skadevaren inneholder uttrykk på rumensk.

Den andre skadevaren laster ned og kjører et bibliotek som både stjeler informasjon på systemet og fungerer som en DDoS-bot.

Ormer
Begge de to skadevarene skal ha dataormlignende egenskaper, ved at de søker etter andre, sårbare enheter og spres videre til disse ved hjelp av metoder som ikke enkelt kan sperres ved hjelp av en brannmur. Port 80, som brukes av vanlig webtrafikk (HTTP), er et eksempel på dette.

Allerede onsdag denne uken skrev sikkerhetsforskeren Robert Graham at Shellshock-sårbarheten har egenskaper som er «wormable».

Graham er blant dem som har publisert et enkelt konseptbevis for utnyttelse av Shellshock. Angriperne som står bak den ene ormen skal i stor grad ha brukt dette konseptbeviset. Ifølge Wired inneholder koden til ormen en hilsen til Graham, «Thanks-Rob».

Fordi bash er installert på svært mange systemer, og dessuten brukes av mye programvare som kjøres på mange av disse systemene, er det svært vanskelig å danne seg en oversikt angrepsvektorene som kan brukes av ondsinnede for å utnytte Shellshock-sårbarheten. Blant enhetene som kan være spesielt utsatt, er bredbåndsrutere hjemme hos helt vanlige internett-brukere. Mange av disse vil aldri oppdatere programvaren i ruterne, rett og slett fordi de ikke vet at de bør gjøre det, og dessuten ikke vet hvordan dette eventuelt kan gjøres.

Here’s a game.
It’s for Bash.
It’s called Shellshock.
It’s from 2012.
http://t.co/0LD3fZjJRw

— Mikko Hypponen (@mikko) September 26, 2014

Synspunkter
Avsløringen av Shellshock, som forøvrig også er navnet på et spill for bash fra 2012 (se tvitringen fra Mikko Hypponen ovenfor), har også understreket at sårbarheter kan eksistere i programvare i flere tiår, uten å bli oppdaget. Selv om bash er svært mye brukt, også av giganter som Amazon og Google, og at koden hele tiden har vært åpen for innsyn, siden det tross alt dreier seg om fri programvare, så har sårbarheten ikke blitt oppdaget i løpet av de mer enn 20 årene som har gått siden den ble skrevet.

En teori som taler til fordel for åpen kildekode er at det at «mange øyne» kan se over koden og dermed raskere oppdage sårbarheter enn det som er mulig dersom bare få personer har denne muligheten. Nevnte Graham skriver i et blogginnlegg at denne teorien nå er motbevist – ikke fordi det ikke vil kunne oppdages flere sårbarheter når mange studerer koden, men fordi det i virkeligheten ikke er slik at mange studerer programvarekoden. Det mener i alle fall Graham, som begrunner dette med at sårbarheter som Shellshock og Heartbleed ville ha blitt oppdaget for lenge siden, dersom mange faktisk lette etter slike feil.

Programvareutvikleren Poul-Henning Kamp, som er mest kjent for å stå bak programvare som Varnish og md5crypt, samt viktige bidrag til FreeBSD, skriver i en kommentar i danske Version2 at funksjonaliteten som gjør Shellshock mulig, kan sammenlignes med SQL-injisering og autorun.inf i Windows.

– Alle de tre tingene baserer seg på den samme fundamentale hjerneblødningen: Å eksekvere data som kode uten å ha blitt bedt om det, skriver Kamp.

Google gjennomførte i 2012 en omfattende endring av selskapets personvernpolicy, til relativt store protester fra blant annet europeiske datatilsyn. Google tidligere hadde separate personvernregler for de fleste av selskapets tjenester. Regelverket som ble innført i 2012, gjelder derimot for de fleste av selskapets tjenester. Noe av hensikten med endringen var å kunne dele brukerdataene på tvers av tjenestene, noe som blant annet har gjort Google Now mulig.

Kort tid etter at Google innførte den nye policyen, startet de europeiske datatilsynene en etterforskning for å se om Googles nye personvernpolicy er i overensstemmelse med europeisk datavern-lovgivning. Senere har også flere europeiske land etterforsket de samme forholdene, basert på nasjonal lovgivning.

Denne uken sendte Article 29 Data Protection Working Party, en uavhengig sammenslutning av datatilsynene i EU-landene, et brev til Google-sjef Larry Page hvor det opplyses at etterforskningen har avdekket flere problemer knyttet til personvernpolicyen og kombineringen av data på tvers av tjenester.

I brevet går det fram at Article 29 Data Protection Working Party har utarbeidet et dokument som ikke bare presenterer hva datatilsynene krever at Google gjør endringer i, men som også kommer med forslag om hvordan endringene kan gjennomføres.

Dokumentet, eller veiledningen, er tilgjengelig her.

Der opplyses det blant annet at man ikke kan vente at brukere leser oppdateringer i tjenestevilkårene til Google for å bli gjort kjent med viktige, nye hensikter med innsamling, prosessering, deling og annen bruk av brukernes personlige data, men at slike hensikter må presenteres i personvernreglene.

– Når Google lar nye instanser samle inn data, må selskapet tydelig informere brukerne om de nye mottakerne og dataene som de tillates å samle inn. For eksempel la Google nylig til uttrykket «and our partners» til utvalget av instanser som kan samle inn anonyme identifikatorer når brukere besøker Google-tjenester. Men Google opplyser ikke om hva slags type instanser disse partnerne er eller hvordan de vil bruke de innsamlede dataene.

De europeiske datatilsynene skriver at Google i større grad må informere og innhente samtykke fra passive brukere før deres personlige data prosesseres. Dette kan blant annet gjelde på nettsteder hvor Google Analytics eller DoubleClick-annonser er i bruk. Blant løsningsforslagene som presenteres, er en mulighet for brukerne til å deaktivere Google Analytics på midlertidig eller permanent basis.

Det kreves også at Google tydeliggjør hva selskapet faktisk gjør, i stedet for å skrive at uttrykk som «… kan det hende vi …» og «dette kan for eksempel omfatte …». Det bør i stedet uttrykkes som «dersom du bruker tjenestene A og B, vil vi …». For Google kan dette dog bety at betingelsene og reglene oftere må endres.

Article 29 Data Protection Working Party krever også at alle brukere, både de som er logget inn på Googles tjenester, de som bruker tjenestene uten å være logget inn, samt de passive brukerne, gis bedre mulighet til å kontrollere bruken av sine personlige data.

Datatilsynene mener dette dels kan løses ved å gjøre dagens dashbord for kontoinnstillingene lettere tilgjengelig, å sørge for at dette inkluderer alle Google-tjenestene, å gjøre valg om samtykke tilgjengelig via denne siden, samt å tilby en tilsvarende løsning for brukere som ikke er innlogget, men som kjennes igjen ved hjelp av blant annet cookies.

Det kreves også at de europeiske datatilsynene får innsyn i eller tilgang til Googles policyer og prosesser for lagring av alle personlige data og anonymiseringen av disse. Selskapet bør også begrunne lagringsperiodene for ulike typer data.

I hvilken grad Google vil følge kravene, er dog uklart. Sanksjonsmidlene for personvernbrudd i de europeiske landene ser ut til å være ganske begrensede, sammenlignet med inntektene til selskapet. Til Reuters sier Al Verney, en talsperson for Google, at selskapet er mottakelige for tilbakemeldingene fra tilsynene og ser fram til å diskutere listen med retningslinjer.

Apple og Google har gjort mobilene sine for sikre, mener FBI-sjefen James Comey. Comey snakket med pressen i FBI-bygget i Washington, og forteller at han er bekymret over selskaper som setter seg over loven.

Med dette mener han Googles og Apples nye satsninger på personvern, der det er svært vanskelig å få låst opp deres nye operativsystemer av for eksempel politifolk, selv med rettsordre.

Forrige uke bekreftet Apple at deres nye iOS 8 kommer med avanserte personverninnstillinger som skal gjøre det umulig å låse opp iPhone eller iPad uten å ha en passkode. Ikke en gang Apple selv skal kunne gi regjeringen eller politiet tilgang til brukernes bilder, meldinger, kontakter eller annet innhold, så lenge det er beskyttet med en passkode.

Slike beksyttelsesmetoder blir stadig mer utbredt etter Edward Snowden-avsløringene, og stadig flere selskaper gjør det vanskeligere for regjeringsorganer å få tilgang til data.

Det er dette FBI misliker. Comey påpeker at han respekterer brukernes behov for å beskytte sine private data, men regjeringen i USA kan i ekstreme tilfeller (for eksempel ved terrorangrep) trenge å komme inn på individuelle enheter. Comey har troen på at alle begjæringer for tilgang til låst data skal først utføres etter tydelig rettsordre, men å markedsføre et «skap som aldri kan låses opp» henger ikke på grep, mener FBI-sjefen.

Comey forteller at FBI har hatt samtaler med både Apple og Google angående dette, og sier at Google nå markedsfører Android på samme måte – «kjøp vår mobil, og loven kan aldri få tilgang til den, selv ikke med rettsordre».

Ifølge Comey vil det en dag komme en situasjon der de kan redde mange liv ved å få tilgang, med juridisk godkjenning, til en kidnappers eller en terrorists telefon. FBI-sjefen mener også at etter NSA-avsløringene har publikum blitt bevisste på personvern, men at denne bevisstheten kan føre til uforutsette konsekvenser.

Lørdag blir en merkedag for Telenor. Da åpner deres flunkende nye mobilnettverk i Myanmar, melder selskapet.

Først ut er Mandalay, en populær turistdestinasjon og landets nest største by med rundt én million innbyggere.

Der skal mobiltjenestene med GSM og 3G-dekning være tilgjengelig ved 1.500 butikker fra i morgen. I løpet av kort tid skal også hovedstaden Nay Pyi Taw og storbyen Yangon knyttes opp, før utrullingen fortsetter øvrige steder i det folkerike landet.

Samlet bor det nær ni millioner i disse tre byene. Telenor oppgir at de innen få uker vil åpne for salg av tjenestene ved mer enn 12.000 forhandlere.

Denne «blitz»-utrullingen er del av telegigantens velprøvde massemarkedsstrategi og distribusjonsmodell. Lokalt har Telenor nå 400 ansatte i Myanmar. Det oppgis at 80 prosent av dem er myanmarske.

Landet i Østen er kjent for sin unike kulturarv og gullkledde pagoder. Staten som før het Burma var inntil for få år siden hermetisk lukket for omverden og styrt av en millitærjunta.

– Vi opplever det som svært meningsfylt å kunne bidra til den raske utviklingen av landet. Det gjør vi ved å sikre befolkningen tilgang grunnleggende infrastruktur som danner grunnlag for nye vekstområder for Myanmar. Telenor vil tilby produkter og tjenester som kan inkludere alle i landets digitale fremtid, sier konsernsjef Jon Fredrik Baksaas.

For å lykkes i konkurransen og nå ut i massemarkedet skal Telenor selge simkort som vil koste 1500 myanmarske kyat, litt under 10 norske kroner stykket. De vil selge både abonnement og ladekort. Prisen for en samtale blir 25 kyat tilsvarende 16 øre per minutt.

9 millioner færre
Myanmar har 51,4 millioner innbyggere, ifølge en fersk folketelling. Det er langt færre enn de 60 millioner menneskene som Telenor har operert med da de planla å investere der, skrev Dagens Næringsliv nylig.

Konkurrenten har forsprang
Telenor får hard konkurranse fra den andre heleide utenlandske mobiloperatøren som har vunnet lisens i landet. Ooredoo fra Qatar startet ifølge NTB sin drift i de tre største byene i august, og har allerede sikret seg én million kunder.

Det har blitt skrevet mye om det nylige innbruddet i iCloud-tjenesten til Apple, der en lang rekke kjendisbilder ble lekket ut til deres store forargelse. Mistanken rettet seg mot et «brute force»-angrep der uvedkommende forsøkte å overvelde iCloud-påloggingen med et stort antall passord, frem til man til slutt kom seg inn.

Bildelekkasjene førte til FBI-etterforskning, og Apple selv uttalte at iCloud skal sikres ytterligere, blant annet med mer omfattende tostegs-verifisering og epost-varslinger. Disse tiltakene er nå rullet ut.

Det kan imidlertid hende at Apple visste om sikkerhetshullet allerede så tidlig som mars i år, ifølge en sikkerhetsforsker (via The Daily Dot).

Utvikleren, Ibrahim Balic, skal ha sagt i fra til Apple om sine funn allerede da. Balic sendte en epost til Apple den 26. mars om at han hadde oppdaget en måte å forbigå sikkerheten på. Apples sikkerhet skulle beskytte mot nettopp brute force-angrep, men Balic informerte selskapet at han hadde klart å forsøke 20,000 passord-kombinasjoner på flere kontoer, med hell.

Balic meldte også inn feilen via et skjema for å sende inn feil.

Senere, i mai i år, skal Apple ha etterlyst mer informasjon om problemet, som tydeligvis ikke hadde blitt løst.

Først nå i september ble det altså mye oppmerksomhet rundt denne typen angrep – selv om det ikke er garantert at bildelekkasjene kom via det samme sikkerhetshullet.

Det var ikke første gangen Balic hadde meldt inn sikkerhetsfeil til Apple: Sommeren 2013 hadde han identifisert et hull i Apple Developer Center, noe som førte at den aktuelle nettsiden ble øyeblikkelig tatt ned. Han hadde imidlertid ikke blitt kredittert for oppdagelsen før han gikk offentlig ut med informasjonen.

Selv om sikkerheten til iCloud er blitt merkbart skjerpet siden skandalen, er det fortsatt en del som gjenstår. F-secure påpeker blant annet hvor enkelt det er å gjette seg frem til sikkerhetsspørsmål som skal brukes hvis man har glemt passordet. Spørsmålene er veldig grunnleggende, og svarene kan kjapt finnes ut av, spesielt hvis man er ute etter kjendis-kontoer – mye personlig informasjon om kjente mennesker kan jo finnes ut relativt enkelt.

Det amerikanske nyhetsbyrået Bloomberg har valgt å navngi en mellomleder i Apple, som angivelig ansvarlig for kvalitetssikring av iOS 8.0.1, den feilslåtte oppdateringen som ble trukket tilbake denne uken.

Men det stopper ikke der.

Samme mann skal ha vært ansvarlig også for kvalitetssikring av Apple Maps, kartløsningen som i 2012 ble en av de flaueste øyeblikkene i selskapets historie.

Flere i Apple, deriblant arveprins og direktør Scott Forstall fikk sparken etter at kartene viste seg å være svært mangelfulle, misvisende og i visse tilfeller rent livsfarlige.

Mellomlederen ble fjernet fra kart-teamet som følge av fadesen, men i stedet for å miste jobben skal han ha blitt overført til kvalitetssikring av operativsystemet, hevder anonyme kilder overfor nyhetsbyrået.

digi.no velger å ikke navngi personen (vennligst respekter dette i debatten) fordi saken i Bloomberg ikke er bekreftet.

Det er heller ikke slik at noen enkeltperson alene er ansvarlig for oppgaven med å teste og kvalitetssikre programvare i et selskap av Apples størrelse. Mellomlederen som blir hengt ut er del av et større team, og det er ansatte også over ham som de rapporterer til igjen.

Beklager
Apple har ved begge tilfellene, altså utgivelsen av Apple Maps og nå iOS 8.0.1 unnskyldt seg overfor brukerne. Sistnevnte oppdatering førte til at enkelte iPhone mistet dekning og fingeravtrykkleseren sluttet å fungere.

En ny oppdatering 8.0.2 er allerede utgitt, som skal fikse disse problemene. Den kom bare ett døgn senere. Apple sier i en uttalelse at færre enn 40.000 iPhone 6 og iPhone 6 Plus-enheter skal ha vært berørt av problemene som 8.0.1-versjonen skapte.

LYSAKER (digi.no): Den 29. september, mandag i neste uke, lanserer norske Norman et helt nytt sikkerhetsprodukt for SMB-markedet. Produktet kalles for Norman Security Portal (NSP) og kan brukes av både kunder og partnere til å rulle ut og administrere endepunktsikkerheten i nettverket til kundene.

Normans eksisterende bedriftsløsninger med sentral administrasjon kjøres på en server installert hos den enkelte kunde.

– En stor del av kundene er små eller mellomstore virksomheter som ofte ikke ønsker å drifte maskinvare selv, forteller Kristian Bognæs til digi.no. Bognæs leder utviklingsavdelingen til Norman.

– For omtrent tre år siden begynte vi å snakke om å ta den lokale serverløsningen og flytte den opp i nettskyen. For å gjøre dette måtte vi begynne forfra, da de gamle komponentene ikke lenger passet. Vi ville dessuten være helt sikre på å gjøre det hele riktig fra starten av, forteller Bjørn Lilleeng. Han har tittelen Technical Integration Manager hos Norman og har rollen som produkteier for portalprosjektet.

I forarbeidet til prosjektet har Norman involvert eksterne rådgivningsinstanser som blant annet har understreket viktigheten av at Normans partnere – altså som bedrifter som selger og tilbyr support for Normans løsninger for sluttkunder – tilbys enkel administrasjon og overvåkning av løsningene hos sine kunder.

– Én ting er at det er enkelt. Noe annet er at man har teknologi som fungerer, sier Lilleeng.

Store endringer
Lilleeng forteller at fram til omtrent 2002 mente Norman at selskapet kunne gjøre hele jobben selv.

– Men det er ikke lenger mulig dersom man ikke er veldig store. I stedet har vi valgt å bruke kompetansen vår til å lage en sikrest mulig plattform for våre kunder, basert på både egne og eksterne løsninger, sier Lilleeng.

Dessuten ble Norman før nyttår i fjor splittet, ved at Norman Shark-virksomheten, som drev med det Lilleeng kaller for det grunnleggende – skadevareanalyse og -signaturer – ble solgt til amerikanske Blue Coat.

– Dette gir oss stor fleksibilitet. Det er vanskelig å snu seg raskt dersom man har investert veldig tungt i én løsning som etter hvert blir avleggs, sier Lilleeng.

– Det som befinner se på endepunktet, vil helt sikkert endre seg i løpet av nærmeste framtid. Man må ha infrastruktur som tar høyde for endringer.

Oppbygning
NSP består i hovedsak av tre ulike lag. På endepunktene eller klientene kjøres et sett med agenter. Disse kommuniserer med nettskyen via et eget kommunikasjonslag som kalles for «Framework 2». Ifølge Lilleeng er dette et grensesnitt mellom agent og sky som skal kunne håndtere nær sagt hva som helst av funksjonalitet i agentene, noe også skydelen skal være forberedt på.

– Skydelen behøver ikke ha detaljkunnskap om hva som skjer nederst, på endepunktet, sier Lilleeng.

Når NSP lanseres på mandag, vil den foreløpig bare være utstyrt med Normans egen antivirus-komponent. Men Norman har klare ideer om andre agenter som skal tilbys litt lenger fram i tid, selv om prioriteringen ennå ikke er fastsatt.

En foreløpig liste består likevel av modulene Secure Patch, Secure Surf og Secure Firewall. Dette er moduler som vil leveres av eksterne leverandører. Foreløpig vurderer Norman to potensielle leverandører av patch-løsningen – altså en løsning for oppdatering av programvare – og én leverandør for sikker surf.

– Det er to kriterier velg valg av leverandør – kvalitet og at det finnes et SDK (Software Development Kit, journ. anm.) for integrasjon med vår løsning, forteller Lilleeng.

Nye ideer
Gjennom kunder og partnere har Norman fått kunnskaper om nye ønsker og behov. Blant annet er det partnere som ønsker mer grunnleggende informasjon sett fra et vedlikeholdssynspunkt.

– En kan gjøre veldig mye ved å ha en agent på maskin og sende data fra denne opp i skyen. Et eksempel er å få informasjon om når det ble patchet sist. Dette er lett å implementere, men vi må få ideen. Et annet eksempel er hva som skjer dersom agenten installeres over en eksisterende løsning. Det blir ikke dobbel sikkerhet av å ha to konkurrerende løsninger, i stedet blir det krøll, sier Lilleeng.

– Vi planlegger en avinstalleringsmodul som skal kunne lete etter gamle installasjoner og fjerne dem eller varsle dersom det ikke går. I blant er det et spetakkel å fjerne dem, sier han.

Portalen
Portalen er verktøyet hvor både partnere og kunder kan administrere og få oversikt. Kundene får selvfølgelig bare se sitt eget nettverk, mens partnerne har oversikt over nettverkene til alle sine kunder via det samme grensesnittet. Blant annet kan partnerne se hvilke kunder som for øyeblikk har størst problemer med skadevareinfeksjoner.

Kundeseksjonen i partnerutgaven av portalen er delt i to, «Managed» og «Unmanaged». Kunder som vises under «managed» overlater hele administrasjonsjobben til Norman-partneren. «Unmanaged»-kundene har derimot valgt å gjøre dette selv, men ifølge Lilleeng kan de raskt velge å gjøre seg selv «managed» dersom de får problemer de ikke greier å løse selv. Men ved å gjøre dette, får partnere tilgang til kundens nettverk.

Noe av hensikten med den nye portalen er å gjøre administrasjonen enklere for partnerne.

– Dette gir dem mer tid, slik at de kan håndtere flere kunder, forteller Isabella Alveberg, COO i Norman, til digi.no.

Også installasjonen av agentene på endepunktene kan gjøres uten at partneren er nødt til å besøke kundene. Installasjonsprogramvaren er unik for hver kunde og bruker og kan rulle ut på en rekke ulike måter, inkludert via Active Directory eller fra en minnepinne.

– Uansett hvor i verden den installeres, vil den kobles seg til på rett sted, forteller Lilleeng.

Normans nettskyløsning kjøres hos Availo.

Ifølge Lilleeng har Norman tatt konsekvensen av at mange kunder og partnere ville ha hosting i Skandinavia, og at USA var uaktuelt.

Ifølge Bognæs har Norman i dag omtrent 250 000 kunder som bruker løsningene Norman Endpoint Protection og Norman Enterprise Security Suite. Norman regner med at mange av disse vil gå over til nettskyløsningen over tid.

– Det vil dekke nye krav hos eksisterende kunder, men hovedmålet med lanseringen er å kapre nye kunder, sier Lilleeng.

Samtidig er det ifølge Bognæs også kunder som ønsker å ha løsningen hos seg selv, i stedet for i nettskyen. Så Norman har ingen umiddelbare planer om å fase ut de eksisterende løsningene.

København (NTB-Ritzau): Danmarks forsvarsindustri skal i årevis ha blitt utsatt for massiv spionasje, melder Danmarks Radio.

– Angrepet var ledd i en global kampanje som handlet om å tilegne seg komponenter og teknologi som blir brukt i militærindustrien, herunder F-35-prosjektet, sier en kilde til DR.

– Det var snakk om et angrep som var avansert, målrettet, og som pågikk over en lengre periode, sier Thomas Lund Sørensen, sjef for kybersikkerhet i den danske etterretningstjenesten, til DR.

Flere kilder peker på at en hacker med forbindelser til det kinesiske militæret trolig sto bak spionasjen.

Norge er også et av partnerlandene i det amerikanske kampflyprosjektet F-35. (©NTB)