Håkon Wium Lie har foreslått at Norges lite kjente toppnivådomener .bv og .sj bør tas i bruk som sikre soner på internett. Behovet og debatten som er reist er det mange som nikker anerkjennende til, men det er delte meninger om domenebruk er veien å gå.

Ressursene er satt av til de geografiske områdene Bouvetøya og Svalbard/Jan Mayen, men er aldri tatt i bruk.

digi.no kan nå avsløre at Norid har andre kontroversielle planer for .bv.

Organet som administrerer .no forvalter også de ubrukte toppnivådomenene vi nevnte innledningsvis. Allerede i flere år har de vurdert hvordan disse ressursene kan benyttes på en innovativ måte.

– Vi er i forhandlinger om å tilby toppnivådomenet .bv på det nederlandske markedet, bekrefter daglig leder Hilde Thunem i Norid overfor digi.no.

Denne kortformen tilsvarer nemlig aksjeselskap (AS) på nederlansk. Norid har i årevis derfor fått stadige henvendelser fra bedrifter i Nederland om muligheten for å registere seg under .bv.

– Utfordringen sett fra Norids side er at slik registrering må skje innenfor rammer vi kan stå inne for. Vi er ikke kommersielle.

Thunem er klar på at det ikke er ønskelig at .bv bare blir nok et toppdomene der bedrifter må registrere seg med såkalte defensive domeneoppføringer, altså at de føler seg presset til å sikre seg en oppføring for at andre ikke skal stjele eller utnytte varemerker og navn.

– Hvis vi skal ta .bv i bruk må det ha reell verdi for brukerne. Det vi skal undersøke nå er om det finnes et markedspotensial her, sier hun.

Den aktuelle samarbeidspartneren er SIDN, som er Nederlands direkte motstykke til Norid. SIDN vurderer nå markedspotensialet. Den videre prosessen blir avgjort når en markedsanalyse er klar.

– .bv er jo et interessant toppdomene nettopp fordi Bouvetøya ikke har noen innbyggere, bare pingviner. Her er det rom for innovativ bruk, sånn vi ser det, sier Hilde Thunem.

Penger til drift
Norid håper at de ved å tilby domeneressursen i Nederland kan få inntekter som kan sikre den øvrige driften av det norske internettdomenet .no.

– Det kan gi inntekter som kan styrke .no i konkurransen mot de mange nye toppnivådomenene som kommer. Vi er ikke opptatt av utbytte, men av å kunne lage et godt produkt for det norske samfunnet, sier Norid-sjefen.

Norid har både i høringsuttalelse og offentlig uttalt seg kritisk til Wium Lies forslag om bruk av ressursen (i kortform mener de at sikkerhet må legges på tjenestenivå). Dette skal likevel ikke være et forsøk på å torpedere Opera-direktørens forlag, understreker Thunem.

Norid skal helt siden 2012 jobbet med planer om å ta .bv i bruk.

– Dette er ikke noe vi har gjort i full fart, sier hun.

Norid er organisert som et aksjeselskap underlagt Uninett, som igjen er eid av Kunnskapsdepartementet. Samtidig må de drive etter domeneforskriften, hvis øverste myndighet er Samferdselsdepartementet. At Norid følger rammene er det Post- og teletilsynet som fører tilsyn med.

– Myndighetene er postive
Ifølge Thunem har både Post- og teletilsynet og Samferdselsdepartementet diskutert «rå-ideen» med Norid, og de skal ha stilt seg positive til en slik utnyuttelse av den ubrukte domeneressursen.

– Ja, vi er eid av staten. Ideen har vært diskutert med norske myndigheter, som stiller seg positive til dette, sier Thunem. Det foreligger derimot ingen planer for Svalbard og Jan Mayen-domenet.

Hun tenker seg at Norid fortsatt skal stå som eier av .bv og være den ansvarlige registreringsenheten, men at de kan bruke SIDN som sin forlengede arm inn i Nederland.

– .bv må være noe mer enn bare å prøve å tjene noen raske penger. Konseptet må gi en merverdi. Å bare åpne for enda et nytt toppdomene tror vi verken vil bære seg økonomisk over tid eller være i tråd med verdisynet i Norid.

Derfor har de heller ikke konkludert i saken.

– Veien videre er først og fremst at vi skal finne ut om det finnes et marked innen de kriteriene vi er opptatt av, og at dette ikke bare åpner for defensive registreringer. Hvis det er et marked, så vil neste trinn være å be Norid-styret vurdere om det er verdt risikoen å gjøre dette. Så må vi gå til Samferdselsdepartementet og be om dispensjon.

Senere i ettermiddag kommer Norid til å publisere en pressemelding, der daglig leder for nederlanske SIDN kommer med følgende uttalelse:

– Det å drive .bv i kombinasjon med .nl kan åpne for nye muligheter. Vi har et godt forhold til Norid, og ser derfor frem til å jobbe sammen med dem, og med nederlandsk næringsliv, for å gjøre .bv til en suksess.

– Dersom disse planene iverksettes, vil dette være en irreversibel handling?

– Det vil det nok. I realiteten vil dette være ganske irreversibelt. Å lansere et toppdomene med identitet er en engangsting. Det er ikke noe du bare plukker ned fra hyllene. Derfor er det nødvendig å tenke nøye igjennom om det kan rettferdiggjøres å bruke opp et toppdomene. Det vet vi ikke ennå, sier Hilde Thunem i Norid.

Samtidig bør det nevnes at norske firma i mange år har kunnet kan registrere seg under toppdomenet .as, som tilhører Amerikansk Samoa. Det kan innvendes at slik praksis neppe gir bedriftene som velger det noen form for økt legitimitet.

KRONIKK: En fersk undersøkelse viser at sikkerhet knyttet til mobilitet topper IT-sjefenes bekymringsliste. Her er våre beste tips til systematikk og rutiner som reduserer risiko i utviklingen av mobilapplikasjoner, og bygger sikkerhet inn i kulturen til hvert enkelt team:

Mobilapplikasjoner kan utgjøre en sikkerhetsrisiko for brukeren, og sensitive persondata på avveie kan være ødeleggende for produsentens omdømme. Sikkerhetsprogrammet til Buypass er designet for å unngå de vanligste «sikkerhetsfellene» i utvikling av applikasjoner. Programmet «Buypass Secure Software Development» (BSSD) omfatter retningslinjer og standarder for applikasjoner, inkludert apper for mobile enheter.

Basert på BSSD har Buypass definert en liste med tekniske råd og anbefalinger som skal med i alle nye prosjekter. Dette er punkter alle selskaper som utvikler apper for mobiltelefoner bør ha et bevisst forhold til.

1. Bruk SSL/TLS ved kommunikasjon over åpne nett
   All kommunikasjon mellom en applikasjon og sentrale tjenester vil kunne være gjenstand for avlytting. Dersom det er personopplysninger eller andre sensitive data som overføres, må data beskyttes under overføring. Bruk av SSL/TLS, for eksempel ved å bruke HTTPS i stedet for HTTP er en enkel og akseptert måte å beskytte data under overføring. Bruk SSL/TLS i all kommunikasjon med sentrale tjenester og husk å verifisere at SSL-sertifikatet som tjenesten autentiserer seg med er utstedt av en godkjent leverandør. Alternativt kan man benytte CA- eller sertifikat-pinning, det vil si eksplisitt legge inn informasjon om hvilke sertifikatutstedere eller sertifikater man aksepterer.

2. Krypter sensitive data som lagres i applikasjonen
   En smarttelefon eller et nettbrett er i utgangspunktet ikke et sikkert oppbevaringssted for sensitive data eller personopplysninger. Slike enheter kan «rootes» eller «jailbrakes» og man må forutsette at alle lagrede data kan være tilgjengelig fra andre app-er. Beskyttelsesverdig informasjon som lagres i appen eller enheten må krypteres. Benytt anerkjente krypteringsalgoritmer som RSA, 3DES, AES, ECC, etc.

3. Sjekk input-data fra bruker og eksterne tjenester
   Verifiser at alle data som tastes inn av bruker, er av riktig type og med lovlige verdier. Det samme gjelder data som mottas fra sentrale tjenester. Dårlig kontroll over input-data kan utsette enheten for kjente sårbarheter og angrep ved bruk av Code Injection.

4. Bruk domeneobjekter
   Organiser data og tilhørende operasjoner som domeneobjekter, for eksempel bør et mobiltelefonnummer være et eget objekt og ikke bare en String/NSString. Bruk av domeneobjekter gir et mer robust design og en tilsvarende mer robust og sikker applikasjon.

5. Ikke send sensitive data i custom-url kommandoer
   Custom-url skjemaer kan benyttes for å kommunisere med en app for eksempel fra nettleseren. Sensitive data bør ikke sendes som parametre i url-en siden ondsinnede apper kan registrere seg som alternativ mottaker av samme custom-url. Det er også viktig at man her har inputkontroll på parametre som sendes inn via custom-url.

6. Vær bevisst på forskjeller i ulike operativsystemer
   Android, iOS og Windows Phone har ulike egenskaper som medfører ulike styrker og svakheter i forhold til sikkerhet. Ha et bevisst forhold til dette, og sørg for at plattform-spesifikke svakheter og sårbarheter blir adressert. Nedenfor følger noen plattformspesifikke anbefalinger:
   • iOS: Bruk Objective-C fremfor standard ANSI C
     Objective-C er mye brukt og godt testet på iOS og er generelt mer robust enn standard ANSI C blant annet buffer underflow/overflow.
   • iOS: Sikre at buffer har plass til data
     Beregn alltid størrelsen på en buffer og sjekk størrelsen på data som skal lagres i bufferen, før lagring. Buffer overflow er den mest vanlige sårbarheten i plattformer basert på C, Objective-C og/eller C++.
   • Android: Ikke send sensitive data som intent-parametre
     Ondsinnede apper kan registrere seg som alternativ mottaker av samme intent.

Mobil sikkerhet er en av vår tids viktigste sikkerhetsutfordringer. Listen over er en god start for utviklere som vil jobbe systematisk med sikkerhet i produksjonen av nye apper, og dermed bidra til å beskytte brukere og eget omdømme mot sikkerhetstrusler. Det betyr ikke at vi mener sikkerhet begrenser seg til disse punktene, dette er først og fremst ment som en sjekkliste for de høyest prioriterte områdene innenfor sikker apputvikling. En sikker start på utviklingsprosessen.

Kronikkforfatteren, John Arild Johansen, er sikkerhetssjef i Buypass, hvor han for tiden fronter en kampanje om at sikkerhetssjefen bør være bedriftens superhelt.

En av nyhetene i Apples iOS 8, som ble gjort tilgjengelig denne uken, er at kryptering av brukerdata på enhetsnivå nå er aktivert som standard. Dette sikrer brukerne mot at uvedkommende kan lese dataene dersom smartmobilen mistes. En annen konsekvens er at dataene heller ikke vil kunne låses opp av Apple, dersom selskapet blir beordret til å hjelpe politi- eller sikkerhetsmyndigheter med å få tilgang.

– Til forskjell fra våre konkurrenter, kan ikke Apple omgå sikkerhetskoden din og kan dermed ikke få tilgang til disse dataene, skriver Apple på denne siden.

Men også Google tilbyr tilsvarende løsning i Android og har gjort det siden 2011. Men heller ikke i Android har denne krypteringen vært aktivert som standard. Dette skal nå endres.

– I mer enn tre år har Android tilbudt kryptering, og nøklene lagres ikke på utsiden av enheten, så de kan ikke deles med justismyndighetene, sier Niki Christoff, en talskvinne for Google, til Washington Post.

– Som en del av vår neste Android-utgivelse, vil kryptering være aktivert som standard, så du trenger ikke engang å tenke på å skru den på, sier Christoff.

Dette skal være et tiltak som har blitt planlagt av Google i flere måneder på grunn av blant annet NSA-skandalene og mulighetene amerikansk politi har hatt til lovlig å aksessere innholdet på smartmobiler og nettbrett uten noen ransakingsordre. Denne muligheten ble riktignok stengt av en rettsavgjørelse i juni år, uten at det har endret planene til systemleverandørene.

Ifølge Washington Post skal L-utgaven av Android rulles ut i oktober, men langt ifra til alle enheter. De som er garantert raskt tilgang til den nye versjonen, er brukere av Nexus-enhetene, Google Play-utgaver av telefoner som Motorola Moto G og HTC One, samt de kommende Android One-enhetene. Brukere av alle andre Android-enheter vil i utgangspunktet måtte vente på at leverandøren av enheten eventuelt gjør den oppdaterte utgaven tilgjengelig for brukerens enhet.

Moskva (NTB-AFP): Moskva vurderer muligheten for opprette sitt eget «internett» for å kunne koble Russland fra verdensveven i nødssituasjoner, ifølge en russisk avis.

Ettersom de tradisjonelle mediene kontrolleres av Kreml, er sosiale medier og andre nettsider blitt stående igjen som det siste forum for ytringsfrihet i Russland.

Russlands president Vladimir Putin har nå kalt inn til et møte i landets sikkerhetsråd mandag for å diskutere mulige begrensninger på internett, skriver den anerkjente næringslivsavisen Vedomosti.

Gjennom de siste månedene er det på internett at bredere diskusjoner fra russiske stemmer om Ukraina-krisen har sett dagens lys. Kritiske rapporter om Russlands angivelige deltakelse i Ukraina-krigen har også vært forbeholdt internett.

Men en rekke teleoperatører, internettselskaper og ikke-statlige organisasjoner er sitert på opplysningene om at høytstående tjenestemenn kommer til å ta opp «arbeidet med det russiske segmentet av internett i nødssituasjoner» i flere møter til uka.

Myndighetene planlegger å iverksette tiltak som skal «styrke selvstyret til det russiske segmentet av verdensveven». Blant tiltakene som nevnes, er muligheten for å koble Russland fra internett i spesielle omstendigheter som massedemonstrasjoner eller militære konflikter, ifølge avisens kilder. (©NTB)

For få dager siden ble det påstått at Microsoft vil denne uken offentliggjøre en ny runde med kutt – som en del av den store reduksjonen på 18.000 personer.

Nå er det altså offisielt: Nye 2.100 personer skal sies opp hos selskapet, noe Microsoft bekreftet i natt.

Kuttene fordeles på 747 ansatte i staten Washington, altså rundt hovedkvarteret til Microsoft, 160 i California, og de resterende nedskjæringene vil skje rundt om i verden.

Den første store kuttrunden skjedde i juli i år, da selskapet sa opp hele 12.500 ansatte, mange av disse tidligere knyttet Nokia. Også de fleste andre avdelinger ble berørt.

Noe tilsvarende skjer i denne omgang – kuttene skal gå på tvers av teamene. Det spesifiseres ikke hvilke.

Ett åpenbart offer av nedskjæringene er imidlertid et av Microsoft forskningslaboratorier. Det er lokalisert i Silicon Valley, og ansetter 75 personer. Laboratoriet fokuserer på forskning rundt personvern, sikkerhet, nettsøk og andre områder. Ifølge Zdnet vil flere av de ansatte få tilbud om jobber i andre forskningssentre til Microsoft, og nedleggelsen av denne lokasjonen betyr ikke at prosjektene det jobbes med blir lagt ned eller nedprioritert. Meningen er å sammenslå flere av de Silicon Valley-baserte forskningssentrene til Microsoft.

Microsoft-sjefen Satya Nadella har tidligere sagt at kuttene vil komme i flere runder, og skal gjennomføres innen januar 2015.

Oracle-gründer Larry Ellison (70) går av som konsernsjef i selskapet han har ledet helt siden starten i 1977.

Det levnes likevel ingen tvil om at han fortsatt er The Big Boss.

Ellison trer nå inn i rollen som arbeidende styreformann, men han blir også teknologidirektør i Oracle, chief technology officer eller CTO som det heter.

Hans høyre og ventre hånd i de to visepresidentene Safra Catz (52) og Mark Hurd (57) får begge opprykk til rolllen som chief executive officer (CEO), ifølge kunngjøringen.

Det betyr at Oracle heretter får to likestilte konsernsjefer. I det daglige har de likevel ulike arbeidsoppgaver.

Alt innen produksjon, økonomi og juridiske funksjoner skal rapportere til Catz, mens salgsorganisasjonen, tjenester og de såkalte globale industrivertikalene representert ved øvrige forretningsenheter skal rapportere til Mark Hurd.

– Safra og Mark nå skal rapportere til Oracle-styret i stedet for til meg, sier Ellison i en uttalelse.

Styremedlem Michael Boskin sier at Larry har gjort det veldig klart at han ønsker å fortsette å arbeide for fullt.

Mangemilliardæren (Ellison er USAs tredje rikeste etter Bill Gates og superinvestor Warren Buffet) skal nå fokusere sin energi på produktutvikling, teknologi og strategi, ifølge ham.

Det som på overflaten fremstår som et historisk maktskifte i hjertet av Silicon Valley er i realiteten mer en skinnøvelse, er det flere som mener.

– Det har alltid vært, og vil alltid bare være én konsernsjef i Oracle. Alle utviklingsfunksjonene innen programvare og maskinvare skal fortsatt rapportere til Larry Ellison, skriver Salesforce.com-toppsjef Marc Benioff i en melding på Twitter.

There always has been, & always will be, one ceo at Oracle. “All sw & hw engineering functions will continue to report to @larryellison.”

— Marc Benioff (@Benioff) September 18, 2014

Benioff er tidligere salgssjef i Oracle. Han og Larry Ellison hadde i mange år et svært anstrengt personlig forhold til hverandre, de kranglet åpenlyst, før de to herrene i fjor begravet stridsøksen og valgte å inngå et forretningsmessig samarbeid.

Også Mike Wilson, forfatteren av biografien “Forskjellen mellom Gud og Larry Ellison (Gud tror ikke han er Larry Ellison), støtter oppfattelsen til Benioff, skriver avisen SFGate.

– Oracle er Larry Ellison, og Larry Ellison er Oracle. Du kan gi og ta ifra ham titler, men Larry vil fortsatt ha en sterk innflytelse på selskapet i lang tid framover, sier Wilson.

Endringen i Oracle-ledelsen kommer etter misnøye blant Oracles investorer om de enorme utbetalingene til Ellison. Ingen i teknologiverden tjener mer enn ham, på tross av den beskjedne lønnen på 1 dollar i året.

Larry har i mange år nemlig fått tildelt aksjeopsjoner verdt betydelige summer. I fjor alene innkasserte han 153 millioner dollar, nesten én milliard kroner på dette. Denne kompensasjonen er gitt av styret, mer eller mindre uavhengig av hvor godt Oracle har gjort det, noe kritikere har reagert kraftig på.