Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

1 Gbit internetaccess med Labs2

Postat 2004-11-30, kl 21:36 • Ämne: Internet
Jonas Birgerssons Labs2 drar i gång med att erbjuda internetuppkoppling på 1 Gbit/s för 850:- per månad. Härligt med någon som ser framåt och inte bara tänker på hur mycket man kan klämma ur befintlig infrastruktur. Grattis och bra jobbat Jonas!!
ämne

Eye in the Sky

Postat 2004-11-30, kl 03:22 • Ämne: Personlig integritet, Teknik, Skoj, Övervakning

Reuters har en lite märklig artikel om möjligheten för privatpersoner att använda satellitbilder i övervakningssyfte. Systemet heter SAME som är en förkortning av See Anywhere, Map anywherE och är framtaget under ledning av professor Vincent Tao vid York University i Kanada. Det kombinerar satellitbilder med väderinformation och trafikdata och tillåter sömlös zoomning ned till gatunivå. På Yorks hemsida utlovar de att systemet enables users to see any place on the planet in real time.

Reuters: "The information is reformatted on a searchable Web site that can capture ground-level images of the Earth with little or no time delay. This is real-time streaming technology. It's like (the online directory) MapQuest or the navigation system in your car, but three-dimensional"

Min gissning är att reportern tolkat real-time streaming som att bilderna kommer direkt från satelliten. Tänker man efter så låter det nog lite väl bra för att vara sant. Det finns ett väldigt begränsat antal satelliter, och jag har svårt att tänka mig att jag kan få lov att välja vad de fotograferar med kort varsel till en överkomlig kostnad. Den här typen av satellit står inte heller stilla, utan någon av dem måste passera över det jag vill titta på just vid det tillfället.

Geostationära satelliter för som ligger kvar i samma position över ekvatorn går på mycket högre höjd (35 900 km, jämfört med 550-1000 km för spionsatelliter) och lämpar sig därför dåligt för foto.

York University: "York University Prof. Vincent Tao has developed groundbreaking satellite mapping technology that enables users to visually zoom in on – or fly over – any place on the planet in real time. [...] it is an Internet-based technology that provides 3-D imagery with ground resolution of a half-metre to one metre – close enough to identify automobile makes, for example, but not the human face"

En databas med lagrade högupplösta bilder som sedan kombineras med andra data och sedan skickas ut låter mera troligt. Kanske med lite fräck 3D-grafik som socker på toppen. Men vad vet jag, det kanske är en ny och revolutionerande uppfinning på gång. I så fall vill jag ha ett konto så jag kan börja snoka direkt. ;)

En webbplats som redan kombinerar information från vädersatelliter med foto är die.nets World Sunlight Map. Bilder av jorden kombineras med aktuellt molntäcke och en beräkning vart det är dag och natt. En sida som är kul att titta på om man inte orkar kika ut genom fönstret själv.

ämne

SCO äger all din kod

Postat 2004-11-29, kl 20:24 • Ämne: Skoj

Någon hackade SCOs webbserver i natt och ersatte deras hemsida med en riktigt stilig bild som proklamerade att We own all your code – Pay us all your money.

[SCO hackat]

Förändringen var så snygg att det först rådde osäkerhet kring om det var en hacker som ändrat sidan eller om SCO försökte vara självironiska. Kanske de skulle skrivit All you code are belong to us – You are on the way to bankruptcy!. :>>

spara information om all telekommunikation

Det skulle tvinga operatörerna att spara:

  • Information om varje telefonsamtal - inklusive telefonens position
  • All e-post
  • Alla SMS-meddelanden
  • Historik över besökta webbplatser
  • Loggar med information om övrig IP-trafik.

Kort sagt, logga och spara information om all telekommunikation, plus vart en påslagen mobiltelefon har befunnit sig rent fysiskt. Säg hej till din personliga spårsändare.

Enligt en uppgift vill man att detta sparas i tre år. Det ska bara göras tillgängligt till polisen om individen misstänks för allvarliga brott, så som terrorism eller narkotikabrott.

Massövervakning utan debatt

Tyvärr har en sådan här databas ett så stort värde att man kan utgå ifrån att den blir hackad förr eller senare. Antingen av privata intressen som vill åt informationen för dess kommersiella värde, eller av främmande makt. Vi talar om den största organiserade massövervakningen av medborgarna i Sveriges historia. Ändå finns det i likhet med andra "svåra" frågor som rör teknik ingen allmän debatt.

Kostnaden blir enorm

Det är tveksamt om det ens är tekniskt möjligt att lagra all denna information. Det handlar om massiva datamängder och kostnaden för lagringen blir enorm. Och det är kunderna som får stå för fiolerna. Det är enda sättet för operatörerna att täcka sina kostnader.

Skulle detta förslaget bli verklighet ser Storebror var du är och allt du använder Internet och mobiltelefonen till - In i minsta detalj.

ämne

WinForms och Avalon

Postat 2004-11-29, kl 01:29 • Ämne: WinForms

John Montgomery har postat ett intressant inlägg på sin webblogg om hur den framtida relationen mellan Avalon och WinForms är tänkt att se ut.

I stora drag kan man säga att det är viktigt att klart separera GUI-koden redan från början om man tänkt sig att så småningom kunna gå över till Avalon någon gång 2007. Ett råd som naturligtvis alla följer redan. Eller i varje fall försöker. För Visual Studio gör det väldigt lätt att bara slinka in lite kod i någon event handler.

John Montgomery: "Microsoft’s roadmap for client UI development has three main phases:

  1. Today, use Windows Forms v1.1 and observe the Microsoft Patterns and Practices guidance for maintaining clean separation between UI and other application logic.
  2. When Avalon v1.0 releases (scheduled for mid-2006), we recommend that applications looking to differentiate their user interface such as Web sites and graphically intensive applications such as complex data visualization look closely at Avalon. Other applications should continue using Windows Forms.
  3. Following the release of Avalon 1.0, the next version of Visual Studio following Visual Studio 2005 will contain tools and designers to support Avalon. At this point, customers should start to move their new development efforts to Avalon and use the Windows Forms/Avalon interoperability features."

WinForms kommer att hänga med ett bra tag till, och man behöver vara sömnlös över att inte redan nu ligga i startgroparna med Avalon. Det är skönt att veta. För WinForms är mycket trevligt att utveckla med.

ämne

Amerikanska pass med RFID

Postat 2004-11-29, kl 00:37 • Ämne: Personlig integritet

Amerikanska myndigheter arbetar med att införa en ny generation pass som kan avläsas trådlöst på upp till 10 meters avstånd. Det ska innehålla ett 64 Kb RFID-chip som på uppmaning skickar ut namn, adress och digitalt foto. På så sätt ska passen bli svårare att förfalska.

Varför envisas med trådlös teknik?

Frågan är bara varför man envisas med att använda trådlös teknik, och inte vill kryptera varesig överföringen eller informationen på själva chippet. Den trådlösa tekniken gör att passinnehavaren inte vet när passet läses av. Eller vem som gör det. Värdet i att överföringen är trådlös är minimal. Jag har svårt att tänka mig en gränsövergång där tulltjänstemännen viftar förbi folk, och nöjer sig med att se den information som chippet skickar ut. De vill säkert se själva passet också! Då kan man lika väl använda en läsare med fysisk kontakt.

Det är främst tre stora nackdelar med trådlös teknik:

  1. Informations- och identitetsstöld. Att någon obehörig läser av passet och sparar informationen. Kanske för att användas vid passförfalskning.
  2. Profilering. Med en scanner kan man snabbt ta reda på vilken nationalitet individerna i en grupp människor är - utan att växla ett ord. Ett utmärkt verktyg för den som vill rikta ett terrordåd mot enbart ett visst lands medborgare.
  3. Integritetsproblem. Till exempel att någon person går runt med en scanner på ett politiskt möte och samlar in namn på deltagarna.

Folieklädda passfodral

American Civil Liberties Union har begärt att man utformar passen med detta i åtanke och försvårar för obehöriga att läsa av informationen. Ett exempel på en motåtgärd är att beklä passens pärmar med någon form av metallfolie så att passet bara går att läsa av när det öppnas. Enkelt och billigt! Men de amerikanska myndigheterna ställer sig negativa.

Märkligt med tanke på att det skulle höja säkerheten för den som bär passet, det vill säga deras egna medborgare. Den enda anledningen till att man vill göra något sådant som jag kan se, är att man själv är intresserad av de möjligheter det innebär för övervakning. Inte minst om andra länder följer efter med liknande system.

Den framtida marknaden ser ljus ut för den som vill tjäna en hacka på att kränga snygga folieklädda passfodral!

ämne

Juristdoktoranden i Lund frikänd

Postat 2004-11-28, kl 03:07 • Ämne: Säkerhet

Doktoranden som stod åtalad för att ha olaglig bilder på sin tjänstedator blev frikänd av Lunds tingsrätt. Han hävdade att någon annan hade lagt dit materialet med hjälp av trojanen Netbus för att sätta dig honom. Han har fått vänta fem år på rättegång och förlorat sin doktorandtjänst.

Expressen: "Utredningen i målet visade att fjärrstyrningsprogrammet eller trojanen "netbus" hade installerats i datorn tillsammans med en programfil som registrerar alla tangentnedtryckningar som görs på en dator. [...] Den åtalade mannen hade inte behörighet att skapa den aktuella programfilen."

Exakt vad som är sant och vad som hänt är naturligtvis inte lätt för en utomstående att veta. Men om man går på den friande domen är detta en otrolig personlig tragedi. Där både privatliv och karriären gått i kras. För att inte tala om det psykiska lidande det måste innebära att vara utpekad och dömd på förhand i allmänhetens ögon. Det är en riktigt läskig tankeställare om hur lätt det är att använda datorteknik som ett vapen. Och hur viktigt det är att man gör allt man kan för att försöka skydda sig. De som säger att de inte har något viktigt på sin dator och därför inte har något att skydda bör tänka om.

Det är inte bara vad någon kan ta, det är också vad de kan lämna!

Uppdaterat: Expressen har en uppföljningsartikel med mera detaljer: "Fler oskyldiga har drabbats". Netbus är en gammal ohyra som inte är något problem idag eftersom den hittas av alla antivirusprogram. Dagens trojaner är duktigare på att gömma sig. Men själva principen gäller lika mycket idag som 1999.

Hela artikeln finns att läsa på Expressen.se

PC World har en underhållande artikel med titeln ”Busting the Biggest PC Myths”. Att man aldrig ska svara på skräppost får hela 4 av 5 på deras Bogus-O-Meter.

PCWorld: "if you do opt out and get more spam, how will you know you wouldn't have received it anyway? [...] Knowing who to opt out from is key [...] Opting out of legitimate companies drops you off their lists, but when you do that with 'real' spammers, the results are unclear."

Det ligger något i resonemanget. Jag har en e-postadress som inte varit kopplad till någon server i över ett år, och all e-post som skickats dit har därför studsat. När jag fick tillbaka den hade antalet skräpmeddelanden ökat dramatiskt. Så det verkar inte som om det görs några större försök att rensa upp listorna och ta bort adresser som inte fungerar. Trots att det är en relativt enkel sak att göra automatiskt. Varför skulle de i så fall bry sig om att markera fungerande adresser? Om det ändå skickar till alla adresser de kan få tag på spelar det ju ingen roll.

Rådet att man aldrig ska klaga och försöka bli avförd från listorna är lätt att ta till sig. Det är vad som är enklast. Man behöver inte göra någonting alls. Och det låter logiskt att man bara får mer skräppost om man svarar. Men frågan är hur väl underbyggd den teorin är, och om den verkligen testats i praktiken.

Å andra sidan sett är det enklare att göra en regel som kastar e-post från de "seriösa avsändare" som skulle tagit bort adressen om man klagat. Det vet man fungerar.

ämne

Den lagade WinAmp är också sårbar!

Postat 2004-11-26, kl 16:17 • Ämne: Säkerhet

Felet i WinAmps hantering av spellistor finns kvar även i den version som Nullsoft påstår är åtgärdad.

Brett Moore från Security-Assessment skriver såhär i ett meddelande till e-postlistan Full-Disclosure:

Brett Moore: "It appears that the 'patched' version 5.05 does NOT fix the buffer overflow issue that we notified Nullsoft about. [...] As we wrote in our advisory we were notified by email that the issue had been fixed and an update posted to the website."

Lösning

Avassociera filnamnstilläggen .cda och .m3u från WinAmp.

Ännu en brist i Internet Explorers filhantering har uppdagats av Cyber Flash. Denna gång är det funktionen för att spara en bild som kan utnyttjas för att lura användaren att spara en manipulerad fil.

Till exempel om man lyckas skapa en giltig bildfil med en inbäddad kod går det att få webbläsaren att spara det med godtyckligt filnamnstillägg. Det är just hanteringen av filnamnstillägg som spökar, och tricket fungerar bara om man inte slagit av funktionen att dölja kända filnamnstillägg.

Secunia: "The vulnerability is caused due to Internet Explorer using the file extension from the URL's filename when saving images with the "Save Picture As" command and also strips the last file extension if multiple file extensions exist."

Lösning

Stäng av funktionen "dölj filnamnstillägg för kända filtyper"

Nu är snöbollen ordentligt i rullning. Så till den grad att vanliga media som Aftonbladet varnar för Internet Explorer.

Kanhända råkade en och annan Aftonbladet-medarbetare också illa ut när Falk AG delade ut spyware på deras webbplats häromsistens. Fast allt tidningsfolk kör kanske fortfarande Mac.

Kommer man under Aftonbladets lupp, ja då ligger man risigt till. :>>

Hoppas att det kommer något positivt ut av det. Som till exempel en fix för säkerhetshålet innan nästa ordinarie tillfälle (andra tisdagen varje månad) som i december ligger optimalt långt in i månaden. Den första är nämligen en onsdag. Vilket om jag (eller min Outlook rättare sagt) räknat rätt innebär att Patch Tuesday blir den 14/12.

Tidigare inlägg

2004-11-25 : Yo! Microsoft! Fixa Internet Explorer!

ämne

Mozilla ökar oväntat mycket

Postat 2004-11-25, kl 16:46 • Ämne: Internet Explorer, Firefox

SearchEngineJournal skriver att Mozillas webbläsare på kort tid kapat åt sig en ordentlig andel av användarna enligt statistik från OneStat.com

SearchEngineJournal: "The latest survey from OneStat.com shows [...] Mozilla Foundation has taken a 7.4% market share gaining more than 5% since May. Microsoft’s Internet Explorer has dropped down to 88.9%"

Förvånansvärt bra resultat i ansträngningarna att få användare att byta från Internet Explorer. Nyhetens behag med släppet av version 1.0 av Firefox har kombinerats med ett halvår av konstanta säkerhetsbrister i Internet Explorer. Långsam lagning från Microsofts sida och en ständig ström av nya exploits som överlappat varandra har hjälpt till att driva användare ifrån Internet Explorer till andra alternativ. Ingen har hjälpt Mozilla mer än Microsoft. Det är ganska tråkigt. För det var väldigt bekvämt att vara webbutvecklare när det bara fanns en webbläsare att ta hänsyn till. Jag längtar inte tillbaka till tiden när Internet Explorer och Netscape hade halva marknaden var, och de hade var sin lösning på samma problem.

Via: OSDir.com.

Tidigare inlägg

2004-11-25 : Yo! Microsoft! Fixa Internet Explorer!
2004-11-09 : Grattis Mozilla Firefox!

Det är lätt att skratta åt människor som varnar för att tekniska landvinningar kan missbrukas för att övervaka och spionera på användaren. Ofta avfärdas de som paranoida stackare med mössa av aluminiumfolie som man kan göra narr av. Eller så stämplas individen som reaktionär och framstegsfientlig. Hos en del är det nästan en reflexmässig reaktion. Det måste vara bekvämt att vara så naiv.

Vi måste bli mera vaksamma

Problemet är snarare att majoriteten inte är paranoid nog. Bekvämlighet idag slår alltid risk för missbruk i morgon. Men varje apparat, teknik eller tjänst kan inte ses som en isolerad företeelse. Det måste ses som en pusselbit i en större bild som bedöms som en helhet. Det kräver teknisk kunskap och en viss portion fantasi. Den som skrattar först är oftast den som saknar bådadera. Till det bör läggas insikten att regler inte alltid följs och att de faktiskt kan ändras. Den säkraste informationen är den som inte finns.

Färglaserskrivare märker utskrifterna

Av all den teknik som kan tänkas spåra en persons förehavanden var nog utskrift på papper en av de sista jag förväntade mig att hitta någon större överraskningar hos. Så det har tagit ett par dagar att smälta nyheten om att färglaserskrivare lägger in sitt serienummer på varje papper som skrivs ut. En gång för varje tum skrivs serienumret ut med ljusgula prickar som är nästan omöjliga att se för blotta ögat. Motivet är att kunna spåra individer som använder färglaser till att förfalska pengar.

Använts i hemlighet i 10 år

Denna teknik har företag som Xerox använt i sina produkter i över 10 år. Utan att upplysa kunden om att varje utskrift märks. Och det är själva kärnan i problemet. Om man hade upplyst köpare om denna "funktion" kunde kunden välja om det är acceptabelt eller inte. Den informationen hade inte gjort utrustningen bättre lämpad för att trycka pengar. Men det hade gjort att de som till exempel lever i en diktatur som begränsar yttrandefriheten hade vetat att det som skrivs på en sådan skrivare kan spåras.

Det är inte okej att någon öppnar min post. Eller tjuvlyssnar på mina telefonsamtal. Inte heller att man installerar spyware som kartlägger mina fritidsintressen. Lika lite är det okej att lägga serienummer i mina utskrifter utan att tala om det.

Förtydligande: serial number of each machine coded in little yellow dots

ämne

Yo! Microsoft! Fixa Internet Explorer!

Postat 2004-11-25, kl 00:35 • Ämne: Säkerhet, Internet Explorer

Medan Microsofts företrädare åker Jorden runt och försöker övertyga om att Open Source är ett mindre säkert alternativ har virusmakare och spywarenissar bråda dagar.

Det är säkerhetshålet i Internet Explorers hantering av elementet IFRAME som utnyttjas av spyware och masken Bofra. Reklamföretaget Falk AG fick sina servrar infekterade och matade ut spyware till dem som besökte webbplatser som engelska The Register, svenska IDG och Aftonbladet.

Microsofts saktfärdighet att laga hålen i Internet Explorer har gett upphov till en marknad för tredjepartspatchar. Alltså att andra företag eller privatpersoner fixar problemen och sedan säljer patchen som Microsoft borde tillhandahålla gratis. En dålig och osäker temporärlösning. För hur vet man att de verkligen åtgärdar problemet – och inte skapar nya? Det har fått Tom Liston på SANS Internet Storm Center att skriva ett meddelande till Microsoft i SANS Handler's Diary. Han skriver bland annat:

Tom Liston: "Yo! Microsoft! What don't you get? People are so scared to surf with an unpatched IE that they're shelling out cold, hard cash to third-parties for a level of "Trustworthy Computing" that you should be providing. It's time to step up to the plate. Do you hear? Hello?"

Och jag tycker han har rätt. Mindre snack och mera verkstad. Visa hur bra produkterna i handling istället för att försöka göra det genom säljsnack och PowerPoints!

Felet i Internet Explorer är fixat i Service Pack 2 om man kör Windows XP. Men tyvärr finns det fortfarande företag som inte kan eller vill installera den uppdateringen. Om man istället kör Windows 2000 finns det inte mycket skydd att tillgå förutom att lita på sitt antivirusprogram. Och att försöka undvika att använda Internet Explorer utom när det är absolut nödvändigt. Det är en oacceptabel situation.

Som en parantes kan nämnas att IDG var till och med så fräcka att de i slutet sin artikel om incidenten puffade för att man kan köpa Mikrodatorns artikel med test av anti-spyware för 30 kronor. Häpnadsväckande dåligt omdöme då deras egen webbplats var en av de drabbade!

Utförliga tester av sådana program kan man läsa gratis på webbplatsen Spywarewarrior.

Danska Alt om DATA skriver att det nu finns en majoritet i Folketinget för kravet att mjukvara som upphandlas av den danska offentliga sektorn ska baseras på öppna standarder.

Det innebär att det inte längre går att på slentrian köpa lösningar från Microsoft eller IBM utan att utvärdera konkurrenternas erbjudanden. Det ska bara vara tillåtet att köpa producentspecifika lösningar om det inte finns någon motsvarade lösning som använder öppna standarder. Utan att veta närmare om förslagets detaljer låter det som en klok idé.

Alt om DATA: "I forslaget hedder det, at de offentlige indkøbschefer kun skal have lov at købe programmer, der kører på lukkede standarder, hvis der ikke findes noget tilsvarende baseret på åbne standarder"

Exakt vad man menar med en öppen standard är dock oklart. En del har tolkat det som att man försöker kasta ut Microsoft - och udden är naturligtvis riktad ditåt. Men det finns inget som säger att inte Microsoft kan producera program som bygger på öppna standarder. Eller att man beroende på definition av begreppet inte redan gör det.

System bör väljas på basis av kostnad, teknisk merit, och det värde det tillför slutanvändaren. I detta fallet danska medborgare. Att ett system inte låser in informationen i hemliga format som ägs av en privat firma har ett värde. Det är viktigt att kommunikation med myndigheter och deltagandet i demokratin inte blir avhängigt av att man har mjukvara från en viss tillverkare. Men det är också en rent ekonomisk fråga. Den beräknade kostnadsbesparingen är 3,7 miljarder danska kronor under de första fyra åren, och sedan 6 miljarder per år när väl systemen är inkörda. Gissningsvis är mertalet av detta besparingar i licenskostnader.

Lustigt nog kommer detta bara en vecka efter Bill Gates möte med den danska statsministern Anders Fogh Rasmussen och löftena om fortsatta satsningar på Microsofts utvecklingscenter i Vedbæk norr om Köpenhamn. För två år sedan köpte Microsoft det danska företaget Navision för 11 miljarder danska kronor, och Microsoft Vedbæk Technology Center är nu företagets största utvecklingscenter utanför USA. Tyngdpunkten ligger i utveckling av affärs- och ekonomisystemen Axapta / Navision och Microsoft Business Framework.

ämne

Säkerhetshål i WinAmps hantering av spellistor

Postat 2004-11-23, kl 12:32 • Ämne: Säkerhet

Brett Moore på Security-Assessment.com har hittat ett säkerhetshål i hur WinAmp v5.05 hanterar spellistor.

Säkerhetshålet kan utnyttjas genom att en användare luras att ladda hem en preparerad spellista (m3u) som utlöser en buffertöverskridning i komponenten IN_CDDA.DLL. Därefter körs medskickad kod med samma rättigheter som användaren.

Att lura användaren är inte så svårt i detta fallet. Det är bara att göra en helt vanlig länk till en spellista (m3u-fil). Kör besökaren Internet Explorer och klickar på länken laddas spellistan ner utan några frågor och körs igång i WinAmp. Firefox visar först en dialog och frågar vad användaren vill göra med filen.

Lösning

Uppgradera till WinAmp v5.06

Uppdaterat: Nullsofts påstående om att felet är åtgärdat verkar inte stämma.

ämne

VHS och optisk glömska

Postat 2004-11-23, kl 02:02 • Ämne: HÃ¥rdvara

Reuters skriver om att VHS-formatet är inne på sista varvet. En av Storbritanniens största kedjor för hemelektronik – Dixons har beslutat sig för att sluta sälja VHS helt och hållet. Inte ens inbrottstjuvarna bryr sig om att ta videobandspelarna längre. Det är helt enkelt inte lönt besväret. DVD har tagit en stor del av köp- och hyrfilmsmarknaden och nu börjar även apparater med inspelning att bli prisvärda. VHS har 25 år på nacken och det är bara konstigt att det hängt med så länge.

För några år sedan bytande jag upp mig till S-VHS och jag tycker att det är stor skillnad även om det fortfarande är ett i grunden analogt system. Dock är banden är gräsligt dyra. Videon har visserligen en funktion för att spela in med S-VHS-kvalité på vanliga videoband, så man slipper det gamla tricket att borra ett extra hål för att lura sensorerna. Men jag tycker inte det fungerar så speciellt bra och bilden blir inte lika skarp.

Det ska bli skönt att slippa spola band. Men jag tror VHS kommer att visa sig mera seglivat än Dixons tror. Det finns massor av gamla band ute i stugorna som måste gå att spela upp även i framtiden. Och vanans makt är stor. Det säljs till exempel fortfarande kassettbandspelare trots alla CD-R, MD och MP3-spelare!

Tveksam hållbarhet

Den största betänkligheten jag har angående att gå över till DVD-R är hållbarheten på skivorna. Jag har videoband som är över 15 år gamla och de går utmärkt att spela fortfarande. Bilden är inte lika fin längre men det fungerar. Med DVD är det värre. Antingen fungerar det eller så gör det inte det. Istället för suddig bild blir det tvärstopp om skivan är skadad.

Ögonöppnaren kom när jag läste in alla mina CD-skivor till MP3 på datorn. Jag har alltid varit noga med mina skivor, och hanterat dem enligt konstens alla regler. Därför förväntade jag mig inte några problem. Men bland skivorna hade jag ett tiotal hembrända audio-CD av varierande ålder, och till min förvåning var det inte speciellt många som fortfarande gick att läsa in felfritt. Några få riktigt gamla pressade CD hade också fallit för ålderstrecket. Förmodligen för att de var dåligt tillverkade från början.

Då började jag titta på min samling CD-R skivor. Och jag fann att ca 10-15% av dem gav någon form av läsfel. Traditionell visdom om att märkesskivor som Kodak skulle klara sig bättre än udda märken visade sig inte stämma. Plastficka eller jewel case var inte heller avgörande. Felen fanns i ett tvärsnitt av alla skivor som hade ett par år på nacken.

Ständig säkerhetskopiering

Går en DVD-R som bränns idag att spela om 15 år – eller sitter man bara där med en trave värdelösa plastbitar? Hur bra DVD-R står sig i praktiken är inte lätt att veta. Men löftena om att en rätt hanterad CD-R skulle ha en arkivbeständighet på över 30 år (en del säger till och med 120) tror jag inte ett dugg på. Och därför ser jag ingen anledning att tro på fabrikanternas uppgift om DVD-R-skivornas hållbarhet heller.

Totalt sett överväger naturligtvis ändå fördelarna med DVD-R. Analoga inspelningar håller inte för evigt de heller. Alla fördelarna med enkel kopiering, redigering, överföring, och katalogisering är ett steg framåt. Det gäller bara att se till att kopiera ofta nog. Och blir en del av den digitala ålderns ständiga migrering.

ämne

Sju säkerhetstips och en rolig artikel om WiFi

Postat 2004-11-22, kl 02:56 • Ämne: TrÃ¥dlöst

Paul Boutin har skrivit artikel med en fullständigt oemotståndlig rubrik: How To Steal Wi-Fi (And how to keep the neighbors from stealing yours). Det är intressant läsning även om jag inte håller med honom på några avgörande punkter. Som till exempel hans motivering av tillfällen när det är okej att ”låna” grannens uppkoppling.

Paul Boutin: "Using someone's connection to check your e-mail isn't like hacking into their bank account. It's more like you're borrowing a cup of sugar."

Skillnaden är att man knappast bryter sig in genom ett halvöppet köksfönster, snor en kopp socker och sedan smiter så fort man kan.

Men okej, man man får hitta någon förevändning för att få skriva en skoj artikel. Jag kunde inte låta bli att skratta lite för mig själv vid tanken på hur korkat det är att hämta sin post eller göra andra ärenden via en hackad uppkoppling. Det är bara för nätägaren att sätta sig och lyssna på trafiken och spara intressant information så har hackaren satt ett skott i egen fot. Andelen trafik som går över SSL eller liknande är relativt liten. Jag tycker tanken på hur mycket ens ISP har möjlighet att avlyssna är tillräckligt jobbig, och de har ändå ingen direkt anledning.

Kanske artikeln blir en ögonöppnare för de som inte är medvetna om att deras trådlösa nät inte stannar den egna väggen. De utlovade tipsen visar sig vara en länk till About.com som har sju tips för hur man gör livet surare för en nyfiken granne:

  1. Ändra / sätt lösenord på din accesspunkt / router.
  2. Slå på trafikkrypteringen
  3. Ändra förvalda SSID
  4. Tillåt bara bestämda MAC-adresser
  5. Slå av SSID-broadcast
  6. Tilldela statiska IP-adresser (istället för att använda DHCP)
  7. Placera inte accesspunkten vid en yttervägg

Eller så kan man helt enkelt göra hål i väggarna och dra gammal hederlig kabel. Det är en lösning som jag själv föredrar.

ämne

MySQL: Slaget vunnet, kriget går vidare

Postat 2004-11-21, kl 02:25 • Ämne: EU, Patent

MySQL vd Mårten Mickos välkomnar Polens ställningstagande mot mjukvarupatent men varnar samtidigt för att slaget är långt ifrån över.

ComputerWire: ""Open source database vendor MySQL AB has warned that the battle over software patents in Europe is far from over despite the Polish Government's decision to reject proposed legislation that would have seen Europe follow the US in allowing more software patents."

Tidigare inlägg

2004-11-17 : Tack Polen!

SecurityFocus har publicerat detaljer kring en brist i Internet Explorer som gör det möjligt att lura webbläsaren att inte visa någon säkerhetsvarning när användaren sparar en körbar fil. Normalt visar Internet Explorer en säkerhetsvarning och frågar användaren "Vill du köra eller spara den här filen?".

På Windows XP med SP2 markeras filer som laddats hem med vilken säkerhetszon de kommer ifrån. När användaren försöker starta ett program som laddats ned från nätet ges en extra varning av AES (Attachment Execution Services).

Detta fel gör det möjligt att konstruera en webbsida som sätter båda mekanismerna ur spel. Felet finns i alla versioner av Internet Explorer på alla versioner av Windows. Felet upptäcktes av Cyber Flash.

För det ska fungera kräver det att användaren laddar en webbsida, sen klickar på en länk, samt att funktionen för att dölja filnamnstillägg för kända filtyper inte är avslagen. Förvalt beteende är att inte visa filnamnstillägg, och det är förmodligen ett av de sämsta designvalen i Windows historia.

Det finns ett par olika varianter på hur det går att lura Internet Explorer att acceptera filen som angriparen vill placera på besökarens dator. Ett alternativ är att döpa om filen och byta filnamnstillägget från EXE till HTML ("program.html"). Ett annat är att referera till filen genom att hänga på "?.html" på namnet ("program.exe?.html"). Filen inkluderas på en webbsida i en osynlig IFRAME och accepteras av Internet Explorer som en HTML-fil. Om filen haft sitt ursprungliga filnamnstillägg hade den hanterats som en körbar fil och blivit blockerad. Men istället för att visa en säkerhetsvarning och blockera filen laddar Internet Explorer istället hem innehållet.

<iframe src='program.html' name="NotFound" width="0" height="0"></iframe> Click <a href=#onclick= "javascript: document.frames.NotFound.document.execCommand ('SaveAs',1,'program.exe'); ">here</a>.

Nästa steg är att via JavaScript försöka spara innehållet som en körbar fil. När användaren klickar på länken visar Internet Explorer en dialogruta med titeln "Spara HTML-dokument". Filnamnet visas bara som "program" och filtypen anges som HTML-fil. Men innehållet sparas som "program.exe" och är således åter en körbar fil. Här borde Internet Explorer visa en säkerhetsvarning och påpeka att "webbsidan" sparas som en ".EXE".

På Windows XP med SP2 borde Internet Explorer dessutom markera att programmet laddats ner från nätet. Så att AES sedan kan varna när användaren försöker köra programmet. Men programmet är nu som vilken körbar fil som helst på användarens maskin och går att köra utan några extra varningar.

Då det krävs att användaren själv accepterar att spara filen tycker jag att detta är en relativt litet problem. Det räcker till exempel med att man ändrar filnamnet i dialogrutan för att filen ska sparas med ".HTML" istället för ".EXE". Men med lite social engineering och kanske i samverkan med någon annan säkerhetsbrist kanske det kan bli värre. Det är i alla fall ett av de första bristerna som påverkar SP2 lika mycket som andra versioner av Windows. Och som går förbi den nya funktionen som ska göra det svårare för användare att klicka igång ett nedladdat program av bara farten.

Lösning

ämne

Tack Polen!

Postat 2004-11-17, kl 18:12 • Ämne: Patent

Från Polen kommer helt underbara nyheter för alla som vill att man även i fortsättningen ska få lov att skriva sina egna program utan att vara patentexpert.

IDG: "Det ser inte ut att bli någon lagstiftning om mjukvarupatent inom EU. I alla fall inte enligt det förslag som finns upp för behandling just nu i och med att Polen säger nej vilket innebär att en majoritet inte kan uppnås."

Det är verkligen pinsamt att den Svenska regeringen röstat för det liggande förslaget. Tur att det finns andra länder som bryr sig om sin inhemska programvaruindustri!

FFII: "After extensive consultations with organizations of IT professionals and the Polish Patent Office, the Polish cabinet concluded that the proposal at hand does not achieve the stated goals of limiting patents on software and business methods in Europe."

ämne

20 dollar kan ge 10 år i fängelse

Postat 2004-11-16, kl 02:29 • Ämne: Microsoft, Upphovsrätt

Securityfocus skriver om den 27-åring som blev arresterad efter att ha sålt en kopia av den källkod till Windows 2000 som stals från en av Microsofts partners i vintras. Förutom de 20 dollar han fick betalt får han nu ett åtal för företagsspioneri som bonus. Han tycker det hela är orättvist och att han blivit utvald bara för att man vill statuera exempel.

William Genovese: "They're using me as an example, to show if you do something like this, they're going to [work] you over [...] Why go after me? Why not go after the guy who took the code? Why not go after the guy who released it on the net?"

Sålde källkoden

Till skillnad från de som kopierade och spred koden via P2P erbjöd han den som inte kunde hitta källkoden själv att ladda ner den från sin hemsida mot en mindre donation. Det han inte visste var att Microsoft anlitat ett säkerhetsföretag för att leta efter folk som spred den läckta koden på nätet. Den som erbjöd sig att betala för att få ladda ner koden jobbade för Microsoft och anmälde honom till FBI.

Det hela blev inte bättre av att han sålde koden mer än en gång. FBI bad säkerhetföretaget att kontakta 27-åringen igen och be om en ny kopia, under förespegling om att man tappat bort den gamla. Åter igen fick de ladda hem en kopia mot en mindre summa pengar.

Företagsspioneri

Att ta betalt var inte bara småsnålt - utan också extremt korkat. För de 20 dollar han fick betalt via Paypal gjorde att FBI kunde använda den betydligt strängare lagstiftningen om företagsspioneri mot honom. Det kan ge honom 10 år i fängelse. Så han har nog rätt i att man försöker statuera exempel genom att klämma åt honom extra hårt. Det är något som kan slå tillbaka mot åklagaren om det visar sig att 20 dollar var lite väl lite för den brottsrubriceringen. Att koden också var lätt tillgänglig via P2P är också något som talar till hans fördel.

Jag kan förstå nyfikenheten att äntligen få titta på den hemligaste källkoden av alla, och se hur koden man skriver på Microsoft ser ut. Men man får vara bra korkad om man inte inser att Microsoft kommer att skicka sin armé av advokater efter alla och envar som de misstänker sitter på deras källkod. Att då kränga den för ett par dollar via sin hemsida är kanske inte det smartaste man kan göra.

ämne

Dags att betala TV-licens för datorn

Postat 2004-11-15, kl 04:34 • Ämne: Ekonomi

I Tyskland blir även datorer TV-avgiftspliktiga från den 1:de januari 2007. Eftersom teknikutvecklingen gör att man numera (i varje fall i teorin) kan se på TV via en bredbandsuppkoppling. vill man att datorägare också ska vara med och betala.

När nu tyskarna kommit på en sådan klurig idé var det bara en tidsfråga innan svenska politiker skulle hänga på. Och mycket riktigt vill nu Socialdemokraterna, Miljöpartiet och Vänsterpartiet ersätta TV-licensen med en Medieavgift.

Jag är kluven inför hela systemet med TV-licens. Det är en kvarleva från tiden när bara ett fåtal hade tillgång till TV, och det borde egentligen ersättas med ett uttag på skattsedlen. Idag kan den stora majoriteten se på TV oavsett om de betalar licens eller inte, och om någon avstår är det säkerligen inte på ekonomiska grunder. Om det är viktigt att ha en statlig radio och TV bör alla vara med och finansiera den, på samma sätt som alla är med och betalar för andra viktiga samhällsfunktioner. Då slipper man också den extra byråkratin och att avlöna kontrollanter som ligger och smyger i buskarna.

Mot detta står att reklamfri radio och TV behövs nu mer än aldrig. De reklamfinansierade kanalerna är i fritt fall angående både programkvalité och etiskt agerande (Barnreklam, spritreklam, förnedrings-TV). Då är det verkligen skönt att kunna fly undan sörjan och se på program som inte bryts stup i kvarten. Problemet med att ersätta avgiften med en allmän skatt är att politikerna säkerligen inte kommer att kunna hålla händerna ur den syltburken. Nu är det i alla fall klart vart pengarna går.

Medieavgift då? Ska man införa en sådan måste naturligtvis SVT sända alla sina kanaler via Internet i full kvalité. Då bör även en snabb internetuppkoppling gratis ingå i grundstandard på samma sätt som man förväntar sig att ha ett TV-uttag i sin lägenhet. Ska man betala ska man också kunna titta! IP-television åt alla!

ämne

Utvecklarna: betalar för övertiden EA Games

Postat 2004-11-14, kl 03:45 • Ämne: Arbetsliv

Arbetsförhållandena på EA Games får tidspressen under IT-bubblan att verka som rena semestern. De som inte kan arbeta övertid varje dag under ett helt projekt, utan ersättning i någon form, uppmanas helt enkelt att sluta.

Sjudagarsvecka på 85 timmar är något man får räkna med. Utan övertidsersättning, komptid eller annan betalning. Nu verkar det som om de fått nog och stämmer helt enkelt EA Games för att få betalt för övertiden.

Gamespot.com: "To recover the money they feel is owed to them, said employees are trying to file a class-action lawsuit against EA seeking overtime pay."

ämne

Filip och Fredrik möter Mahir Cagri

Postat 2004-11-14, kl 02:51 • Ämne: Aktuellt, Skoj

Jag såg att Filip och Fredrik i High Chaparall ska ägna ett avsnitt åt den turkiske nätlegenden Mahir Cagri. Det var 1999 som Mahir kom från ingenstans och blev världskändis ett par månader för att sedan åter försvinna in i glömskan.

Utgångspunkten var en hemsida där han med några privata bilder och dålig Engelska berättade att han ville lära känna nya människor i andra länder. Helst kvinnor...

Mahir lär själv hävdat att hemsidan las upp av en vän till honom som ett skämt. Och exakt varför just denna sida bedårade en hel värld är ett riktigt mysterium. Av alla dåliga sidor hade den något extra som gjorde att man först förvånades, sen skrattade och skickade länken vidare. Snöbollseffekten lät inte vänta på sig. Som svampar ur jorden dök det upp flashfilmer, låtar om Mahir, varianter på sidan och till och med en hel Mahir-portal.

Uttrycket I Kiss You!!!! blev lika känt som All your base are belong to us.

Mahir turnerade jorden runt och minglade med fans. Jag minns hypen när han skulle komma till Stockholm. Mahir var till och med så stor att David Letterman gjorde honom till ett stående inslag i sitt program. En kille som på avstånd liknade Mahir fick spela bordtennis i badbyxor, och ett par gånger varje program undrade Letterman - "Is that Turkish still there?". Så drog de upp ridån, killen gjorde en kort paus och skrek - "I kiss you, David Letterman!" innan han fortsatte spela. Vad jag minns körde de den grejen i flera veckor.

Vad hände sen då? Det har jag faktiskt undrat ett par gånger. Nu får man kanske veta. Programmet visas i Kanal 5 på måndag (15/11) Kl. 22:00. Kolla in: Mahirs nuvarande hemsida, och orginalet som gjorde honom känd.
ämne

Microsoft Non-Genuine Advantage?

Postat 2004-11-13, kl 03:49 • Ämne: Microsoft, Upphovsrätt

Tyska PC-Welt har gjort en för Microsoft aningen pinsam upptäckt. Det verkar som om den person som redigerat ljudfilerna som följer med Microsoft Media Player inte haft riktigt rent mjöl i påsen.

dump av en wave-filOm man öppnar någon av wave-filerna som ligger i Windows\Help\Tours\WindowsMediaPlayer\Audio\ i en hexeditor och kollar i slutet av filen ser man att de har redigerats med programmet Sound Forge 4.5, registrerad på användaren Deepz0ne. Mera känd som medlem av den piratgrupp som knäckt Sonic Foundrys Sound Forge (numera ägt av Sony). Whoops!

Sound Forge

Jag kan inte klandra Microsoft för att de använt Sound Forge. Det är ett utmärkt program! Jag hade dock ingen aning om att det sparar användarnamn i filerna man redigerar. Det är lite läskigt. Men efter att ha tittat på lite filer jag själv redigerat ser jag att så är fallet. Uppenbarligen visste inte Microsoft det heller. Det är nog ganska få som aldrig har använt ett piratkopierat program, och det finns väl ingen anledning att Microsofts anställda skulle vara ett undantag. Men då Microsoft insisterar på att man ska betala för deras program kan man tycka att de också borde vara lika noga med att betala själva. I vilket fall kan det väl lätta lite på eventuellt dåligt samvete hos vardagspirater som tycker Microsoft priser är lite i överkant.

Genuine Advantage

Men det som gjorde att detta träffade min skadeglädje mitt i prick är Microsofts pågående kampanj "Windows Genuine Advantage". Microsoft helst vill göra det obligatoriskt att de ska få kontrollera att besökaren har en laglig kopia av Windows för få komma åt att ladda ner uppdateringar. Och det fungerar bara med Internet Explorer. Precis som med aktiveringen försöker man klä det i ord som får det att låta som om det är en fördel för användaren att de snokar lite. Man får tacka för omtanken. Frågan är bara varför det inte var tillräckligt stor advantage för Microsoft att se till att de själva använder program som är genuine.

Fast det gäller kanske bara Windows? ;)

ämne

Tala tyst om fel i Windows

Postat 2004-11-12, kl 03:15 • Ämne: Säkerhet, Windows, Internet Explorer

Finjan Software säger sig ha hittat 10 olika säkerhetshål i Windows XP som även påverkar en helt uppdaterad installation. Att döma av den informationen de har gått ut med offentligt handlar det om problem med Internet Explorer.

Fel som möjligen kan medföra att man via MSIE kan läsa lokala filer, byta säkerhetszon, och ladda ner exekverbara filer utan att påverkas av SP2s nya säkerhetskontroll Attachment Manager / AES.

Windows IT Pro: "The vulnerabilities discovered at Finjan could allow attackers to "silently and remotely" take control over an affected system when a user visits a malicious Web page."

Det är en beskrivning som man tyvärr blivit ganska van vid. Fokus på SP2 var att höja säkerhetsnivån och bromsa upp denna typ av problem. Visar det sig stämma är det en prestigeförlust för Microsoft och kanske är det en anledning till att de reagerat så aggressivt. Microsoft verkar inte speciellt glada över att Finjan offentliggjort att man hittat så många fel och antyder att Finjan även överdriver hur allvarliga de är.

eWeek: "When told that Microsoft was discounting the severity of his company's claims, Finjan's Touboul lashed back: "These are not theoretical assumptions. These findings are based on code implementing each and every one of those 10 vulnerabilities."

Vad jag förstår har man alltså gett Microsoft alla tekniska detaljer. Och endast offentliggjort i mycket breda ordalag att man hittat fel och ungefär hur allvarliga de är. Hade det då inte varit okej om man hållit det helt hemligt tills en lösning fanns färdig? - I en ideal värld skulle det nog varit så. Men att döma av det senaste halvårets problem med MSIE verkar det inte som om Microsoft lagar något om man inte måste. Och även då går det väldigt långsamt.

Lösningen är i vilket fall inte att skjuta budbäraren. Finjan kunde lika väl offentliggjort alla detaljer och lämnat Microsoft med skägget i brevlådan. Då hade de haft en riktig anledning att bli sura. Det ska bli intressant att se vart detta slutar.

ämne

Microsoft Windows Internals, 4th Edition

Postat 2004-11-11, kl 03:52 • Ämne: Facklitteratur
framsida på boken

Den hett efterlängtade uppföljaren till Mark Russinovich & David Solomons bok Inside Microsoft Windows 2000 (Microsoft Press) är nu på gång. Enligt webbplatsen SysInternals är boken under tyckning och beräknas kunna släppas den 8/12.

Ny titel

Bokens titel är något justerad och boken heter numera Microsoft Windows Internals, Fourth Edition. Boken är för beskrivningen av Windows arkitektur vad Charles Petzold's "Programming Windows" är beskrivningen av WIN32. Det är en av de få böckerna som inte bara skrapar på ytan av Kernel mode utan verkligen lyfter på locket och i detalj beskriver hur sladdarna är dragna. En helt oumbärlig bok som nu har uppdaterats så att den även täcker Windows XP och 2003 Server.

Beskrivning: "Delve inside the Windows kernel with noted internals experts Mark Russinovich and David Solomon, in collaboration with the Microsoft Windows product development team. This classic guide—fully updated for Windows Server 2003, Windows XP, and Windows 2000— describes the architecture and internals of the Windows operating system. You’ll find hands-on experiments you can use to experience Windows internal behavior firsthand, along with advanced troubleshooting information to help keep your systems running smoothly and efficiently. Whether you’re a developer or a system administrator, you’ll find critical architectural insights that you can quickly apply for better design, debugging, performance, and support."

Bokfakta

Titel: Microsoft Windows Internals, Fourth Edition: Microsoft Windows Server(TM) 2003, Windows XP, and Windows 2000 (Pro-Developer)
Författare: Mark E. Russinovich, David A. Solomon
Paperback: 1050 pages
Publisher: Microsoft Press; 4th edition (January 5, 2005)
ISBN: 0735619174

Känner du inte till SysInternals sedan tidigare så passa på att också kolla in alla deras praktiska gratis utilities. Filemon och Regmon är alltid bra att ha nära till hands.

Så snart den finns att beställa hos min favorithökare Bokus ska jag säkra mitt exemplar. Det är sådana här nyheter som gör att geeken i mig blir som barn på nytt. Mums!

Via: Bink.nu

Secunia har publicerat en advisory angående en rad säkerhetsproblem i äldre versioner av Mozilla Firefox (v0.x)

Secunia: "These can potentially be exploited to detect the presence of local files, cause a DoS (Denial of Service), disclose sensitive information, spoof the file download dialog, and gain escalated privileges."

Den goda nyheten är att de är fixade allesammans i den skarpa versionen som släpptes för två dagar sedan. Bara att ladda hem och installera.

Novembers månadsuppdatering från Microsofts innehåller bara en uppdatering, och den är för Microsoft Internet Security and Acceleration (ISA) server.

MS04-039: Vulnerability in ISA 2000 and Proxy Server 2.0 Could Allow Content Spoofing

ISA är Microsofts proxyserver och brandvägg och används typiskt för att säkra och snabba upp internettrafiken till och från ett större intranät. Det är just proxyserverns cacheningsfunktion som har en brist i hur den sparar omvända DNS-uppslag av domännamn (IP-adress till domännamn) och använder dem för att snabba upp normala uppslag (domännamn till IP-adress).
 
Säg att ISA gjorde ett omvänt uppslag på IP-adressen "xxx.yyy.zzz.www" och fick tillbaka det felaktiga svaret "foo.com" från en DNS. Problemet är att den litar på den sparade informationen när den senare ombeds göra ett normalt uppslag för att översätta "foo.com" till en IP-adress. Ett normalt uppslag på "foo.com" skulle då avslöja att IP-adressen "xxx.yyy.zzz.www" inte alls var kopplad till "foo.com" utan returnera det korrekta svaret.
 
SA inte gör något nytt uppslag utan bara tittar i sin cache returnerar den fel adress. En angripare kan på detta sätt kapa trafiken från användarna som kör via ISAs proxy och styra om den från en server till en annan. Klurigt!
ämne

Allvarligt fel i Kerio Personal Firewall

Postat 2004-11-09, kl 21:32 • Ämne: Brandvägg

Marc Maiffret på eEye Digital Security skriver att Karl Lynn har hittat ett mycket allvarligt fel i Kerio Personal Firewall.

Beskrivning

Genom att skicka ett speciellt utformat paket går det att få brandväggens drivrutin FWDRV.SYS att gå in i en evig loop. Det leder till att Windows tvärstannar och maskinen måste startas om för hand. Problemet uppstår om man skickar ett TCP/UDP/ICMP paket med längden på fältet IP Options satt till noll. Det sker oavsett om porten är öppen eller stängd, vilka brandväggsregler man har eller vilken port paketet skickats till. Det fungerar till och med om användaren valt stop all traffic eftersom brandväggen fortfarande tar emot och kastar bort inkommande paket.

Allt en angripare behöver göra är att skapa ett enda paket och skicka till datorn. Eftersom det går lika bra med ett UDP kan angriparen även förfalska sin avsändare och förbli anonym. Det är alltså viktigt att uppgradera omedelbart!

eEye nämner att exakt samma problem tidigare drabbat Symantecs Norton Internet Security.

Lösning

Uppgradera till version 4.1.2. Alla tidigare versioner omfattas av felet.

ämne

Grattis Mozilla Firefox!

Postat 2004-11-09, kl 03:29 • Ämne: Firefox

Webbläsaren Firefox är äntligen färdig och redo att släppas som skarp version 1.0. Härligt!!

[Get Firefox - Web Browsing Redefined] Utannonserat släpp är vid 23-tiden svensk tid och det blir också startskottet för en fem timmar lång webcast och release-fest kallad Air Mozilla. Det är bara att knappa in www.spreadfirefox.com och hänga på.

Firefox marknadsandel har formligen exploderat under det senaste halvåret. Mycket på grund av att det ständigt hittats nya allvarliga säkerhetshål i Microsofts Internet Explorer som drivit användarna till andra alternativ. När man väl sedan vant sig vid fliksystemet, alla fiffiga insticksmoduler och den klart bättre hanteringen av bokmärken är det svårt att byta tillbaka.

Det ska bli spännande att testa den första skarpa versionen av Firefox. Det är bara att gratulera alla som lagt ner tid och energi på att göra Firefox till en riktigt bra webbläsare. Bra jobbat!

ämne

Ett par tusen röster hit eller dit

Postat 2004-11-08, kl 23:30 • Ämne: Presidentvalet 2004

Slashdot sammanfattar fint en del av de underligheter som hitintills upptäckts i det amerikanska presidentvalet.

Sådana detaljer som att man i Palm Beach (Florida) har 88000 fler röster än antalet personer som röstade. Samma sak hände i Franklin County (Ohio) där Bush fick över 4000 röster av 638 personer.

I Broward County (Florida) hade man använt en 16-bitars datatyp som slog över vid 32767 röster och började räkna baklänges. I LaPorte County (Michigan) däremot kan så mycket som 50000 röster ha försvunnit på grund av ett datorhaveri.

Det är lite konstigt att någon som bygger ett så viktigt system inte har tänkt på att ha en stor saftblandare som drar igång om det till exempel registreras fler röster än det finns röstberättigade. Det skulle väl kunna tänkas vara ett minikrav att systemet blev lite grinigt då. Inte något man kommer på vid en kontroll en vecka senare.

Fast det är egentligen bara småpotatis jämfört med det riktigt stora problemet. Och då felen uppdagats kan man ju också rätta till dem. Problemet som de flesta större medier verkar gör sitt bästa för att inte beröra är att man inte kan verifiera att resten av rösterna stämmer. Man får lita på det som står i databasen är absolut sanning.

När man betraktar spektaklet såhär på avstånd känns det väldigt bra att bo i Sverige - och rösta med papperslappar!

Irrelevant men rolig flash: Pulp Politicians

Secunia har publicerat en advisory om ännu ett sätt för en angripare att ta kontroll över en besökares Internet Explorer.

Denna gång handlar det om att köra slut på bufferten som lagrar attributen NAME och SRC i ett IFRAME-element. Information om bristen har funnits ute i lite över en vecka, men nu finns även exempelkod tillgänglig att ladda hem och anpassa.

Som så många andra buffertöverskridningar är felet fixat i Windows XP SP2. Kör man en tidigare version eller Internet Explorer, eller någon annan version av Windows ligger man sämre till. Problemet bör också påverka program som använder Internet Explorers renderingsmotor. Och sådana applikationer finns det gott om.

Lösning

  • Windows XP: Service Pack 2
  • Kör Firefox
ämne

Ta en långtur med Mappoint

Postat 2004-11-04, kl 00:47 • Ämne: Skoj
[Snabbaste rutten Wasa-Kristinestad]
karttjänster kan vara skojiga ibland. Får man tro MSN Mappoint är inte vägarna i Finland mycket att skryta med.

Ber man Mappoint om en beskrivning av snabbaste resväg från Kristinestad till Wasa till rekommenderar den nämligen en nätt liten sväng på nästan 1100 km. Man får åka ner till Åbo och ta färjan över till Kapellskär, sedan köra E4an upp till Umeå och på båten över till Wasa. Lite över 23 timmar ska man kunna klara det på. Och så får man ju en ordentlig utflykt på köpet.

Aluria som gör programmet Spyware Eliminator har skaffat sig en märklig partner. De sammarbetar nu med företaget WhenU som är en välkänd distributör av adware.

Alurias program varnade tidigare för WhenU, men de har nu avfört det från sina spyware-definitioner. Det som tidigare var ett problem är nu helt ofarlig reklamprogramvara. Och man har till och med gått ett steg längre. WhenU använder nu Alurias teknik i ett program de kallar UControl som lovar att ta bort – ja just det: spyware och adware! Ett praktiskt sätt att bli av med sina konkurrenter.

eWeek: "As part of its new "Spyware SAFE Certification Program," Aluria gave passing marks to WhenU, which historically has been characterized as spyware by many in the industry. In a separate development, Aluria also now runs WhenU's UControl, a free desktop scanning program launched Monday that removes unwanted spyware programs."

Det är så fräckt att det nästan är roligt. Själv använder jag Lavasofts Adaware och programmet Spybot Search & Destroy. Fast jag kan ju inte vara helt säker på att de inte också har några skumma avtal med ljusskygga företag. |-|

Den största tillverkaren av röstningsterminaler i USA är ett företag som heter Diebold. Förutom utrustning för elektronisk röstning säljer de mjukvara för bankomater. Mjukvaran som används i deras röstningsterminaler är inte offentligt utan anses vara en affärshemlighet.

Krånglande terminaler

Både säkerheten kring själva hanteringen av maskinerna och kvalitén på mjukvaran har ifrågasatts efter incidenter där de kraschat, lämnat felaktiga summor eller bytt ut den kandidat som väljaren valt.

Mjukvaran på drift

Tråkigt nog för Diebold slarvade de också med säkerheten kring sin FTP-server och exponerade den mot nätet under en längre tid. På så sätt blev koden offentlig i alla fall. Systemet har analyserats på Johns Hopkins University och resultatet publicerades i en 23-sidors artikel på IEEE Symposium on Security and Privacy 2004 kallad Analysis of an Electronic Voting System [PDF].

Abstract: "Our analysis shows that this voting system is far below even the most minimal security standards applicable in other contexts. We identify several problems including unauthorized privilege escalation, incorrect use of cryptography, vulnerabilities to network threats, and poor software development processes. We show that voters, without any insider privileges, can cast unlimited votes without being detected by any mechanisms within the voting terminal software. Furthermore, we show that even the most serious of our outsider attacks could have been discovered and executed without access to the source code. [...] We conclude that this voting system is unsuitable for use in a general election."

Röstningsterminalen

Själva röstningsapplikationen AccuVote är skriven i C++ och körs under Windows CE anpassat med Windows CE Platform Builder. Via serieporten har man kopplat en smartcard-läsare och varje person som är röstberättigad får ett kort. Tyvärr är själva korten långt ifrån säkra. De är inte krypterade och det enda som händer när rösten är registrerad är att en flagga sätts på kortet som säger att det inte längre är giltigt.

AEVS: "Since an adversary can make perfectly valid smartcards, the adversary could bring a stack of active cards to the voting booth. Doing so gives the adversary the ability to vote multiple times. More simply, instead of bringing multiple cards to the voting booth, the adversary could program a smartcard to ignore the voting terminal’s deactivation command. Such an adversary could use one card to vote multiple times."

Eftersom Diebolds bankomater skriver kvitto på varje uttag borde det inte vara så svårt att göra samma sak på röstningsterminalerna. Men den som röstar får inget kvitto. Det skrivs ingen logg på papper allt eftersom röstningen fortgår. Av alla de stater som använder elektronisk röstning lär det bara vara Nevada som ger kvittens på papper. Röstningen kan alltså inte kontrolleras.

Den centrala rösträknaren - MS Access

Det finns enklare sätt att fuska. Resultaten från terminalerna sammanställs på en PC som kör Windows (NT/2000) och ett program vid namn GEMS som jobbar med en databas i Microsoft Access format. Slutresultatet och kontrolloggen är fullt redigerbar med Microsoft Access. På webbplatsen Votergate kan man ladda ner en 30 minuters "dokumentär" som bland annat visar när Bev Harris demonstrerar för Howard Dean (som konkurrerade med Kerry om att bli demokraternas presidentkandidat) hur man kan ändra i Diebolds databas med Microsoft Access.

The Howard Dean Demo: "In early August, Bev Harris demonstrated to Howard Dean on CNBC how MS-Access can be used as a "hack tool" to alter votes in a way that precinct spot checking such as the California mandated 1% manual recount won't catch, even if there's optical ballots and a proper paper trail."

Bev Harris en av de som står bakom webbplatsen BlackBoxVoting.org. Då de även säljer en bok som handlar om ju Diebold och deras maskiner måste man ta det som de skriver med en nypa salt. Men det gäller ju allting som rör deras val. Boken finns också tillgänglig att läsa online för den som så önskar. De skriver följande i ett pressmeddelande:

Blackboxvoting: "The central servers are installed on unpatched, open Windows computers and use RAS (Remote Access Server) to connect to the voting machines through telephone lines. Since RAS is not adequately protected, anyone in the world, even terrorists, who can figure out the server's phone number can change vote totals without being detected by observers. The passwords in many locations are easily guessed, and the access phone numbers can be learned through social engineering or war dialing."

Det är inte svårt att förstå att vad än resultatet blir i valet kommer många att misstro att allt gått rätt till. Med de enorma möjligheterna för missbruk och den makt och pengar som står spel skulle jag bli förvånad om ingen hittade på något fuffens. Kontroversen kring röstningsterminalerna lär fortsätta.

Tidigare inlägg

2004-11-02 : EFF: Krånglande röstningsterminaler
2004-11-01 : Omröstning utan valsedlar

ämne

EFF: Krånglande röstningsterminaler

Postat 2004-11-02, kl 14:30 • Ämne: Presidentvalet 2004

Electronic Frontier Foundation skriver i ett pressmeddelande om en rad incidenter med röstningsterminaler redan innan valet kommit igång på allvar.

EFF: "Voters from at least half a dozen states reported that touch-screen voting machines had incorrectly recorded their choices, including for president. Voters discovered the problems when checking the review screen at the end of the voting process. They found, to their surprise, that the machines indicated that they voted or one candidate when they had voted for another. When voters tried to correct the problem, the machine often made the same error several times."

ämne

Omröstning utan valsedlar

Postat 2004-11-01, kl 04:24 • Ämne: Presidentvalet 2004

Det finns knappt någonting som inte handlar om presidentvalet i dessa dagar. Nätforum som till vardags inte alls handlar om politik dras in i det retoriska inbördeskrig som pågår i USA, och omvandlas till bittra slag med väl inpräntade politiska budskap. Amerikan eller inte - man kommer helt enkelt inte undan.

Datoriserade röstningsterminaler

Det sägs att det finns risk att detta val avgörs genom omräkning och byte av laguppställning från politiker till advokater. Det jag som ingenjör inte kan förstå är att man i ett sådant läge vågar använda sig av datoriserade röstningsterminaler. Hur kan man kontrollera att allt gått rätt till om man inte har något kvitto i form av röstsedlar att räkna om? Att manipulera ett helt datoriserat system är betydligt enklare än att byta ut fysiska röstsedlar.

En tredjedel av alla som röstar kommer att få använda någon form av apparat.

Proprietär kod på Windows

Även om systemet ursprungligen är felfritt saknas inte motiv eller resurser att försöka manipulera resultatet. Det är inga småsaker som står på spel. Det blir inte bättre av att systemen består av icke offentlig mjukvara från privata företag med vinstintresse. Inte heller att det finns en hel flora av olika system. En del apparater lämnar inga kvitton alls. Något system består helt enkelt av en en Windowsapplikation och trådlöst nätverk. Andra kör på Windows CE.

Så går det till i Florida

[Välkomstskärmen på en tänkt röstningsautomat i Florida] Förtroendet för apparaterna är lågt redan från början, och det har redan kommit rapporter om terminaler som krånglat. Det har inspirerat Boom Chicago Amsterdam att göra en skojig film om hur en röstningsterminal kan tänkas fungera i Florida.

Papper är bättre

Jag kan bara hoppas att ingen kommer på något så urbota korkat som att införa datoriserade röstningsterminaler i EU eller i svenska val. Det finns inget papperslöst system som är så säkert så jag skulle vilja använda det. Ibland är gamla hederliga papperslappar helt enkelt det bästa valet.

Filmen: Florida voting machine

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

De senaste inläggen

sidfot