Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Ständig validering av Windows kan bli obligatorisk

Postat 2006-06-30, kl 02:50 • Ämne: Microsoft

Microsoft har fått omfattande kritik sedan det avslöjades att antipiratverktyget WGA kommunicerar med företagets servrar bakom användarens rygg. En möjlig vidareutveckling av systemet är att Microsoft kan dra tillbaka godkännandet av redan validerade system och kanske till och med göra så att Windows slutar att fungera.

Windows Genuine Advantage (WGA) har skickats ut till användarna via Windows Update och beskrivs där som en "high-priority update". I verkligheten är det ett tilläggsprogram som Microsoft använder för att kontrollera att Windows inte är piratkopierat. Alltså varken något som förbättrar säkerheten eller ger någon annan fördel för användaren som installerar det. För någon månad sedan avslöjades det att programmet "ringer hem" till Microsoft varje gång som Windows startas, eller minst en gång per dygn.

Visserligen har Microsoft nu tagit till sig av kritiken och ändrat WGA så att det inte kommunicerar med Microsofts servrar lika ofta. Men användaren kommer fortfarande att få stå ut med att bli kontrollerad om och om igen av Microsoft. I botten ligger en skillnad mellan vad konsumenten tror sig betala för och vad de egentligen får för pengarna. Lauren Weinstein beskriver det bra:

Lauren Weinstein: "What many people don't realize is that MS does not consider validation to be a necessarily permanent state. Even after a copy of XP has been validated, MS may choose to "revoke" that validation (via communications with their Windows Update site) at a later date if activation codes are found to be pirated in the future. [...] The entire concept of authentication revocation will be utterly foreign to many users, who are used to assuming that once they've bought something that they believe to be legitimate -- and that in fact has initially been verified as legitimate -- it's then theirs forever and can't be disabled or restricted later."

Kanske är varningsdialogerna också bara är en försmak av hårdare metoder som komma skall. En möjlighet är att Microsoft helt enkelt gör så att de installationer som inte klarar valideringen slutar att fungera. Dave Farber fick intressanta besked när han ringde Microsofts support.

Dave Farber: "He told me that "in the fall, having the latest WGA will become mandatory and if its not installed, Windows will give a 30 day warning and when the 30 days is up and WGA isn't installed, Windows will stop working, so you might as well install WGA now."

Rent tekniskt är det inte så svårt att åstadkomma, allt som behövs är att baka in det i en säkerhetsuppdatering som användaren inte vågar vara utan. Men frågan är om kunderna accepterar en situation där Microsoft får möjlighet att stänga ned maskiner via nätet eller diktera vilken mjukvara som ska installeras. Om det blir verklighet är det nog dags att på allvar börja överväga Linux.

Microsoft har investerat många pengar i utvecklingen av Windows och självfallet bör de få betalt för sin produkt. Dock är det viktigt att de spelar med öppna kort och är ärliga mot konsumenten om villkoren och vad produkten verkligen gör.

Tack till David som tipsade mig om artikeln om WGA på Groklaw. Besök gärna hans blogg som du hittar här: All about the package

Uppdaterat 2006-07-02: ComputerWorld: Microsoft denies WGA kill switch in Windows XP

ämne

Marschen mot Bodströmsamhället

Postat 2006-06-29, kl 21:21 • Ämne: Personlig integritet

Timbro har publicerat Oscar Swartz rapport "Marschen mot Bodströmsamhället: Hur justitieministerns dubbelspel hotar våra grundlagsfästa fri- och rättigheter." Det är en skrämmande läsning om hur Sverige är på väg att bli samhälle där helt vanliga medborgare kommer att utsättas för en omfattande elektronisk övervakning.

Ur förordet: "Regeringen med justitieminister Bodström i spetsen håller på att skapa ett samhälle som i sin extrema form framtidsdystopin i 1984 att blekna. Trots detta har debatten inte riktigt tagit fart. [...] Förhoppningsvis kan rapporten ge fler människor inblick i den utveckling som pågår. Bodströmsamhället berör inte bara tekniknördar och terrorister. Det berör oss alla."

En allvarlig aspekt är att Bodström systematiskt mörkar både motiven bakom lagförslagen och vad de faktiskt innebär. Ett exempel på detta är att Bodström på hemmaplan försäkrade att trafikdatalagringen inte skulle innebära några förändringar av hur mycket information svenska teleoperatörer måste spara, samtidigt som han i EU drev på hårt för att tvinga fram obligatorisk registrering av all internettrafik inklusive chatt, besökta webbsidor och P2P.

Samma mönster går igen i andra lagförslag. Först motiveras de med terrorism och organiserad brottslighet, för att sedan utvidgas allt mer tills de så småningom innefattar allt från fildelning till skattefusk. Samtidigt sänks kraven på vilka misstankar som krävs för att få lov att övervaka, så att det i vissa fall räcker med att man råkar känna någon som kan tänkas begå ett brott i framtiden.

Oscar Swartz: "Om staten via långtgående befogenheter kan få hållhakar på en stor del av folket öppnar detta för trakasserier, maktmissbruk, styrning via hot, avpollettering av motståndare via skitbrott som man snappar upp på nätet. Då får vi en situation när makten inte utgår från folket utan från Makten själv, och där åsiktsfriheten i slutänden trängs tillbaka. [...] Bodströmsamhället vingklipper oss och hotar i slutänden demokratin genom att den ger stora friheter för Makten att komma åt precis den motståndare den vill komma åt."

Kritiken mot Bodströms lagförslag handlar alltså inte om att skydda brottslingar eller göra det svårt att klara upp brott. Tvärt om bör samhällets resurser fokuseras på att sätta dit brottslingar och inte användas för att övervaka vanliga hederliga medborgare. Tyvärr verkar Bodströms förslag mer vara inriktade på att skaffa hållhakar på befolkningen och saknar därför nödvändiga spärrar mot godtyckliga ingrepp.

Läs mer på Oscar Swartz blogg: KU-granska Bodström! Marschen mot Bodströmsamhället

ämne

Microsoft skrotar WinFS

Postat 2006-06-26, kl 00:20 • Ämne: Google, Windows Vista, MSN

Projektet att ta fram nästa generation av Windows filsystem har drabbats av ännu ett stort bakslag. Windows Future Storage (WinFS) var en hörnstenarna i Window Vista, men ser nu ut att inte komma med i operativsystemet överhuvudtaget. Microsofts försök att ta fram ett relationsbaserat filsystem har vid det här laget pågått i ett och ett halvt decennium.

[WinFS]

WinFS är en spännande teknik som gör att man inte längre måste hantera filsystemet som en trädstruktur. Tekniken är hämtad från SQL Server och systemet gör det enklare att hitta och sammanställa information oberoende av filformat. Genom att beskriva för WinFS hur ett visst filformat är uppbyggt, och vilken typ av information som sparas, kan man definiera relationer och göra sökningar betydligt smartare. Det öppnar bland annat för möjligheten att använda dynamiska mappar baserade på sökkriterier som uppdateras allt eftersom informationen ändras på något annat ställe.

Rötterna till WinFS kan spåras 15 år tillbaka i tiden. 1991 jobbade Microsoft på ett nytt operativsystem som gick under kodnamnet Cairo, där en av komponenterna skulle vara ett Object File System. Det blev aldrig verklighet. Projektet följdes istället av ett annat projekt som kallades Storage+ och sedan av ytterligare ett med namnet Relational File System.

Senaste budet är WinFS som tillsammans med Avalon (WPF) och Indigo (WCF) var tänkt att utgöra de tekniska huvudpelare som utvecklingen av Windows Vista skulle vila på.

I mitten av 2004 stod det så klart att WinFS inte skulle hinna bli klart i tid till lanseringen av Windows Vista. Istället utlovades att WinFS ska vara i slutfasen av betaperioden när Vista lanseras, och gå att ladda ner i skarp version några månader senare. Men nu ser det ut som om det inte detta heller blir verklighet.

I ett inlägg på WinFS-gruppens blogg skriver de att WinFS inte kommer att levereras som en separat enhet, utan att tekniken istället ska inkluderas i en framtida version av ADO.NET och SQL Server. Med andra ord ett finare sätt att säga att WinFS skrotas.

WinFS Team Blog: "we are not pursuing a separate delivery of WinFS, including the previously planned Beta 2 release. With most of our effort now working towards productizing mature aspects of the WinFS project into SQL and ADO.NET, we do not need to deliver a separate WinFS offering."

Med det beskedet får man nog säga att tanken på ett databasliknande filsystem har blivit något av Microsofts Duke Nukem Forevervaporware som ständigt skjuts på framtiden. En anledning kan vara att Microsoft helt enkelt är för ambitiösa och vill ha med för mycket funktioner och finesser. Under tiden har Apple byggt sitt Spotlight-system på en mera lagom nivå, och lyckats leverera ett söksystem till Mac OS X som i stort ger samma fördelar för användaren som WinFS.

Om nu WinFS inte alls kommer med i Windows Vista är detta givetvis olyckligt. Utvecklingen sprungit från Microsoft och Windows inbyggda filsökning är med dagens mått under all kritik. Både Google och MSN har släppt gratisprodukter som indexerar innehållet på hårddisken och gör det lättare att hitta. Men nog skulle det vara bättre om Microsoft kunde skära ned lite på ambitionerna och leverera ett bättre söksystem som en del av operativsystemet. Det börjar bli dags nu.

Via Slashdot: WinFS Gets the Axe

Andra bloggar

Andra bloggar om: , , , , ,

ämne

Microsoft underskattade XBOX-hackarna

Postat 2006-06-24, kl 02:50 • Ämne: Säkerhet

På Xbox-Linux projektets wiki finns en detaljerad och fascinerande genomgång av bristerna i XBOX säkerhetssystem, och hur dessa kom att utnyttjas för att bl.a. köra Linux på Microsoft konsol.

När Microsoft konstruerade sin XBOX utgick de från samma komponenter som används i en vanlig PC. För att förhindra att konsolen skulle kunna användas för andra ändamål än att spela lagligt inköpta spel försågs den med ett säkerhetssystem som bara accepterar godkänd programvara kryptografiskt signerad av Microsoft.

Att konstruera ett system som gör att det bara går att köra speciellt godkänd mjukvara är extremt svårt. Microsoft gjorde också en rad avgörande misstag som kunde utnyttjas för att konstruera modchip, det vill säga hårdvaruförändringar som sätter säkerhetssystemet ur spel. Till exempel gjordes kompromisser där låg tillverkningskostnad och förbättrad prestanda prioriterades högre än god säkerhet. Dessa kompromisser kom att bli ödesdigra.

Artikelns slutanalys räknar upp hela 17 distinkta misstag som Microsoft gjorde med XBOX. En av de viktigaste lärdomarna är enligt min mening den här:

XBOX-Linux Project: "Understand that hackers may have excellent resources. Hobbyists may use resources from work or from university, and professional attackers can also be very well-equipped. It is a big mistake to underestimate them. So never think you are safe because it would be too much work or too expensive to exploit a weakness. If it is a weakness, it will eventually be exploited. Also understand that hackers may have excellent human resources. Not only in number, but also in qualifications."

Denna slutsats gäller för allt arbete med datorsäkerhet – man får ALDRIG underskatt motståndaren! Hur allvarligt ett angrepp blir beror till stor del på vilka resurser som står till förfogande och hur motiverad och beslutsam angriparen är. Det dummaste man kan göra är att tro att en angripare förmodligen är illa rustad, eller på något sätt stärka motivationen genom att utmana och skryta om hur dundersäkra systemen är.

Världen är full av smarta, välutbildade människor med både talang och på tok för mycket ledig tid. Det räcker att någon av dem är tillräckligt motiverad och kommer på en infallsvinkel som försvararen inte har tänkt på för att intrånget ska lyckas.

Via Bruce Schneier: Xbox Security

Andra bloggar

Andra bloggar om: , , ,

ämne

The Corruptibles!

Postat 2006-06-21, kl 21:49 • Ämne: Skoj, Upphovsrätt

Electronic Frontier Foundation har gjort en skojig animerad kortfilm om tre amerikanska lagförslag som allvarligt kan komma att begränsa framtidens musik- och filmkonsumenters möjligheter till "fair use".

[The Corruptibles!]

Andra bloggar

Andra bloggar om: , , ,

Säkerhetsföretaget Bit9 har publicerat en lista med 15 vanliga applikationer som de anser utgör en säkerhetsrisk om de installeras på ett företags datorer. Överraskande nog hamnar webbläsaren Firefox på första plats.

Kriterierna för Bit9s lista är att programmen ska vara flitigt använda av privatpersoner, inte vara klassade som skadlig programvara av IT-avdelningen, ha haft minst en kritisk säkerhetsbrist klassificerad mellan 7 och 10 på CVSS-skalan, och slutligen förlita sig på användaren istället för central styrning av uppdateringar.

Bit9s lista blir då den här:

  1. Mozilla Firefox 1.07
  2. Apple ITunes 6.02 och Apple Quicktime 7.0.3
  3. Skype Internet Phone 1.4
  4. Adobe Acrobat Reader 6.03 och 7.02
  5. Sun Java JRE 1.4.2 och 5.0 update 3
  6. Macromedia Flash player 7
  7. WinZip 8.1 SR1
  8. AOL IM 5.5
  9. MSN Messenger 5.0
  10. Yahoo IM 6.0
  11. Sony rootkit
  12. Bitdefender anti-virus client 9
  13. Kazaa P2P 2.0.2
  14. RealPlayer media player 10
  15. ICQ chat client

Listan är säkert korrekt om man bara ser till de uppsatta kriterierna, men jag tycker ändå att den ger en orättvis bild. Till att börja med är det lite märkligt om man hellre ser att användaren kör med Internet Explorer än installerar Firefox. Internet Explorer har i stort sett varit konstant sårbar på ett eller annat sätt de senaste åren, och detta kombinerat med det dåliga designvalet att integrera webbläsaren tätt med resten av operativsystemet gör den till ett extremt tacksamt mål för angripare.

Det faktum att användaren alls kan installera egna program antyder också ett betydligt större problem: att man inte tillämpar principen Least Privilege utan använder konton med administratörsrättigheter eller medlemskap i gruppen Power Users. Om man låter användarna köra som Power User istället för begränsade konton slipper man många av problemen som LUA medför, men det är också väldigt lite man vinner i form av ökad säkerhet [genom att använda Power Users istället för lokal administratör. - Förtydligande.]

Utnyttjar användaren sin möjlighet att installera egna program är piratkopierade och "knäckta" program ett betydligt större hot än Firefox. Det är väldigt svårt att vara säker på att programmen inte blivit manipulerade på något sätt och att de inte innehåller bakdörrar, trojanska hästar osv. Av de andra programmen som är med på listan är Kazaa, ICQ, Skype, Realplayer och Sonys rootkit sådant som skulle oroa mig betydligt mer än Firefox.

Om IT-avdelningen gjort sitt jobb finns det ingen anledning för en användare att installera ett eget antivirusprogram som Bitdefender. Det är också en gåta varför Kazaa och Sonys rootkit inte klassas som skadlig kod eller rent säkerhetshot.

ämne

SVT: USA hotade med handelssanktioner

Postat 2006-06-20, kl 18:07 • Ämne: The Pirate Bay

SVTs Rapport uppger att amerikanska myndigheter hotade med handelssanktioner om inte Sverige ingrep mot The Pirate Bay.

Justitieminister Thomas Bodström har kraftfullt förnekat all inblandning i razzian mot The Pirate Bay, trots att det från flera håll påståtts att justitiedepartementet mer eller mindre beordrat polisen att ingripa trots det oklara rättsläget. Att det förekommit starka påtryckningar från den amerikanska regeringen på uppdrag av ett frustrerat Hollywood är klarlagt.

Ungefär samtidigt som den svenska polisen agerade mot TPB kom det fram att Ryssland utsatts för liknande påtryckningar, genom att USA förklarat att de kan komma att förhindra Rysslands medlemskap i World Trade Organization (WTO) om inte Ryssland stänger musikbutiken AllOfMP3.com. Den ryska webbplatsen följer rysk lag och betalar ersättning till upphovsmännen enligt ryska avtal, men irriterar ändå den amerikanska musikindustrin genom att de är för billiga och har en engelskspråkig version av butiken.

Om liknande påtryckningar gjorts mot lilla Sverige är det lätt att förstå att justitiedepartementet fått dunderpanik, och sett till att polisen fått tummen ur och skickat ut den miniarmé på över 50 poliser som deltog i räden. Det kan också förklara varför polisen valde att länsa hela serverhallen hos PRQ, de kunde helt enkelt inte ta risken att de missade någon maskin som kunde bli kvar och irritera amerikanerna.

Man kan se detta på flera olika sätt. Ur ett perspektiv är det bara logiskt att göra allt för att undvika handelssanktioner från världens enda supermakt, men ur ett annat är det allvarligt att vi går med på att låta andra länder diktera hur svensk lagstiftning ska tolkas. Därför handlar egentligen inte detta så mycket om TPB, utan om svensk suveränitet, demokrati och rättssäkerhet.

Svenska folket är inte rädda för Storebror enligt en ny undersökning som Computer Sweden har publicerat. Demoskop har undersökt svenskarnas inställning till övervakning och kommit fram till att 84 % tycker att kamerorna bör bli fler.

Lite mer än vart fjärde tillfrågad anser att kamerorna medför ett stort problem för den personliga integriteten, men ändå kan bara 20 % kan tänka sig att bli kameraövervakad på jobbet. Egentligen är resultatet inte så förvånande, för intresset att kameraövervaka människor handlar alltid om att övervaka någon annan.

Computer Sweden: " – Men de flesta har en gräns och det ska man var medveten om. Trots att de flesta våldsbrott begås i hemmet är det flesta inte beredda att ha en kamera där, säger Göran Gräslund." [generaldirektör på Datainspektionen]

När det gäller direktivet om trafikdatalagring tycker 67 % att det är en bra idé, frågan är bara hur många som alls förstår vad det innebär.

Computer Sweden: När det gäller elektronisk övervakning är de flesta svenskar negativa men nära hälften, 45 procent, kan ändå tänka sig att ge polisen utökade möjligheter. [...] Men generell övervakning av e-posttrafik för att komma åt brottslighet godtas inte av svenskarna."

Trafikdatalagringen är en generell övervakning av e-post på ett sätt som inte har skett tidigare. För att inse det och genomskåda vilka de eventuella konsekvenserna blir av den här typen av beslut måste man sätta sig in i frågan. Tyvärr tycker nog de flesta att frågor som övervakning och personlig integritet är både abstrakt, krångligt och allmänt ointressant. Likt miljöfrågorna saknar man inte skyddet för den personliga sfären förrän det väl är borta.

Om svenskarna vill ha ett övervakningssamhälle är vi på rätt väg och det är bara att låta våra folkvalda bygga vidare. Exempel på hur ett sådant liv kan komma att te sig finns både i skönlitteraturen och i exempel från andra länder. Om det däremot sker bara på grund av att vi är blåögda och för lata för att bry oss om samhällsutvecklingen, kan man säga att vi får det samhälle vi förtjänar.

Jag vill också tipsa om ett bra inlägg på Bloggen Bent: Staten, det är inte du!

ämne

Juni månadsuppdatering 2006

Postat 2006-06-16, kl 04:34 • Ämne: Microsofts månadsuppdatering

Microsofts månadsuppdatering för juni består av 12 säkerhetsbulletiner. Uppdateringarna åtgärdar fel i Windows, Internet Explorer, Word, PowerPoint och Exchange Server. Jag har läst igenom bulletinerna och skrivit några korta kommentarer.

Kritiska uppdateringar

MS06-021: Cumulative Security Update for Internet Explorer

Denna säkerhetsbulletin innehåller flera olika uppdateringar för Internet Explorer.
  • Exception Handling Memory Corruption Vulnerability: Bristande kontroll av vilka exception handlers som registreras på objekt i Internet Explorer kan leda till minneshanteringsfel som gör att angriparens kod startas med samma rättigheter som den inloggade användaren. (CVE-2006-2218)
  • HTML Decoding Memory Corruption Vulnerability: Ett fel i hur Internet Explorer hanterar webbsidor skrivna i formatet UTF-8 skapar en Heap-based buffer overflow som öppnar för en angripare starta kod med samma rättigheter som den inloggade användaren. (CVE-2006-2382)
  • ActiveX Control Memory Corruption Vulnerability: Ett fel i hur ActiveX-kontrollen DXImageTransform.Microsoft.Light hanterar parametrar. (CVE-2006-2383)
  • COM Object Instantiation Memory Corruption Vulnerability: Uppdateringen sätter kill-bit på en mängd COM-objekt som inte är avsedda att användas som ActiveX-kontroller. Genom att referera till objekt som inte är avsedda att användas med Internet Explorer kan en angripare förvirra webbläsarens minneshantering och ta kontroll över maskinen. Kill-bit stoppar Internet Explorer från att försöka använda dessa objekt. (CVE-2006-1303)
  • CSS Cross-Domain Information Disclosure Vulnerability: Ett fel i hanteringen av Cascasing Style Sheets (CSS) gör det möjligt att använda @import för att importera filer som inte innehåller CSS från andra säkerhetszoner eller domäner. En angripare kan utnyttja felet för att stjäla information. (CVE-2005-4089)
  • Address Bar Spoofing Vulnerability: Två olika uppdateringar som åtgärdar säkerhetsbrister som kan utnyttjas för att lura användaren genom att förfalska eller dölja innehållet i adressfältet. (CVE-2006-2384 och CVE-2006-1626)
  • MHT Memory Corruption Vulnerability: Ett fel i hur Internet Explorer sparar multipart HTML (.mht) kan utnyttjas för att köra igång kod på besökarens maskin. För att kunna utnyttja detta säkerhetshålet krävs det att angriparen skapar en speciellt utformad webbsida och övertygar besökaren att spara den som en multipart HTML. (CVE-2006-2385)
Påverkar: Internet Explorer 5 och 6 på Windows 2000, XP, Server 2003

MS06-022: Vulnerability in ART Image Rendering Could Allow Remote Code Execution

ART är ett bildformat som främst används av America Online (AOL). Denna uppdatering åtgärdar ett minneshanteringsfel i Windows ART image rendering library (jgdw400.dll) som kan utnyttjas av en angripare för att ta kontroll över maskinen via en speciellt utformad ART-fil. Windows 2000 påverkas inte då det saknar stöd för ART. (CVE-2006-2378)

Påverkar: Windows 98, Me, XP, Server 2003

MS06-023: Vulnerability in Microsoft JScript Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i Microsoft Jscript som uppstår på grund av att minnet som används av vissa objekt släpps för tidigt. En angripare kan utnyttja detta för att ta kontroll över maskinen via en webbsida som visas i Internet Explorer eller Microsoft Outlook. (CVE-2006-1313)

Påverkar: Windows 98, Me, 2000, XP, Server 2003

MS06-024: Vulnerability in Windows Media Player Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel vid hantering av PNG-bilder i Windows Media Player. Det är ett buffertöverskridningsfel som kan utnyttjas av en angripare för att ta kontroll över maskinen via en speciellt utformad PNG-fil. (CVE-2006-0025)

Påverkar: Windows Media Player 7.1, 9 och 10 på Windows 2000, XP och Server 2003

MS06-025: Vulnerability in Routing and Remote Access Could Allow Remote Code Execution

Åtgärdar två buffertöverskridningsfel i tjänsten Routing and Remote Access som kan utnyttjas för att ta kontroll över maskinen. På Windows 2000 behöver en angripare bara kunna kommunicera med datorn via RPC, medan det på Windows XP och 2003 krävs tillgång till ett giltigt användarkonto och möjlighet att logga in lokalt. Det är bara på Windows 2000 som tjänsten startas automatiskt på en normal installation. (CVE-2006-2370 och CVE-2006-2371)

Påverkar: Windows 2000, XP, Server 2003

MS06-026: Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution

Åtgärdar ett säkerhetshål i hanteringen av bilder i formatet Windows Metafile (WMF) på Windows 98 och ME. Om en angripare kan få användaren att öppna en speciellt utformad WMF eller EMF kan detta felet utnyttjas för att ta kontroll över maskinen. (CVE-2006-2376)

Påverkar: Windows 98, Windows 98 SE, Windows Me

MS06-027: Vulnerability in Microsoft Word Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i Microsoft Word som kan utnyttjas av en angripare för att ta kontroll över maskinen. Bristen gör det möjligt att köra igång medskickad kod via ett buffertöverskridningsfel när användaren öppnar en speciellt utformad fil. För att kunna utnyttja felet måste angriparen få användaren att öppna filen med Word. Utnyttjas aktivt via två trojaner som fått namnen Backdoor.Ginwui och Trojan.Mdropper.H. (CVE-2006-2492)

Påverkar: Word 2000, XP, 2003, Works 2000-2006

MS06-028: Vulnerability in Microsoft PowerPoint Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i Microsoft PowerPoint som kan utnyttjas av en angripare för att ta kontroll över maskinen. Bristen gör det möjligt att köra igång medskickad kod via ett buffertöverskridningsfel när användaren öppnar en speciellt utformad fil. För att kunna utnyttja felet måste angriparen få användaren att öppna filen med PowerPoint. (CVE-2006-0022)

Påverkar: Microsoft PowerPoint 2000, XP, 2003 och 2004 på Mac

Viktiga uppdateringar

MS06-029: Vulnerability in Microsoft Exchange Server Running Outlook Web Access Could Allow Script Injection

Åtgärdar brister i hur Outlook Web Access filtrerar bort skript innan ett meddelande visas. En angripare kan skicka ett meddelande som innehåller körbara skript som startas med samma rättigheter som mottagaren när meddelandet visas på en webbsida. Microsoft Outlook Web Access (OWA) är en funktion i Exchange Server som gör att användare kan komma åt e-post och kalenderfunktioner via webben. (CVE-2006-1193)

Påverkar: Microsoft Exchange 2000 och Exchange 2003

MS06-030: Vulnerability in Server Message Block Could Allow Elevation of Privilege

Denna uppdatering åtgärdar två olika säkerhetsbrister i SMB Driver (MRXSMB.SYS) som bara kan utnyttjas lokalt.
  • SMB Driver Elevation of Privilege Vulnerability: Brister i valideringen av SMB-anrop gör det möjligt för en lokalt inloggad användare att öka sina rättigheter och ta kontroll över maskinen. (CVE-2006-2373)
  • SMB Invalid Handle Vulnerability: Brister i valideringen av SMB-anrop gör det möjligt för en lokalt inloggad användare att krascha Windows. (CVE-2006-2374)
Påverkar: Windows 2000, XP, Server 2003

MS06-032: Vulnerability in TCP/IP Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i TCP/IP Protocol driver som möjliggör för en angripare att ta kontroll över maskinen. Felet finns i funktionerna för IP Source Routing som normalt är avstängt i Windows XP Service Pack 2. (CVE-2006-2379)

Påverkar: Windows 2000, XP, Server 2003

Måttligt viktiga uppdateringar

MS06-031: Vulnerability in RPC Mutual Authentication Could Allow Spoofing

ar en säkerhetsbrist i autentiseringen av RPC-anrop som gör att en angripare kan lura en RPC-klient att använda en icke betrodd server. Felet drabbar RPC-klienter som gör anrop över SSL med mutual authentication. (CVE-2006-2380)

Påverkar: Windows 2000

Andra bloggar

Andra bloggar om: , , ,

ämne

Skattebetalarna får notan för TPB-razzian

Postat 2006-06-16, kl 00:58 • Ämne: The Pirate Bay

The Pirate Bay uppger att deras webbplats åter ligger på svenska servrar. Samtidigt kommer nu stora skadeståndskrav från oskyldiga företag som fick se sina datorer beslagtagna vid razzian.

Vid räden mot The Pirate Bay länsade polisen serverhallen hos internetleverantören PRQ och tog en mängd datorer från oskyldiga företag och privatpersoner i beslag. De företag som hade oturen att dela lokal med TPB har drabbats hårt och flera av dem riskerar att gå i konkurs.

Clarence Crafoord på Centrum för rättvisa tycker att polisen kunde ha tagit kopior av hårddiskarna istället för att släpa bort alla maskinerna. Ingen förutom TPB var misstänkta för brott, och de drabbade företagen vill naturligtvis inte heller förknippas med TPBs verksamhet.

Centrum för Rättvisa: "i razzian beslagtogs även cirka 200 servrar som tillhörde IT-företag som inte har något som helst samröre med TPB. Företagen misstänktes inte för några brott. [...] Clarence Crafoord, chefsjurist vid Centrum för rättvisa, menar att beslaget av servrarna saknade grund och proportioner. Det handlar om ersättning för både den direkta ekonomiska skadan och badwill. - Vi bedömer att det är en kränkning av äganderätten som ger de drabbade en rätt till skadestånd av staten. "

Efteråt har åtgärden motiverats med att polisen ville undersöka om TPB använt några av de andra maskinerna utan tillstånd. Men ingen av de andra kunderna hade anmält eller ens anklagat TPB för dataintrång. Är det då verkligen rimligt att polisen ska kunna gå in och ta en hel serverhall? Eller snoka på hårddiskar som tillhör andra företag och privatpersoner utan koppling till de misstänkta?

De drabbade företagens skadeståndskrav varierar mellan 10 000 och 200 000 kronor beroende på hur mycket beslaget har påverkat deras verksamhet. Det är givetvis inte mer än rättvist. Tyvärr är det säkert inget som drabbar personen som gav order om beslaget, eller ens polisen för den delen. Skadeståndskraven hamnar på Justitiekanslerns bord och slutnotan får som vanligt skattebetalarna stå för.

ämne

Bloggarkivet - den nordiska bloggtjänsten

Postat 2006-06-13, kl 17:49 • Ämne: Bloggande

Bengt på Frihetens Vingar tipsar om det utmärkta initiativet att försöka koppla ihop de nordiska ländernas bloggosfärer.

Bengt: "Bloggarkivet har skapat det jag efterfrågade för att öka interaktionen i de nordiska bloggosfärerna. Det är en norsk tjänst som sett möjligheterna. [...] Vi måste börja spränga gränserna och språkbarriärerna om vi ska överleva i en alltmer globaliserad värld. Sätt igång nu och pinga den första nordiska pingtjänsten som inte är insnöad."

Den amerikanska dominansen inom både kultur och teknik gör lätt att vi glömmer bort hur mycket vi ha gemensamt med våra nordiska brödrafolk. Språkförståelsen har dalat i takt med att TV-utbudet har ökat, innan hade vi bara några få kanaler och då var det betydligt vanligare att man smygtittade på grannlandets TV.

Jag försöker att hänga med lite på Danska och Norska bloggar, dagstidningar och datortidsskrifter. Dessutom ser jag på dansk TV i stor sett varje dag, och lyssnar på DR P3 flera gånger i veckan. Det är både kul och lärorikt att ta del av de små skillnaderna i seder, kultur och språk, och se hur otroligt mycket vi har gemensamt.

Alla bloggläsare är naturligtvis hjärtligt välkomna oavsett land, och så länge jag bara förstår var som skrivs i kommentarerna går det utmärkt med både Danska och Norska.

Medan jag ändå skriver om bloggtjänster vill jag passa på att placera denna bloggen i Lundbloggkartan.se.

ämne

.NET Framework 3.0

Postat 2006-06-13, kl 15:38 • Ämne: .NET, Windows Vista

Lagom till att man börjat vänja sig vid .NET Framework 2.0 är nu nästa version på gång. WinFX som innehåller byggstenarna till de nya funktionerna i Windows Vista får namnet .NET Framework 3.0.

.NET Framework 3.0 bygger vidare på de tidigare versionerna och har utökats med Windows Presentation Foundation (WPF), Windows Communication Foundation (WCF), Windows Workflow Foundation (WWF) och Cardspace.

Microsoft: "The Microsoft .NET Framework 3.0 (formerly WinFX), is the new managed code programming model for Windows. It combines the power of the .NET Framework 2.0 with new technologies for building applications that have visually compelling user experiences, seamless communication across technology boundaries, and the ability to support a wide range of business processes."

Windows Presentation Foundation är Windows Vistas nya grafiksubsystem med skalbar vektorbaserad 3D-grafik. Applikationerna definieras i det XML-baserade språket XAML vilket gör skillnaden mellan webb- och desktopbaserade applikationer mindre distinkt.

Windows Communication Foundation sammanfogar Web Services, .NET Remoting, Message Queue och distribuerade transaktioner till en enhetlig utvecklingsmodell för tjänsteorienterad arkitektur. Windows Workflow Foundation är ett ramverk med stöd för affärsprocesser och Cardspace hanterar användaridentiteter. Det som lyser med sin frånvaro är Windows Future Storage (WinFS), det förbättrade filsystemet som är tänkt att göra indexering och sökningar med metadata effektivare.

Microsoft har öppnat en ny webbplats för utvecklare på adressen netfx3.com. Där finns mera information om .NET Framework 3.0, med kodexempel och dokumentation.

ämne

Linkification - klickbara länkar på ett kick

Postat 2006-06-12, kl 23:52 • Ämne: Firefox-tillägg

Linkification är ett tillägg till webbläsaren Firefox som ser till att adresser på webbsidor alltid är klickbara. Om en adress på webbsidan bara är text utan tillhörande hyperlänk gör detta tillägg automatiskt om den till en klickbar länk.

[Linkification Options] [Linkification Options]

Ibland hittar man URL:ar på webbsidor som bara är text och inte riktiga hyperlänkar. Då får man kopiera texten och klistra in den i webbläsarens adressfält för hand. Ofta beror det på att publiceringssystemet som hanterar webbsidan filtrerat bort länken av säkerhetsskäl. Vanligtvis kan inte en besökare skriva in HTML-kod på forum eller kommentarsfält eftersom det då skulle kunna påverka sidans utseende och funktion.

När en sida laddas i webbläsaren söker Linkification genom innehållet efter specifika textfragment som brukar ingå i adresser och inte är kopplade till någon hyperlänk. Man kan detaljstyra vilka HTML-element som ska sökas igenom och vilka som ska exkluderas.

Exakt vilka fragment tillägget ska leta efter går att ange i inställningarna och som förval hanteras kända protokoll, bilder och e-postlänkar. Bland dessa finner man http:, https:, ftp:, news:, nntp:, telnet:, irc:, mms:, ed2k:, file:, about: och mailto:. Var och en kan tas bort för sig, och man kan givetvis lägga till nya i listan.

Vidare finns det möjlighet att markera omvandlade länkar med en annan färg på text och bakgrund, välja om länkarna ska öppnas i ett nytt fönster eller flik m.m. Tillägget kan snabbt slås av eller på globalt, och man kan ange vilka domäner som det ska aktiveras för. Antingen använder man en whilelist, och då omvandlas bara text på de angivna domänerna, eller med en blacklist där man anger vilka sidor som ska exkluderas.

När tillägget är installerat visas en ikon på högra sidan av statusfältet längst ned i webbläsaren. Här kan man komma åt de olika inställningarna och snabbt stänga av eller slå på Linkification med ett enkelt klick.

Andra bloggar

Andra bloggar om: , , , ,

Tidigare inlägg

2006-06-03 : AutoCopy - enklare textkopiering i Firefox

ämne

Bredbandsavgifter skapar bara fler problem

Postat 2006-06-09, kl 20:34 • Ämne: Upphovsrätt

De senaste dagarna har bredbandsavgifter föreslagits som ett sätt att ge artisterna ersättning för nedladdad musik. En sådan lösning är om möjligt ännu sämre än upphovsrättslagen som har gjort en miljon medborgare till kriminella.

Så länge priset är rimligt och villkoren någorlunda rättvisa betalar jag gärna för film och musik. I rättvisa villkor ingår bland annat att jag själv får välja vems låtar jag vill köpa, när och om jag ska köpa dem, och att jag slipper betala flera gånger för samma sak. Dessutom tycker jag knappast att skivbolagens produkter är så värdefulla att det är befogat med någon form av allseende övervakningsapparat bara för att trygga deras intäkter.

För de flesta varor och tjänster är detta en självklarhet, men icke så för underhållningsbranschen. Kassettersättningen framhålls som en möjlig förebild för en bredbandsavgift för att kompensera artisterna för piratkopiering. När man köper en tom CD-R att lägga sina semesterbilder på måste man betala en avgift som ska kompensera skivartisterna för privatkopiering – att man gör kopior för eget bruk av en skiva man köpt. När man köper en tom CD-R kan man alltså inte avstå från att också stödja skivindustrin, men man får inte välja vilken artist som får pengarna, och man måste betala om och om igen för varje tom skiva man köper.

Överför man det systemet till bredband innebär det att den som surfar, chattar, skickar e-post, kollar på webcasts eller gör något annat med sin uppkoppling blir tvungen att betala en avgift till någon skivartist, bara för att skivbolaget påstår att deras skiva är så bra att den borde sälja mer.

Vad skulle man då få för sin avgift som bredbandskund? Förmodligen skulle skivbolagen kunna tänka sig ett arrangemang som motsvarar kassettersättningen, det vill säga att de tar emot pengarna utan någon form av motprestation. Men jag har mycket svårt att tro att skivbolagen kan tänka sig att släppa sin upphovsrätt och tillåta helt fri kopiering.

Kan man då inte göra systemet mera rättvist på något sätt? Ett alternativ är att avgiften läggs som en rörlig kostnad som tas ut per Mb. Då drabbas inte småsurfaren, men det är fortfarande lika orättvist för den som använder sitt bredband mycket utan att kopiera film eller musik. Dessutom kan man fortfarande inte påverka vilken artist som får pengarna.

Ännu ett alternativ är att ISP:n analyserar all trafik och tar reda på hur mycket som är film och musik, samt vems verk det är som kopieras. Ett sådant system medför en omfattande övervakning där operatören – och i förlängningen Storebror – får ha full insyn i allt som överförs. Det är också AntiPiratByråns våta dröm eftersom det gör det möjligt att blockera överföringen av allt upphovsrättsskyddat material.

Tack och lov är detta ett mycket svårt tekniskt problem. Tänker man efter innebär det att den dator som analyserar trafiken måste ha kännedom om allt upphovsrättsskyddat material som existerar, i alla format, kodningar och filtyper. Och till och med då går systemet att kringgå med lite enkla trick och grundläggande kryptering.

Kort sagt skapar en avgift på bredband fler problem än det löser, och cementerar ett system där en bransch har en särställning och får ta in avgifter på produkter de själva varken producerar eller säljer. Man ska också komma ihåg att priset på bredband förmodligen kommer att drabbas av andra kostnader ganska snart. Någon måste betala för trafikdatalagringen och Radiotjänst trycker på för att även mobiltelefoner och datorer ska omfattas av TV-licensen.

Fredrik tar upp det allt mera slentrianmässiga användandet av övervakningskameror. Att man blir filmad så snart man går in i en affär har nog de flesta redan vant sig vid, men nu ska vi också bli filmade när vi gör av med det vi köpt.

Fredrik: "Förpacknings & Tidningsinsamlingen ansökt om att få kameraövervaka sopstationer. [...] Går detta tillstånd igenom kan man knappast hävda att det finns några som helst begränsningar på vilka typer av förseelser som kan föranleda övervakning."

Till och med sopor är alltså viktigare än den personliga integriteten nuförtiden. Ett relaterat fenomen är "sopspionerna" som i värsta KGB-stil smyger runt och kollar så att fru Svensson inte sorterar fel eller lägger något bredvid soptunnan.

Anslaget med ordningsregler har ersatts med angiveri, övervakning och folk som smyger i buskarna för att kunna rota igenom andras sopor. Hur sjutton gick det till? U-(

ämne

Fildelning blir valstrategi

Postat 2006-06-09, kl 12:19 • Ämne: Upphovsrätt, Val 2006

I svallvågorna från slaget i piratbukten har Piratpartiet fått ordentligt med vind i seglen. När nu även de etablerade partierna har börjat inse vilket håll valvinden blåser är de inte längre lika intresserade att ta ansvar för den nya upphovsrättslagen.

[PiratPartiets logo]

Den första juli 2005 trädde den nya uppdaterade upphovsrättslagen i kraft, som gjorde det olagligt att ladda ner musik från Internet utan rättighetshavarens tillstånd. Samtidigt blev det förbjudet att ta sig förbi kopieringsskydden på film och musik, i praktiken en stark inskränkning i konsumentens rätt att framställa enstaka exemplar för eget bruk.

Lagen är en anpassning till ett tvingande EU-direktiv från 2001 och fick stöd av samtliga partier utom Miljöpartiet och Centern. Centerpartiets motstånd mot lagen kom dock så sent att det i praktiken inte spelade någon roll. Opinionsläget var ungefär det samma då som nu, med ungefär en miljon aktivt fildelande svenskar och en överväldigande majoritet av landets unga som motståndare mot den nya lagen.

Men i vintras lanserades Piratpartiet och de har på kort tid lyckats föra upp upphovsrätten och fildelning i strålkastarljuset som en potentiell valfråga.

När dessa frågor nu riskerar att påverka spelet om regeringsmakten har den nya upphovsrättslagen blivit en belastning som kan innebära minskat stöd bland förstagångsväljarna. Moderaterna och Vänsterpartiet har signalerat en omsvängning, och nu säger sig till och med Thomas Bodström vara öppen för andra lösningar.

Dock är det knappast troligt att det handlar om någon egentlig åsiktsförändring i sakfrågan. Om inte Piratpartiet kommer in i Riksdagen, och det är knappast troligt, lär det nyfunna intresset hos de etablerade partierna att hitta en smidigare lösning på fildelningsfrågan ta slut samtidigt som vallokalerna stänger.

Trots allt är det inte vacker retorik och vaga vallöften som i slutändan spelar någon roll, utan hur partierna faktiskt röstar i Riksdagen. Det faktum att Sverige är bundet av EUs direktiv gör också att det är fritt fram för den skrupelfrie att lova ganska mycket utan att vara rädd för att behöva omsätta det i verkligheten.

Fotnot: För tydlighetens skull vill jag påpeka att jag inte är medlem i Piratpartiet.

ämne

Lägg Telias nät i eget bolag

Postat 2006-06-09, kl 07:45 • Ämne: Ekonomi, Internet

Den moderata riksdagskvinnan Ulla Löfgren anser att Telias nät bör brytas ut och placeras i ett eget bolag. På så sätt skulle det bli bättre konkurrens och lättare för andra operatörer att få tillgång till kopparnätet på lika villkor.

Ulla Löfgren (M): "– Jag tycker att det borde vara ett eget bolag, precis som man gjort med Banverket och Svenska Kraftnät. Åtminstone måste det finnas möjlighet för andra att ta sig in i nätet via det som kallas bitström. Post- och telestyrelsen har faktiskt ålagt Telia att erbjuda den tjänsten, men Telia obstruerar genom att överklaga beslutet – det är upprörande"

Kopparnätet administreras av Teliasonera Network Sales som säljer nätgrossisttjänster under varumärket Skanova. Flera av Telias konkurrenter har i åratal hävdat att Telia på grund av sitt ägande haft en särställning och därmed fördelar gentemot sina konkurrenter.

En uppdelning av Telia på samma sätt som gjordes med SJ och Banverket borde ha gjorts redan när Televerket bolagiserades. Kopparnätet är byggt med skattebetalarnas pengar och bör användas så att medborgarna får så billiga och bra teletjänster som möjligt. Vinsterna i ett sådant bolag bör återinvesteras i nätet så att kopparkablarna så småningom kan ersättas med fibrer hela vägen ut till konsumenten.

Andra bloggar

Andra bloggar om: , , ,

Tidigare inlägg

2004-12-22 : Konkurrensverket stämmer TeliaSonera

Polisen har fått stark kritik för att de länsade serverhallen hos internetleverantören PRQ vid räden mot The Pirate Bay. Förundersökningsledare Håkan Roswall försvarar beslutet med att polisen misstänker att killarna bakom TPB begått dataintrång på de andra kundernas servrar.

Håkan Roswall: "- Vi har hittat material i datorer som inte omedelbart kunde kopplas till The Pirate Bay, så det var fullt befogat att göra det [...] - Hypotesen är att The Pirate Bay har utnyttjat andras datorer. Är det så att man gjort det här olovligen, och det kommer in en anmälan om dataintrång, då kommer vi naturligtvis att utreda det också"

Alltså hade det inte gjorts någon anmälan om dataintrång före polisens razzia. Polisen visste inte heller om några andra servrar hade utnyttjades för att driva TPB, och om detta i så fall har gjorts utan ägarens tillstånd. För mig låter det som mycket lösa misstankar, som om de kan ligga till grund för att tömma en hel datorhall borde gå att använda för att beslagta precis vilken dator som helst.

Skribenten och IT-entreprenören Oscar Swartz - som har mycket goda kontakter i datordriftskretsar - tror att det hela handlar om en efterkonstruktion:

Oscar Swartz: "spontant låter det som en efterhandskonstruktion. Misstänkte man verkligen att det där materialet fanns på alla de där datorerna, eller var det något man funnit nu efteråt av en slump på ett par av dem? [...] Jag har även fått tag på Den Fjärde Mannen och Anakata från TPB som hävdar att detta är gripet ur luften eller något obegripligt missförstånd och att en polisanmälan mot Håkan Roswall för förtal kan bli aktuell. De förklarar också att det vore fullkomligt befängt att försöka köra en Tracker för The Pirate Bay på en kundserver"

En förtalsanmälan är kanske ett sätt att få utrett vad som egentligen har hänt. Om polisen misstänkte att TPB kördes på andra maskiner i smyg måste de rimligen ha haft en aning om vilka datorer det i så fall handlade om.

Oscar Swartz har publicerat flera utförliga och högintressanta inlägg både om det omfattande beslaget och annan bakgrundsinformation till räden mot The Pirate Bay. Jag kan definitivt rekommendera alla intresserade ett besök på hans blogg.

Från början var det tänkt att nästa version av Office skulle ha stöd för att spara dokument direkt till PDF. Men nu har ett stämningshot från Adobe har satt stopp för den funktionen i Office 2007.

[Adobe PDF]

Microsoft vill att användaren ska kunna spara dokument direkt till PDF i Office 2007, och har redan inkluderat funktionen i de betaversioner som nu håller på att testas. Adobe kräver att funktionen ska lyftas ut ur Office och att Microsoft ska ta extra betalt av dem som vill använda den. Som det ser ut just nu blir det ett mellanting där man måste ladda ned och installera stödet för PDF separat, men att det ändå är gratis.

Eftersom Microsoft jobbar på en direkt konkurrent till PDF är det inte så konstigt att varningsklockorna ringer hos Adobe. Microsoft är ökänt för sin taktik "Embrace, extend and extinguish" där företaget först lovar att stödja en viss standard, och sedan släpper inkompatibla utökningar som bara Microsofts produkter kan hantera. De olika varianterna leder i sin tur till att standarden undergrävs och till sist blir värdelös.

Ett annat skäl för Adobe att hålla PDF borta från Microsoft Office är att det skulle förstöra marknaden för Adobe Acrobat. Så länge som program som OpenOffice har en liten marknadsandel gör det inte så mycket att de kan spara direkt till PDF, men om funktionen introduceras i Microsoft Office som har en överväldigande marknadsdominans blir läget ett helt annat.

Om stödet för PDF i Office 2007 kommer att gå att ladda hem och installera gratis finns det egentligen som förlorar på att det inte ligger med från början. Den som vill slippa betala för Adobe Acrobat kan ladda hem och installera PDF-stödet. Adobe behåller kontrollen över PDF-formatet och behöver inte vara lika oroliga över att Microsofts PDF-stöd ska diktera vilken version av PDF som dominerar.

Oavsett vart detta landar i slutändan finns det en mängd gratisverktyg som man kan använda för att skapa PDF utan att behöva köpa Acrobat. T.ex PDFCreator som använder en skrivardrivrutin på samma sätt som Acrobat och är tillgängligt gratis under GPL-licens.

ämne

Polisens räd mot Port80 fick inte filmas

Postat 2006-06-05, kl 03:03 • Ämne: The Pirate Bay

En videofilm från övervakningskamerorna i serverhallen hos Rix Telecom / Port80 AB finns att titta på hos YouTube. Port80 var ett av de företag som fick påhälsning i samband med razzian mot The Pirate Bay.

Det anmärkningsvärda med filmen är att man kan se hur en av poliserna går runt och täcker över alla kamerorna så att de inte ska registrera vad som händer sen. Om allt går rätt till så har de väl rimligen ingenting att dölja?

Så varför ville inte polisen att övervakningskamerorna skulle spela in vad de gjorde i serverhallen? :-/

Den som vill lära sig mer om modern kryptografi har nu fått ett utmärkt tillfälle. University of Washington har lagt ut kursmaterial och webcasts från kursen Practical Aspects of Modern Cryptography. Detta är absolut en kurs som jag ska ta mig en närmare titt på!

Andra bloggar

Andra bloggar om: , , ,

Tidigare inlägg

2006-04-27 : Se på gratis föreläsningar via nätet

ämne

TPB-protesterna och dess konsekvenser

Postat 2006-06-05, kl 00:35 • Ämne: Säkerhet, The Pirate Bay

Händelseutvecklingen vid razzian mot The Pirate Bay har gett upphov till protester av en i sammanhanget sällan skådad omfattning. Tyvärr har fina manifestationer i god demokratisk anda också ackompanjerats av andra betydligt mer destruktiva tillgrepp.

Många av dem som deltog i Piratpartiets demonstration i lördags var nog mest upprörda över att deras favoritplats för gratis underhållning hade stängts ned. Men det är viktigt att förstå att den här saken inte först och främst handlar om piratkopiering, upphovsrätt eller ens om webbplatsen The Pirate Bay.

Wille på The Libertarian In Room 101 har skrivit ett utmärkt inlägg om varför detta handlar om något mycket större än gratis film och musik:

Wille: "Det är rätt lustigt hur folk plötsligt går upp i varv och blir jätteupprörda när deras gratislunch (filmer, spel, musik) tas ifrån dem, men ingen har så mycket som lyft ett finger de senaste åren när EU, Bodström m fl föreslagit och infört frihetsberövande lag på lag. […] Det säger en hel del om människans natur: de flesta bryr sig föga om grannens friheter och rättigheter, men fan om någon tar deras gratislunch ifrån dem!"

Min egen kritik mot hanteringen av det här fallet handlar inte alls om att värna möjligheterna till piratkopiering – upphovsrätten är trots allt en grundförutsättning för att det ska gå att leva på det yrke jag själv har valt. Betydligt mera intressant är att diskutera ordergången, och hur påtryckningar från amerikansk filmindustri till sist resulterade i en jättelik razzia mot något som polisen själva ansåg ha tveksam juridisk status.

Men helt oavsett vilken del man väljer att uppröras över så verkar lördagens manifestation ändå ha varit exempel på bra opinionsbildning i god demokratisk anda. Sorgligt nog har samtidigt en eller flera personer (som säkert inte har något alls att göra med TPB) belägrat Polisens och Regeringens hemsidor med överbelastningsattacker i vad som ser ut som någon form av hämndaktion.

Patrick Strang beskriver (som vanligt) det bra:

Patrick Strang: "Nu har tomtarna med lite för mycket tid över och helt sned verklighetsuppfattning DoS:at regeringen.se också. [...] jag trodde att kiddzen skulle förstå att efter attacken mot polisen.se så var det inte många som tyckte det var särskilt ball. Att sänka samhällsviktiga webbplatser är enbart och allena kontraproduktivt och juvenilt."

Jag minns fortfarande hur starka åsikter man kan ha i de övre tonåren och hur hårt man kan vara beredd att kämpa för dem. Men man måste försöka att göra det smart! Att försöka påverka politiken genom att ge sig på den lagstiftande makten med kriminella metoder är korkat, och med största säkerhet något som får rakt motsatt effekt. Genom att hota staten och utmana de som stiftar landets lagar åstadkommer man bara att de svarar med ännu hårdare lagstiftning.

Förmodligen kommer dessa attacker att leda till att myndigheterna nu får upp ögonen för hur sårbara webbplatser är för riktade attacker. Problemet är knappast nytt, men det är först nu som några svenska intressen med så hög profil har blivit drabbade. I värsta fall ännu mera lagstiftning med inspiration från USA och Storbritannien – t.ex att man klassificerar attacker mot statliga datorsystem som terrorism och förbjuder mjukvara som kan användas för angrepp.

ämne

AutoCopy - enklare textkopiering i Firefox

Postat 2006-06-03, kl 18:37 • Ämne: Firefox-tillägg

AutoCopy är ett tillägg för webbläsaren Firefox som gör det enklare och snabbare att kopiera text från webbsidor till klippbordet.

[AutoCopy context menu]

Grundidén med AutoCopy kommer från observationen att den vanligaste anledningen till att en användare markerar text på en webbsida är för att sedan kunna kopiera den. Då finns det ingen anledning att användaren ska behöva trycka CTRL-C varje gång, utan detta kan göras helt automatiskt.

Det låter säkert som en liten obetydlig detalj man lika väl kan vara utan, så tyckte i alla fall jag första gången jag läste beskrivningen. Men att bara kunna välja text på sidan och sedan genast byta till programmet där man vill klistra in den är väldigt bekvämt och vanebildande.

[AutoCopy statusbar icon]

Tillägget innehåller också några andra närbesläktade finesser. AutoCopy sparar en historik över den text man har kopierat så att man kan klistra in den senare. På så sätt kan man kopiera flera olika textstycken på samma gång och slippa vara begränsad till att bara hantera ett klipp åt gången. Mittenknappen kan användas för att klistra in text, och man kan välja att klistra in texten direkt i adressfältet eller webbläsarens sökfält med ett snabbkommando.

När tillägget är installerat visas en utklippsikon på högra sidan av statusfältet längst ned i webbläsaren. Här kan man komma åt de olika inställningarna och snabbt stänga av eller slå på AutoCopy med ett enkelt klick.

Andra bloggar

Andra bloggar om: , , , ,

Tidigare inlägg

2006-03-06 : Extend Firefox Contest avgjord

Efter stängningen av The Pirate Bay blev Polisens webbplats målet för ett överbelastningsangrepp. Hemsidan anropades en halv miljon gånger per sekund och det var mer än systemet kunde hantera.

Dagens Nyheter: "Uppmaningar att försöka sänka polisens hemsida ska ha gått ut på internet efter tillslaget mot fildelarsajten Pirate Bay. Det har också lagts upp en anonym hemsida där de som går in laddat hem en stor bild från polisen hemsida var sjätte sekund. [...] Attacken har inte slagit mot polisens operativa verksamhet och det kan därför inte ses som att väsentliga samhällsfunktioner skadats. Däremot kan polisens trovärdighet ha fått sig en törn."

Jag har förståelse för att många blev upprörda över det otroligt klantiga räden mot webbhotellet PRQ som även drabbade Piratbyrån och många andra helt oskyldiga kunder. De politiska förgreningarna med påtryckningar från utlandet luktar också ordentligt illa.

Men jag tror inte att detta är en bra metod för att protestera. Genom att demonstrera hur lätt det är att blockera en myndighets webbplats ger man bara Bodström och hans vänner ytterligare argument föra att det behövs mer och hårdare lagstiftning. Till exempel det nu uppskjutna förslaget att låta försvaret avlyssna alla teletrafik för att förhindra cyberattacker.

Andra bloggar

Andra bloggar om: , , , , ,

Tidigare inlägg

2006-06-01 : Ministerstyre på uppdrag från USA
2006-06-01 : Räden mot The Pirate Bay
2006-01-10 : Svenskt ECHELON

ämne

Firefox 1.5.0.4

Postat 2006-06-03, kl 00:22 • Ämne: Firefox

Mozilla har släppt en ny version av webbläsaren Firefox med åtgärder för flera säkerhetshål och förbättrad stabilitet.

Säkerhetshål som åtgärdas i denna version:

  • MFSA 2006-43 Privilege escalation using addSelectionListener: Ett fel som kan kombineras med MFSA 2006-31 och MFSA 2006-37 för att köra kod med högre rättigheter.
  • MFSA 2006-42 Web site XSS using BOM on UTF-8 pages: Unicode Byte-order-Mark (BOM) tas bort från sidor som använder UTF-8 på ett sätt som göra att <script> inte filtreras bort på rätt sätt.
  • MFSA 2006-41 File stealing by changing input type (variant): Åtgärdar ett fel som gör att man kan konstruera en webbsida för att stjäla valfria namngivna lokala filer från besökarens maskin. Filnamnet sätts i en textbox som sedan kan göras om till en file upload med bibehållet innehåll.
  • MFSA 2006-39 "View Image" local resource linking: Möjliggör för en webbsida att ta sig förbi spärren mot att använda filer som är lagrade på besökarens maskin.
  • MFSA 2006-38 Buffer overflow in crypto.signText(): Minneshanteringsfel i funktionen crypto.signText().
  • MFSA 2006-37 Remote compromise via content-defined setter on object prototypes.
  • MFSA 2006-36 PLUGINSPAGE privileged JavaScript execution 2: Ett säkerhetshål som utnyttjas via funktionen för att installera utökningar till webbläsaren.
  • MFSA 2006-35 Privilege escalation through XUL persist: Ett fel som göra att XUL-attribut under vissa omständigheter kan associeras med fel webbadress. Det kan utnyttjas för att få webbläsaren att hantera dessa attribut i ett sammanhang där säkerhetsbegränsningarna inte är lika strikta.
  • MFSA 2006-34 XSS viewing JavaScript: Om en angripare kan få användaren att högerklicka på en bild som inte laddats och välja "View Image" kan detta säkerhetshålet utnyttjas för att starta JavaScript som kan stjäla cookies tillhörande andra domäner.
  • MFSA 2006-33 HTTP response smuggling: En säkerhetsbrist som uppstår på grund av att Firefox inte är tillräckligt strikt vid hanteringen av HTTP-headers från webbservern, vilket kan utnyttjas för att stjäla information lagrade i användarens cookies.
  • MFSA 2006-32 Fixes for potential memory corruption: Flera säkerhetsbrister som kan utnyttjas genom att krascha webbläsaren så att det uppstår minneshanteringsfel.
  • MFSA 2006-31 EvalInSandbox escape: JavaScript som körs via EvalInSandbox kan bryta sig ur sandlådans begränsningar genom att anropa metoden valueOf() på objekt som är skapade utanför sandlådan och därför saknar dessa säkerhetsbegränsningar.

Ladda hem den nya versionen från getfirefox.com

Andra bloggar

Andra bloggar om: , ,

ämne

Ministerstyre på uppdrag från USA

Postat 2006-06-01, kl 23:53 • Ämne: The Pirate Bay

Omständigheterna kring polisens razzia mot The Pirate Bay blir bara mera uppseendeväckande allt eftersom detaljerna klarnar. Spåren leder till justitiedepartementet som agerat marionett åt den amerikanska regeringen.

På initiativ från Hollywoods intresseorganisation Motion Picture Association of America (MPAA) har USA:s regering utövat påtryckningar på det svenska justitiedepartementet att agera för att stänga ned webbplatsen The Pirate Bay. När polisen inte var tillräckligt tillmötesgående ska statssekreteraren på justitiedepartementet ha gett order till riksåklagaren och rikspolischefen att ingripa.

Svenska Dagbladet: "Enligt Sveriges Televisions Rapport föregicks tillslaget av kontakter mellan den amerikanska filmorganisationen MPAA och Vita huset. Därpå ska utrikesdepartementet i Washington ha vänt sig till Stockholm med en begäran om att Sverige måste göra något åt Pirate Bay. [...] Svensk polis och åklagare fick sedan signaler från justitiedepartementet att agera. Enligt en åklagare var rättsläget oklart. Då gav statssekreterare Dan Eliasson riksåklagaren och rikspolischefen order om handling, uppger Rapport."

En sådan händelseutveckling är synnerligen anmärkningsvärd. Till att börja med för att den svenska regeringen låter främmande makt diktera vem som svensk polis ska ingripa mot, och därmed både blandar in utrikespolitik i svensk rättsskipning och springer andra regeringars ärenden. Också det brutala tillvägagångssättet med en totalt länsad serverhall får ju sin förklaring om ordern kom hela vägen från Vita huset.

Justitiedepartementet och regeringens roll är att stifta lagar som polis, åklagare och domstolar sedan har att tillämpa för varje enskilt fall. Om någon från justitiedepartementet gett order om hur ett enskilt ärende ska hanteras har de gjort sig skyldiga till ministerstyre.

Parallellen med utrikesdepartementets påtryckningar för att stänga ned Sverigedemokraternas hemsida är solklar. I båda fallen har ministern skickat fram en tjänsteman som lagt sig i vad som publicerats på nätet, för att sedan två sina händer från all inblandning. Det kostade (officiellt) Laila Freivalls jobbet. Man kan bara hoppas att Big Brother Bodström går samma öde till mötes.

Uppdaterat 2006-06-02: Centerpartisten Johan Linander har anmält ärendet till KU.

Uppdaterat 2006-06-03: Givetvis förnekar Justitieministern i vanlig ordning all inblandning. Det har ju blivit något av praxis för politiker att ta chansen och blåneka till allt som är obekvämt och inte går att bevisa på stående fot. När man bedömer Bodströms trovärdighet kan det vara på sin plats att påminna om detta uttalande från mars 2005: "-Polisen ska inte jaga tonåringar som laddar ner". Nu vet vi hur det blev med det.

ämne

Bloggelsedag

Postat 2006-06-01, kl 19:38 • Ämne: Bloggande

Idag är det precis två år sedan teknikbloggen slog upp portarna för allmänheten och därför har jag nu glädjen att kunna fira bloggens andra bloggelsedag. Tänk vad tiden går fort när man har kul!

Under det senaste året har antalet inlägg sprängt 500-vallen, och den första december förra året fick designen också en välbehövlig ansiktslyftning. Jag har fått många trevliga kommentarer och intressanta frågor både här på bloggen och privat via e-post, och det tackar jag för.

Jag vill också passa på att tacka dig kära besökare för att du tar dig tid att läsa mina inlägg. Hoppas du hänger med ett år till!

ämne

Räden mot The Pirate Bay

Postat 2006-06-01, kl 15:02 • Ämne: The Pirate Bay

Igår slog ett 50-tal poliser till mot personer med anknytning till Bittorrent-trackern The Pirate Bay (TPB). De anhöll tre personer, genomförde husrannsakningar på flera adresser och beslagtog servrar hos webbhotellet PRQ. Nu finns det uppgifter om att tillslaget även har en politisk dimension.

The Pirate Bay är en Bittorrent-tracker som håller reda på vilka användare som för tillfället håller på att distribuera en viss fil via protokollet Bittorrent. På servern lagras en metafil för varje torrent som beskriver vilka filer som ingår, hur filerna är uppdelade i mindre delar och checksummor för dessa. Vidare har trackern en lista över IP-adresser till datorer som är anslutna till varje torrent.

En absolut grundläggande detalj man måste förstå för att kunna ta ställning till om TPB bryter mot lagen eller ej är att trackern själv aldrig hanterar eller lagrar själva innehållet som distribueras. Innehållet i filerna skickas enbart mellan de anslutna klienterna.

Detta faktum har gjort att TPB har kunnat fortsätta att arbeta relativt ostört i flera år. Både filmbolag och mjukvarutillverkare har visserligen gjort juridiska påstötningar och skickat hotfull e-post till administratörerna med krav på att webbplatsen skulle stängas ned. Ofta med det fundamentala misstaget att hänvisa till amerikansk lagstiftning som naturligtvis inte gäller i Sverige.

Vad är det då som gjort att polisen valt att agera nu? Antipiratbyrån har länge hävdat att TPB begår medhjälp till upphovsrättsbrott och man kan säga att de nu har fått lön för sin lobbyverksamhet. Men de påtryckningar som verkar vara det som verkligen föranlett ingripandet kommer från ett annat håll. Enligt uppgifter som SVT tagit del av har USA tryckt på och uppmanat svenska politiker att ingripa. De har i sin tur tryckt på för att polisen skulle slå till mot TPB.

SVT Text: "Enligt källor till SVT har USA utövat påtryckningar mot svenska politiker, som i sin tur uppmanat polisen att agera. The Pirate Bay har uttalat sig trotsigt mot upphovsrättsägare."

I så fall handlar det mer om att bestraffa de som står bakom TPB än att utreda ett eventuellt brott. Genom att använda gripanden, beslag av egendom, husrannsakan och förhör som ett sätt att trakassera personer de vet inte kommer att fällas i domstol kan de ändå statuera exempel och skapa avskräckande publicitet.

Mönstret känns igen från tidigare tillslag mot fildelare och mot Internetoperatören Bahnhof, där Antipiratbyrån betalat en infiltratör för att plantera bevis på de servrar som senare beslagtogs. Ett ytterligare tecken på detta är att kammaråklagaren beslöt att ta DNA-prov på dem som nu anhållits – trots att detta knappast kan ha någon som helst betydelse för en utredning om medhjälp till upphovsrättsbrott.

Polisen verkar dessutom även ha beslagtagit servrar som tillhör företag och privatpersoner utan någon som helst koppling till TPB. I samband med tillslaget länsades hela serverhallen på utrustning utan hänsyn till hur det drabbar webbhotellets andra kunder.

Webbsidor som bryter mot lagen måste givetvis gå att stänga ned och de som står bakom sidan måste gå att ställa till svars. Men rättsväsendets maktmedel ska inte användas för politiska syften eller för att straffa personer man tycker är obekväma. Rättsäkerheten måste omfatta alla och eventuella tillslag måste utföras så att de i minsta möjliga mån är till men för tredje man. I det här fallet finns det tecken som tyder på att det finns anledning att kritisera på samtliga dessa punkter.

Uppdaterat 2006-06-03: Det var en jättekul och smickrande att upptäcka att detta inlägg, tillsammans med inlägg från Isecore, Patrick Strang, Nicklas Lundblad och Jinge Flücht har uppmärksammats i Sveriges Radios Bloggkrönika den 3 juni 2006. Tack!

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot