Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Citerad i Computer Swedens Windows Vista-special

Postat 2006-09-29, kl 20:34 • Ämne: Windows Vista

Computer Sweden har idag en special om Windows Vista och jag har fått äran att vara med och tycka till. Jättekul!

Liksom många andra som redan använder Windows Vista i vardagen tycker jag att RC1 är lika bra som beta 2 var dålig. Kvalitén har tagit ett jättekliv framåt och versionerna efter RC1 börjar nu likna något som går att använda även om man inte är teknikintresserad. Men ännu är det inte helt smärtfritt.

Computer Sweden: "Lars Olofsson, fristående konsult, anser att det fortfarande återstår en del innan Vista är perfekt.
– Det mesta verkar ha fallit på plats nu. Men det finns fortfarande en mängd detaljer som behöver putsas ytterligare. Inte minst måste kompatibiliteten med en del vanliga tillämpningar förbättras så att det blir enklare för användaren att hitta fungerande inställningar."

Det finns en rad program som inte trivs så bra ihop med Windows Vista RC1. Och det är kanske inte så konstigt om man betänker hur mycket som ändrats under skalet. Microsoft Virtual PC 2004 och Nero Burning Rom är två exempel på program som man får trixa lite med. Adobe Photoshop CS2 och DVD Decrypter är två andra som ibland uppför sig lite lustigt. Min nya favorit bland bildvisarprogrammen, XnView tvärdyker när man startar det på Vista RC1.

När det gäller Antivirusprogram och brandväggar påverkas de mer av ändringarna under skalet på Windows och man får utgå ifrån att de inte fungerar med Vista tills de blivit uppdaterade. Tyvärr kan en del av säkerhetsförbättringarna i Vista göra det betydligt svårare för tredjepartsutvecklare på dessa områden.

Andra bloggar

Svenska bloggar om: , ,

ämne

MS06-055: Vulnerability in Vector Markup Language

Postat 2006-09-27, kl 21:18 • Ämne: Windows

Microsoft har släppt en extra uppdatering för säkerhetsproblemet i WML som gör att man kan kapa besökarens dator via Internet Explorer.

MS06-055: Vulnerability in Vector Markup Language Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i implementationen av Vector Markup Language (VML) i vgx.dll som kan utnyttjas av en angripare för att ta kontroll över maskinen. Felet utnyttjas aktivt av bland annat trojanen Trojan.Vimalov och Microsoft har därför släppt uppdateringen tidigare än normalt. (CVE-2006-4868)

Påverkar: Windows 2000, XP och Server 2003

Andra bloggar

Andra bloggar om: , , ,

ämne

Windows Vista RC1 update Build 5728

Postat 2006-09-24, kl 00:29 • Ämne: Windows Vista

Microsoft har släppt en uppdatering av Windows Vista RC1 som man kan ladda hem och testa. RC1 var Build 5600 och den nya versionen är Build 5728 från den 17/9.

Windows Vista Team Blog: "Microsoft is looking for volunteers to help test an updated, interim release of Windows Vista. This build (5728) has a number of improvements and updates from RC1, but has not been put through the same internal testing process as RC1. We are making this release available for a limited time only in order to get broad distribution and testing in a variety of PC configurations."

Build 5728 levereras som en ISO-image på 2.56 Gb och tillgänglig för alla att ladda ned. Men det gäller nog att snabba på eftersom Microsoft bara vill ha 100 000 testare för den här versionen. Så skynda fynda!

Hämta den här: Windows Vista RC1 update (5728), English 32-Bit Edition

Uppdaterat 2006-09-25: Nu har jag uppgraderat till 5728 och detta var den första versionen av Vista som gick att installera helt utan någon handpåläggning. Vista börjar arta sig ordentligt nu!

Andra bloggar

Andra bloggar om: , , , , ,

Tidigare inlägg

2006-09-03 : Windows Vista Release Candidate 1

ämne

Piratpartiet fick nästan 35 000 röster

Postat 2006-09-23, kl 00:20 • Ämne: Val 2006

Enligt valmyndighetens sammanräkning fick Piratpartiet 34 918 röster i riksdagsvalet, vilket motsvarar 0,63 %. En stark prestation som visar att även den unga generationen bryr sig om politik.

Piratpartiet knep en tredjeplats bland de partier som inte kom in i riksdagen. Klart störst blev Sverigedemokraterna följt av Feministiskt initiativ som fick 37 954 röster (0,68 %). Det är klart imponerande att Piratpartiet slog både Junilistan och SPI, och nästan lyckades matcha Feministiskt initiativ som haft stor medial draghjälp av Gudrun Schyman.

Dessutom förde Piratpartiet fram frågorna om fildelning och upphovsrätt i valrörelsen så att de andra partierna inte kunde bortse från dem. Men det störta bidraget är nog ändå att Piratpartiet har visat att fildelare inte bara är lata ungdomar som vill ha allting gratis, utan att de också representerar en konstruktiv kraft som är beredda att arbeta för att förverkliga sina idéer.

Piratpartiets framgångar är ett bevis på att det minskande antalet medlemmar i de etablerade politiska ungdomsförbunden inte nödvändigtvis betyder att ungdomar är ointresserade av att vara med och påverka genom den demokratiska processen. Fokus har bara flyttats från abstrakta ideologier till mera konkreta frågor.

Andra bloggar

Andra bloggar om: , , ,

ämne

Hårddisken fyller 50 år

Postat 2006-09-17, kl 23:36 • Ämne: Datorhistoria

Världens första kommersiella hårddisk lanserades i september 1956. Det var IBM som presenterade IBM 350 Disk Storage Unit med en lagringskapacitet på 5 miljoner tecken. Sedan dess har kostnaden för att lagra en Megabyte fallit från en halv miljon till en tredjedels öre.

Bild: Datorsystemet IBM RAMAC 305
Bild 1: Datorsystemet IBM RAMAC 305
med tillhörande hårddisk. (Foto: IBM)
Bild: IBM 350 Disk Storage Unit
Bild 2: IBM 350 lagrar 4,4 Mb och
väger in på över ett ton. (Foto: IBM)
Bild: Alla skivorna delade på ett enda läs- och skrivhuvud
Bild 3: Det enda läshuvudet åker
hiss mellan skivorna. (Foto: IBM)

IBMs uppfinning gjorde att man kunde lagra en stor mängd information på magnetiska skivor och komma åt valfri del med ungefär samma hastighet. Tidigare system förlitade sig på hålkort och magnetband. Hålkorten kunde bara lagra en mycket begränsad mängd information och magnetbanden fick spolas fram och tillbaka för att man skulle kunna läsa på rätt ställe.

Två kylskåp på över ett ton

Den första hårddisken gick inte att köpa separat utan levererades som en del av datorsystemet IBM Random Access Method of Accounting and Control (RAMAC) 305 (bild 1) som var ett av de sista som byggdes med radiorör.

IBM 350 Disk Storage Unit (Bild 2) var ett rejält kabinett som mätte 173 x 152 x 74 centimeter – ungefär samma storlek som två fullstora kylskåp – och vägde över ett ton. Själva hårddisken bestod av en trave med 50 dubbelsidiga skivor med en diameter ca 61 cm (24 tum) som roterade med 1200 varv per minut. Alla skivorna delade på ett enda läs- och skrivhuvud (bild 3) som fick flyttas till rätt skiva innan man kunde komma åt informationen.

Allt detta gav en lagringskapacitet på 5 miljoner tecken med 7 bitar i varje, eller ungefär 4.4 Mb med dagens mått. Lagom för att kunna lagra ett par bilder från en digitalkamera eller 2-3 minuter musik som MP3. Överföringshastigheten låg på ca 8800 tecken per sekund vilket är aningen snabbare än ett vanligt telefonmodem.

Lagringskapaciteten dubbleras varje år

Hårddiskar är förmodligen den datorkomponent som haft den mest dramatiska teknikutvecklingen och den fortsätter med oförminskad styrka. En tumregel för integrerade kretsar är att den prestanda man får per krona brukar dubbleras på 18 månader. För hårddiskar kan man räkna med samma dubblering på 12 månader. En hårddisk är inte längre stor som ett kylskåp utan får lätt plats i mobiltelefoner, musikspelare och digitalkameror.

Den vanligaste typen av hårddisk som används idag har skivor på 3,5 tum och finns tillgängliga i varianter som sväljer 750Gb och snurrar med 15 000 varv per minut. Men det finns också mindre hårddiskar som till exempel Microdrive vars 1 tums-disk är så liten att man kan använda den som ersättning för minneskort.

1956 kostade det uppskattningsvis ca 500 000 kronor att lagra en Mb på hårddisk. Idag kostar det bara 0,3 öre. Det är vad jag kallar framsteg!

ämne

Firefox 1.5.0.7

Postat 2006-09-16, kl 03:39 • Ämne: Firefox

Mozilla har släppt version 1.5.0.7 av webbläsaren Firefox. Den nya versionen ska ha förbättrad stabilitet och åtgärder för 7 säkerhetsbrister.

Kritiska säkerhetsbrister som åtgärdats

Viktiga säkerhetsbrister som åtgärdats

Måttligt viktiga säkerhetsbrister som åtgärdats

Ladda hem den senaste versionen

Antingen kan man förlita sig på den automatiska uppdateringsfunktionen eller så kan man som vanligt hämta den senaste versionen här: getfirefox.com.

Andra bloggar

Andra bloggar om: , , , , Intressant

ämne

SSU blev hackade

Postat 2006-09-16, kl 02:35 • Ämne: Säkerhet, Val 2006

Socialdemokraternas säkerhetsproblem verkar aldrig ta slut. Redan i tisdags rapporterades det att administrationslösenordet till SSUs databas går att ta fram med Google.

SSU kallade till presskonferens kl 02.00 i natt för att berätta att de blivit utsatta för dataintrång.

Svenska Dagbladet: "Enligt Peter Skeppström upptäckte SSU på fredagseftermiddagen att förbundets hemsida hade kapats. Under dagen och kvällen har tekniker arbetat med problemet.
- Man har även gått in i andra delar av systemet. Det innehåller mer allvarliga saker"

I tisdags avslöjades det att root-lösenordet till SSUs MySQL-databas gick att ta fram genom att söka på Google. Då får man fram den connection string som används av PHP för att kunna koppla upp sig mot databasen (Det riktiga IP-numret och lösenordet har jag tagit bort).

$db = mysql_connect("[IP-nummer]","root","[Lösenord]");

Enligt SSU var det ett gammalt lösenord som inte längre fungerade. Andra påstod att de testat och lyckats logga in.

Säkerhets & sekretess: "– Men i detta fallet har det har aldrig äventyrat säkerheten. Dels för att lösenordet i filen är gammalt och tillhör den föregående versionen av SSU.se, men också för att mySQL körs tryggt bakom brandväggar."

Om man uttrycker sig så är det bäst att ha ordentlig täckning för påståendet. Annars blir det bara en utmaning till hackervärlden att bevisa motsatsen. Det är väl inte helt osannolikt att det är precis vad som har hänt.

ämne

Så tycker partierna i tre viktiga IT-frågor

Postat 2006-09-15, kl 00:36 • Ämne: Politik, Val 2006

Valet närmar sig med stormsteg och nu kan vara bra att tänka efter hur partierna har skött sig de senaste fyra åren. Här är tre viktiga IT-frågor som behandlats under mandatperioden.

Hårdare tag mot fildelning - den nya upphovsrättslagen

Den nya upphovsrättslagen som trädde ikraft den 1 juli 2005 gör det olagligt att ladda ned film och musik från nätet utan tillstånd från den som äger upphovsrätten.

Samtidigt blev det också olagligt att försöka ta sig förbi kopieringsskydd på CD och DVD-skivor. I praktiken innebär det att man därmed kraftigt försämrade den lagliga möjligheten att göra enstaka kopior för eget bruk. Något som man betalar en avgift för när man köper inspelningsbara skivor.

JA: Socialdemokraterna, Vänsterpartiet, Kristdemokraterna, Folkpartiet, Moderaterna.
NEJ: Centern och Miljöpartiet. (Piratpartiet)

Mera övervakning - obligatorisk trafikdatalagring

Thomas Bodström (s) har drivit igenom ett direktiv i EU om att telefonbolagen måste spara information om hur befolkningen kommunicerar. Bland informationen som ska sparas finns vem som har ringt till vem och vem som skickat e-post och SMS till vem. Dessutom ska det sparas exakt vart man befinner sig när man ringer med en mobiltelefon.

Övervakningen gäller alla medborgare och pågår hela tiden, oavsett om någon är misstänkt för något. I efterhand har det också visat sig att den insamlade informationen kommer att lämnas ut till amerikanska myndigheter.

JA: Socialdemokraterna, Kristdemokraterna, Folkpartiet.
NEJ: Vänsterpartiet, Miljöpartiet, Centern, Moderaterna. (Piratpartiet)

Mjukvarupatent i EU

Under mandatperioden har lobbyister från stora amerikanska företag försökt införa mjukvarupatent enlig amerikansk modell i EU. Det skulle i så fall ha inneburit stora svårigheter för mindre företag och enskilda programutvecklare i Europa. Sorgligt nog var Sverige ett av de länder som röstade ja till mjukvarupatent.

JA: Socialdemokraterna och Moderaterna.
NEJ: Vänsterpartiet, Miljöpartiet, Centern, Folkpartiet, Kristdemokraterna, Junilistan. (Piratpartiet)

Andra bloggar

Andra bloggar om: , , , , , Intressant

Med anledning av Folkpartiets spionskandal har musiktjänsten Yoursongs frågat 1 000 av sina medlemmar i åldrarna 18-36 år om de har använt någon annans konto.

E24: "Knappt en tredjedel av de tillfrågade uppgav att de vid minst ett tillfälle loggat in på någon annans konto. Fyra av tio, bland dem som loggat in utan tillstånd, har gjort det utan några moraliska betänkligheter."

Många i den yngre generationen anser alltså inte att detta är något allvarligt brott. Precis som med fildelning finns det ett stort glapp mellan det allmänna rättsmedvetandet och vad lagen säger. Skandalen verkar inte heller ha orsakat någon dramatiskt förändring av väljarnas stöd för Folkpartiet.

Kommunstyrelsens socialdemokratiske ordförande Tomas Nordströms i Helsingborg har haft sin privata hårddisk utdelad på fildelningsprogrammet Direct Connect.

SvD: "Han själv använder datorn mest till att betala fakturor och hantera digitala bilder med. Men allra mest är det den 20-årige sonen som använder datorn. Nordström tror att det i datorn kan finnas en del artiklar och anteckningar om partiet."

Det är varken första eller sista gången som folk delar ut lite för mycket av sin hårddisk för att få lov att komma in på kräsna hubbar. Bästa lösningen är att installera fildelningsprogrammen på en separat dator som inte innehåller någon viktig information. Med lite otur kan det annars läcka ut sådant som är pinsamt privat, företagshemligheter, eller sekretesskyddat material.

Andra bloggar

Andra bloggar om: , ,

ämne

September månadsuppdatering 2006

Postat 2006-09-13, kl 00:40 • Ämne: Microsofts månadsuppdatering

Microsofts månadsuppdatering för september innehåller bara 3 säkerhetsbulletiner. Uppdateringarna åtgärdar fel i Windows, Microsoft Publisher och webbservern Internet Information Server (IIS). Jag har läst igenom bulletinerna och skrivit några korta kommentarer.

Kritiska uppdateringar

MS06-054: Vulnerability in Microsoft Publisher Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i Microsoft Publisher som kan utnyttjas för att starta medskickad kod med samma rättigheter som den inloggade användaren. För att kunna utnyttja felet måste angriparen få användaren att öppna en speciellt preparerad Publisher-fil (.PUB) som framkallar ett buffertöverskridningsfel. Publisher 2000 är extra sårbar eftersom den kan fås att öppna filen automatiskt när användaren besöker en viss webbsida. (CVE-2006-0001)

Påverkar: Microsoft Office Publisher 2000, XP och 2003

Viktiga uppdateringar

MS06-052: Vulnerability in Pragmatic General Multicast (PGM) Could Allow Remote Code Execution

Åtgärdar ett minneshanteringsfel i tjänsten MSMQ som kan utnyttjas av en angripare för att ta kontroll över maskinen via nätet. MSMQ finns inte med i Windows XPs grundinstallation så det är bara maskiner där MSMQ har installerats manuellt som är sårbara. (CVE-2006-3442)

Påverkar: Windows XP

Måttligt viktiga uppdateringar

MS06-053: Vulnerability in Indexing Service Could Allow Cross-Site Scripting

Åtgärdar brister i IIS Indexing Service som gör det möjligt för en användare att utföra XSS och på så sätt stjäla information eller ta över en annan användares session. Felet påverkar bara maskiner med där både Microsofts webbserver IIS är installerad och tjänsten Indexing Service har gjorts tillgänglig via webben.(CVE-2006-0032)

Påverkar: IIS Indexing Service på Windows 2000, XP och Server 2003.

Andra bloggar

Andra bloggar om: , , ,

ämne

Terrorbekämpning med data mining

Postat 2006-09-12, kl 12:40 • Ämne: Säkerhet

Inför femårsdagen av attackerna mot World Trade Center visade FBI upp ett nytt övervakningssystem och en databas med 659 miljoner uppgifter. Fortfarande finns det en övertro på att teknik ska kunna lösa problemet med internationell terrorism.

Det nya systemet kallas Investigative Data Warehouse (IDW) och innehåller information från ett femtiotal interna databaser, databaser hos Department of Homeland Security (DHS), finansdepartmentet samt fängelse- och körkortsregister.

200 000 misstänkta terrorister

Tanken är att ladda en gigantisk databas med så mycket data som möjligt och sedan leta terrorister genom att studera mönster och samband. Denna metod fungerar bra när det är möjligt att skapa en profil med typiska egenskaper att leta efter, till exempel ekonomisk brottslighet som bidragsfusk eller skattebrott. Vad som är typiskt för en terrorist är däremot betydligt svårare att definiera. Det ger en så urvattnad profil att resultatet är en lavin av dagliga falsklarm.

Realtid: "– Vårt center för att upptäcka terrorister förser myndighetspersoner på federal, delstatlig och lokal nivå med realtidsaccess till vår spaningslista för terrorister. Vi har en databas med över 200.000 kända eller misstänkta terrorister och när en polis möter en misstänkt person kan han få access till vårt center för att omedelbart få information och råd, sade FBI-chefen."

200 000 misstänkta terrorister! Om man verkligen tror att det finns 200 000 terrorister som väntar på att slå till mot västvärlden är man förmodligen ohälsosamt paranoid. Det är ett fullständigt absurt tal som säger mycket om hur dåligt systemet fungerar.

Teknik inte lösningen

I förlängningen slösas massor av resurser på att jaga falsklarm och det minskar möjligheterna att hantera verkliga hot. Samtidigt kan de riktiga terroristerna gömma sig i mängden.

Givetvis kan stora databaser även vara till nytta. Men det gäller att använda dem med förstånd och inse teknikens begränsningar. I de fall där planerade terroraktioner har kunnat avslöjas i tid har det till största delen berott på traditionell spaning, duktiga utredare och vaksam personal.

I ett längre perspektiv är inte lösningen på terrorproblemet teknisk, utan politisk och ekonomisk. Under tiden kan man göra det svårare för terrorister att slå mot vissa mål. Men det är en omöjlighet att skydda alla, överallt, hela tiden mot människans förmåga att fantisera ihop nya metoder för att kringgå befintliga säkerhetsspärrar.

Folkpartiet tipsade media om inloggningsuppgifterna så att journalisterna kunde använda dem för att granska Socialdemokraterna. Det hävdar den sparkade pressekreteraren Per Jodenius och Expressen-reportern Niklas Svensson.

Den förre partisekreteraren Johan Jakobsson har hävdat att han i mars uppmanade Per Jodenius att ta kontakt med media och avslöja att de kände till inloggningsuppgifter till Socialdemokraternas nät. På så sätt skulle detta så småningom även bli känt för Socialdemokraterna och säkerhetsproblemet lösas.

Svenska Dagbladet: "enligt Sveriges Radios Eko-redaktion har pressekreteraren berättat i förhör att det egentliga syftet med att kontakta medierna var att få någon journalist att själv logga in på Sapnet och använda uppgifterna på ett ofördelaktigt sätt för socialdemokraterna. [...] Niklas Svensson säger till TT att han inte vill uppge vem som givit honom inloggningsuppgifterna, men säger att han inte fick uppgifterna för att avslöja intrånget. - Jag fick uppgifterna för att hitta skandaler om socialdemokraterna. Det var syftet och det var uttalat på det sättet från min uppgiftslämnare, säger Niklas Svensson."

Plötsligt faller pusselbitarna på plats! Att kontakta pressen är ett mycket dåligt sätt att hantera ett säkerhetsproblem och jag har påpekat detta uppenbara faktum i tidigare inlägg. Men om förklaringen är att Folkpartiet aktivt ville utnyttja sin kunskap mot Socialdemokraterna är agerandet fullständigt logiskt. Man ska komma ihåg att detta skedde strax efter avslöjandet om förtalskampanjen mot Moderaterna. Det förklarar ju också varför Niklas Svensson inte skrev något om problemet utan använde det för att logga in själv.

Stämmer dessa uppgifter så är det helt klart ett nytt lågvattenmärke i den här skandalen.

Justitieminister Thomas Bodström lovade att lägga korten på bordet angående de påtryckningar som resulterade i räden mot The Pirate Bay (TPB). Men makten tycker inte om att bli granskad och bara 210 av 947 relevanta e-postmeddelanden kommer att lämnas ut.

I slutet av maj gjorde polisen en storstilad räd mot webbhotellet PRQ som inhyste servrarna med bittorrent-trackern The Pirate Bay. Polisen lämnade inget åt slumpen utan tömde hela serverhallen på datorer. De beslagtog flera hundra servrar som tillhörde oskyldiga företag som bara hade oturen att dela webbhotell med TPB.

Det uppseendeväckande brutala tillvägagångssättet fick sin förklaring när SVT avslöjade att den amerikanska filmindustrin hade utövat påtryckningar på Justitiedepartementet via den amerikanska regeringen. USA hotade med handelssanktioner inom ramen för WTO om inte Sverige såg till att dra ut kontakten för TPB.

Misstänkt ministerstyre

Problemet var bara att TPB förmodligen inte bryter mot någon svensk lag. Mycket talar för att någon inom Justitiedepartement ändå vidarebefordrat USAs hot till åklagare Håkan Roswall som sedan beordrade polisen att slå till och stänga TPB.

Enligt den svenska regeringsformen får inte en minister gå in och försöka styra hur ett enskilt ärende handläggs. Därför har räden mot TPB orsakat en mängd anmälningar till Konstitutionsutskottet (KU) och Justitieombudsmannen (JO) om misstänkt ministerstyre.

Justitieminister Thomas Bodström förnekar givetvis kategoriskt alla sådana anklagelser och lovade full öppenhet om alla turer i ärendet. Men nu visar det sig att Justitiedepartementet bara är beredda att släppa till strax över 20 % av det material som rör fallet. Resten är sekretessbelagt och innehåller förmodligen en hel del pinsamma detaljer som någon inte vill ska se dagens ljus.

Integritet bara för makthavare

Det går inte för sig att lova att lägga alla korten på bordet och sedan hemlighålla nära 80 % när kritiken väl har lagt sig. På samma sätt som i Danielsson-affären är Regeringen väldigt mån om sin egen och medarbetarnas integritet. Samtidigt har Bodström gjort allt för att avskaffa den personliga integriteten för vanliga medborgare.

Makthavare som misstänks för oegentligheter kan gömma sig bakom hemligstämpeln medan vanliga dödliga får leva med Bodströmsamhällets nya princip att blotta misstanken gör att man inte har rätt till någon personlig integritet överhuvudtaget.

Egentligen borde det vara precis tvärt om. Makthavare ska tjäna folket och kunna redovisa hur de har förvaltat det förtroende som de fått till låns av sina väljare. Förhoppningsvis kommer väljarna att lära Sveriges genom tiderna mest repressive Justitieminister den läxan vid valurnorna på söndag.

ämne

Ekonomin styr vilka säkerhetshål som åtgärdas

Postat 2006-09-09, kl 08:55 • Ämne: Säkerhet, Ekonomi

Bruce Schneier analyserar i en artikel hos Wired vad som styr när företag prioriterar vilka säkerhetshål som ska lagas. Som vanligt handlar allt i grunden om ekonomiska incitament och egenintresse.

Under de senaste fem åren har det skett en stor fokusering på datorsäkerhet. Inte minst Microsoft har ställt om kursen och anger nu säkerhet högst upp på dagordningen. Man kan lätt tro att detta handlar om en nyfunnen omsorg om användarna. I själva verket är det ett nödvändigt svar på att internetuppkopplade användare inte lägre accepterar produkter som läcker som ett såll.

Att laga säkerhetshål är en ren kostnad för leverantören. Det måste ändå göras för att inte kunderna ska förlora förtroendet och välja en annan leverantör i framtiden. Samtidigt ger för många uppdateringar intrycket av att produkten är av dålig kvalitet.

Bruce Schneier: "no software vendor likes to issue patches. Every patch is a public admission that the company made a mistake. Moreover, the process diverts engineering resources from new development. Patches annoy users by making them update their software, and piss them off even more if the update doesn't work properly. For the vendor, there's an economic balancing act: how much more will your users be annoyed by unpatched software than they will be by the patch, and is that reduction in annoyance worth the cost of patching?"

Vilka säkerhetshål väljer leverantörerna då att åtgärda givet dessa begränsningar? Inte nödvändigtvis de som är viktigast för användarna. Istället är det minst lika viktigt med vad som är ekonomiskt gynnsamt för företaget. Många gånger sammanfaller dessa, då ett allvarligt problem är dåligt både för företagets rykte och för användarnas säkerhet, men inte alltid.

Bruce Schneier: "In the absence of regulation, software liability, or some other mechanism to make unpatched software costly for the vendor, "Patch Tuesday" is the best users are likely to get. Why? Because it makes near-term financial sense to Microsoft. The company is not a public charity, and if the internet suffers, or if computers are compromised en masse, the economic impact on Microsoft is still minimal. Microsoft is in the business of making money, and keeping users secure by patching its software is only incidental to that goal."

Även mycket allvarliga säkerhetsbrister kan ta flera veckor att åtgärda för Microsoft. Det är sällsynt att felet åtgärdas med en uppdatering som släpps mellan de ordinarie tillfällena. Men det finns undantag.

Bruce Schneier: "If you really want to see Microsoft scramble to patch a hole in its software, don't look to vulnerabilities that impact countless Internet Explorer users or give intruders control of thousands of Windows machines. Just crack Redmond's DRM. [...] Now, this isn't a "vulnerability" in the normal sense of the word: digital rights management is not a feature that users want. Being able to remove copy protection is a good thing for some users, and completely irrelevant for everyone else. No user is ever going to say: "Oh no. I can now play the music I bought for my PC on my Mac. I must install a patch so I can't do that anymore." But to Microsoft, this vulnerability is a big deal. It affects the company's relationship with major record labels. It affects the company's product offerings. It affects the company's bottom line. Fixing this "vulnerability" is in the company's best interest; never mind the customer."

I det här fallet tog det bara tre dagar för Microsoft att ta fram en uppdatering, förmodligen ett nytt rekord. Tänk om det gick lika snabbt att åtgärda säkerhetshålen i Internet Explorer. Där ska man vara glad om det släpps en åtgärd inom tre månader. I grunden är det ekonomiska faktorer som styr det mesta av vad människor tar sig för. Säkerhetsarbetet är inget undantag.

Andra bloggar

Andra bloggar om: , , , , Intressant

Tidigare inlägg

2004-06-02 : Ekonomiskt perspektiv på säkerhet

ämne

Folkpartiets Valfeber

Postat 2006-09-09, kl 01:32 • Ämne: Folkpartiets spionskandal, Val 2006

Strax efter Folkpartiets partisekreterare Johan Jakobsson fick redan på intrången hos Socialdemokraterna lanserade de webbplatsen Valfeber.se. Där lovar Folkpartiet att förutse Socialdemokraternas vallöften och osakliga angrepp.

Lars Leijonborgs veckobrev: "På www.valfeber.se förutsågs det i söndags att socialdemokraterna skulle lova gratis dagis. Idag kom det löftet från Annika Billström, finansborgarrådet i Stockholm. På www.valfeber.se gissas det att socialdemokraterna ska komma med nya projekt och nya skattemiljoner för att visa dådkraft mot integrationsmisslyckandet. I måndags presenterade integrationsminister Jens Orback integrationsmiljarden".

Man kan alltså konstatera att de som står bakom webbplatsen har gissat rätt minst två gånger. Frågan är bara på hur många försök. Hur många påståenden har visat sig korrekta och hur många var felaktiga?

Förmodligen vore det väldigt dumt att använda sig av spioninformation när de redan hade berättat för en reporter på Expressen att de hade tillgång till inloggningsuppgifterna.

Man behöver inte nödvändigtvis ha tillgång till hemlig information från motståndaren för att kunna gissa ungefär vad de kommer att ta sig för. Det ligger i den representativa demokratins natur att man ska kunna ha någon slags uppfattning om hur den representant man röstar kommer att agera. Politiker vet förmodligen av erfarenhet hur andra politiker tänker och har därför en större chans att gissa rätt.

Inloggningsuppgifterna till Socialdemokraternas nätverk kan ha läckt ut via ett osäkrat trådlöst nätverk på partiexpeditionen i Skövde.

Tre olika konton har utnyttjats för att göra intrång hos Socialdemokraterna. Samtliga tillhör användare på socialdemokraternas partiexpedition i Skövde som har haft ett vidöppet trådlöst nätverk. Något som talar för att inloggningsuppgifterna kan ha kommit ut den vägen är att ett av lösenorden ska vara betydligt svårare att gissa sig till än det som tidigare nämnts i media.

Stämmer detta så är det sannolikt att det ligger mer bakom intrånget än bara ren nyfikenhet där tillfället gör tjuven. Någon måste ha gjort sig besväret att parkera i närheten av partiexpeditionen och sedan avlyssnat nätverket en längre tid för att kunna fånga upp inloggningarna.

Nu är det ju inte fastställt att det verkligen har gått till på det här sättet. Men förhoppningsvis kan det ändå fungera som en väckarklocka för våra politiker om hur viktigt det är att inte slarva med säkerheten. Speciellt för ett parti som har en så till förväxling nära relation till regeringsmakten.

Folkpartiets förre partisekreterare Johan Jakobsson får nu stöd för sitt påstående att han i mars uppmande Per Jodenius att berätta för media om dataintrången hos Socialdemokraterna.

Det var en riktigt usel idé redan från början att läcka inloggningsuppgifterna till media istället för att berätta för någon som jobbar för Socialdemokraterna. Och det blev inte bättre av att journalisten som de berättade för valde att utnyttja informationen för egen del.

Expressen: "I morse berättade Expressens reporter Niklas Svensson för redaktionsledningen att han haft tillgång till inloggningsuppgifter till det så kallade SAP-nätet. [...] Niklas Svensson fick tillgång till uppgifterna i mars. Sedan dess har han, enligt egen uppgift, loggat in vid tre tillfällen. Senaste gången i augusti."

Enligt Socialdemokraterna ändrade intrången karaktär i mars. Tidigare inloggningar kunde spåras direkt till datorer hos Folkpartiet, medan det under det senaste halvåret istället mest handlat om inloggningar från privata bredbandsanvändare och Internetcaféer.

Kanske är det så att folkpartisterna verkligen slutade med att logga in hos Socialdemokraterna i mars och att uppgifterna då började spridas till en vidare krets? Vilka andra journalister har fått reda på uppgifterna och vem har de i sin tur berättat det för?

En starkt bidragande faktor till att det kunde bli så här är förmodligen att det i mångas rättsmedvetande inte är så farligt att tjuvkika lite på någon annans konto. Människor är nyfikna och det kan vara svårt att stå emot. Juridiskt är dataintrång ett allvarligt brott. Men förmodligen tycker många att det mer är i stil att tjuvlyssna lite på bussen - så länge man inte förstör något är det mest pinsamt att bli ertappad.

Som utvecklare eller systemadministratör har man ofta tillgång till känslig information. Därför är det viktigt att försöka agera etiskt och att sätta en personlig stolthet i att upprätthålla förtroendet man fått.

ämne

Bluffen Browzar

Postat 2006-09-06, kl 08:59 • Ämne: Internet

Webbläsaren Browzar har lanserats som ett alternativ för den som inte vill lämna spår efter sitt surfande på datorn. Men i själva verket är det en bluff.

Bild: Browzar är Internet Explorer.
Browzar HTTP Headers

När jag laddade ned Browzar blev jag först en smula fundersam över att de lyckats klämma in en välfungerande webbläsare på bara 264 Kb. Nästa varningssignal var att Browzar inte identifierade sig i korrekt webserverns loggar.

Sanningen är enkel - Browzar ÄR Internet Explorer.

Applikationen är bara ett tunt skal runt Internet Explorers webbläsarmotor och har därför precis samma nackdelar som Microsofts webbläsare. Dessutom tillkommer eventuella problem som är specifika för Browzar.

Ett bättre alternativ är att lägga Firefox Portable på ett USB-minne som man tar med sig till datorn som man vill surfa med.

Andra bloggar

Andra bloggar om: , ,

Skandalen kring Folkpartiets dataintrång hos Socialdemokraterna kryper allt närmare partiledaren. Ikväll meddelade partisekreteraren Johan Jakobsson att han avgår med omedelbar verkan.

När nyheten om dataintrånget kom ut i söndags spelade Johan Jakobsson oförstående och påstod att han inte kände till någonting om saken. Men i själva verket har han vetat om LUF:aren Per Jodenius dataintrång i minst 6 månader.

Sydsvenskan: "Fp:s partisekreterare Johan Jakobsson informerades i mitten av mars av fp:s presschef Niki Westerberg om att LUF:s pressekreterare hade inloggningsuppgifter som gick till socialdemokraternas datornät. Jakobsson tog då kontakt med LUF:s pressekreterare och sade till honom att han inte fick använda dem och att se till att det blev offentligt att han hade sådana uppgifter."

Detta kommer strax efter den Socialdemokratiska förtalskampanjen mot Fredrik Reinfeldt som var ett utmärkt pedagogiskt exempel för att visa att anonymiteten på nätet mest är en illusion. Kanske drog folkpartisterna öronen åt sig när de insåg att inloggningarna gick att spåra?

Istället för att lyfta luren och ringa till Socialdemokraternas systemansvarige, eller i varje fall lämna ett anonymt tips, ville Johan Jakobsson att de skulle tipsa media om saken. Det krävs knappast att man är säkerhetsexpert för att inse att det är en väldigt dålig idé. Om grannen har lämnat nycklarna i låset på ytterdörren ringer man naturligtvis på och säger till istället för att fixa en artikel i lokalpressen att det är öppet hus för inbrottstjuvar.

Tyvärr verkar det vara lika angeläget för båda sidorna att vinna billiga politiska poänger.

Thomas Bodström (s): "Det här är en modern form av inbrott och olovlig avlyssning. Förr i tiden bröt man sig in för att hämta hemliga handlingar, numera är det en teknisk väg. Men det är samma allvarliga handling."

I själva verket är han nog mest sur för Socialdemokraterna har råkat ut för samma typ av snokande som han själv vill utsätta väljarna för.

Pär Ström: "Det är sedan länge ett dystert faktum att vänner av personlig integritet inte har särskilt mycket hopp att sätta till en eventuell borgerlig valseger. Justitieminister Thomas Bodström (s) och den presumtive justitieministern Johan Pehrson (fp) står varandra mycket nära i brottsbekämpningsfrågor. Man kan kalla dem en "axel för övervakning" i svensk politik."

Etiskt är folkpartiets tilltag knappast så mycket värre än att förespråka preventiv avlyssning utan brottsmisstanke, obligatorisk registrering av all e-post, hemlig husrannsakan eller att låta polisen installera spyware på folks datorer.

Nordea har varit måltavla för flera phishing-försök under det senaste året. Tack och lov är de ännu så länge mycket lätta att genomskåda.

Bild: Outlook 2007 flaggar bedragarnas brev som nätfiske
Nätfiskevarning i Outlook 2007

I det senaste exemplet berättar "fraudkampavdelningen" på knagglig svenska att de utsett september "för månaden av fraudkamp". Som vanligt vill de lura av mottagaren inloggningsuppgifter under förevändning att man måste aktivera kontot efter att de bytt säkerhetssystem. Ännu så länge är avsändarens språkkunskaper så pinsamt dåliga att det är helt uppenbart att det rör sig om ett försök till bedrägeri.

I takt med att de kriminella förfinar sina arbetsmetoder utvecklas också säkerhetslösningar som ska hjälpa användaren.

Microsoft Outlook 2007 identifierar meddelandet som nätfiske och lägger till en stor röd varningstext ovanför avsändaradressen. Samtidigt blockeras alla bilder och länkar så att inte användaren kan klicka sig vidare av bara farten. En utmärkt lösning tycker jag.

Andra bloggar

Andra bloggar om: , , , , , Intressant

Tidigare inlägg

2005-10-04 : Phishing-försök mot Nordea

En anställd vid Liberala ungdomsförbundet (LUF) har fått sparken på grund av intrången i Socialdemokraternas nätverk. Samtidigt är många kritiska till hur nonchalant säkerhetsfrågan har hanterats.

Dick Jacobsson, ISS: "- Rent tekniskt tycks säkerheten på det här intranätet ha varit extremt dålig [...] Det är oerhört förvånande att socialdemokraterna haft valstrategisk partiinformation och till och med personskyddsfrågor liggande så nästan publikt."

Nya uppgifter gör gällande att det är tre olika konton som har fått ovälkomna besök. Det konto som huvudsakligen har använts har varit skyddat av användarnamn och lösenord som båda var personens smeknamn på fem bokstäver.

Stefan Görling, KTH: "Oavsett om intrånget är etiskt eller inte, så har det inte varit så bra säkerhet [...] Att få ha samma användarnamn och lösenord tillåts av väldigt få system. Man kan tycka att det inte är helt ansvarsfullt."

Om Socialdemokraterna väljer att slarva med säkerheten kring deras egen valstrategi är det väl i och för sig deras eget problem. Den politiska aspekten tänker jag inte ha någon åsikt om. Personskyddet och känsliga uppgifter från Säkerhetspolisen är däremot något som berör mer än bara deras eget parti.

Thomas Holmström, Nexus: "-Det är ytterst uppseendeväckande att socialdemokraterna lagt ut den här typen av känslig information utan att kräva användarinloggning med engångslösen via dosa eller sms. Och att ha samma användar-id som lösenord är verkligen under all kritik."

Magnus Nyström, RSA Security: "Mycket känslig information, som det handlar om i Jodeniusfallet, kan behöva skyddas med mer än ett lösenord. [...] - System som bygger på lösenord som användarna ska komma ihåg blir alltid svagare eftersom man väljer något som inte är så svårt och därmed lätt att lista ut. Folk använder dessutom sina lösenord för länge, kanske inte byter mer än var tredje månad [...] Kommer lösenord i felaktiga händer kan därför intrången fortsätta under lång tid."

Eftersom intrången har pågått sedan förra året är det förmodligen samma svaga lösenord som använts hela tiden. Den senaste inloggningen ska ha skett så sent som förra veckan och frågan blir då om Socialdemokraterna verkligen stängde av kontot så snart de började fatta misstankar. Att en omfattande utredning redan är färdig tyder på att Socialdemokraterna har känt till problemet längre än så.

Andra bloggar

Andra bloggar om: , , , , , ,

Tidigare inlägg

2006-09-04 : Dataintrång hos Socialdemokraterna

Socialdemokraterna har polisanmält närmare hundra fall av dataintrång som ska ha pågått sedan i november förra året. Som misstänkta utpekas personer med kopplingar till Folkpartiet.

Det handlar inte om någon regelrätt angrepp, utan om att någon fått tillgång till Socialdemokraternas nätverk Sapnet genom att använda ett konto som tillhör en högt uppsatt ombudsman i Skaraborg.

Tommy Ohlström (S): "– Vi kan bekräfta att vi har varit utsatta för dataintrång, det kännetecknas av tre saker, det har varit omfattande, systematiskt och det har pågått under en längre tid [...] Det har handlat om högsta behörighet, och det är mycket allvarligt med tanke på att det även finns uppgifter om personskydd där"

Självfallet borde de som fått tillgång till inloggningsuppgifterna haft vett att låta bli att missbruka informationen. Men det är också allvarligt att säkerhetstänkandet inte är högre hos de som har tillgång till ett system som innehåller uppgifter från säkerhetspolisen.

Att använda sitt användarnamn som lösenord har ju aldrig varit någon speciellt lysande idé.

ämne

Svenskbyggda SMART-1 på Månen

Postat 2006-09-03, kl 04:27 • Ämne: Aktuellt

Idag kraschlandar den svenskbyggda SMART-1 på månens yta. Satelliten har utvecklats av Rymdbolaget och är den första som europeiska rymdstyrelsen skickar till Månen.

Bild: SMART-1
SMART-1 (Bild: ESA)

SMART står för Small Missions for Advanced Research in Technology och har bland annat givit viktiga erfarenheter av att använda jonmotorer som drivs med solceller. Den skickades upp den 27.e september 2003 och tog nästan 13 månader på sig. Men då har den också tagit sig fram med ynka 60 liter Xenon-gas.

Sedan den 15:e november 2004 har SMART-1 gått i omloppsbana runt månen och kartlagt månytans kemiska sammansättning med röntgenspektrografi, och letat fruset vatten - det vill säga vanlig is - vid sydpolen med en infraröd kamera. Nu är uppdraget färdigt och avslutas med en ordentlig krasch.

Beräknad tidpunkt för landningen är kl. 07:43 söndagen den 3 september 2006 och händelsen observeras av flera stora teleskop världen över.

Andra bloggar

Svenska bloggar om: , ,

ämne

Windows Vista Release Candidate 1

Postat 2006-09-03, kl 02:43 • Ämne: Windows Vista

Windows Vista har nu officiellt nått milstolpen Release Candidate 1. Vista RC1 har build number 5600.

Jim Allchin: "It’s official — Windows Vista RC1 is done! [...] You’ll notice a lot of improvements since Beta 2. We’ve made some UI adjustments, added more device drivers, and enhanced performance. We’re not done yet, however — quality will continue to improve. We’ll keep plugging away on application compatibility, as well as fit and finish, until RTM. If you are an ISV, RC1 is the build you should use for certifying your application. The operating system is in great shape with RC1, but there’s still a lot of testing to do"

Paul Turrott har redan hunnit testa RC1 och skriver att det har blivit betydligt bättre sedan Beta 2.

Paul Turrott: "If you picked up the Beta 2 version of Windows Vista and were shocked--shocked, I say--at how horrible it was, please, it's time to give Vista another chance. Seriously. RC1 is a huge improvement. Huge."

Hoppas att Microsoft i varje fall har hunnit fixat de mest irriterade och uppenbara buggarna i Windows Explorer.

Andra bloggar

Svenska bloggar om: ,

Tidigare inlägg

2006-08-04 : Is Windows Vista ready? No. God, no.
2006-08-03 : Windows Vista för hela slanten

Computer Sweden har en special om Microsoft Office 2007 och alternativ som OpenOffice och webbapplikationer. Jag har fått äran att vara med och tycka till.

Computer Sweden: "För de vana användarna lär det nya gränssnittet inte ställa till problem.
– Jag blev positivt överraskad av hur lätt det är att använda det nya gränssnittet. Fördelarna framgår inte så väl när man bara tittar på skärmdumpar, det är först när man börjar jobba som man märker hur pass smidigt det är, säger systemutvecklingskonsulten Lars Olofsson."

Hela artikeln hittar man här: Computer Sweden: Microsofts Office fortsätter att dominera.

Tidigare inlägg

2006-08-26 : En titt på Office 2007 användargränssnitt

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot