0laf

Så å si alle større IT-selskaper har på et eller annet tidspunkt gjort denne feilen.

Man lager en app som henter data fra en API, database eller på annet vis.

Sikrer dette med TLS slik at andre ikke får tilgang til dataene som går over nettverket osv.

Så glemmer man den gamle læresetningen om at man aldri kan stole på egne brukere.

Plutselig har en bruker av appen funnet ut hvilke api-kall som gjøres, og endret de for å få tilgang til data vedkommende ikke skulle hatt tilgang til.

Burde de sikret dette også ved å kontrollere at brukeren kun får tilgang til egne data, helt klart.

Er det å anse som et "data-inbrudd", helt klart.

Dersom jeg tilfeldigvis endrer en lenke til diskusjon dott no til noe slikt som 

https://www.diskusjon.no/index.php?showuser=21498 or 1=1

og dette tilfeldigvis funker, og jeg plutselig får tilgang til alle dataene om denne brukeren, så har jeg jo "hacket" dette forumet.

Det er ikke noe forsvar at det var svært enkelt å utføre angrepet, det er fremdeles ulovlig.

Ingen domstol i Norge, eller verden for den saks skyld, dømmer noen for å oppdage en fullstendig åpen og grov sikkerhetsfeil i software, for så rapportere denne. Om noen har et rettslig problem, er det Rema for å ikke sikre kundedata. Samt et omdømmeproblem for å angripe de som gjør jobben deres for de.

Det er altså snakk om en URL som er gjemt i en applikasjon. Først må man kontrollere trafikken for å finne URL'en, deretter må man prøve seg frem med forskjellige bruker-ID for å finne ut at det ikke finnes god nok sikkerhet.

Underveis burde man vite at denne lenken ikke var tiltenkt for denne bruken, ei heller at man burde forsøke å hente andres brukerdata.

Igjen, hvorvidt data ligger helt åpent er irrelevant, det relevante er hvorvidt du burde forstått at dataene ikke var tiltenkt deg.

Dette med å endre litt på en URL for å få tilgang til data man normalt ikke skal ha tilgang til, er jo det eldste trikset i boka, i en litt annen form kalles det blant annet for SQL-injection, og det er også grunnlaget for alle typer request forgery hvor man endrer GET og POST forespørsler, noe en person som jobber med datasikkerhet burde være klar over.

Er du heldig, så har du klart å opparbeide et godt trygdegrunnlag før du ble syk eller skadet. Da har du god dagpengesats i et par år.

Så må du søke sosialstønad (livsopphold og boutgifter), hvor du får beskjed om å selge hus og bil for å dekke livsopphold. Dette til tross for at leveutgiftene med egen bolig og bil er lavere enn å selge.

Etter 3-4 år på sosialen, så havner du på AAP.

Deretter tar det 4 år før du får lov til å søke uføretrygd. Behandlingstiden er på minst 8 måneder, men tar som regel 12 måneder.

Dette er stemmer vel ikke? Normal saksgang er at man blir sykemeldt med 100% lønn i ett år.

Deretter er det rett over på AAP, som man kan gå på i maksimalt 4 år.

Det er ingenting i veien for å søke om uførepensjon tidligere dersom man er berettiget til det, og det er ingen som gir deg "lov" til å søke, hvem som helst kan når som helst søke om uførepensjon.

At enkelte ikke har fått godkjent en søknad om AAP, eller ikke har søkt, og derfor endt opp på sosialkontoret, er en annen sak.

I løpet av disse ti årene har du ikke hatt lov til å dra på slektshytta, fisketurer utenfor hjemkommunene, sett bestemor som bor på andre siden av landet

Selvfølgelig har du det, det er arbeid og avtalt aktivitet som skal føres på meldekortet.

Skal man ha ferie må det avklares med NAV, og man får generelt ikke lønn under ferien.

For å sitere NAV

Du har ikke rett til arbeidsavklaringspenger når du har ferie. Du kan likevel ta ferie uten trekk i utbetaling, hvis aktivitetene du har avtalt med NAV kan gjennomføres som planlagt. Hvis NAV ikke har noen aktuelle aktiviteter for deg i perioden, er du å anse som tilgjengelig for NAV. Da skal du ikke føre fravær på meldekortet, og vil få utbetalt arbeidsavklaringspenger som normalt.

forøvrig

Og NAV har distansegrense for betaling av reiseutgifter. De fleste må selv betale for å komme til slavejobben, selv om de ikke får noe mer for å jobbe 100% for dagpengesats/tiltakspenger (så og si samme beløp).

Jeg siterer igjen NAV

Reiseavstanden må som hovedregel være lenger enn 2 km hver vei. NAV kan gjøre unntak på bakgrunn av helsen din.

 

Du får dekket billigste reisemåte. NAV kan godkjenne bruk av egen bil hvis det ikke er offentlig transport tilgjengelig. Du kan også få dekket nødvendige utgifter til bomavgift, parkering og piggdekkavgift.

Dersom man ikke maler fanden på veggen, så er det ikke så ille.

Det er jo grusomt at små barn må lide for fanatisk religiøse tullinger, slik som familien til denne jenta.

Dette er altså datteren til Anwar al Awlaki, en kjent terrorist som ble drept i 2011.

Hun var i huset sammen med andre familiemedlemmer, blant annet sin onkel som angivelig også ble drept i angrepet.

Tragisk nok ble denne jentas 16 år gamle bror også drept i et droneangrep mot terrorister i 2011.

Enten er dette verdens mest uheldige familie, som alltid er på feil sted til feil tid, eller så er de terrorister? 

Forrige søndag gikk altså SEAL Team 6 til angrep på flere hus i Yemen, mistenkt for å huse terrorister.

Terroristene, blant dem også kvinner, åpnet ild mot de amerikanske styrkene, og drepte en soldat,  William Owens.

De amerikanske styrkene besvarte ilden, og i kampene ble denne jenta truffet i nakken, og døde senere.

Flere andre kvinner ble også drept, det antas at i det minste noen av disse kvinnene skjøt mot de amerikanske styrkene, og var medlemmer av en terroristorganisasjon.

Jeg snakker om folk som har hatt et forhold til NAV i årevis, som kan miste litt motivasjon for å fortsatt prøve.

Om NAV går inn for å plage disse individene altfor mye, er det bedre å bli "fri" med uføretrygd.

For det første er det vel ikke snakk om plage folk? At man må møte opp på NAV hver dag kan være positivt for svært mange i og med at de kommer seg ut av huset. 

Selv svært syke har normalt godt av noe aktivitet, og å reise ned til det lokale NAV-kontoret for å snakke med noen der trenger ikke nødvendigvis være negativt.

Jeg tror de som vil være mest negativt til dette er nav'erne, ikke de som faktisk er syke og trenger hjelp.

De fleste av de syke og de som virkelig ønsker seg en jobb, vil nok være glade for at NAV tar mer initiativ.

For det andre, så blir man ikke "fri" med uføretrygd. Ufør er noe man blir etter at fastlegen, trygdelegen, NAV, stedet man har vært på arbeidsavklaring i flere måneder osv. alle er enige om at det ikke finnes restarbeidsevne. 

Det er ikke noe man får når man er lei av å prøve å få seg jobb.

Når man først kommer til det punktet hvor man er ufør, så er man generelt sett såpass syk at det er ikke noen stor feiring å bli utelatt fra arbeidsmarkedet å få lov til å leve på knapper og glansbilder resten av livet.

For ordens skyld, er det altså snakk om tilgang til enkelte kunders telefonnummer og handlelister, ikke kundekortnummer, disse er delvis obfuskert, og kan ikke umiddelbart "gjettes".

Det er heller ingen person- eller betalingsinformasjon tilgjengelig, dog kan man selvfølgelig alltids slå opp i telefonkatalogen når man har telefonnummeret.

REMA 1000 har helt rett når de hevder at telefonnummeret til kundene og hva de har handlet ikke er å regne som sensitiv informasjon.

Det er likevel urovekkende at sikkerheten er så dårlig at man enkelt kan hente data om andre kunder fra en slik applikasjon, og ved å slå opp telefonnummer så kan man lenke handlelister til personer, noe som generelt sett ikke akkurat er kritisk, men i svært spesielle tilfeller kan være det.

Å hente slike data er selvfølgelig ulovlig, også der har REMA 1000 helt rett.

Det riktige av REMA 1000 etter min mening, ville selvfølgelig være å takket Nygård for hjelpen, fikse problemet, å få saken ut av verden så raskt som mulig.

På den andre siden er det ikke slik at sikkerhetsnivået på dataene har noe med hvorvidt det er ulovlig å skaffe seg tilgang til de å gjøre.

Dette burde Nygård vite dersom han jobber med dette.

Data kan være helt åpent tilgjengelig på nettet, men dersom det er åpenbart at disse dataene ikke er tiltenkt deg eller allmennheten forøvrig, så vil det i de aller fleste tilfeller være ulovlig å skaffe seg tilgang til dataene, også ved noe så enkelt som å endre på en URL slik at den henter data for andre brukere.

Straffeloven er rimelig krystallklar

..den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler... straffes med bøter eller med fengsel inntil 6 måneder eller begge deler

Det står ingenting i loven om at dataene må oppnå et visst sikkerhetsnivå før tilgangen er å anse som uberettiget, faktisk er sikkerheten helt irrelevant.

Her burde Nygård forstått at disse kundedataene ikke var tiltenkt ham, og når han fortsatte å snoke i dataene, for å ikke snakke om publiserte skjermbilder, har han helt klart utført et lovbrudd.

Du har selvfølgelig forsøkt å søke hos Lovdata og Norges Domstoler for å se om dommen ligger tilgjengelig på nettet?

Du har jo generelt rett på utskrift av alle dommer, med noen få unntak, og for straffesaker har du kun rett til utskrift av saker nyere enn fem år osv.

I enkelte saker skal personalia anonymiseres, slik at det kan være at retten må gjøre dette før du kan få utskrift.

Det er Forskrift om offentlighet i rettspleien som avgjør hvordan innsynplikten gjennomføres, og kapittel 4 er ganske klart

§ 9.Enhver som har krav på utskrift av en rettsavgjørelse eller som har rett til innsyn i saksdokumenter i sivile tvister etter tvisteloven § 14-2 til § 14-4, skal på anmodning få tilsendt utskrift via post, telefaks, elektronisk post eller liknende.

 

Med andre ord, du kan få tilsendt utskrift av en dom du har innsyn i, per e-post, å det koster ikke penger.

Njæ, det er ganske mange som da vil måtte bruke uhensiktsmessig mye tid på offentlig transport. Det er jo tross alt slik at veldig mange som faller i kategorien arbeidsledig ikke nødvendigvis bor i samme kvartal som NAV-kontoret. Eller i samme kommune, for den del. I en god del tilfeller vil faktisk kostnaden for å komme seg til det pålagte oppmøtet være høyere enn det man får i dagpenger.

For det første har vel de det gjelder tid nok, for det andre finnes det vel NAV-kontorer i alle norske kommuner, så det er vel lite sannsynlig at noen bor i en kommune uten NAV?

Nå det kommer til kostnaden, så betaler faktisk NAV reisestønad til alle som er i tiltak eller på annen måte må møte på ting i regi NAV, man kan til og med søke dersom man er i ordinært arbeid men trenger spesiell transport for å komme seg på jobb grunnet sykdom, slik at det er ingenting i veien for at NAV betaler for reisen.

De fleste som er for syke til å jobbe i varig omfang, ender jo opp med uførepensjon, men veien dit er lang.

Underveis må både de som er syke, og særlig de som ikke er syke men er arbeidssøkere, under avklaring eller lignende, måtte kunne forventes å møte opp på NAV kontoret regelmessig, det er vel faktisk det minste man kan forvente av disse menneskene når de mottar lønn fra resten av oss.

Av kommentarene her på siden skulle en tro at folk faktisk støttet Trump i dette tullet, nekte folk innreise basert på nasjonalitet/religion!??! Dette er utelukkende for å blidgjøre idioter som ikke vet bedre i USA.

Nå støtter ikke nødvendigvis jeg dette forbudet, men det er vel likevel ikke utenkelig at en hel del nordmenn støtter dette.

Fremskrittspartiet fikk 463,560 stemmer ved siste valg, og Arbeiderpartiet, som tross alt har en like restriktiv innvandringspolitikk, fikk nesten 900k stemmer. 

Det er utvilsomt mange amerikanere som støtter forbudet, Trump fikk tross alt 62,979,636 stemmer i valget, og gikk jo nettopp til valg på tøffere tiltak mot innvandring, ikke bare fra Mexico, men også fra midtøsten og andre land.

Man står jo fritt til å ha egne meninger, og man kan nok anta at de aller fleste av de rundt halvparten av stemmeberettigede amerikanere, og rundt 35% av stemmeberettigede nordmenn, er for en strengere innvandringspolitikk, og derfor også er helt eller delvis for et innreiseforbud for folk fra enkelte land i midtøsten som anses som "problematiske".

Trump skal i det minste ha for at han gjør noe med problemet, og det enkleste er selvfølgelig et slikt innreiseforbud.

Det er ikke sikkert Norge hadde kommet så dårlig ut med et lignende forbud rettet mot enkelte land i Afrika og Midtøsten.

Det er påfallende mange som finner veien til Norge av en eller grunn, det vil si grunnen er nok åpenbar for de fleste.

Ser man på et atlas skulle man egentlig tro at Norge var omtrent det siste landet man reiste til når man var på rømmen fra Afrika eller Midtøsten, det er tross alt så langt bort man kommer, og grenser i utgangspunktet kun til Sverige.

Forøvrig er lønnsnivået i Palo Alto omtrent det dobbelte av resten av USA, og for kompetente IT-folk generelt høyere enn i Norge.

Det man ser ut til å glemme er at det er snakk om et relativt lite område bestående av stort sett godt betalte IT-folk, noe som gjør at eiendomspriser, husleie og andre bokostnader har omtrent tredoblet seg de siste årene, og skal man bo i nærheten av jobben i Silicon Valley så koster det også minst dobbelt så mye som å bo andre steder i USA, slik at lønningene er ikke så fete som det høres ut.

Og for ordens skyld, en Google-ansatt i India tjener under 200,000,- kroner i året.

Google/Apple/MS har samarbeidet for å ikke stjele ansatte fra hverandre. Dette fordi deres ansatte er topp 1%, kanskje topp 1‰ i verden hva gjelder kompetanse.

Google, Adobe, Apple, Intel, Intuit og Pixar måtte for hele syv år siden sammenlagt betale over 400 millioner dollar i erstatning etter å ha bedrevet slikt samarbeid, så det er nok lite sannsynlig at de fremdeles driver med det.

En viktig business mann kommer inn, de går selvsagt opp til skranken og bestiller rom (ofte er rommene bestilt på forhånd), så... sier han at han skal gå med utstyret opp til rommet og ber respsjonisten til å skrive ut noen dokumenter som han skal bruke på møtet, og boom... USB-minnepenn, og en pdf dokument eller noe som åpner backdoor, så er skaden skjedd.

 

Det som er langt mer sannsynlig, er at det sitter en "smarting" i Ytre Mongolia eller lignende sted, som har funnet en åpning inn i hotellets systemer over nettet, sannsynligvis etter en eller annen bredere scanning etter åpne porter, sårbarheter og slikt, og så utnyttet den åpningen.

 

Nei, men det er mange andre som kan kjøpe en dress til 200,- og få 15.000,- tilbake for bryderiet. Rimelig lukrativ og enkel måte å tjene penger på, trenger bare å gjøre det en gang for å tappe hotellet for veldig mange kroner over tid. Kan jo sette opp en "leieavtale", 15.000,- i måneden

 

Tar man også med risikoen for å bli tatt, er det nok ingen med vettet i behold som reiser opp i alpene å leier et dyrt hotellrom for å stikke av med 1500 euro fra ransomware.

 

Hvem har sagt at de må dra dit opp når de allerede har backdoor? er vel det som har skjedd når de engang har vært innom, eller de trenger ikke å være det engang, noen på jobben har helt sikkert trykket på en lenke.

 

 

 

 

Poenget var vel at du svarer på mitt innlegg, med akkurat det jeg har svart på ditt innlegg med?

Hvem har sagt at de må dra dit opp når de allerede har backdoor? er vel det som har skjedd når de engang har vært innom, eller de trenger ikke å være det engang, noen på jobben har helt sikkert trykket på en lenke.

No shit Sherlock. Hva med å få på seg lesebrillene.

det enkle er ofte det beste... ;-P

Det trøster kona di seg med også.

Det er jo helt rått at man kan varme opp bilen før man skal ut å kjøre. At ingen har tenkt på dette tidligere!

At man kan bruke JSON, en API, å gjøre dette med telefonen over nettet med en app eller tre, er enda råere.

Helt råest blir det når en av lakeiene til Putin finner ut hvordan man hakker disse dekadente tivolibilene til de vestlige oljepampene, å alle garasjene på Oslos vestkant brenner ned fordi en eller annen russer slo på varmen.

Forsøker å svare på spørsmålene, ettersom jeg tidligere har jobbet en del i anleggsbransjen, med det meste, også asfaltering et par år.
 

- hvordan er arbeidstiden? jobber man fra kl. 8 til 15 eller hvordan er tidene??

Det kommer selvfølgelig an på hvor du jobber.

i større selskaper som Skanska, Veidekke o.l. vil man generelt sett ha mer normale arbeidstider, og også jobbe om vinteren.

Det er jo slik at det asfalteres en del også om vinteren, dog for det meste reperasjonsarbeid, ikke nyasfaltering.

I mindre lokale bedrifter, og det finnes fremdeles noen av de igjen, så jobber man nok lange dager om sommeren, og har en del fri om vinteren. Årslønnen er dog likevel omtrent den samme.

Det er jo en forutsetning at man liker å være ute, ikke er redd for fysisk hardt arbeid osv.

Asfaltering er noe av de mest fysiske arbeidet man kan ha i anleggsbransjen, det er tungt og varmt.

De aller fleste er jo avhengig av å tjene en årslønn, slik at dersom man skal ha mye fri om vinteren, så må man jobbe tilsvarende mye om sommeren.

Dette holder også vann for andre deler av anleggsbransjen.

Større selskaper som bygger veier og den slags, stenger ikke butikken om vinteren, men mange mindre selskaper har lite å gjøre om vinteren, særlig dersom det er mye tele og man ikke kan grave.

Enkelte bedrifter fyller det tomrommet med brøyting eller andre vinteraktiviteter, det kommer helt an på bedriften, og hvilke kontrakter de har lykkes å skaffe seg.

- får man lønn på de månedene man ikke jobber? om vinteren, så får man 3-4 måneder fri pga man kan ikke jobbe når det er snø. får man lønn på den tiden?

Nei, generelt sett får man ikke lønn dersom man ikke jobber. De færreste har råd til å betale lønn til en arbeidstaker som sitter hjemme i sofaen å ikke generer inntekter til bedriften.

Enkelte bedrifter velger å permittere slik at de ansatte i det minste får permisjonspenger i perioder med lite arbeid, andre bedrifter lykkes i finne nok arbeid til å holde det gående gjennom vinteren.

- hva er lønna? er det bra lønn? hvor mye kr i måneden?

 
Gjennomsnittslønn i anleggsbransjen ligger rundt 40 000,- per måned.

Asfaltører ligger som regel noe over gjennomsnittet.

Om sommeren, dersom man har mulighet til å jobbe mye, kan man ofte tjene det dobbelte, men det krever også dobbelt arbeid, ingenting i verden er gratis.
 

Fordelen er at det er forholdsvis enkelt å få seg jobb i anleggsbransjen, og med et fagbrev som anleggsarbeider eller anleggsmaskinfører kan man jobbe med en rekke forskjellige ting, alt fra bygging av landets motorveier, flyplasser og den slags, til å drenere blomsterbedet til bestemor eller gå å svime i den lokale kommunen. 

 

Nei, men det er mange andre som kan kjøpe en dress til 200,- og få 15.000,- tilbake for bryderiet. Rimelig lukrativ og enkel måte å tjene penger på, trenger bare å gjøre det en gang for å tappe hotellet for veldig mange kroner over tid. Kan jo sette opp en "leieavtale", 15.000,- i måneden

 

Edit; Poenget er at 1.500€ er rimelig mye penger for mange folk, kan brått være så mye som 2-3-4 månedslønninger.

 

1500 euro er dog ikke veldig mye penger for en østerriker, et par ukers lønn omtrent.

Et rom på dette hotellet er heller ikke særlig billig, å starter vel på et par tre tusenlapper utenfor sesongen.

Alle andre enn lokale måtte jo i så fall også betale for reisen til hotellet, som ligger i Turrach, i alpene, og ikke akkurat er verdens navle.

De fleste oppegående hoteller ville nok stengt eventuelle bakdører og fikset sikkerhetsproblemer etter å ha bli utsatt for ransomware første gangen, slik at det er vel lite sannsynlig at man kan regne med månedlige utbetalinger på 1500 euro.

Tar man også med risikoen for å bli tatt, er det nok ingen med vettet i behold som reiser opp i alpene å leier et dyrt hotellrom for å stikke av med 1500 euro fra ransomware.

En viktig business mann kommer inn, de går selvsagt opp til skranken og bestiller rom (ofte er rommene bestilt på forhånd), så... sier han at han skal gå med utstyret opp til rommet og ber respsjonisten til å skrive ut noen dokumenter som han skal bruke på møtet, og boom... USB-minnepenn, og en pdf dokument eller noe som åpner backdoor, så er skaden skjedd.

Det er jo et helt plausibelt scenario, og en god måte å få tilgang til hotellets systemer på.

Dog er det neppe noen "viktig business mann" som gidder å reise til Turrach, leie seg et rom, ta risikoen ved at skadevaren på minnepennen oppdages og så videre, for trøtte 1500 euro.

Det er også lite sannsynlig at andre enn denne "business mannen" kunne infisert en minnepenn med ransomware, som så kun gikk til aksjon når minnepennen ble benyttet på dette hotellet.

Det som er langt mer sannsynlig, er at det sitter en "smarting" i Ytre Mongolia eller lignende sted, som har funnet en åpning inn i hotellets systemer over nettet, sannsynligvis etter en eller annen bredere scanning etter åpne porter, sårbarheter og slikt, og så utnyttet den åpningen.

Med andre ord, har hotellets systemer vært alt for dårlig sikret, og det har vært mulig å kompromittere adgangssystem gjennom hotellets internettilgang.

adeneo skal visst kverulere noe voldsomt på at bransjenettstedet Digi.no skriver om bransjen. Kanskje han skal gå tilbake til å lese Se&Hør, så slipper han å lese om markante figurer innenfor norsk IT-bransje.

Å kverulere betyr i utgangspunktet å si i mot uten å ha gode argumenter.

Nå er det vel ikke jeg som sier i mot, mitt første innlegg bemerket kun at Digi skriver uforholdsmessig mange artikler om Jon von Tetzchner, og så var det deg som sa i mot, uten å komme med noen gode argumenter for hvorfor det er slik?

Nå er selvfølgelig smaken forskjellig, men jeg personlig leser gjerne bransjenyheter, også om Opera og Vivaldi, det er jo grunnen til at jeg gidder å besøke Digi. Jeg må dog innrømme at jeg ikke finner de ukentlige artiklene om hva von Tetzchner synes og mener, enten det er om Microsoft, at han gjerne skulle kodet mer selv, hva han synes om Opera for tiende gang, syv år etter sin avgang, at han vil hjelpe andre med ditt og datt osv. ikke er spesielt interessante for meg, og jeg undrer meg over hvorfor Digi skriver om dette såpass ofte, men jeg respekterer at andre finner von Tetzchner fascinerende, og synes hans meninger om livet og alt annet er verdt å lese.

Og igjen, for ordens skyld, så har jo egentlig dette ingenting med von Tetzchner å gjøre som person, han er sikkert en hyggelig og kyndig fyr.

Jeg antar at det er journalistene hos Digi som tar kontakt med Jon for en ny kommentar titt og ofte, ikke at Jon ringer Digi for å fremme sin misnøye med en innstilling i operativsystemet sitt han ikke liker, og faktisk får spalteplass for slikt vås.

I virkeligheten er det imidlertid veldig lite sannsynlig å få noe drit på maskina i dag om man kjører en god kombinasjon av program- og maskinvare. MacOS og iOs vil f.eks ikke kjøre usignert programvare overhodet i utgangspunktet, og fordi man signerer operativsystemet mot en hardwarekomponent kan man være sikker på at signatursjekken funker. Da er man i praksis så sikker at det å kjøre inn tredjeparts virussjekkere i kjernen antakeligvis øker risken heller enn minker den. 

Likevel så finnes det stadig alvorlige trusler mot Mac også, selv om fansen helst ikke vil vite om det. 

Ting som KitM, Flashback, rootpipe osv. kommer med jevne mellomrom, det er faktisk ikke mer enn et par år siden Flashback infiserte rundt 600 000 maskiner.

Ting som rootpipe tok forøvrig nesten et halvt år for Apple å fikse.

Det sies ofte i sikkerhetsbransjen at OSX til enhver tid har flere sårbarheter enn alle Windows-versjoner sammenlagt, noe som er nære på å stemme. Likevel markedsfører Apple OSX som "virusfritt", og kundene ser ut til å bite på.

Nå er det selvfølgelig også slik at OSX har disse sikkerhetene du nevner, gjerne kalt XProtect, og derfor er det generelt vanskeligere å skrive effektive virus for OSX, samt at Apple benytter en del egne programmeringsspråk, XCode o.l., har mindre markedsandel m.m. men det er altså på ingen måte sikkert, tvert i mot kan man vel heller si, ettersom OSX i stor grad ikke har noen mekanismer for å oppdage virus, så går de ofte uoppdaget i lang tid.

Er det noen måte jeg kan se hvor mye data hver av fanene i for eksempel intenet exploer har brukt/overført?

Jeg vet ikke helt med Internet Explorer, men de fleste moderne nettlesere (les: Chrome og Firefox) har en del profileringsverktøy i konsollen (F12).

Du kan også benytte programmer som Fiddler til å overvåke all trafikk over nettverket.

Noe kan gjøres i hardware, som protected mode som gjør det enklere for operativsystemet å hindre programmer i a gjøre hærverk. Samtidig betyr økt sikkerhet at noe blir ulovlig (som å skrive i minnet til et annet program), og prioriterer man at systemet skal være sikkert og stabilt så må man gjerne begrense hva brukeren og programvare kan gjøre.

Det er riktig at protected mode, som har vært standard på alle x86 prosessorer siden 1982, gjør det noe vanskeligere for et virus å få tilgang til andre programmer, nettopp som du skriver fordi minnet virtualiserer og programmer ikke har tilgang til hverandre direkte gjennom minnet.

Det beskytter dog ikke direkte mot virus, og hensikten med å virtualisere på den måten var egentlig å begrense programmer slik at dersom ett program krasjet, så krasjet ikke alle de andre.

Prosessoren vet fremdeles ikke om den kjører et virus eller ikke, men fordi det før protected mode var trivielt å endre alle andre programmer som kjørte i minnet og derfor infisere alle kjørende programmer "on the fly", så gjorde protected mode det litt vanskeligere å infisere andre programmer, men ikke særlig mye, men fremdeles et greit poeng, enkelte ting kan begrenset på hardwarenivå.

Chromebook er et godt eksempel på det. Programmeringsspråk kan gjøre det enklere å unngå sårbarheter i programvare, som igjen kan føre til et sikrere system totalt sett. Så hardware og programmeringsspråk kan hjelpe, men designvalg i operativsystemet er også ekstremt viktig. Hva som er det riktige skjæringspunktet mellom sikkerhet og fleksibilitet varierer med arbeidsoppgaver og kompetanse.

Chromebook og Chromebox kjører altså Chrome OS, som er basert på Chromium, og som er bygget på Gentoo, og i hovedsak er det meste skrevet i C og Python, to språk som på ingen måte er "sikret" mot virus.

Årsaken til at Chrome OS er mindre mottakelig for virus, er rett som du nevner, designvalg.

Chrome OS gjør rett og slett "ingenting". Det tillater ikke endringer i særlig stor grad, derfor er det mulig å benytte såkalt "verified boot", som sjekker at all kode som kjøres faktisk stemmer med kildekoden til Chrome OS.

Dette fungerer sammen med en read-only del av firmwaren, og er således knyttet til hardwaren som kjører Chrome OS

Så joda, det er faktisk et design av firmware og software som sammen gjør ting sikrere ved å kontrollere at operativsystem ikke er endret.

Dette gjør det fremdeles ikke helt sikkert, men "sikrere", og rullende oppdateringer hjelper også, ettersom eventuelle virus kan fjernes relativt raskt dersom de dukker opp.

Som du nevner er dette altså "designvalg". Chrome OS er sikrere fordi det ikke er mulig å installere programmer eller endre OS'et, et designvalg som også gjør Chrome OS helt ubrukelig for de aller fleste av oss.

Nå er jo Chrome OS et operativsystem, å det å sikre et operativsystem mot virus anser jeg som teknisk mulig, men sannsynligvis praktisk umulig over tid.

Det er dog fremdeles en vesensforskjell i forhold til å sikre et helt programmeringsspråk eller en prosessor mot virus, som jeg ville tro var både teknisk og praktisk umulig, det er faktisk skrevet virus i språk som Brainfuck og whitespace.

Det er mulig jeg har misforstått, men for å gjøre det litt enkelt så er en prosessor en rekke brytere som er enten av eller på, hvordan beskytter man det mot virus?

Litt mer teknisk, så er det en helvetes mange brytere, forskjellige broer, og noe minne hvor ting kan flyttes hit og dit, men likevel, det kan ikke beskyttes mot virus?

Et programmeringsspråk abstraherer generelt sett instruksjonene til en prosessoren for å gjøre det lettere for oss mennesker å skrive meningsfylte kommandoer, men det finnes ingen måte å beskytte et programmeringsspråk mot virus, det ville være helt fullstendig umulig?

Rust har som mål å være "sikkert", men det er mulig jeg misforstår igjen, for med "sikkert" menes at det ikke er tillatt med null-pointers, at det er bedre garbage collection og den slags, ikke at det ikke er mulig å skrive såkalte "virus" i Rust?

Faktisk finnes det flere virus skrevet i nettopp Rust?

Et virus er i sin enkleste form et program som repliserer seg selv, og slike program kan skrives i alle programmeringsspråk, og kjøres på alle prosessorer, og det finnes ingen måte for en prosessor å skille instruksjoner fra et virus eller et hvilket som helst annet program, eller å beskytte et helt programmeringsspråk slik at det ikke er mulig å skrive slike programmer, og uansett om det var mulig i et programmeringsspråk, så er det helt irrelevant, ettersom det uansett ville være mulig å skrive i binært, asssembler eller et annet språk?

Jeg vil heller berømme Digi for at de faktisk løfter frem en norsk/islandsk person som har vært svært viktig for WWW og nettlesere generelt. De fleste i Norge har nok uansett hørt om Opera. Og med tanke på at Digi retter seg mot IT-kyndige så er det liten grunn til å tro at leserne ikke har hørt om ham.

De færreste nordmenn vet hvem von Tetzchner er, de fleste aviser har omtrent aldri skrevet en artikkel om mannen, med noen få unntak, spesielt Digi som skriver om von Tetzchner nærmest månedlig.

De fleste nordmenn har nok heller ikke hørt om nettleseren Vivaldi, og det er nå seks år siden Jon ledet Opera, slik at selv om de fleste nordmenn kanskje har hørt om Opera, så er det lite relevant for hva som er skrevet om von Tetzchner de siste fem-seks årene.

På den andre siden er Tim Berners Lee, Bob Kahn, Marc Andreessen, Ray Tomlinson, Brendan Eich, for å ikke glemme norske Håkon Wium Lie, personer som har vært viktige for WWW og nettlesere generelt.

Jon von Tetzchner er helt fullstendig irrelevant i den sammenhengen, både for internet slik vi kjenner det, og for nettlesere generelt, men det er likevel skrevet mer på Digi om von Tetzchner, enn de seks personene ovenfor sammenlagt, noe jeg finner bemerkelsesverdig i seg selv?

Det betyr på ingen måte at jeg mener von Tetzchner ikke har vært suksessrik, eller ikke har gjort en god jobb som leder av Opera i mange år, kun at han på ingen måte er viktig for historien til hverken nettlesere eller internet som sådan.

I forhold til hvor stor Opera var under JvT og hvor stor innvirkning de hadde på internett, så har de fått

uforholdsmessig lite spalteplass.

Tja, Opera hadde vel 2% markedsandel på desktop nettlesere på det meste, og ligger nå på rundt 1% markedsandel, så joda, de var større under von Tetzchner, faktisk dobbelt så store, men likevel svært, svært små.

På mobil har Opera vært en god del større, Opera Mini har de siste årene har hatt noe sånt som 5-6% av markedet.

At du mener Opera og von Tetzchner bør få enda mer spalteplass hos Digi er helt greit for meg, forskjellige lesere har forskjellige interesser.

Det var i grunn ikke det som var pussig, det var det enorme antallet artikler Digi skriver om denne mannen jeg fant pussig, og at han dukker opp hver eneste måned, enten det er det ene eller det andre artikkelen handler om.

Og kritikken hans går på det generelle plan. Alle nettlesere påvirkes av dette. Opera under JvT hadde lange tradisjoner for å tale klart og tydelig når noe var galt og truet WWW eller nettlesermarkedet.

Har du noen eksempler på dette, de eneste tilfellene jeg kan huske når Opera "talte klart og tydelig" var når de selv hadde noe å tjene på det, som for eksempel når de fikk 12 millioner dollar av Microsoft i et forlik, eller var med på å dra Microsoft for retten fordi de ønsket bedre konkurranse for sine egne produkter?

Jeg antar at du kan nevne minst et par tre eksempler på at Opera har stått opp for internet eller nettlesere generelt, annet enn når det var for å tjene penger eller fremme egne interesser?

Jeg skjønner ikke sammenligningen. Det er ikke noe galt i å ønske å pushe egne produkter. Det som er galt er måten Microsoft gjør det på. Jeg kan ikke huske at Opera har gjort noe veldig kritikkverdig.

 

Hvilke måter har Opera forsøkt å pushe egne produkter på som du mener er sammenlignbare med måten Microsoft utnytter operativsystemet sitt på?

 

Integrere annonsenettverk i nettleserne? Hva mener du med det?

Opera er jo en av verdens største selgere av annonser. Opera eier flere annonsenettverk, og da særlig annonsenettverk for mobil, som er tilpasset Opera Mini.

Opera eier altså egne selskaper som selger annonser som embeddes direkte i Opera Mini.

Så vidt jeg vet har ikke Opera åpnet Opera Mini slik at hvem som helst kan plassere annonser uten å benytte Operas egne annonsenettverk?

Opera har også utviklet egen software for TV'er, som kommer ferdig levert med Operas egen nettleser, uten noen større mulighet til å endre nettleser, så vidt jeg vet?

Det er jo helt vanlig at et selskap som selger flere produkter, pakker dette sammen, slik som Microsoft har gjort med sin nettleser.

Når det kommer til hvorfor Windows tilbakestiller standard nettleser, når man har valgt noe annet, så gjelder det ikke bare nettleseren, men flere programmer under Windows 10.

Dette er en godt kjent og dokumentert feil, som har med sikkerhet rundt assosiering av fil-endelser og den slags å gjøre. å det finnes egne programmer man kan laste ned som løser dette, å hvis ikke jeg husker feil så finnes det en fiks på dette ved å endre systemregisteret også.

Som nevnt tidligere, det von Tetzchner egentlig klager på er ikke at det er et problem med Windows, men at dette problemet kanskje kan ha en innvirkning på hans helt minimale markedsandel.

Ingen liker konkurransefortrinn, så fremt de ikke er deres egne.

Hva har åpen kildekode med saken å gjøre? Visste du at Opera både har deltatt i mange og opprettet egne prosjekter med åpen kildekode?

Jeg har hørt snakk om dette, at Opera bidrar med så mye, særlig åpen kildekode?

Jeg setter veldig pris på om du kan fortelle meg hvilke prosjekter dette egentlig er?

Jeg finner noen få bidrag til Blink, som tross alt er åpen kildekode som Opera (og Vivaldi) fritt får bruke i sin nettleser?

Men ingenting av det du skriver her endrer på det faktum at JvT er en markant figur når det gjelder WWW og nettlesere. Du kan gulpe opp så mange sure oppstøt du bare vil og lyve så mye du bare vil om ting Opera har vært involvert i, men det er fortsatt ikke relevant.

Man kan gjerne kalle fakta for løgn, det er ofte eneste utvei når man går tom for argumenter.

Operas største bidrag så langt, er sannsynligvis den nylige lekkede kildekoden av Opera, og det var alt annet enn frivillig.

De sakene jeg har nevnt er reelle, forliket med Microsoft er fakta, det samme er søksmålet mot den tidligere ansatte, men det ser ut til at du vet mer om den saken enn meg? Jeg minnes å huske at Trond Werner Hansen ikke hadde gjort noe galt, og at Opera kom til enighet med Hansen ettersom det hele var ganske stygt, og så ut til å bli et PR-mareritt for Opera.

Hvorvidt man vil kalle von Tetzchner en "markant figur" får også være opp til hver enkelt. For lesere av Digi som ser bilder av mannen nesten hver uke, så er han i det minste svært markant.

For ordens skyld, så har selvfølgelig Jon bidratt med mer enn de fleste, ettersom de fleste ikke har bidratt med noe som helst, men jeg kan ikke huske å ha sett noe med hans navn på, som er del av en standard, eller har noe med nettlesere, internet eller annet relevant å gjøre?

Mesteparten av æren for det tekniske bak Opera tillegger jeg Geir, ikke Jon, selv om de selvfølgelig var to om prosjektet.

Nå er ikke mitt mål å rakke ned på Jon, han har gjort det bra på dette gjennom mange år, og trenger neppe min velsignelse for å fortsette å gjøre det bra, all ære til han for å ledet et bygget opp et stort suksessrikt selskap, og tjent uhyggelig mye penger på veien.

Som norsk næringslivsleder er mannen helt klart markant, og har gjort en særdeles god jobb.

Poenget var at både Jon og produktet hans, Vivaldi, har en nærmest ubetydelig markedsandel og er helt ukjent for de fleste mennesker.

De færreste benytter Vivaldi. Det er i beste fall noen ytterst få som bruker den nettleseren.

Likevel så skriver Digi ustanselig om Jon og Vivaldi.

Søker man på "vivaldi" på Digi så får man altså opp 25 treff, for et relativt nytt produkt. Søker man på "von Tetzchner" så ser det ut til at han er nevnt hele 183 ganger, over 50 av de ser ut til å være etter hans avgang i Opera?

Til sammenligning er selskapet Funcom nevnt 150 ganger hos Digi, slik at Digi har skrevet flere artikler som nevner mannen Jon von Tetzchner, enn det norske selskapet Funcom, noe som er pussig ettersom det har vært en del kontrovers rundt Funcom, samt mye nyhetsverdig grums, og selskapet har vært en del omtalt i de fleste andre medier.

Hos vanlige nettaviser slik som VG, Dagbladet osv. er det naturlig nok motsatt, der er det skrevet betydelig mer om Funcom enn om von Tetzchner.

Faktisk har Dagbladet skrevet rundt 500 artikler som nevner Funcom, mens de kun har skrevet 8-10 artikler som nevner von Tetzchners navn etter 2010.

Jeg personlig er litt nerd, slik at jeg finner det særdeles pussig at søk på "Highsoft", "Refnes", "Steffen Thorsen" og flere andre kommer opp tomme, mens for eksempel "varnish" ser ut til å være skrevet om nesten femti ganger?

Slike søkeresultater gir et inntrykk av at Digi til en viss grad er kjøpt og betalt, og at de skriver om de samme selskapene og personene gang på gang, uforholdsmessig ofte i forhold til hva man skulle anta. Når man leser en del av artiklene, så er det også slik at enkelte selskaper gang på gang får enorme mengder skryt, mens andre selskaper kun nevnes når det er noe galt.

Om dette er fordi produktene faktisk er bedre, eller fordi journalistene har preferanser, eller fordi man har mottatt incentiver, vet ikke jeg, men pussig er det likevel.

Noe annet som er pussig, er at ordet "pussig" er nevnt i artikler på Digi 113 ganger, noe som er 70 ganger færre enn navnet "von Tetzchner" ?

Jeg tviler sterkt på at 3. part bedrifter klarer å finne og lage bedre sikkerhet enn de som lager og utvikler systemet... (da snakker jeg om veldig få personer som tegner opp kretsene inni prosessorene)

 

Det er nesten all jobben med å lage prosessorer og programmerings språk. Å lage et sikkert system...

Det blir litt som å si at sauebønder er de beste til å strikke ullgensere, eller at arbeidere i kinesiske jerngruver er de beste på å bygge skyskrapere.

Å lage prosessorer eller definere programmeringsspråk har i grunn fint lite med hverken sikkerhet, virus eller antivirus å gjøre.

Hvor mange slo opp alt i google før de kom med et svar?

Det er vel det virkelige spørsmålet, "Norges beste googler" hadde kanskje vært en mer treffende tittel.

Jeg vil påstå at det neppe finnes noen sikkerhetsekspert som kan svarene på alle disse spørsmålene.

Spennvidden i de spørsmålene som har kommet opp så langt, de dårlige formuleringene og merkelige norske ordene som er benyttet mange steder, samt det faktum at flere av spørsmålene etter min mening ser ut til å være totalt irrelevante for "cyber security", gjør at det mest sannsynlig er den som er flinkest til å google svarene som vinner.