February 21st, 2015

Superfish

Ingen lär väl ha missat de senaste dagarnas kontroverser kring Lenovos installation av den ondsinta reklamappen Superfish på en stor del av sina datorer under 2014 och 2015. Det är lätt att bli avtrubbad av alla avslöjanden om intrång (de flesta av vilka från nationsstater) i vår förväntat säkra, personliga sfär. Men denna står ändå ut som en av de värsta.

De flesta PC-leverantörer installerar olika programvaror på sina datorer, för vilka de får en ansenlig ersättning, och som drastiskt försämrar användarupplevelsen, prestandan och stabiliteten i datorn. Det är tyvärr normalt i PC-världen, speciellt i lågprissegmentet.

Men Lenovo har fått långt utöver vad någon rimligen kunde förvänta sig. Superfish, ett program Lenovo installera på vissa av sina datorer mot ersättning, är ett program som går in och lägger till egen reklam på de websidor som användarna tittar på. Ifall sidorna redan har reklam, så ersätts den med Superfishs (och sidan förlorar sin egen reklamintäkt).

Det är bara förrätten. Superfish gör dessutom detsamma på sidor som ska vara krypterade/säkrade med SSL/TLS, t.ex. internetbanker, skatteverket, eller varsomhelst där man anger sitt kreditkortsnummer. För att göra detta, så plockar den (i allt väsentligt) bort krypteringen och säkerheten helt och hållet (genom att på datorn installera ett eget s.k. rotcertifikat, med medföljande privata nyckel). Konsekvensen är att, för någon som har en påverkad Lenovo-dator, så kan vem som helt låtsas vara precis vem som helst på internet, utan att några som helst varningsklockor klämtar.

Under normala omständigheter är SSL/TLS ett säkert kommunikationssätt (undantaget frågan om organisationer som NSA), men det förutsätter att vissa aktörer, som datortillverkaren och skaparen av operativsystemet och webläsaren kan förväntas vara pålitliga och inte aktivt försöker underminera din säkerhet. I det här fallet har alltså datortillverkaren avsiktligt installerat ett förfalskat rotcertifikat, någonting som kan validera vilken annan site som helst, oavsett om det är den riktiga eller inte (dvs om det är Superfish som utger sig för att vara, t.ex., Nordea, för att lägga in reklam på din internetbank). Det är dessutom något som vem som helst kan använda för att göra detsamma, i och med att den privata nyckeln skickas med varenda påverkad Lenovodator (för att säkerheten ska fungera så måste den privata nyckeln, som namnet antyder, hållas privat, inte spridas runt på tiotusentals datorer runtom hela världen).

Vem som helst kan alltså, om du har detta Superfish-certifikat installerat på din Lenovo, utge sig för att vara din bank, eller läsa din email, eller privata facebookmeddelanden, eller vadsomhelst. Vem som helst kan alltså göra det Superfish gör, att ändra på sidorna man ser. Superfish gör det för att lägga in reklam. Någon annan kanske gör det för att ändra mottagaren av en betalning, eller för att spara undan ditt lösenord till någon tjänst.

Det mest enorma är vad detta säger om etiken inom Lenovo. Detta malware (skadlig programvara, ett vidare begrepp som innefattar såväl virus som sådant som avsiktligt placerats av någon angripare) är något som Lenovo alltså har fått betalt för att installera på sina kunders datorer, och levererat under ca ett halvår innan det upptäckts. De ekonomiska och tekniska förhandlingarna som föregått den publika utrullningen har säkerligen pågått i något år. Hundratals, kanske tusentals, personer, många av vilka i ledande positioner, har känt till detta, utan att någon har hindrat det.

Superfish är som sagt exceptionellt, i det att det är ett totalt säkerhetshål som gör användarna som har det på sin dator fullkomligt oskyddade i alla sina transaktioner på internet. Men konceptet att installera reklamprogramvara eller annan programvara som datorleverantören får betalt för, är väl etablerat. I de flesta fall leder det alltså inte till “mer” än att datorn blir långsam, instabil, och att användaren ständigt störs av popuper och liknande som att t.ex. beställa ett abonnemang till ett helt onödigt “antiviruspaket”. Om det finns någonting positivt i den här affären, så är det förhoppningen att Lenovo blir stämda så djupt in i det röda, att alla PC-tillverkare ryggar tillbaka från affärsmodellen att installera skitprogramvaror, att sälja ut sina kunder för några extra kronor från en tredje part.

För alla stackare som har Lenovodatorer, kan jag tyvärr bara ge följande råd: Om din dator är tillräckligt ny för att omfattas av garanti, försök återlämna den till säljaren. Om inte, ge den till någon som är kapabel att helt formatera om den med en ren Windows-version (någon Lenovo tyvärr gör mycket svårt).

February 18th, 2015

Provocerande

http://www.dn.se/ekonomi/banker-nekar-pengar-fran-eu-migranter/

Sven Hovmöller hjälper EU-migranter att sälja tidningar så att de ska slippa tigga på gatan. Men affärsbankernas vägran att ta emot kontanter sätter nu käppar i hjulen för arbetet. Han nekas sätta in 180.000 kronor som behövs för att kunna betala tryckerikostnaderna.

En del av skulden hamnar på våra lagstiftare, som har låtit penningtvätts- och terrorfinansieringsregelverken tappa alla former av rimliga proportioner. Men jag är ändå övertygad om att om bankerna bara ville, så skulle man kunna ordna en insättning på något vis. Det är bara det att de absolut, resolut inte vill. Tvärtom tar de varje tillfälle i akt att göra kontanter oanvändbara.

January 23rd, 2015

Finns Putin på Facebook?

– Det innebär att den omstrukturering av den svenska militära underrättelsetjänsten som gjorts från 1990-talet och framåt inte svarar mot de behov som nu finns hos underrättelseanvändarna, säger Agrell.

FRA på väg att öka spaning runt Östersjön, SvD

Nej, FRA har svårt att hinna med och ha råd med militär signalspaning mot främmande makt. Det säger ju sig självt, det kostar att massövervaka hela den (mestadels) laglydiga civila egna befolkningens all kommunikation. Man mäktar faktiskt inte med hur mycket som helst.

August 23rd, 2014

Jodå, definitivt, bankerna vill absoluuuut att vi amorterar

Dags att förnya bostadslånet hos SBAB. Inga problem att välja ny bindningstid på nätet, allting fungerar hur fint som helst… men endast så länge man väljer amorteringsfritt. Vill man göra en amortering, då måste man beställa hem blanketter (för hela förnyelseprocessen) på posten, fylla i och skicka tillbaka. Jag kommer inte bli vidare förvånad om det är helt oförklarligt hur de ska fyllas i.

Men absolut, bankerna arbetar stenhårt för att få igång en amorteringskultur hos sina kunder.

August 23rd, 2014

Sluta sug

Nog för att miljöpartisterna önskar att vi alla ska leva som före industrialiseringen, i smuts och avskräde. Men det här var ett nytt och intressant sätt att uppnå målet på, att successivt avskaffa dammsugare.

Ten days left to vacuum up a powerful cleaner

From 1 September, companies in the EU will be banned from making or importing vacuum cleaners above 1600 watts.

[…]

From 1 September 2017, all vacuum cleaners will have to be less than 900w.

 

 

July 15th, 2014

Snurrigt

Att alltså den domstol som är satt att bedöma huruvida sexuella övergrepp har begåtts mot barn, huruvida barnpornografibrott har begåtts och så vidare, och så vidare, inte får ta del ordentligt av bevismaterialet, det är ju – snurrigt.

Den synnerligen besvärliga principen att själva innehavet av barnpornografiskt material i och av sig självt skulle vara olagligt fortsätter leda till absurda konsekvenser. Nu alltså att domarna som dömer i en barnpornografirättegång blivit anmälda (av Rikskriminalpolisen) för att ha tagit del av bevismaterialet de ska basera sin dom på…

May 27th, 2014

Samtliga bankomater i landet är ur funktion

Samtliga bankomater i hela landet är ur funktion

Plötsligt skrattar folk inte åt mig fullt lika mycket för att jag har lite kontanter på mig… någon som vill låna lite cash till lämplig dagsränta? 😉

Vi har ett stopp i vår IT-miljö. Det här gäller samtliga uttagsautomater som drivs under varumärket Bankomat, alla blåa automater egentligen, säger Bankomat AB:s kund- och marknadschef Johan Nilsson.

Det är lite läskigt att det inte finns mer redundans än att ett fel, vilket som helst, kan ta ner precis hela systemet.

May 9th, 2014

Bloggkontroll

Det började 2008, när Marianne Mikko (Estland) ville införa det i EU. Här senast var det Åsa Romson (MP) som ville införa det åtminstone i Sverige.

Men Putin har hunnit före. Antar att Mikko och Romson applåderar i bakgrunden…

Russia Quietly Tightens Reins on Web With ‘Bloggers Law’

March 7th, 2014

Peeping Tom

Prisbelönad filmare dömd för sexköp

Sådan här är alltså situationen i Sverige idag. Den som idkar någon form av ömsesidigt umgänge, vuxna emellan, får vara försiktig, ty utanför fönstret kan fula gubbar slinka.

December 11th, 2013

Händer något? Eller händer inget?

Ett par intressanta saker har skrivits de senaste dagarna.

Till att börja med, så har ett flertal av världens största och, få kan argumentera mot, för framtiden viktigaste företag, som under de senaste månaderna (och åren) har muttrat om det ena eller det andra, äntligen tagit bladet från munnen och tydligt deklarerat för allmänheten och överheten att deras pengar inte okritiskt kommer att flöda till Obama och gelikar, med mindre än en seriös förändringar av massövervakningsdoktrinen. Jag nämner detta först, för det är nog viktigast; politik är makt, och makt är pengar, och pengar kommer i hög grad från dessa företag. Deras syften är inte ädlare än att de vill offentligt två sina händer gentemot sina kunder, men det räcker.

Det andra är att dryga 500 författare från dryga 80 länder, i dryga 25 tidningar publicerat sin egna protest mot dagens verklighet. Här blir man imponerad, inte enbart över att så många författare lyckas vara överens om en text, men även för att den på ett föredömligt vis sammanfattar de moraliska aspekterna av övervakningssamhället. Läs allting, det är inte långt och jag har svårt att välja ut detaljer att citera, men ska jag ändå plocka ett par blir det:

Massövervakning behandlar varje medborgare som potentiellt misstänkt. Den stjälper över ända en av våra historiska triumfer, nämligen antagandet att alla är oskyldiga tills motsatsen bevisats.

Dessa uppgifter är inte allmän egendom: de tillhör oss. När de används för att förutsäga vårt beteende, berövas vi något annat: den fria viljans princip

Older Posts »