I can see in my logs that also people from outside Denmark come across this page, if you are one of those, here is a short resume in English: If you ever come across a product named Pcfinder from a company named Gigasoft, stay far away from it. If you haven't heard about the product, you are lucky, and there is nothing here of interest to you.

PC Finder

På denne side har jeg planer om løbende at skrive min vurdering af troværdigheden af PCFinder og manden bag. Siden er under udarbejdelse og har endnu ikke nået sin endelige form. På sigt skal alle mine udtalelser dokumenteres med referencer til Bjarnes egne udsagn, men Bjarne har fremsat mange udsagn, og det tager tid at finde de rigtige.

Hvad er PCFinder?

PCFinder er et program til at spore stjålne computere.

Kan man det?

Nej.

Hvorfor ikke

Der er en lang række grunde til, at programmet ikke kan forventes at have nogen positiv virkning på langt sigt.

1. Programmer kan slettes. Hvis tyve eller hælere bliver afsløret af programmet, må det forventes, at de på sigt bliver klogere. Der er ingen grund til at forvente andet, end at de i fremtiden sletter programmet. Om nødvendigt kan en hel harddisk slettes på et øjeblik. Stillet over for dette problem har Bjarne valgt strategien at benægte problemets eksistens. Uden dokumentation for sin påstand har han gang på gang sagt, at programmet ikke kan slettes uden den CD, det oprindeligt blev leveret på. Der findes dog mange simple metoder til at slette et program fra en harddisk, uanset om programmet selv samarbejder eller ej.
2. Programmet er afhængig af en internetopkobling, men der er stor forskel på opkoblinger.

Hvem står bag PCFinder?

Gigasoft og Bjarne Østergård.

Er produktet 500kr værd?

For det første koster produktet mere end 500kr. Det er et engangsbeløb, derudover skal du også betale en løbende pris for registrering i databasen. Den løbende udgift er pt. 10kr/måned. Hvis Gigasoft hæver prisen eller helt holder op med at levere ydelsen er dine 500kr spildt. Det er en dum idé at bruge penge på et produkt, hvis værdi i den grad er afhængig af sælgerens overlevelse. De fleste programmer på din computer kan stadig bruges i morgen selvom producenten går fallit, men ikke PCFinder.

Jamen, der står i FAQen, at det virker.

Det bliver ikke sandt fordi Bjarne siger det. Bjarne er ude på at sælge produktet, hvis han kan få folk til at tro på sine udsagn er det ligegyldigt, om de er sande. Her følger et par udsagn fra FAQen og mine forklaringer om, hvorfor det ikke kan være sandt:

• Hvis PC Finder bliver afinstalleret vil centrale dele af programmet stadig virke, og tyven vil stadig afsløre selv, når han går online. Hvis en bruger ønsker at fjerne programmet helt, skal det unikke nøglekort bruges. Brug din sunde fornuft, tror du selv på at et program kan virke når det er blevet slettet? Påstanden er blevet fremsat utallige gange af Bjarne, intet tyder på at påstanden er sand.
• I sådan et tilfælde står politiet med både anmelder og bevis. Oplysningerne fra programmet beviser intet. Der er mange parter, som kan forfalske oplysningerne.
• PC Finder er udviklet til computere der kører med styresystemerne Windows 98, 2000 og XP. Så tyven kan altså bare installere et andet system på computeren, så vil PCFinder ikke mere virke. Men det er naturligvis nok bare at slette PCFinder.
• Uden kortet kan man hverken deaktivere PC Finder, afinstallere programmet korrekt eller slå de forskellige services fra. Sludder, selvfølgelig kan programmet fjernes. Det er også muligt at ændre enhver opsætning lagret på computeren, men sidstnævnte kan være så besværligt, at det til enhver tid vil være nemmere for tyven at slette programmet.
• men også at kunne sikre sig mod at købe stjålne dele eller maskiner. Der er ingen grund til at tro, at nogen har interesse i at checke dette. Hvis man allerede har købt computeren, er der intet at vinde ved at checke for stjålne komponenter. Så længe du ikke har checket computeren, kan du bruge den i god tro. Hvis du har checket computeren og den blev meldt stjålet vil du formodentlig stå med et problem hvis den faktisk er stjålet. Der er også en risiko for, at en computer fejlagtigt meldes som stjålet. Der kan være komponenter, der har samme identifikation. Der kan være fejl i softwaren. Der kan være forfalskede oplysninger i databasen. Et check før du køber computeren vil kunne foregå et sted hvor sælgeren har kontrol over omgivelserne, og derfor kan påvirke udfaldet. Det vil være nemt at lave en lookalike, der altid melder, at computeren ikke er stjålet.

Hvilke angreb kan man lave mod systemet?

Der er en række sårbarheder, som kan udnyttes uanset hvordan detaljer i implementationen ser ud. At slette programmet er den simpleste, men langt fra eneste måde at modarbejde systemet på.

• Programmet kan slettes fra harddisken.
• Netforbindelsen kan sættes op så programmet ikke kan kommunikere med databasen.
• Netforbindelsen kan tunneles til en anden lokalitet hvorefter oplysningerne i databasen ikke kan bruges til at finde maskinen. Jeg kan f.eks. finde en sårbar maskine i Taiwan, og når jeg har kompromiteret den, kan jeg oprette en ppp over tcp forbindelse hvorigennem jeg router alt trafik til gigasoft.
• Programmet kan installeres under en emulator. Med en emulator af en passende kvalitet vil det være umuligt for programmet at se forskel på en emulation og en computer bagved en NAT router. Dette er den oplagte måde at fylde gigasofts database med falske oplysninger.
• Scannerkoden kan også udføres under en emulator.

Kendskab til implementationsdetaljer vil sandsynligvis afsløre endnu flere sårbarheder. Bjarne har udtalt at kommunikationen mellem PCFinder og databasen ikke er sikret mod aflytning. Dette er sidenhen blevet bekræftet af Steffen Hansen. I sit svar udviser Bjarne fundementale mangler på forståelse af datasikkerhed. For det første forsøger Bjarne at arugmentere for, at oplysningerne ikke kan misbruges. Dette sker efter en længere diskussion, hvor en lang række angreb mod systemet er beskrevet, og mange kan nemmere gennemføres med kendskab til andre brugeres data. Bjarne burde derfor være klar over, at oplysingerne kan misbruges. Bjarne forsvarer sig med, at den manglende kryptering giver brugeren mulighed for at se, at der ikke ligger spyware eller lignende i PCFinder. Der er dog mange potentielle muligheder for covert-channels, så denne sikkerhed kan brugeren kun opnå ved en opensource klient. Til gengæld kunne Bjarnes mulighed for at skjule oplysninger for brugeren i den krypterede datastrøm nemt undgås ved åbenhed om krypteringen. Med et passende design vil kendskab til randomseed være nok til, at brugeren kan verificere datastrømmen. Dog skal det også sikres, at randomseed er tilfældigt og ikke blot en covert-channel. Hvis der anvendes tilfældige bytes i den nuværende protokolimplementation, vil disse kunne bruges som en covert-channel uanset om de indgår i en kryptering eller ej. Jeg kan beskrive en række hypotetiske scenarier hvor personer kan misbruge PCFinder til egen fordel:

• Jeg overvejer at købe en brugt computer, men synes prisen er ca. 2000kr for høj. Jeg sørger for at huske på identifikationen på en af maskinens komponenter. På vej hjem køber jeg et eksemplar af PCFinder, som jeg installerer på en emuleret PC. Jeg lader emulatoren give PCFinder den identifikation, som jeg husker på. Herefter melder jeg "computeren" stjålet. Hvis vi nu antager, at andre potentielle købere af den førnævnte computer insisterer på at teste den med onlinescanneren, vil de nu se den meldt stjålet. Da alle andre potentielle købere falder fra kan jeg nu få maskinen til den pris jeg vil give. (Og jeg fortæller evt. sælgeren, at jeg ikke bekymrer mig om meldingen fra PCFinder, fordi jeg alligevel aldrig har stolet på det system.)
• Jeg stjæler en computer med PCFinder. Inden jeg sletter harddisken kobler jeg den til en computer på mit lokalnet og går på nettet. Men computeren på mit lokalnet er sat op med en tunnel (f.eks. ppp over tcp) til en maskine i Taiwan som jeg kunne kompromitere gennem et kendt men ikke lukket hul. Undervejs sker der masquerading flere gange, og Bjarnes eneste spor peger på maskinen i Taiwan. Herefter sletter jeg harddisken på den stjålne computer og installerer et OS, som ikke kan køre PCFinder. Computeren er nu klar til salg.
• Jeg fremskaffer en liste over hardware identifikationer på stjålne maskiner med PCFinder. Jeg sætter en emulator op med et system, som kan bruge online scanneren (hvis jeg da ellers kan finde sådan et system). Jeg lader systemet starte en browser automatisk og lader scannersiden være browserens startside. Nu lader jeg gentagne gange emulatoren starte systemet op, men hver gang identificerer den sig med ny hardware ID. Jeg griner, hver gang politiet kommer, og tror de kan finde alverdens stjålne computere hos mig. For der er intet absolut intet at komme efter. Jeg kan så konstatere, at det system vist ikke virker alt for godt. Og evt. stille krav om erstatning for alle de uberettigede anklager.

Alle de beskrevne angreb må formodes at være ulovlige, og jeg har derfor ikke gennemført dem i praksis. Beskrivelserne må på ingen måde ses som en opfordring til sabotage af systemet. De tjener som information til potentielle brugere, der efter min mening har krav på at kende systemets svagheder. Husk på, at der er kriminelle nok, der ikke skyr midler som de her beskrevne.

Er der nogen bedre alternativer?

Ja bestemt. Computere er ikke det eneste, der stjæles. Brug samme forholdsregler imod tyveri, som du ville have brugt for hvad som helst andet end din computer. En forsikring kan dække omkostningen til en ny computer, du vil sandsynligvis alligevel skulle betale en evt. selvrisiko, da tyven kan have stjålet meget andet end computeren. Der er et par grunde til at træffe særlige foranstaltninger for at beskytte data på din computer. En backupkopi opbevaret et andet sted vil sikre dig mod tab af data som følge af tyveri, brand, harddiskfejl og mange andre mulige årsager. Hvis du har fortrolige data på din computer kan de krypteres. Hvis dine data først er kommet i forkerte hænder er det ingen hjælp, at computeren måske bliver fundet. Hvis du vil vide mere om computer sikkerhed kan jeg i øvrigt anbefale at du kigger på ofte stillede spørgsmål i nyhedsgruppen dk.edb.sikkerhed.

Der er også eksempler på hardware løsninger til sikring af elektronik mod tyveri. På Ingeniørens netavis har jeg læst denne artikel om et produkt fra firmaet DenInvent ApS. Det skal siges, at jeg ikke på nuværende tidspunkt har et dybere kendskab til produktet, og derfor ikke kan sige med sikkerhed, om idéen er holdbar. Jeg har allerede nu et par invendinger om potentielle problemer ved produktet:

1. Hvad gør man, hvis man ønsker at sælge/flytte et af produkterne knyttet til Id-boksen uden at flytte boksen med (f.eks. fordi den bruges af andre apparater?).
2. Systemet basserer sig blandt andet på telefonopkald fra Id-boksen hver gang strømmen har været afbrudt. Hvad er der gjort for at sikre brugernes anonymitet og at produktet ikke er afhængigt af en enkelt leveranddør. (Jeg vil ikke have at min computer, mit stereoanlæg, eller andet udstyr holder op med at virke fordi producentens telefonnummer bliver nedlagt.)
3. Der er tale om en envejs kommunikation med en proprietær krypteret protokol. Det lyder som security through obscurity, og kan potentielt være sårbart overfor replay attacks.

Hvorfor spilde tid på PCFinder?

Jeg er flere gange blevet spurgt, når jeg nu synes PCFinder er et så elendigt produkt, hvorfor jeg så overhovedet spilder tid på at reagere når Bjarne kommer med sine indlæg. Det er der flere gode grunde til.

Folk er naive

Nej, det er ikke dig jeg snakker om. Ved at læse denne side er du allerede godt på vej til at ikke blive taget ved næsen. Læs argumenterne og prøv at forstå dem, og overvej så med dig selv, hvem du tror på.

Men folk, som ikke har hørt argumentationen imod PCFinder kunne gå hen og tro, at Bjarnes udsagn er sandheden. Og I så fald køber de måske PCFinder, fordi de synes, det lyder som et smart produkt. Jeg vil gøre, hvad der står i min magt, for at så få personer som muligt lader sig snyde.

Hvor mange bruger PCFinder

Jeg vil forsøge at samle alle Bjarnes udtalelser, om hvor mange brugere systemet har. Der mangle mange, hvis du har referencer til nogen, jeg mangler på min liste, må du endelig sende dem til mig.

12. marts 2002	8 000 solgte eksemplarer
3. jan 2003	1 409 brugere i gang
16. maj 2003	70 000 registreringer

Bjarne ønsker tvang

Bjarne har sagt, at han gerne så et krav om PCFinder på alle PC'er med netadgang. Bjarne har sidenhen benægtet dette udsagn. Da dette blev påpeget, var Bjarnes reaktion et forsøg på at fordreje diskussionen væk fra hans egne selvmodsigelser.

I en TV udsendelse har Bo Balschmidt udtalt: I den simpleste form blot at øh at man øh at for at man kan få forsikret sin computer at de så er udstyret med et øh et elektronisk sporingssystem. Det antydes, at udtalelsen drejer sig om PCFinder. Jeg kender ikke Bos motiv. Men udfra Bjarnes udtalelser om sine metoder kan jeg sagtens forestille mig, at han står bag.

Bjarne vil forsøge at få dele af sin kode skjult i andre produkter.

Hvorfor har du så meget imod Bjarne?

Jeg har mange grunde til at ikke bryde mig om Bjarne. De mange grundløse beskyldninger han gennem tiderne har udsat mig for er en vigtig årsag, man langt fra den eneste. Bjarne er til tider meget useriøs, desuden fremsætter han gang på gang påstande på trods af, han burde vide, de ikke er sande. Bjarne modsiger også sig selv efter forgodtbefindende. Desuden har Bjarne tidligere fremført andres opdagelser, og hævdet det var hans egne. Bjarne har givet sig ud for at have et kendskab til sikkerhed, hvilket bestemt ikke er tilfældet. Sidst men ikke mindst må han formodes at stå bag den ekstremt barnlige håndtering af links fra www.snakeoil.dk til www.gigasoft.dk, det er ikke blot barnligt, men også groft misbrug af referrer headers. Det er sites som www.gigasoft.dk, der er skyld i, at webbrowsere i dag er nødt til at sende headers med ukorrekte eller mangelfulde oplysninger.

Hvad ved Bjarne om computer sikkerhed?

Hvis Bjarne har noget kendskab til computer sikkerhed gør han en god indsats for at holde det skjult. Her er en lang række udtalelser, hvor Bjarne demonstrerer sin incompetence.

• Bjarne udviser meget lemfældig omgang med personlige data Lige nu er der F.eks scannet en med en...
• Bjarne tror en kryptering kan brydes ved blot at fjerne krypto accelrator hardware: Ihvertfald ville et sådan udvidelseskort lige så nemt kunne fjernes igen som det kunne monteres.
• Til sikring af fortrolige data foreslår Bjarne som alternativ til kryptering, at man blot bruger et andet medie til sine metadata: gemmes alle oplysninger om deres placering på en anden disk, eller...
• Når en nybegynders fejlkonfigurerede firewall begynder at komme med advarsler tror mange, nogen er ved at cracke deres maskine. Typisk skyldes advarslerne pakker fra brugerens egen internetudbyder, som ved en fejl ikke bliver lukket ind. I et af disse tilfælde foreslår Bjarne en anmeldelse til Tele Danmark.
• Bjarne tror, at signatur på kode fjerner enhver risiko ved afvikling af koden. Faktum er, at signaturen kun er en hjælp, hvis du ved, den er lavet af en troværdig person. Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre den

Bjarne har desuden fremsat en lang række umulige løfter omkring PCFinder:

• PC Finder behøver overhovedet ikke nogensinde at have været på din maskine for at vi kan afslører om der er stjålne komponenter i den.

Til gengæld har Bjarne tit modsagt sig selv, og han har da også indrømmet, at en tyv kan lære at slette PCfinder på fem minttuer, og PCFinder kun forventes at kunne finde 5-10% af de stjålne computere. Endelig beviser en lang række udsagn, at Bjarne er meget utroværdige.

• Bjarne foregiver at have fundet et sikkerhedshul, men Thor Larholm genkender hullet, som i virkeligheden er blevet opdaget af Andreas Sandblad.
• Bjarne påstår, at alt hvad der står på denne side er løgn. Faktum er, at alt, hvad der står på denne side, bygger på Bjarnes egne udsagn, oplysninger fra Gigasofts hjemmeside og logiske slutninger, der kan drages af enhver med tilstrækkelig teknisk indsigt. Denne tekniske indsigt besider Bjarne ikke.
• Bjarne gør sig også skyld i simple fejlciteringer. Som f.eks. et indlæg hvor jeg citeres for et udsagn, jeg aldrig har fremført.
• Bjarne taler udenom, når store problemer ved konceptet påpeges. Dette har gentaget sig, hver eneste gang, det er blevet nævnt, at PCFinder kan omgås ved at slette programmet fra harddisken. Bjarnes eneste svar er en opfordring til at købe hans program for at se, hvordan det virker. Naturligvis vil personer, der ikke kan bruge programmet og ved, det ikke virker, ikke købe det.

Hvor kan jeg læse mere om PCFinder?

• Nyhedsgruppen dk.edb.sikkerhed. Mange af gruppens hyppige besøgende er trætte af at diskutere PCFinder, så lad være med at spørge og kig i stedet i et arkiv over gruppen. Det vil være svært at finde på et spørgsmål, som ikke allerede er blevet stillet i et af de hundredvis af tidligere indlæg.
• snakeoil.dk er i gang med en behandling af PCfinder. Indtil videre er der kun en kladde på siden.
• Du kan også kigge på Gigasofts hjemmeside, men jeg vil straks advare om, at det udelukkende er reklame for produktet og fortier alle kendte problemer. Min samlede vurdering er, at oplysningerne på siden er overfladiske og utroværdige.
• Ifølge Bjarnes eget udsagn vil der i Februar 2003 komme et indslag om programmet i en TV-udsendelse. Men da Bjarne ikke vil afsløre, hvem der laver udsendelsen, kan jeg kun forestille mig, at Bjarne arbejder på at gøre indslaget til en ensidig reklame for produktet frem for en troværdig vurdering. Der er sidenhen kommet oplysninger frem, der kunne tyde på, at det drejer sig om udsendelsen Station2 på TV2. Indslaget blev faktisk sendt 31. marts 2003 klokken 21. I indslaget udtaler tre personer sig:
  • Bo Balschmidt
    Teknisk chef
    Forsikring og Pension
  • Annette Klausen
    Direktør
    Gigasoft
  • Anders Schardelmann
    Kriminalassisten
    Gentofte Politi

  Sidstnævntes udtalelser omhandler ikke direkte PCFinder og vil derfor ikke blive behandlet yderligere på denne side. Annette Klausens udtaler sig fuldstændig ukritisk om programmets evner, men det er hvad man kan forvendte fra en person med tilknytning til Gigasoft. Bo Balschmidts udtalelser er de mest foruroligende, og giver indtryk af, at PCFinder (og dermed Microsoft Windows) måske vil blive et krav for at en computer kan forsikres hos Forsikring og Pension. Jeg vil tage kontakt til Bo Balschmidt for at få en uddybning.

  Jeg har nu modtaget et svar fra Bo Balschmidt. Bo var i første omgang positivt indstillet overfor mit ønske om at offentliggøre svaret. Men da Bo Balschmidt fik at vide, at jeg søger at belyse uhensigtsmæssighederne ved PC Finder, ændrede han holdning. Bo Balschmidt ønsker da ikke svaret offentliggjort. Hvis du ønsker flere oplysninger, vil jeg opfordre dig til at kontakte Forsikring & Pension. Jeg håber, Bo vil skifte mening.

Hvorfor bliver Bo Balschmidts svar ikke offentliggjort alligevel?

Spørgsmål i stil med dette er blevet stillet og besvaret flere gange:

• Spørgsmål 1 Svar 1
• Spørgsmål 2 Svar 2

Hvis du gerne vil høre Bo Balschmidts holdning, så er din eneste mulighed at kontakte F&P.

Advarsel

Denne side beskriver handlinger, som ville være kriminelle, hvis de blev ført ud i livet. Jeg vil aldrig selv følge disse beskrivelser, og jeg vil på det kraftigste fraråde andre fra at begå kriminalitet. Beskrivelserne står på siden blot som en advarsel til ærlige personer, som kunne risikere at blive snydt. Nedenstående artikel fortæller om, hvor galt det kan gå, hvis man handler med stjålne computere. Links til flere modtages gerne:

• UNG