I can see in my logs that also people from outside Denmark come across this page, if you are one of those, here is a short resume in English: If you ever come across a product named Pcfinder from a company named Gigasoft, stay far away from it. If you haven't heard about the product, you are lucky, and there is nothing here of interest to you.

PC Finder

På denne side har jeg planer om løbende at skrive min vurdering af troværdigheden af PCFinder og manden bag. Siden er under udarbejdelse og har endnu ikke nået sin endelige form. På sigt skal alle mine udtalelser dokumenteres med referencer til Bjarnes egne udsagn, men Bjarne har fremsat mange udsagn, og det tager tid at finde de rigtige.

Hvad er PCFinder?

PCFinder er et program til at spore stjålne computere.

Kan man det?

Nej.

Hvorfor ikke

Der er en lang række grunde til, at programmet ikke kan forventes at have nogen positiv virkning på langt sigt.

  1. Programmer kan slettes. Hvis tyve eller hælere bliver afsløret af programmet, må det forventes, at de på sigt bliver klogere. Der er ingen grund til at forvente andet, end at de i fremtiden sletter programmet. Om nødvendigt kan en hel harddisk slettes på et øjeblik. Stillet over for dette problem har Bjarne valgt strategien at benægte problemets eksistens. Uden dokumentation for sin påstand har han gang på gang sagt, at programmet ikke kan slettes uden den CD, det oprindeligt blev leveret på. Der findes dog mange simple metoder til at slette et program fra en harddisk, uanset om programmet selv samarbejder eller ej.
  2. Programmet er afhængig af en internetopkobling, men der er stor forskel på opkoblinger.

Hvem står bag PCFinder?

Gigasoft og Bjarne Østergård.

Er produktet 500kr værd?

For det første koster produktet mere end 500kr. Det er et engangsbeløb, derudover skal du også betale en løbende pris for registrering i databasen. Den løbende udgift er pt. 10kr/måned. Hvis Gigasoft hæver prisen eller helt holder op med at levere ydelsen er dine 500kr spildt. Det er en dum idé at bruge penge på et produkt, hvis værdi i den grad er afhængig af sælgerens overlevelse. De fleste programmer på din computer kan stadig bruges i morgen selvom producenten går fallit, men ikke PCFinder.

Jamen, der står i FAQen, at det virker.

Det bliver ikke sandt fordi Bjarne siger det. Bjarne er ude på at sælge produktet, hvis han kan få folk til at tro på sine udsagn er det ligegyldigt, om de er sande. Her følger et par udsagn fra FAQen og mine forklaringer om, hvorfor det ikke kan være sandt:

Hvilke angreb kan man lave mod systemet?

Der er en række sårbarheder, som kan udnyttes uanset hvordan detaljer i implementationen ser ud. At slette programmet er den simpleste, men langt fra eneste måde at modarbejde systemet på.

Kendskab til implementationsdetaljer vil sandsynligvis afsløre endnu flere sårbarheder. Bjarne har udtalt at kommunikationen mellem PCFinder og databasen ikke er sikret mod aflytning. Dette er sidenhen blevet bekræftet af Steffen Hansen. I sit svar udviser Bjarne fundementale mangler på forståelse af datasikkerhed. For det første forsøger Bjarne at arugmentere for, at oplysningerne ikke kan misbruges. Dette sker efter en længere diskussion, hvor en lang række angreb mod systemet er beskrevet, og mange kan nemmere gennemføres med kendskab til andre brugeres data. Bjarne burde derfor være klar over, at oplysingerne kan misbruges. Bjarne forsvarer sig med, at den manglende kryptering giver brugeren mulighed for at se, at der ikke ligger spyware eller lignende i PCFinder. Der er dog mange potentielle muligheder for covert-channels, så denne sikkerhed kan brugeren kun opnå ved en opensource klient. Til gengæld kunne Bjarnes mulighed for at skjule oplysninger for brugeren i den krypterede datastrøm nemt undgås ved åbenhed om krypteringen. Med et passende design vil kendskab til randomseed være nok til, at brugeren kan verificere datastrømmen. Dog skal det også sikres, at randomseed er tilfældigt og ikke blot en covert-channel. Hvis der anvendes tilfældige bytes i den nuværende protokolimplementation, vil disse kunne bruges som en covert-channel uanset om de indgår i en kryptering eller ej. Jeg kan beskrive en række hypotetiske scenarier hvor personer kan misbruge PCFinder til egen fordel:

Alle de beskrevne angreb må formodes at være ulovlige, og jeg har derfor ikke gennemført dem i praksis. Beskrivelserne må på ingen måde ses som en opfordring til sabotage af systemet. De tjener som information til potentielle brugere, der efter min mening har krav på at kende systemets svagheder. Husk på, at der er kriminelle nok, der ikke skyr midler som de her beskrevne.

Er der nogen bedre alternativer?

Ja bestemt. Computere er ikke det eneste, der stjæles. Brug samme forholdsregler imod tyveri, som du ville have brugt for hvad som helst andet end din computer. En forsikring kan dække omkostningen til en ny computer, du vil sandsynligvis alligevel skulle betale en evt. selvrisiko, da tyven kan have stjålet meget andet end computeren. Der er et par grunde til at træffe særlige foranstaltninger for at beskytte data på din computer. En backupkopi opbevaret et andet sted vil sikre dig mod tab af data som følge af tyveri, brand, harddiskfejl og mange andre mulige årsager. Hvis du har fortrolige data på din computer kan de krypteres. Hvis dine data først er kommet i forkerte hænder er det ingen hjælp, at computeren måske bliver fundet. Hvis du vil vide mere om computer sikkerhed kan jeg i øvrigt anbefale at du kigger på ofte stillede spørgsmål i nyhedsgruppen dk.edb.sikkerhed.

Der er også eksempler på hardware løsninger til sikring af elektronik mod tyveri. På Ingeniørens netavis har jeg læst denne artikel om et produkt fra firmaet DenInvent ApS. Det skal siges, at jeg ikke på nuværende tidspunkt har et dybere kendskab til produktet, og derfor ikke kan sige med sikkerhed, om idéen er holdbar. Jeg har allerede nu et par invendinger om potentielle problemer ved produktet:

  1. Hvad gør man, hvis man ønsker at sælge/flytte et af produkterne knyttet til Id-boksen uden at flytte boksen med (f.eks. fordi den bruges af andre apparater?).
  2. Systemet basserer sig blandt andet på telefonopkald fra Id-boksen hver gang strømmen har været afbrudt. Hvad er der gjort for at sikre brugernes anonymitet og at produktet ikke er afhængigt af en enkelt leveranddør. (Jeg vil ikke have at min computer, mit stereoanlæg, eller andet udstyr holder op med at virke fordi producentens telefonnummer bliver nedlagt.)
  3. Der er tale om en envejs kommunikation med en proprietær krypteret protokol. Det lyder som security through obscurity, og kan potentielt være sårbart overfor replay attacks.

Hvorfor spilde tid på PCFinder?

Jeg er flere gange blevet spurgt, når jeg nu synes PCFinder er et så elendigt produkt, hvorfor jeg så overhovedet spilder tid på at reagere når Bjarne kommer med sine indlæg. Det er der flere gode grunde til.

Folk er naive

Nej, det er ikke dig jeg snakker om. Ved at læse denne side er du allerede godt på vej til at ikke blive taget ved næsen. Læs argumenterne og prøv at forstå dem, og overvej så med dig selv, hvem du tror på.

Men folk, som ikke har hørt argumentationen imod PCFinder kunne gå hen og tro, at Bjarnes udsagn er sandheden. Og I så fald køber de måske PCFinder, fordi de synes, det lyder som et smart produkt. Jeg vil gøre, hvad der står i min magt, for at så få personer som muligt lader sig snyde.

Hvor mange bruger PCFinder

Jeg vil forsøge at samle alle Bjarnes udtalelser, om hvor mange brugere systemet har. Der mangle mange, hvis du har referencer til nogen, jeg mangler på min liste, må du endelig sende dem til mig.

12. marts 2002 8 000 solgte eksemplarer
3. jan 2003 1 409 brugere i gang
16. maj 2003 70 000 registreringer

Bjarne ønsker tvang

Bjarne har sagt, at han gerne så et krav om PCFinder på alle PC'er med netadgang. Bjarne har sidenhen benægtet dette udsagn. Da dette blev påpeget, var Bjarnes reaktion et forsøg på at fordreje diskussionen væk fra hans egne selvmodsigelser.

I en TV udsendelse har Bo Balschmidt udtalt: I den simpleste form blot at øh at man øh at for at man kan få forsikret sin computer at de så er udstyret med et øh et elektronisk sporingssystem. Det antydes, at udtalelsen drejer sig om PCFinder. Jeg kender ikke Bos motiv. Men udfra Bjarnes udtalelser om sine metoder kan jeg sagtens forestille mig, at han står bag.

Bjarne vil forsøge at få dele af sin kode skjult i andre produkter.

Hvorfor har du så meget imod Bjarne?

Jeg har mange grunde til at ikke bryde mig om Bjarne. De mange grundløse beskyldninger han gennem tiderne har udsat mig for er en vigtig årsag, man langt fra den eneste. Bjarne er til tider meget useriøs, desuden fremsætter han gang på gang påstande på trods af, han burde vide, de ikke er sande. Bjarne modsiger også sig selv efter forgodtbefindende. Desuden har Bjarne tidligere fremført andres opdagelser, og hævdet det var hans egne. Bjarne har givet sig ud for at have et kendskab til sikkerhed, hvilket bestemt ikke er tilfældet. Sidst men ikke mindst må han formodes at stå bag den ekstremt barnlige håndtering af links fra www.snakeoil.dk til www.gigasoft.dk, det er ikke blot barnligt, men også groft misbrug af referrer headers. Det er sites som www.gigasoft.dk, der er skyld i, at webbrowsere i dag er nødt til at sende headers med ukorrekte eller mangelfulde oplysninger.

Hvad ved Bjarne om computer sikkerhed?

Hvis Bjarne har noget kendskab til computer sikkerhed gør han en god indsats for at holde det skjult. Her er en lang række udtalelser, hvor Bjarne demonstrerer sin incompetence.

Bjarne har desuden fremsat en lang række umulige løfter omkring PCFinder:

Til gengæld har Bjarne tit modsagt sig selv, og han har da også indrømmet, at en tyv kan lære at slette PCfinder på fem minttuer, og PCFinder kun forventes at kunne finde 5-10% af de stjålne computere. Endelig beviser en lang række udsagn, at Bjarne er meget utroværdige.

Hvor kan jeg læse mere om PCFinder?

Hvorfor bliver Bo Balschmidts svar ikke offentliggjort alligevel?

Spørgsmål i stil med dette er blevet stillet og besvaret flere gange:

Hvis du gerne vil høre Bo Balschmidts holdning, så er din eneste mulighed at kontakte F&P.

Advarsel

Denne side beskriver handlinger, som ville være kriminelle, hvis de blev ført ud i livet. Jeg vil aldrig selv følge disse beskrivelser, og jeg vil på det kraftigste fraråde andre fra at begå kriminalitet. Beskrivelserne står på siden blot som en advarsel til ærlige personer, som kunne risikere at blive snydt. Nedenstående artikel fortæller om, hvor galt det kan gå, hvis man handler med stjålne computere. Links til flere modtages gerne: