Datasäkerhet och Informationssäkerhet

Robert Malmgren AB

“Trust is good, control is better.”

2011/12/06

blogs at romab.com

You can go directly to Andreas, Tobias, or Robert's blogs.

SANS SCADA Security conference

Förra veckan var det SANS SCADA Security conference i Rom, Italien. Det är fjärde året som konferensen hålls i Europa. Det är en relativt liten, okänd och exklusiv konferens. Drygt 100-talet deltagare. Själva konferenshotellet var nog det lyxigaste hotell som jag besökt - bl.a. hade den en restaurang som hade 3 stjärnor i Michelin-guiden.

Jag gjorde två dragningar. En om lärdommarna från Stuxnet och en annan om behovet av loggning och forensik i process-ITi, och satt i paneler rörande dessa.

En av de bättre dragningarna var från Thomas Brandstetter från Siemens produktcert. Han berättade om Siemens resa efter Stuxnet. Intressant, ärligt och lärorikt. Kul att höra att tillverkarna, särskillt de riktigt stora, kan lära om och göra rätt.

En annan bra dragning var från en säkerhetskille på tyska E.ON som beskrev säkerheten i fjärravläsningsutrustning (mätarna i din lägenhet) och varför iden med en Common Criteria Protection Profile var ganska korkad och missriktad. Främsta anledning till kritik var att "visst det är bra med formell uppsäkring av själva mätardelen, men resten av systemet då?". Kan bara hålla med honom i hans resonemang.


----
Written by Robban @ 2011-12-06

Bokrecension: Letters from Steve

Steve Jobs var en ovanlig person i att han som hög chef på ett multinationellt företag själv läste och svarade på mail. Inte bara till sina anställda och företagspartners, utan även från allmänheten. Denna bok sammanfattar ett antal mailväxlingar som han medverkat i.

Boken är en relativt kort Kindle-utgåva. Man läser ut den på en kväll. Den är smårolig, men inte någon vidare behållning.


Betyg: Svag 3a på en 10 gradig skala.
Titel: Letters from Steve. Inside the E-mail Inbox of Apple's Steve Jobs
Författare: Mark Milian
Sidor: okänt, men ganska få. Finns bara i Kindleversion
Pris: $5
Länk 1: http://www.amazon.com/Letters-Steve-Inside--mail-ebook

----
Written by Robban @ 2011-12-06

2011/11/29

Correction regarding http-headers

I do some talks on subject of SSL, but sometimes errors do occur. One is that i talk about a header called "cache-type: public" to provide caching for nss-based browsers. This is incorrect, the correct header name is "cache-control: public". Sorry for the inconvenience. 2011/11/22

Sandlådesnack på Internetdagarna 2011

Tobbe och Andreas kör precis nu ett snack om sandlådeteknik som säkerhetsmekanism i seminaripasset "Anonymiseringstekniker och säkra klienter". Med exempel från jails, chroot, zoner, AppArmor, SELinux och OSX seatbelt-modul. Mer detaljerade exempel ges på hur vi använt OSX sandboxar för att bygga IronFox mm. Desutom så går dom igenom COREs påstådda attack/hål i Apples sandbox, och visar hur detta påstående är felaktigt.

OH-bilderna från dragningen finns här


----
Written by Robban @ 2011-11-22

Firefox add-on of the day: SSLPersonas

SSLPersonas is an interesting add-on that will add visuble ques to the firefox window layout and colors.

The add-on will give you a green, blue, orange or neutral window layout depending upon if you visit a site with Extended Validation cert, Domain Validation cert, bad content or something wrong in the page loaded with HTTPS, or a page without HTTPS access.

Get the add-on here
----
Written by Robban @ 2011-11-22

Användningen av SSL/TLS i Sverige

Vi har haft ett hobby-projekt och tittat lite på hur nätsäkerhetsprotokollet SSL (eller TLS) används i .SE-zonen, främst för webbtrafik. Dvs hur vanligt förekommande är det att alternativet "https" erbjuds istället för enbart den klassiska "http"-varianten.

Vi har tittat lite på statistik från EFF SSL Observatory som beskriver SSL-förekomsten i hela IPv4-adressrymden på det öppna Internet. För Sverige är det lite mer än 13k siter. Räknar man bort egenutgivna cert, utgångna certifikat, certifikat med trasiga tillitskedjor, certifikat för vissa specifika interna tjänster (citrix, webbmail), så återstår snabbt knappt hälften, ca 4400 webbplatser i .SE-zonen som erbjuder sina tjänster via SSL/TLS. Av totalt över 1.1 miljon. Det är knappt en halv procent (0.5%). Inte direkt imponerande siffror.

Vi har genomfört kontroller av ett antal webbar inom olika sektorer vid två tillfällen, en i början av året och en i slutet av året. Inga konstigheter (läs mixtrande med sidorna, hackande, pentest, edyl offensiva eller inträngande) aktiviteter har utförts, utan bara vanligt surfande mot http-varianten och sedan mot https-varianten (om sådan finns) och därefter kontroll av certifikatet, sidan och uppbyggnaden av sidinnehåll.

Eftersom vi valt betraktningsvinkeln "kan jag, om jag bryr mig om den personliga integriteten, min säkerhet som användare och mitt privatliv, nå webbtjänst X via SSL?", så tittar vi på SSL-användningen ur ett lite ovanligare perspektiv. Det vanliga upplägget är "SSL används när det finns pengar inblandade, tex e-handel eller e-banking", där motivationen är en annan - att skydda transaktionen. Motivet i vå kontroll var att se hur mycket tjänsteleverantörer eller demokratiska institutioner (politiska partier, fackföreningar eller media) egentligen avser att skydda sina webbesökare. Svaret på denna fråga är tyvärr mycket nedslående. Var de lite mer än 4000 webbplatser med certifikaten finns i .SE-zonen så är det i alla fall inte här. Inte på de vanliga åtkomstssätten för dessa webbsidor. Tråkigt tycker vi.

Här finns SweSSL-sidorna med beskrivning om projektet.

Här är en artikel i DN 2011-11-21 som beskriver det hela. Artikeln missar ett antal saker, bla så omnämns inte Andreas alls i artikeln trots att han också intervjuades. Det är lite extra tråkigt eftersom han är den stora drivkraften bakom projektet, vilket inte minst utmynnat i hans oförtröttliga arbete med HTTPS-everywhere regelsettet som en del av SweSSL-projektet.

Kopior av våra OH-bilder från Internetdagarna 2011 finns här


----
Written by Robban @ 2011-11-22

2011/11/21

Lösenordshantering, del II

När vi ändå är inne på lösenord, så kan vi tipsa om en till sak man inte skall göra: Anslut inte ditt SCADA-system till Internet och ha ett tre (3) tecken långt läsenord. Det. är. Dumt. Korkat. Tvärpuckat.

Fast det är tydligen så man gör i South Huston, Texas där deras vattenverk/vattenreningsverk blev hackat nyligen.

De kanske tänkte att epitetet "Dont mess with Texas" skulle skrämma iväg allt cyberbus...
----
Written by Robban @ 2011-11-21

2011/11/19

Bokrecension: Steve Jobs

Boken "Steve Jobs" av författaren Walter Isaacson är den officiella biografin och levnadsbeskrivningen av Steve Jobs.

Det är en intressant bok om en av samtidens mest intressanta personer, oavsett om man tittar på datorvisionären Jobs, affärsmannen Jobs, världsför&andraren Jobs eller människan Jobs. Historien börjar med uppväxten som fosterbarn i Kalifornien.

Med fötterna i 60-talets hippierörelse och med med närvaron i Kaliforniens begynnande hi-techindustri, så kunde Jobs tillsammans med kamraten Steve Wozniak skapa en enkel dator som de uppvisade för vännerna i "homebrew computer club". Den affärssinnade Jobs ville tvärtemot Wozniak sälja datorn som en färdig produkt, inte låta andra ta del av ritningar, komponentlistor eller programvara fritt.

Fokuset för Jobs är på produkten. Att skapa en perfekt produkt. En produkt som tilltalar användaren. En produkt som inte stör eller irriterar användaren. Kommentarer och citat som ofta återkommer i boken är att andra personer inte förstår användaren eller fokuserar på produkten. Scully som tas in från Pepsi Cola, först som en frälsare, men blir sedan alienerad och ihågkommen som en krämare som bara tänker på vinst och pengar. Det finns något fascinerande och intressant att ett av världens högst värderade företag inte prioriterar ekonomisk framgång utan sätter produkten i centrum. Att det verkligen är så i företagskulturen internt på Apple finns det andra som vittnat om, exempelvis den norske utvecklaren som stod bakom Siri. Det finns ju liknande företagsklimat i andra extremt framgångsrika IT-företag, exempelvis Googlei, och Pages klassiska utsago i formaliapappren vid börsintroduktioneni "Google is not a conventional company. We do not intend to become one" och deras fokus på långsiktiga och visionära mål snarare än kortsiktig finansiell avkastning.

Jobs personlighet verkar komma från ett livslångt sökande, sprunget av det faktum att han var ett adoptivbarn. Han har sökt efter andlighet och fastnat för budism. Denna budisms asketiska livsstil, kombinerad med hippirörelsens antimaterialism, satt starka spår i Jobs, främst i hans estetik. Allt skulle göras simplistiskt och stilrent. Detta syntes i de produkter han var med och skapade.

Förutom arbetet på Apple belyses hans tid som avpoletterad Apple-VD, och där han istället startar arbetsstationstillverkaren NeXT, och kort därpå köper loss LucasFilms dator- och animeringsavdeling och skapar Pixar. Pixar utvecklar flera lysande filmer och slår giganten inom området, Disney, på deras hemmabana. Detta resulterar senare i att Disney köper Pixar av Jobs, i form av aktier. Jobs blir Disneys enskilt störste aktieägare. Apple Gil Amelio tar in Jobs och med honom NeXT för att komma tillbaka på banan efter en lång tids utförsrustch. Det innebär en nydaning för såväl företag och Jobs.

Jobs relation till vänner, tidigare flickvänner, släkt, fru och barn avhandlas också. Han har ett ansträngt förhållande till flera, inte minst sitt äldsta barn, en dotter som han i princip förskjutit vid födseln och sedan sparsamt haft kontakt med. Att Jobs inte är en känslosam person som visar empati och inte heller har stark social kompetens framgår tydligt.

Det är en bild av en extremt fokuserad och känslokall person som växer fram. Han skäller ut och är ett svin mot sina närmaste, men han kan vara en charmör mot en person han aldrig träffat. Ofta ger han omdömmet "skit" om saker. Han sågar saker med fotknölarna. Tar man det rätt, låter tiden gå och har tur, så kan det hända att Jobs själv kläcker samma ide några veckor senare. Han har utvecklat en hemkokt härskarteknik som vissa stär ut med, medans andra stöts bort. Jobs filosofi är att bara A-lagspersonerna har rätt att jobba på Apple. Når man inte upp till denna klass, så har man inget pä Apple att göra.

På liknande, osmickrande sätt sätt lyfts vissa pengamässiga incidenter fram. Att Jobs nog lurade Wozniak på en bonus redan tidigt i deras samarbete när de jobbade för Atari. Eller att några av de tidiga Appleanstälda blev blåsta på aktieposter. Att den officiella och sanktionerade Jobsbiografin ger en så osminkad bild är en av bokens stora styrkor.

Jobs olika möten med Bill Gates återges i boken. De två har öden som sammanflätats: Apple II var den första plattform för vilket Microsoft utvecklade applikationsprogram. Microsoft vägrade utveckla för NeXT-plattformen, vilket väckte Jobs vrede. Senare när Apple var på fallrepet efter Scully, nu med Gil Amelio vid rodret på väg ut och när Jobs återkommer så investerar Microsoft 150 miljoner. Fram växer en bild om två totalt olika världsuppfattningar. Bilden blir extra intressant då Gates framstär som personen som är öppen för att sprida sitt system till allt och alla, medans Steve Jobs skall ha total kontroll över hårdvara, mjukvara och innehäll.

En intressant betraktelse om boken är att huvudrollsinnehavaren, enligt uppgift från författaren Isaacson, aldrig läste texten om honom. Det enda i bokprojektet som han blandade sig i var bokomslaget, som han krävde att få fullständig beslutanderätt över. Titta på bilden nedan. Man kan verkligen se att det är Jobs estetik. Stilrent, enkelt, något som sticker ut från massorna. När såg du ett omslag som inte hade en baksidestext sist?

Det finns ett efterord skrivet av Jobs själv. Det är rakt, osminkat och ärligt. Det går att förstå att han velat få boken skriven så att hans barn kan bekanta sig med sin far. En person som var upptagen med att förändra världen. En person som hade liten tid över för familjen. Det är en stark text. Det är en röst från andra sidan graven.

Boken handlar om en av 1900-talets och 2000-talets centrala IT-personligheter och affärsmän. Det är en fascinerande berättelse om hur inte bara datorindustrin påverkas och revolutioneras, inte bara en gång utan flera - först med persondatorns intåg och sedan med post-PC-erans introduktion av pekplattor. Även den gigantiska påverkan som Jobs haft inom andra områden är ytterst pätaglig, fär att inte kalla det revolutionerande: Musikindustrin. Filmindustrin. Telekomindustrin. Detaljhandeln. Införandet av Applestore:s har satt nya standarder för hur man bedriver slutkundsförsäjning över disk. Applestore i NewYork är den butik i staden som har högst lönsamhet per affärsyta. Få eller inga andra personer under vår livstid kommer ha en sådan genomslagskraft eller betydelse för multipla industrier.

Betyget på boken blir 6 av 10. Historien den tecknar, och det osminkade porträttet förtjänar egentligen ett högre betyg. Men det lyser igenom mellan varven att boken fick avslutas hastigt, då Jobs avled plötsligt och före avsatt utgivningsdatum. En del text verkar vara klippt-och-klistrad mellan kapitel, då de är ordagranna meningar som man läst tidigare. En annan intressant ledtråd om att det gick snabbt på slutet är att det häromdagen om ett mail från Amazon.com som omnämde att det fanns en uppdaterad version av e-boken att hämta. I den nya versionen skall en del rättningar och fulheter i bilder och annat fixats till.


Titel: Steve Jobs
Författare: Walter Isaacson
Sidor: 656
ISBN: 978-1451648539
Pris: $18 ($14 i kindleversionen) ~200kr från nätbokhandlare
Länk 1: http://www.amazon.com/Steve-Jobs-Walter-Isaacson/dp/1451648537
---- Written by Robban @ 2011-11-19

Lösenordshantering, del I

Säkerhetsfrågan, som är en återkommande spalt som jag skriver i en branschtidning, var i senaste nummret av tidningen "Det har varit mycket skriverier om lösenord nyligen. Vilka risker och vägar framåt ser du?". Den kom in under rubriken Dags att vässa dina lösenord, vilket väl stämmer, men är inte en heltäckande beskrivning, för vi vill ibland gå ifrån lösenord helt, till förmån för andra autentiseringsmekanismer.

Som alltid är det svårt att uttrycka sig på 3000 nedslag, men i en egen blogg kan man sväva ut lite mer, lägga in referenser och resonenemang. De viktigaste budskapen är:

Lösenordsdumpar, både klartextvarianter och i form av olika varianter av hashvärden dyker upp titt-som-tätt. Exempel på några klassiska dumpar är

Förutom exempel på incidenter, informationsläckage, SQLi-attacker och liknande, så kan vi peka på lite tips från andra håll, hur man skall hantera sina lösenord:

Om man nu följer råden ovan, testar sina lösenord i testsnurrorna och där får grönt ljus. Har man då skapat ett säkert lösenord? Svaret är, tyvärr, det beror på.... Inte minst sådana enkla förutsättningar som om du råkat välja nått som redan någon annan använt som lösenord, och om detta läsenord glidigt iväg med någon lösenordsdump och knäckts (eller redan var i klartext).

För dem som, mot förmodan, fortfarande inte tror det är lätt att hitta lösenord från hashvärden ger jag några exempel på klassiska missar som gjorts, och så listar jag verktyg som är användbara, och som ingår i alla angripares standardverktygslåda:

Klassiska, statiska flergångslösenord är en död teknik. Det har sagts förut. Det tål att sägas många gånger till...

Om man inte redan har fattat det, så finns informationen som beskrivs ovan redan på Internet. Bad guys använder den idag. Det är ingen ide att gnälla om att vi tillhandahåller verktyg eller kunskap om hacking. Ovanstående skrivs för att good guys skall fatta var skåpet står. Om man får för sig att gnälla på den här texten pgr att den lär ut offensiv teknik, så tillhör man kategorien personer som aldrig kommer se var skåpet står. Antagligen så hänger skåpet i en skör tråd ovanför huvudet....
----
Written by Robban @ 2011-11-19

Sociala medier

Idag skall vi lista lite läsvärda texter om samtidens stora hype, de sociala medierna.

The Social Graph is Neither är en väldigt intressant filosofisk text om Sociogram, social grafteori, sociala beteenden och hur man mappar sociala skeden med programkod. Den innehåller nyktra iaktagelser såsom

En annan text är en artikel i USAToday som var ovanligt faktaorienterad handlade om hur företagen bakom de sociala mediatjänsterna samlar mer och mer information om oss, även utanför deras ordianrie domän - deras plattform då vi är inloggade hos dem. USAToday: How Facebook tracks you across the Webb


----
Written by Robban @ 2011-11-19

2011/11/18

Coffee table books, part II

More articles in the interesting serie Large books with nice photographs taken by pros.


Old computer hardware. Stylish Nice photos. Blowups on geeky details. Nerdvana.


----
Written by Robban @ 2011-11-18

2011/11/16

Coffee table books, part I

All offices must have some fancy books at the coffee corner. Large books with nice photographs taken by pros.


At ROMAB, we have weird habits. This is reflected by our selection of cofee table books. This book is about catastrophes. Natural or artificial. Based on technology or man.

Learn from history. Or live to repeat it.


----
Written by Robban @ 2011-11-16

The EULA From Hell

Just admit it. You will not read that end user license agreement in full. On that tiiiiny weeeny screen. never. ever.


Agree feels like an escape compare to that next page button. 66 pages of bullshit. Also availabe via mail. If you are crazy.


----
Written by Robban @ 2011-11-16

2011/10/28

Bokrecension: In The Plex

Boken "In the Plex" av författaren Steven Levy skriver historien om Google. Med fokus på personerna bakom företaget och företagets olika utvecklingssteg så växer en spännande historia fram. Google:s historia är teknikhistoria som knyter in Internets utveckling och modern IT-utveckling. Inte minst så beskrivs idéer och tankar i utvecklingsprocessen och händelser som påverkat inte bara Google, IT-branschen utan något som hela världen påverkats av.

Levy, tidigare känd från mästerverk som "Hackers - heroes of the computer revolution" och "Crypto", har än en gång gjort ett mycket bra jobb med sitt berättande. Porträtten av personerna som jobbar på Google är intressanta. Företagskulturen, och då inte bara alla balla prylar på kontoret, utan mer det kreativa kaoset och den teknikerstyrda företagsutvecklingen, beskrivs väl. Googles dubbla ansikten täcks också in väl: Å ena sidan transparens, öppna system/öppen källkod och avstamp i akademin vad det informationsdelning, å andra sidan extremt hemlighetsmakeri och sekretess vad det gäller när företaget arbetar med nyutveckling av produkter eller hur man skaffar sig konkurrensfördelar.

Boken, som sträcker sig fram till slutet av 2010 beskriver mängder med produkter som Google tagit fram, och det arbete som skedde bakom kulisserna. Förutom det självklara sökfunktionen och vad som distingerade Googles väg jämfört med konkurrenternas, så täcks tjänster och produkter som Adwords, AdSense, Gmail, Google Earth, Google Maps, Latitude, Google Books, Google Apps, Google Plus, Android, Orkut, Buzz, molntjänsten med flera väl i berättelsen. Bakom alla de olika produkterna finns små intressanta historier.

En intressant bild som Levy målar upp är företaget som vågar gå egna vägar, som vågar utmana vedertagna absoluta sanningar, som vågar gå dit ingen annan gått förut. Det Google utmanar är både den tekniska utvecklingen såsom företagandets inbyggda logik att vinst alltid måste maximeras. En ständigt återkommande diskussion i boken rör "vad är bra för användaren?", vilket ställs mot sådant som kan ge bättre lönsamhet eller lösas på annat sätt tekniskt. I en tid då alla företag lägger ut sin IT-drift, säljer fastigheter och utkontrakterar funktioner, så väljer Google att bygga egna datorhallar, äga sin kommunikationsinfrastruktur och vara världens största datortillverkare. Och det är datorer som medvetet byggs med medvetet undermålig kvalitet. Istället för att köpa dyr hårdvara i form av största routrarna eller de mest avancerade servrarna, så har man valt att utveckla mjukvara som hanterar att moderkort, CPUer eller hårddiskar går sönder. Google har skapat en lösning där feltillstånd är en del av vardagen och att det system man byggt lätt identifierar sådant och kringgår de trasiga noderna för att hämta/bearbeta information i redundant noder. Denna inställning, som torde falla inom begreppet "resillient engineering" är intressant, framsynt och föredömlig. Inte minst eftersom det i boken hävdas att Google lyckas producera sina tjänster till en tredjedel av kostnaden jämfört med närmaste konkurrent. Kanske just de ekonomiska incitamenten kunde få beslutfattare att åtminstone tänka en gång extra på rotorsaken innan man huvudstupa slänger sig ut i nuvarande trender som utkontraktering eller att man alltid måste köpa dyraste prylarna.

Ledarskapsduon (och sedemera trojkan och därefter åter duon) Sergey Brin och Larry Page (Eric Schmidt är den tredje, under en period inhyrd VD) bakom Google ges stort utrymme. Deras personliga egenskaper beskrivs ingående, inte minst deras kompromisslösa inställning till skalbarhet, prestanda och våga sätta extremt ambitiösa mål - något som visat sig vara absolut nödvändighet för Googles utveckling. Inte minst eftersom det resulterar i en fokus på algoritmer och automatisering av alla tänkbara moment inom företaget.

Affärsmässigt så är det intressant att se hur transaktionsformen "auktioner" blivit en så central metodik för Google. Det används externt i deras tjäster för att sälja reklamplats till högstbjudande, men också internt för att skapa konkurrens eller incitament (omvända auktioner) mellan utvecklargrupper.

Utifrån ett IT-säkerhetsperspektiv så innehåller boken ett par intressanta passus om hur Google arbetar internt med frågan. Incidenten när Google får ett intrång som spåras bakåt till Kina och där man misstänker statlig inblandning är ett extra intressant stycke. Boken ger ganska stort utrymme till frågeställningar och Google:s ställningstagande runt hantering av personuppgifter och personlig integritet. Å ena sidan samlar man in extremt mycket information, å andra sidan jobbar man hårt på att bara tillåta program, inte tillåta anställda, få åtkomst till information, loggar, etc.

Bilden av en organisation som försöker leva upp till sitt motto "Don't be Evil" framtträder väl när man läser boken. Mottot skall visa såväl att man distanserar sig mot konkurrenter som använder sig av fula trick i affärer såväl som att man sköter sig när det gäller all den data som samlas in. "Förtroende" (eng. trust) från användare, myndigheter, forskning och andra är en av de viktigaste tillgångarna som Google kan skaffa sig. Efter genomläsning av boken så förstår man valet av motto och att det nog finns en passion bakom det. Dock så ser man samtidigt en bjässe med 20,000+ anställda, med massor av produkter, med närvaro på massor av marknader, vilket gör det svårt att i varje ögonblick verkligen nå detta mål. Avsnitten om de juridiska tvisterna runt monopolisering av marknaden (eng. antitrust), satsningen på Kinamarknaden eller osunda marknadsfördelar visar på just de dubbla sidorna av Google.

Man får hoppas att Google fortsätter att utvecklas i en stil som behåller kreativiteten, som medför nya banbrytande tjänster, och inte minst att man håller fast och styrs av mottot "Don't be Evil" i alla tider. Men frågan som måste ställas är vad som händer den dagen då Page och Brin inte längre styr bolaget. Eller i tider av ekonomisk kris. Vad händer då med all insamlad och bearbetad information? Kommer då användarens behov trumfa vinster?

Jobbar man med IT eller är intresserad av Internet och IT så får denna bok anses vara obligatorisk läsning.

Om man skulle sätta ett betyg på boken så skulle den få 9 av 10.


Titel: In the Plex
Författare: Steven Levy
Sidor: 432 (387 + referenser, etc)
ISBN: 978-1416596585
Pris: $15,74 (kindleversionen) ~180kr från nätbokhandlare
Länk 1: http://www.stevenlevy.com/index.php/books/in-the-plex
Länk 2: http://www.amazon.com/Plex-Google-Thinks-Works-Shapes/dp/1416596585

----
Written by Robban @ 2011-10-28

© 2006 Robert Malmgren AB

Validate XHTML 1.0 Strict

Email Webmaster

Photo Credit: Phil Edon