Reflections on trusting crap

Et eller andet firma med det hippe navn "SolarWinds" er blevet hacket og da de åbenbart har været ret gode at sælge til PowerPoint drevne organisationer, har det fået ret meget stakåndet pressedækning.

Men helt ærligt, hvad er det præcis der er nyheden her ?

Er nyheden at en masse organisationer har brugt penge på den præcis samme "platform" for at få "Deeper database coverage. Simpler management. Performance monitoring for 20+ platforms, cloud or on-premises" ?

Nej, egentlig ikke.

Alle fra C-teamet ved at hvis bare man kan vise at man bruger "best industry pratice", kan man ikke sagsøges for inkompetence.

(Se også: Disney, Lemminger, Konen med æggene.)

Er nyheden at C-teamet i en hastigt voksende "seriøs partner" i årevis har ignoreret advarsler om latterligt store huller i sikkerheden, fordi de var mere fokuserede på virksomhedens "financial metrics" end på faktisk at være en seriøs partner ?

Hehe, ja den var god, ikke ?

Hvorfor skulle nogen virksomhedsledelse nogensinde gøre noget andet, når deres løn og bonus afhænger af aktiekursen og der ikke er skyggen af produktansvar for software ?

Det er ikke engang sådan at kunderne flygter når den slags kommer frem, herregud, alle ved jo at software per definition er fyldt med sikkerhedshuller, der er jo derfor organisationen har følger "best industry practice" ved at kræve virusscanning mindst to gange om dagen.

Er nyheden at en "nation state actor" har indlejret en bagdør som gav dem adgang til noget der minder om Forbes top 500 liste ?

Æhh.. nej ? Det er det de får deres løn for?

Er nyheden at "hackerne" har fået adgang til Microsofts kildetekst ?

Really ? We're still doing this ?

Kildetekster er ikke magiske, mindst af alt Microsofts, der er lækket så mange gange at en "full recent snapshot" knap nok koster $100 på det sorte marked.

Er nyheden at virksomheden ikke kan finde kildeteksten til malwaren i deres source-kode ?

Æhh, nej ?

Ken Thompson's "Reflections on Trusting Trust" er 36 år gammel og hvis man stadig ikke har fattet at compilere også er programmer, på godt og ondt, så er man for farlig at have ansat i IT-branchen.

Alternativt, hvis man efter StuxNet stadig ikke har fattet hvor kompetente folk, med adgang til stort set uanede resourcer, der er ansat i visse større landes efterretningstjenester, så er man for naiv at have ansat i IT-branchen.

Er nyheden at en (blandt åbenbart mange!) af de personer der har prøvet at råbe C-teamet op om den elendige sikkerhed er gået til pressen med beviser derfor ?

Det kunne faktisk godt minde lidt om en nyhed, men reaktionen, selv blandt debattører her på V2, er 100% forudsigelig:

Han kommer aldrig til at arbejde i branchen igen[1], man kan jo ikke stole på ham!

Det kommer næppe til at danne ret meget præcedens.

Nej, nyheden er at der intet sker, som kommer til at gøre nogen forskel.

Det er præcis som når en galning mejer et gymnasie ned med lovlige automatvåben i USA:

Dem der kunne og burde gøre noget udtrykker deres "hopes and prayers" og gør intet yderligere.

I bedste fald nedsætter man en arbejdsgruppe, bemandet med hjernevaskede eller ligefrem betalte klapkører fra den industri, der tjener fedt på at sælge den vare, som er selve ondets rod.

Når rapporten udkommer siger den, helt forudsigeligt, at man ingenting kan gøre fordi "Guns dont kill people, people kill people"

Og man skulle jo nødig "stille den næste Bill Gates stolen for døren" som en dansk minister udtrykte det, da der blev luftet tanker om at stille krav til offentlige software leverandører.

Der er ingenting at se her, passér gaden...

phk

[1] Det undrer mig egentlig at han ikke har startet en retssag under USA's "False Claims" lov, så ville problemet med ikke at arbejde i branchen næppe være relevant for ham personligt nogen sinde igen.

Kommentarer (47)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Nis Schmidt

Jeg tror jeg måske er enig med PHK, men jeg er lidt i tvivl om hvad der egentlig er tilbage, hvis man fjerner al sarkasme fra dette indlæg?

Noget tilbage? - uhadada nej, det må man ikke håbe; det kan "han" jo selv risikere, at blive holdt op imod. Og dens slags er "bad for business".

Microsoft overtog vist gov-kunden fra nogle andre- og dermed følger "at man åbner sin source. Og det kundesegment er notorisk for ikke at holde noget sig selv. (At de tør?)

Så den fulde up-to-date kilde for $100 er nok ikke mere værd.

Noget andet er så, at "secrecy by obfuscation" i sin natur fucker så meget meget med cachen (og grundvandet), at det er håbløst at opnå nogen slags ydelse, fordi alle netsider er fyldt med cookies.

Så med mindre man råd til "z15" eller derover, er der ingen der ulejliger sig med at skrive "efficient" kode mere.

Jeg hygger mig pt med udvikling i C/C++ uden brug af branches. (Det bliver koden bestemt heller ikke mere læselig af.)

  • 2
  • 9
#17 Henrik Eriksen

Man kan sige meget, og mene hvad man vil om de våbenglade amerikanere, men problemet er i bund og grund at landet flyder med våben.

Hvis man i morgen fik flertal for at alle civile uden undtagelse ikke længere måtte eje et våben, ville man efterlade dem fuldstændig forsvarsløse over for kriminelle, der er bevæbnet til tænderne.

I Danmark har civile ikke måttet eje et skydevåben (eller sabler eller sværd eller samurai-våben) i hundrede år eller mere. Det betyder ikke at vi er forsvarsløse overfor marodører, for selv om man kan købe et ulovligt skydevåben hvis man vil, så behøver man ikke gøre det: Dem som vil bryde ind hos os behøver dem nemlig heller ikke, fordi de - som regel korrekt - går ud fra at beboerne er ubevæbnede.

I USA er det modsat: Hvis man vil bryde ind hos nogen, så gør man klogt i at have et skydevåben med sig, for beboeren er sandsynligvis bevæbnet. Og for at det ikke skal være løgn, så har han lov til at skyde indbrudstyven ned på stedet. Med andre ord, så skal man skyde først.

Gamle vaner er svære at slippe af med, så hvis man afvæbnede USA's civilbefolkning, ville indbrudstyvene stadigvæk medbringe våben, for 'hvis nu'.

Og selv om civilbefolkningen ikke måtte eje skydevåben, så ville våbnene stadigvæk findes rundt omkring. At tømme det 'hav' af skydevåben som USA reelt er, ville tage en menneskealder, hvis ikke længere.

Det eneste forsvar amerikanerne har mod de vanvittige mængder af skydevåben der er i landet, er selv at have et - eller flere - derhjemme.

Det er en meget a'propos passende parallel til corona og vaccine: Skydevåbnene i USA er uden for kontrol, så for at forsvare sig mod dem må man 'vaccinere' sig selv med et skydevåben der er under egen kontrol...!

  • 8
  • 11
#18 Poul-Henning Kamp Blogger

Man kan sige meget, og mene hvad man vil om de våbenglade amerikanere, men problemet er i bund og grund at landet flyder med våben.

Nu ved jeg så ikke præcist hvad du mener med "problemet", jeg har selv meget svært ved at nøjes med entalsformen når det handler om USA.

Dit argument falder dog under alle omstændigheder fra hinanden, for våben er ikke bare våben.

Dit argument om selvforsvar, hvis man vælger at købe det argument, kunne fint opfyldes med almindelige pistoler med 5 skud i magasinet.

Stort set alle deres "mass-murders" foregår derimod med hel- og halvautomatiske våben, det vi på dansk kalder "maskinpistoler" og jeg har endnu aldrig set et rationelt argument for at privatpersoner har brug for at besidde funktionsdygtige automatvåben.

Hvis du vil forstå emnet bedre, kan jeg på det varmeste anbefale Kyle Cassidys fotobog https://www.armedamerica.org/ som indeholder hans fotoportrætter af helt almindelige USAnere og deres våben, sammen med deres egne ord om hvorfor de har dem.

  • 10
  • 0
#19 Magnus Jørgensen

Man kan sige meget, og mene hvad man vil om de våbenglade amerikanere, men problemet er i bund og grund at landet flyder med våben.

Jeg vil også mene at der er flere problemer. USA's krig imod stoffer har været ret nyttesløs og tilmed medørt en hel del negative konsekvenser. Blandt andet er USA nu det land i verdenen med den største andel af befolkningen i fængsel. Rigtig mange af de fængselsdomme skyldes besidelse af stoffer. Fængselsdomme har specielt i USA en rigtig dårlig indflydelse på kulturen da de ikke rigtigt fokusere på resocialisering. I USA er det at have en fængselsdom tilmed også meget stigmatiseret, hvilket gør det svært at få et godt job.

Alene i de ovennævnte ting er der en hel del der kan udrettes. Våbnene er da helt klart også et problem.

The Americans will always do the right thing… after they’ve exhausted all the alternatives

  • 8
  • 0
#20 Tor Nielsen

I Danmark har civile ikke måttet eje et skydevåben (eller sabler eller sværd eller samurai-våben) i hundrede år eller mere.

Det er jo så ikke korrekt. Frem til ~1984 kunne enhver, der var fyldt 16 år, gå ind i en sportforretning og købe et glatløbet haglgevær. I lovforslaget om ændring af den tingenes tilstand fra februar 84, kan man læse at det blev anslået at der var en 5-600.000 stk. ude i befolkningen.

Siden dengang har man så skulle have jagttegn eller våbentilladelse, men det er ikke det samme som at man ikke må eje et skydevåben. Man kan søreme også få tilladelse til pistoler og rifler, også halvautomatiske, i en række forkellige kalibre.

Forskellene på USA og Danmark er langt mere komplekse end din ikke ganske korrekte simplificering. Der er ganske mange våben i privat besiddelse i Danmark, men alligevel er tilstanden som bekendt temmelig anderledes.

  • 11
  • 0
#22 Ditlev Petersen

Det er ikke voldsomt svært at få lov tiol at samle på våben (blankvåben kræver mindre beskyttelse end skydevåben). Men det medfører ikke ret til at promenere med en bajonet eller et sværd. Jeg kan heller ikke huske, om en indbrudstyv nogensinde er blevet kløvet med et samuraisværd. Derimod mindes jeg et røveri udført med sådan et sværd. Det er dog undtagelser.

Der har vist været flere våben, der ikke har været ulovlige, før man strammede våbenloven. Uden at jeg er spor sikker, så kunne man vist godt have armbrøster, slangebøsser og ret voldsomme luftgeværer.

  • 1
  • 3
#25 Rune Larsen

...er tilsyneladende er OK produkt til netværksovervågning, APM mm., så der er ikke noget odiøst i, at mange bruger/brugte det. Det er jo også fint, at hente opdateringer til installeret software.

Men alle de kunder, der endnu ikke følger Zero Trust principperne har travlt!

Alt hvad der har kunnet nås fra Orion-overvågede interne net er formentligt forsøgt angrebet, og lur mig om ikke det er lykkedes at implementere en masse andre bagdøre den vej, der stille lever videre efter SolarWinds er smidt ud.

Forhåbentligt kan den her sag være det sidste søm i ligkisten for "perimetersikkerhed", og få folk til at tage de grundlæggende sikkerhedsdicipliner som netværksdesign, firewalling, kryptering og overvågning mere seriøst.

Sikkerhed er ikke noget man tilkøber, eller lægger ovenpå jf. https://xkcd.com/463/

  • 0
  • 0
#26 Michael Cederberg

Et eller andet firma med det hippe navn "SolarWinds" er blevet hacket og da de åbenbart har været ret gode at sælge til PowerPoint drevne organisationer, har det fået ret meget stakåndet pressedækning.

Hvorfor er det at kun PowerPoint drevne organisationer der har brug for network & asset management software? Forestiller du dig at andre organisationer ikke har brug for at have overblik over deres netværk og systemer?

Er nyheden at en masse organisationer har brugt penge på den præcis samme "platform" for at få "Deeper database coverage. Simpler management. Performance monitoring for 20+ platforms, cloud or on-premises" ?

Er der noget galt med at det samme software kører rigtigt mange steder?

Men helt ærligt, hvad er det præcis der er nyheden her ?

Men helt ærligt, hvad er guldet i PHK's indlæg?

Ken Thompson's "Reflections on Trusting Trust" er 36 år gammel og hvis man stadig ikke har fattet at compilere også er programmer, på godt og ondt, så er man for farlig at have ansat i IT-branchen.

Ah ja, guldet kom på side 239. Hvad kan man stole på i IT branchen? Når jeg nu har downloadet Varnish Cache version 6.5.1, kan jeg så stole på softwaren? Jeg er sikker på at det er kompetente programmører der har lavet softwaren og jeg kan vist også se sourcen men kan jeg stole på byggeprocessen? Hvordan ved jeg at dem der bygger den binære fil jeg downloader ikke har snydt på vægten? Eller at deres build server ikke var inficeret med malware? I praksis ved jeg det ikke. Uanset hvor dygtig jeg er er det meget svært at se på binær-software om det har indbyggede bagdøre (uanset om det er programmøren eller programmøren af compileren, libraries, etc. der har lavet bagdørene).

I gamle dage insisterede GNU projektet vist på at man downloadede sourcekoden og så selv byggede skidtet med det var en langsommelig procedure hvis man skulle have mange software pakker og det løser kun problemet delvist.

Programmører er selvfølgeligt nødt til at vurdere hvor lødige de software pakker de bruger er. Det er i praksis svært fordi udviklere har vænnet sig til at deres udviklingsmiljø blot downloader pakker fra diverse repos på nettet. Men vi er nødt til at tage mere ansvar på den måde.

Jeg gruer for den dag nogen formår at injecte malware i standard libraries til .NET, Java, C++, node, etc. på nettet. Eller hvis nogen formår at returnere malware til udvalgte virksomheder når byggeservere automatisk downloader nyeste version af libs som del af byggeprocessen. Hvis malwaren formår at holde sig under radaren i et års tid (fx ved ikke at gøre noget), så vil den være spredt kloden rundt. Alas, vi er nødt til at tage mere ansvar.

Men vi er også nødt til at designe vores IT infrastruktur til at håndtere sikkerhedsbrister. I alt for lang tid har virksomheder og myndigheder opfattet deres ydre firewall som uigennemtrængelig og forventet at den var eneste defence mod malware. Det er en håbløs tankegang.

Mærsk sagen viste klart hvad der sker når der i praksis kun er en barriere. Så skal der blot være et enkelt hul og så ”synker skibet”. Der er derfor nødt til at være flere barrierer og micro-opdeling af IT landskabet med firewalls over det hele der laver ”vandtætte skotter” imellem de enkelte systemer. Hvor der kun er åbnet der hvor det er nødvendigt. Det er mere besværligt men også nødvendigt for at begrænse impact af malware.

Sidst er vi nødt til at overvåge kommunikationen. Det nytter ikke noget at leverandøren af system Z fortæller at det skal have fri adgang til internettet. Vi er nødt til at vide og forstå hvad der kommunikeres. Sådan at vi kan detektere når noget ændrer sig. Og vi skal generelt holde kommunikationen til ukendte services til et minimum.

I praksis ender man med at stole på nogen. Det kan fx. være leverandøren af firewall og network managememt software. Man skal bare vide hvem det er og vælge nogen der er værd at stole på.

  • 10
  • 4
#29 Poul-Henning Kamp Blogger

Så hvad bør begrænsningen være på f.eks. Linux være ifølge dig, PHK, max 20 brugere worldwide? Apache? GCC?

Begrænsningen bør være at der sidder kompetente IT-arkitekter i toppen af alle større organizationer, som sørger for at holde sig detaljeret vidende om hvad der faktisk foregår i organisationens IT og via dette overblik sørger for at man ikke ender med alle æg i én og samme kurv, med mindre man grundigt har overvejet konsekvenserne og protokolført beslutningen om at gøre det.

  • 6
  • 2
#30 Troels Henriksen

I gamle dage insisterede GNU projektet vist på at man downloadede sourcekoden og så selv byggede skidtet med det var en langsommelig procedure hvis man skulle have mange software pakker og det løser kun problemet delvist.

Man kan faktisk komme relativt langt med den teknik. Der er en del projekter der arbejder på forskellige grader af reproducibilitet, hvor Debian vist er de mest fremtrædende. At man har en reproducérbar sti fra kildetekst til oversat program (inklusive værktøjer for at minimere Thompson-agtige angreb) eliminerer ikke muligheden for at snige skadelig kode ind, men det gør det nemmere at opdage, og nemmere at finde ud af hvordan det skete. Man kan også forestille sig peer-to-peer netværk der vedligeholder en konsensus om hvordan den korrekte binary for et givent program skal se ud, og informerer de implicerede hvis der opstår uenigheder, så man kan undersøge sagerne.

Jeg tror ikke at sikkerhedsproblemer kan løses med rent tekniske virkemidler, men jeg synes at reproducérbare oversættelser i det mindste er et interessant værktøj.

  • 2
  • 0
#31 Michael Cederberg

Man kan faktisk komme relativt langt med den teknik.

Problemet er at man så skal have ret mange dygtige folk alle steder hvor IT bruges. Og i princippet skal du også selv bygge din compiler (jvf. Ken Thompson). Og dit operativ system.

Men så er der jo dit hardware. Der kører også en del software på din hardware platform. Der er ting som UEFI/BIOS, firmware til netkort, grafikkort, keyboards, harddiske, CPU microcode, etc.

Så I sidste ende ender du med at skulle stole på nogen. I denne sag stolede virksomhederne på SolarWinds. Jeg skal ikke kunne sige om SolarWinds blot var uheldige eller om de er en flok amatører, men det er sådan set også ligegyldigt. Pointen er at jeg som kunde har svært ved at vurdere dette. Det samme når jeg køber en router eller switch til mit netværk.

Du burde læse den verdenskendte danske IT-strateg H.C.Andersens White-Paper med den smarte titel "Konen Med Æggene".

Ja det er en god historie men den passer ikke så godt i denne sag. Der er myriader af leverandører af systemer til management af komplekse IT løsninger. Her var det bare den største der blev ramt.

Og jo flere leverandører der er af en bestemt produkttype, jo færre penge bliver der til udvikling, testing, sikkerhed, etc. Der er fx. en grund til at der er ganske få leverandører af den grundlæggende funktionalitet til netværks switche. Det er nemlig ret dyrt at udvikle den slags.

Så selvom den gode H.C. har mange fornuftige pointer, så kan man ikke bare plukke en enkelt smart frase og gøre det til strategien. Der kræves at man afvejer en række modstridende interesser.

Begrænsningen bør være at der sidder kompetente IT-arkitekter i toppen af alle større organizationer, som sørger for at holde sig detaljeret vidende om hvad der faktisk foregår i organisationens IT ...

Det er altid godt med kompetente IT-arkitekter. Men specielt når det handler sikkerhed så er det faktisk noget der skal bages ind i hver eneste deltager i IT projektet. Du kan have en flok nok så smarte IT arkitekter siddende, men hvis en junior udvikler hiver en tvivlsom MySQL driver som nogen har inficeret med malware ind i sit projekt så er fanden løs. Eller hvis han vælger en løsning hvor bygge serveren hver gang henter en ny version af node ned fra internettet så er der åbent for auto-deplayment af malware hvis nogen inficerer node build serveren.

Den slags kan kompetente IT-arkitekter ikke opdage med mindre de render rundt som opsynsmænd og kigger i hver en krog. Så vi har brug for meget mere.

  • 3
  • 1
#33 Michael Cederberg

"Problemet er bare at man så skal have ret mange dygtige piloter til alle flyene" ?

God pointe. Når man bygger fly så er de første der flyver test-piloter som typisk er blandt de dygtigste. De afsøger grænser og er med til at definere de grænser der skal være for flyet.

De piloter som skal flyve flyet til dagligt er mere gennemsnitlige. Derfor designes flyet ikke til testpiloter men til almindelige mennesker. I disse år går tendensen i retning af at gøre fly mere og mere fool-proof.

Så svaret på ...

"Problemet er bare at man så skal have ret mange dygtige piloter til alle flyene" ?

... er at lave fly der ikke kræver dygtige piloter og på sigt ikke kræver piloter overhovedet. Jeg forestiller mig at fragtfly bliver første område hvor der kun er en pilot i cockpittet og senere ingen.

På samme måde bør design af IT og IT landskaber også gå ud fra at det ikke kun er dygtige IT folk der arbejder med IT. Men dygtige folk er selvfølgeligt altid at foretrække.

  • 2
  • 0
#37 Michael Cederberg

Alle disse ting kan jo automatiseres. Inkluderet at bootstrappe en c compiler.

Hvis du bare automatiserer uden rent faktisk at kigge på koden, så kan du lige så godt hente binære filer. For så har du skubbet tilliden over på nogle andre (dem der har sagt at den version af softwaren du har er fin og i orden).

Jeg er ganske enig i at det kan blive meget bedre og der er sikkert en masse ting som jeg ikke kender til her. Men i sidste ende kommer vi til at stole på nogen. Hvordan finder vi ud af hvem det er værd at stole på? Intel laver microkoden til (nogle af) vores CPU'er. Vi kan ikke se hvad den laver (er RDRAND instruktionen i ordet?). Hvad med Intel Management Engine?

Intel er blot et eksempel. SolarWinds er et andet. Hvad med Robin Seggelmann der stod bag Heartbleed i OpenVPN? Eller alle de toplevel certificates som ligger i vores browsere.

  • 3
  • 0
#38 Poul-Henning Kamp Blogger

Eller alle de toplevel certificates som ligger i vores browsere.

Det er faktisk et sted man nemt kunne gøre noget.

Jeg har f.eks aldrig forstået hvorfor NemID ikke blev grundlagt på et dansk stats-CA, med krav om at alle sites der bruger nemid validering får deres cert kryds-signeret af dette stats-CA.

Dette stats-CA behøver ikke være være i browsernes root-liste, jeg ville faktisk foretrække hvis det ikke var, men det ville tillade at man lagde dette og kun dette cert ind på "service-pc'er" i borgerservice mv.

Jeg har heller ikke forstået hvorfor man ikke har taget at af de B-net som det offentlige danmark råder over og ved lov gjort det ulovligt at route det uden for kongerigets grænser, men lovpligtigt for alle der tilbyder internet-tjeneste i Danmark at peer'e med og at når alt andet vælter, så skal ISP'en gøre alt hvad de kan for at opretholde kontakten til det B-net.

I det netsegment kunne man så lægge kritiske offentlige services, meget gerne samlet under ét og kun ét distinkt domæne-suffix (*.dk.dk ? *.gov.dk ?) i stedet for at et tilfældigt web-bureau opfinder et nyt "hipt" single-use domæne hvergang der laves en ny hjemmeside i det offentlige.

I det hele taget er der rigtig meget lavthængende frugt, hvis politikerne holdt op med at behande IT som noget det offentlige kun må røre med en meget dyr konsulent.

  • 11
  • 0
#39 Baldur Norddahl

Jeg har heller ikke forstået hvorfor man ikke har taget at af de B-net som det offentlige danmark råder over og ved lov gjort det ulovligt at route det uden for kongerigets grænser

Den tror jeg i praksis bliver svær og sårbar. Eksempelvis findes der en service provider der har en fiber fra Jylland til Sjælland med backup Jylland til Sverige og tilbage til Sjælland via Øresundsbroen. Bornholm har også fiber til Sverige.

Et bedre og simplere forslag kunne være at vi skulle have en direkte peering med det offentlige og så kan vi give prioritet til alt derfra. Et b-net behøves ikke.

  • 0
  • 1
#40 Poul-Henning Kamp Blogger

Eksempelvis findes der en service provider der har en fiber fra Jylland til Sjælland med backup Jylland til Sverige og tilbage til Sjælland via Øresundsbroen. Bornholm har også fiber til Sverige.

Så kan det jo være at de må lade være med det og finde en bedre løsning?

Det er altid en bedre forretning at sløse med sikkerheden, men der er ingen der har en gud- eller grundlovgiven ret til at gøre en bedre forretning.

  • 9
  • 1
#41 Michael Cederberg

Det er faktisk et sted man nemt kunne gøre noget.

Jeg har f.eks aldrig forstået hvorfor NemID ikke blev grundlagt på et dansk stats-CA, med krav om at alle sites der bruger nemid validering får deres cert kryds-signeret af dette stats-CA.

Jeg tror problemet er hvordan må får sådan et certifikat spredt ud til Fru Olsens computer. Jeg tror også vi skulle have browser leverandørene til at lave en anden grafisk indikation om at et rigtigt "trustet" certificat er brugt og ikke et der er udsted af "Go Daddy", "Lets Encrypt", "Starfield" eller "Thawte" uden noget check af validiteten. Lige nu er der bare den samme hængelås.

Ellers er jeg 100% enig med dig. Hver gang jeg bruger mit NemID kigger jeg lige på hvilket site det er jeg er på vej til at give mine NemID deltaljer. Det er ganske ofte jeg blot må håbe det er rigtigt.

Det er altid en bedre forretning at sløse med sikkerheden, men der er ingen der har en gud- eller grundlovgiven ret til at gøre en bedre forretning.

Og fibre i vandet synes at være så billige at vi godt kunne lægge et par stykker sådan at vi har redundans.

  • 1
  • 0
#42 Baldur Norddahl

Så kan det jo være at de må lade være med det og finde en bedre løsning?

Jeg synes du med det svar fuldstændig undviger essensen, som er at det ikke er en robust og sikker løsning. BGP kender ikke til landegrænser og man skal iøvrigt også kunne tilgå tjenesterne udenfor Danmark.

Det er derimod meget robust hvis vi får en lokal peering. Det er allerede delvist implementeret i form af forskningsnettet men hvorfor er der ikke et offentligt-it-net man kan få en peering med? Svaret er at det offentlige har lavet aftaler i øst og vest, så man skal have peering med alle mulige virksomheder, herunder med nogle der nægter at etablere peering med mindre aktører.

Derudover har det offentlige ikke sørget for at relevante ip subnet er beskyttet med RPKI eller at implementere IPv6. Skal vi ikke starte med det først?

  • 0
  • 1
#43 Chris Bagge

tilsyneladende er OK produkt

En af de interessante ting er at man ikke har forsøgt at angribe slutbrugeren, man har heller ikke forsøgt at angribe Orion direkte. Vejen ind har været deres Orions update server, og her modificere de nye updates. Dermed har diverse firewall med glæde sluppet den inficerede sW ind. Den kom jo fra en trusted node. Dette er hvad jeg har kunnet læse mig til hos Brian Krebs, ret venligst hvis det er forkert.

  • 2
  • 0
#44 Arne Jørgensen
  • 0
  • 0
#45 Michael Cederberg

Det var vel det man forsøgte med EV-certifikater.

Ja.

1) Hvem definerer hvad der er "rigtigt"? 2) Almindelige brugere forstod det ikke og bemærkede hverken om det var http, https eller https med ev-certifikat.

Ja. For at det fungerer så skal brugeren til at forholde sig til hvem han vil stole på. Det nytter ikke noget at en bruger i Guinea-Bissau eller Georgien stoler på de samme som en bruger i Gentofte. Det nytter ikke noget at browser leverandøren stopper en bunke root certificater af tvivlsom karakter ned i halsen på brugeren som han ikke kan andet end acceptere.

I princippet skal browser leverandøren ikke gøre andet end at give en nem og sikker metode hvor en bruger kan installere "ekstra trustede" root certificater. I den forbindelse skal brugeren kunne vælge "trust niveau". Browser leverandøren skal også give en måde hvor brugeren kan se visuelt hvilket certificat der er i brug.

Derefter vil det så være fx. de danske myndigheder der har ansvaret for at rulle det ud. De vil kunne kommunikere troværdigt til borgerne. Det samme gælder andre authoriteter som brugeren har brug for at have tillid til.

  • 0
  • 0
#46 Tomas Loft

eg synes du med det svar fuldstændig undviger essensen, som er at det ikke er en robust og sikker løsning

Hvori ligger det sikre i en løsning der går gennem Sverige, som vi ved er en flittig aflytter af alt den gennemstrømende data? Som PHK siger er det "at sløse med sikkerheden" at sende data gennem et andet land helt unødvendigt. Hvis man (læs: jer der er ISP) så må til at trække ekstra kabler eller risikere nedetid, så er det langt at foretrække fremfor at data sendes vidt omkring uden ejeren har mulighed for at fravælge.

Sikkerhed > robust.

  • 2
  • 0
#47 Magnus Jørgensen
  • 0
  • 1
#48 Poul-Henning Kamp Blogger

Jeg tror problemet er hvordan må får sådan et certifikat spredt ud til Fru Olsens computer.

Du overså at jeg skrev "kryds-signeret" ?

Det vil sige at samme certifikat også kan være signeret med et mafiaens CA'er hvis du har lyst.

Dermed er der intet behov for at få dette certifikat ind på "Fru Olsens Computer"[1], men det vil gøre det meget nemmere at konfigurere "borgerservice" computere osv.

[1] Det er der bortset fra de en meget klar politik for, en politik som den danske stat ikke ville have det mindste problem med, så længe deres root-cert er begrænset til at signere .dk, .fo og .gl domæner.

  • 1
  • 1
Log ind eller Opret konto for at kommentere