Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

Hvem stoler du *nu* på ?

22. december 2015 kl. 13:4521
Poul-Henning Kamp
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Poul-Henning Kamp

Jeg egner mig efterhånden ikke til at kommentere på IT-sikkerhed og overvejer seriøst om jeg bare helt skal lade være...

Hvis jeg havde været USAs forsvarsminister og NSAs direktør under MUS samtalen indrømmede at de aldrig havde overvejet at få en "associeret medarbejder" placeret i Junipers softwareudvikling ville jeg fyre ham på stedet for kriminel inkompetence og uduelighed med skatteydernes penge: NSAs budget er lidt over 10 mia USD, noget der ligner 70 mia kroner.

Fri adgang til Junipers udstyr har sparet dem for rigtig mange millioner i arbejde.

Hvordan ser sådan en "associeret medarbejder" ud i virkeligheden ?

Artiklen fortsætter efter annoncen

På CV'et har han en top-notch phd, har publiceret nogle crypto-papers ingen forstår.

Derefter har han arbejdet i et eller andet obskurt startup som lavede "klassificeret software."

Firmaets hjemmeside existerer, har et billede af et jagerfly og ikke ret mange detaljer.

En referenceopringning til direktøren giver fantastiske anmeldelser: "Vi gjorde alt hvad vi kunne for at holde på ham, men hans kæreste ville absolut hjem til Californien, så det var hende eller os og vi tabte. Hils ham mange gange og sig at han endelig må komme ind og hilse hvis han kommer forbi!"

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Han har stadig nogle stock-options i det gamle firma.

...som nogen tid senere - noget med en overtagelse eller ny investor - bliver vekslet til en stak kolde kontanter.

Måske bliver han i jobbet, men der er måske penge nok til at han heller vil prøve noget helt nyt.

Senere igen er der ingen der kan finde ud af hvor han blev af...

Samlet pris for NSA ? En årsløn.

Direktørene for Kinas, Ruslands, Israels og Englands respektive modstykker ville være ligeså dybt inkompetente, men for relativt set lavere bunker skatteyderpenge.

Nej, jeg blev ikke overrasket over Junipers bagdøre og jeg er, i modsætning til dem selv, 100% sikker på at der er tilsvarende bagdøre i Cisco, Apple, Intel, AMD, Microsoft, Google, Oracle og IBMs software.

Det ville simpelthen være for dumt, set fra NSAs synspunkt, hvis der ikke var.

De smarteste af disse firmaer har samarbejdet med NSA og selv designet bagdørene, så de ved hvor de er og hvad de kan, men i så fald forbyder et "National Security Letter" dem at sige eller gøre noget som helst som kan afsløre dette samarbejde.

Men samarbejder eller ej, der er ingen måde man kan stole på at softwaren fra disse firmaer kan holde på en hemmelighed.

Enten har du kildeteksten til det hele og har kompileret det hele selv, eller også må du finde en anden måde at holde på dine hemmeligheder.

Papir og blyant er et godt sted at starte.

phk

21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
Bent Jensen
28. december 2015 kl. 13:07

Nogen som ved om de overholder kravene til opbevaring af Private Data, de kræver jo et login for at deres telefoner virker som beskrevet, og en licensaftale som man er tvunget til at klikke på for at få telefonen til at virker kan jo ikke overtrumfe EU's data love ? Har lige købt en Edge og deres software hænger mig allerede langt ud af halsen så overvejer enten at root eller tilbagelevere den på grund af deres licensbetingelser.

Går så tilbage til enten min rootet Oneplus med CM eller den nye Google 5X, synd for det er et godt stykke hardware. PHK er du blevet tilfreds med din nye telefon ?

  • more_vert
    • insert_linkKopier link
18
Jakob Bruun Hansen
26. december 2015 kl. 21:46

LASER stråle HIV virus PDF format LCD skærm ... også kendt RAS syndrom (redundant acronym syndrome). Indført i 1995 af NSA for at distrahere pedanter fra at beskæftige sig med virkelige problemer.

  • more_vert
    • insert_linkKopier link
16
Nikolaj Sonne
24. december 2015 kl. 12:39

Nu er det i sagens natur kun et mikro-lille-bitte hjørne af medieland jeg har skyggen af indflydelse på. Når det er sagt, så vid at PHK længe har haft tålt ophold på idétavlen. Nu er i advaret! :o)

  • more_vert
    • insert_linkKopier link
15
Claus Bruun
24. december 2015 kl. 11:23

Det kunne blive et sjovt og lærerigt program.

Man kunne også gøre det omvendt og stille og roligt fjerne komponeneter, man ikke kan stole på og sagligt forklare hvorfor...

Og så kunne man ende med den rå kasse og skruer og møtrikker og lidt kabler...:-)

  • more_vert
    • insert_linkKopier link
14
Anders Lind
23. december 2015 kl. 22:11

Ja, bestemt! PHK har mange gode budskaber, humor og han kan formidle! @DR: Kan I ikke i det mindste lave et pilotafsnit med PHK? :-) Harddisken=Nyheder, So Ein Ding=Gadgets og Trends, PHK=Politik,Samfund, Verden,IT indhold=refleksion, interview med beslutningstagere og fagfolk, anekdoter og historie

  • more_vert
    • insert_linkKopier link
13
Henrik Hansen
23. december 2015 kl. 15:24

Det lyder faktisk som et vinderkoncept i mine øre... og jeg vil derfor godt garantere minimum én seer.

  • more_vert
    • insert_linkKopier link
12
Rune Jensen
23. december 2015 kl. 13:51

Og så skrive med citronsaft. Eller lægge alle de hemmelige informationer i et punktum i teksten, så man skal have det under mikroskop for at læse det .

  • more_vert
    • insert_linkKopier link
11
Børge Svingalius
23. december 2015 kl. 11:15

PHK - IT-verdenes bonderøv.

Følg ham i en ny serie på DR2 hvor han laver sit eget IT-udstyr helt fra bunden. Her er der ingen skadelige tilsætningsstoffer (læs: bagdøre fra 3-letter organizations), kun selvudviklet kildekode og hjemmestrikket hardware.

Kommer i det nye år.

  • more_vert
    • insert_linkKopier link
10
Martin Sørensen
23. december 2015 kl. 11:04

Et andet problem med at bygge fra kildekode er at udover at man skal have gennemstuderet og forstået den kildekode man vil bygge (eller at det er gjort af nogen man stoler på), så er man i princippet også nødt til at bygge sin compiler selv da denne sagtens kan indsætte bagdøre i det færdige output og så er man lige vidt.

System-partition kryptering er forøvrigt stadig muligt med Windows 10 så længe man kører GPT, men det åbner muligvis op for pre-boot kodeeksekvering? I så fald skal der laves en afvejning af hvad der er værst.

  • more_vert
    • insert_linkKopier link
9
Michael Johansen
23. december 2015 kl. 10:56

...ligesom EDB-behandling IT-teknologi LED-diode

Find selv på flere. God Jul. :-)

  • more_vert
    • insert_linkKopier link
8
Sune Marcher
23. december 2015 kl. 02:10

Nogen gange mistænker jeg at TrueCrypt blev jordet fordi brugeren her havde for mange kombinationsvalg til at det var godt for "staters sikkerhed"..

TrueCrypt blev ikke jordet, folkene bag mistede gejsten - det er imponerende de holdt interessen for et hobbyprojekt af den kaliber i 10 år.

Deres exit var lidt sensationel, men der er ikke det store konspirationelle bag det. Det har hele tiden været velkendt at TC kun er sikkert mod "cold attacks", og ikke memory dumps eller andet på et kørende system, og at der var risiko for at opsnappe key material fra paging/hibernation file, hvis du ikke kørte med system-partition kryptering.

Med nyere Windows-version (UEFI boot) er system-partition kryptering ikke længere muligt, og teamet bag TC havde ikke tid/overskud/mulighed/whatever for at supporte det, og så var det tid til at kaste håndklædet i ringen, efter udviklings-intensiteten gennem en årrække var aftaget.

Occams Razor siger at det nok nærmere er arbejde og familie-dannelse end NSA-pres, der gjorde udfaldet... og ellers var der sgu nok stadig udvikling og downloads.

  • more_vert
    • insert_linkKopier link
7
Jn Madsen
22. december 2015 kl. 18:59

På en tidspunkt fløj der rygter rundt om, at Cisco havde skilt Huawei's router-software ad. Det viste jeg at være et rå kopi af Cisco's IOS,- men med kommentarer fra Huawei's programmører der fumlede rundt i sovsen.

Gad vide om Huawei fik ryddet op,- eller de importerede NSA's gratis funktionaliteter :D

Man skal nok som udgangspunkt tro på, at al elektronik og software er kompromitteret.

  • more_vert
    • insert_linkKopier link
5
Kenn Nielsen
22. december 2015 kl. 16:20

g i praksis ved jeg som bruger ikke, om nogen i et open source community har fået en mundkurv på... ?

Og det undrer lidt hvorfor crypto-funktioner pinedød skal være aes med max 256 bit nøgle.

Hvis jeg vil kommunikere sikkert med "min dims" via 4677 bits twofish - eller anden algoritme, som ikke er hw-optimeret.....Hvorfor pokker er det så ikke muligt at definere nøglelængden som en parameter ? Jeg mener...bare fordi jeg vælger en algoritme som trækker tænder ud af CPUen med min latterligt lange nøgle, er det vel ikke så usikkert at kodeskriverne er nødt til at afskære brugeren fra dette valg ?

Hvilket giver mig grund undren. Og når man undres over sikkerhedssoftware, er paranoia lige om hjørnet.

Nogen gange mistænker jeg at TrueCrypt blev jordet fordi brugeren her havde for mange kombinationsvalg til at det var godt for "staters sikkerhed"....

K

  • more_vert
    • insert_linkKopier link
4
Peter Bryde
22. december 2015 kl. 15:28

Er meget godt, men det kører alligevel på hardware man ingen indsigt har i.

Ja så skal man også have koderne til fpga'er, asic's, microcontrollere osv. der sidder i den hardware man ønsker at auditere. Det kan man nok godt glemme af få udleveret, med mindere det også er opensource?

Ellers er den eneste mulighed vel open hardware, men tror der er langt tid til at der kommer noget brugbart fra den kant mht. routere og andet netværksudstyr.

  • more_vert
    • insert_linkKopier link
3
Claus Bruun
22. december 2015 kl. 15:10

Godt nok har man den fulde kildekode, men med systemernes størrelse er der meget få, der er i stand til at gennemgå koden og føre indgangskontrol på al ny kode i sit system. Man ser også, at de fleste idag bruger pakke managers til disse systemer istedet for at kompilere fra bunden..

Så hvordan kan vi undgå at der ikke er nogen, som comitter en eller anden lille smart ting i et hjørne af systemet, som ingen ser.

Og i praksis ved jeg som bruger ikke, om nogen i et open source community har fået en mundkurv på... ?

Og så er der hele hardware delen, hvor firmware kan alt muligt...

God jul

  • more_vert
    • insert_linkKopier link
2
Brian Hansen
22. december 2015 kl. 15:07

Er meget godt, men det kører alligevel på hardware man ingen indsigt har i.

  • more_vert
    • insert_linkKopier link
1
Ulrik Suhr
22. december 2015 kl. 15:00

Dette vil på en gang medføre at man SKAL benytte opensource i større omfang i det offentlige. Det er reelt ikke muligt for en producent med hovedsæde i USA at udtale sig om sikkerhed. Dette vil medføre at de driftige hurtigt vil oprette alternativer til produkter fra USA måske i Danmark. Eller også den helt paranoide løsning. At der opfindes en browser/plugin som kryptere/dekryptere ens data profil. Alle vil begynde at bruge vpn servere etc. som standard måske er det med i ens internet abonnement...

Nogle gange skal det først blive meget slemt før det bliver bedre.

  • more_vert
    • insert_linkKopier link