BlackThorne.DK

Jeg studsede lidt over en opdatering til OS X i dag.

Apple var også sent ude i forhold til at ophæve tilliden til alle certifikater udstedt af det malaysiske underordnede nøglecenter (CA) DigiCert Sdn. Bhd, som sikkerhedsanalytikere sidste år fandt ud af, havde udstedt 22 certifikater med svage 512 bit-nøgler samt certifikater uden korrekte anvendelsesudvidelser eller tilbagekaldelsesoplysninger.

Microsoft og Mozilla ophævede tilliden til alle certifikater fra dette underordnede nøglecenter for tre måneder siden.

Det er altså ikke en decideret sikkerheds opdatering Apple her kommer med. Det er blot en ‘justering’ af rod certifikaterne i SSL træet.

Det der undrer mig, er at den slags opdateringer burde slet ikke være nødvendige. Så vidt jeg ved, kan man sagtens signere et givent certifikat, og dermed også et rod certifikat flere gange, af andre certifikater. Hvorfor har Apple ikke bare lavet deres ‘eget’ rodcertifikat, og signeret de udbydere, som de stoler på. Så kunne blot have lagt den malaysiske udbyder i deres CRL liste, hvorefter hans certifikater er tilbagekaldt, enkelt, hurtigt og sikkert.

Måske er løsningen at bruge DNSSEC til at opbevare offentlige nøgler i, så man helt undgår certifikat udbyderne. Ulempen er at det blot sikrer at vedkommende der har kontrollen over DNS, også har kontrollen over den givne server. Det sikrer imod Man In the Middle, men hjælper ikke meget, imod at folk logger på deres netbank på domænet www.n0rdeabank.dk.com. Den sikkerhed er der heller ikke meget af i dag, da det er de færreste ikke IT kyndige, der forstår sig på SSL certifikater og udvidede parametre. De kigger blot efter hængelåsen, for det er det vi andre har prædiket i årevis.

Egentlig burde vi slet ikke bruge SSL på den måde vi gør i dag. I SSL er sikkerhed alt eller intet. Mange af de oplysninger vi overfører, er jo ikke ‘hemmelige’, men vi vil blot have sikkerhed for at de er autentiske. Det klarer IPSec egentlig meget bedre, ved at have to forskellige lag af sikkerhed. AH, Authentication header, sikrer at der ikke er ændret i indholdet undervejs. ESP, Encapsulating Security Payloads, sikrer at det overførte holdes hemmeligt, så udenforstående ikke kan se indholdet. På den måde kan man overføre selve HTML siden, billeder og javascripts fra en netbank ukrypteret, men på en måde, så indholdet stadig kan verificeres. De data burde ikke indeholde nogle informationer, der er hemmelige, og kan på den måde caches af både slut browseren, men også af eventuelle proxies, som sparer båndbredde på vejen mellem banken og kunden. De hemmelige data, det vil sige en XML fil med kontonumre og saldoer, adgangskoder, eventuelle kontoudskrifter i PDF og andre hemmelige data, vil så kunne overføres fuldt fortroligt, ved hjælp af ESP. Hvis alt var bygget op om IPSec algoritmerne, ville vi være fri for at skulle kryptere store dele af vores data, men ville samtidig have fuldt tillid til de data vi overfører over et åbent Internet.

Endnu en gang udråber slashdot og version2 dommedagen til at være nær, og endnu en gang er jeg ved at teste IPv6.
Denne gang er der dog sket noget nyt. Jeg har opdaget noget, der rent faktisk bare virker. Det er bare en skam at det ikke er min internet udbyder, men Apple, der har fået det til at virke.

Hjemme har jeg en Apple Airport Extreme som router. Den har et lidt for fancy GUI værktøj til konfigurationen, men er i bund og grund en robust router, med features jeg bliver ved med at opdage. Jeg ville tjekke dens IPv6 implementation, og sad og rodede rundt med det. IPv6 siden i GUI værktøjet var ret simpel, og tunnel opsætningen var sat til ‘localhost only’. Jeg fandt ud af at man kunne sætte IP op manuelt, eller lave en tunnel ud. Under tunnel mode var der endnu en dropdown til ‘manuel eller automatic’ opsætning. Automatic? Gad vide hvordan det virker….

Og det gør det altså bare. Jeg har nu IPv6 adresser sat op i DNS til de enkelte maskiner hjemme i privaten (dem der understøtter det anyway), og det var mere eller mindre plug and play at få dem til at spille. Min MacBook Pro, min router og min Debian Linux server kørte out of the box. Jeg havde ikke tid til at teste de mere tricky ting, så som tv, playstation, nas box og så videre, men jeg går stærkt ud fra at iphone og ipad virker out of the box.
Jeg har ingen ide om, hvem der udbyder min tunnel, om jeg har en fast tunnel eller om jeg skal ændre ip’er om et halvt år. På den anden side, så giver det vel ikke mening at ændre min ip range?

Lige nu sidder jeg så i toget. Jeg har net via både Arriva’s gratisdanmark løsning og via min egen iphone. Ingen af dem ser ud til at understøtte IPv6…
Der er lidt vej endnu…

Dammit! Det er lige gået op for mig, at jeg havde smidt login siden til min _egen_ hjemmeside væk?!?
Det er skidt når man er nød til at logge på selve serveren og se hvad siden egentlig hedder…
Det er ikke så smart, at glemme at stoppe ‘meta’ blokken ind et sted i menuen. Så kan man jo ikke klikke for at logge ind…

Oh well: /wp-login.php eller /wp-admin/ virkede

Nå, men jeg må hellere få opdateret ønskelisten til jul.

Jeg er i denne uge på TheCamp i Bregninge ved Kalundborg.

Det er ikke helt dag 1, men i går, lørdag, kom vi så sent frem, at det næsten ikke tæller med.
Vi fik installeret os, fundet et sted at sove og lidt plads til vores hær af laptops.

I dag er dagen så gået med et par forskellige foredrag, afslapning og lidt nørderier der har stået på min samvittighed i længere tid. Læs mere…

Nu er det efterhånden ved at være rimeligt normalt at bashe sikkerheden i det offentlige for tiden. Men derfor vil jeg da ikke afholde mig fra at give dem et par bashes mere. Når det kommer til sikkerhed der omhandler folks liv og penge, må der simpelt hen ikke være noget, der kan gøres bedre, uden at det så også bliver gjort. Læs mere…