3 oktober, 2021

#137 – Varför finns gammal teknik kvar?

Gammal teknik rostar inte. Eller så är det exakt vad den gör. Bilden visar någon form av mekanik med hjul och vajrar samt givetvis gummiband.
Bör uppgraderas med en eldkastare.

Avsnittet: 137 – Varför finns gammal teknik kvar?
Inspelat: 2021-10-01 (publicerat 2021-10-03)
Deltagare: Mattias Jadesköld och Erik Zalitis
Detta avsnitt är ett samarbete Nordlo AB.

Lyssna på avsnittet – gammal teknik

Medan du lyssnar

Juni 2020 spelade vi in avsnittet ”Säkerhet kring utdöd teknik” där vi diskuterade lärdomarna från säkerhetsprinciper och protokoll som inte var genomtänkta eller som inte åldrats väl och vi numera inte använder längre. Vi kan se dagens avsnitt som en fristående fortsättning på den diskussionen. Idag är fokus lagt på varför vi inte blir av med standarder och protokoll som BORDE varit nedlagda. PPTP, Magic Quotes och bristfälliga XSS-skydd i browsern finns ej mer, men det gör dagens samtalsämnen:

FTP

Det klassiska filöverföringsprotokollet för oss gamla gubbar! Det används oftast av historiska skäl och för sin enorma kompatibilitet och enkelhet. Men det har inte alltid varit roligt att bråka med brandväggar och NAT och passive mode för att få data att flöda. Men säkerhetsmässigt är ju det stora problemet att det är totalt okrypterat vilket leder till att det har många säkerhetsproblem. Vi pratar mer om det i avsnittet och varför det kanske ändå har en framtid och det verkar det ha. Vi kan använda det säkert för att ladda ner t.ex. Ubuntu Linux om vi kontrollera SHA256-hashen efteråt.

NTLM

Det går att skriva spaltkilometer om Microsofts rätt ökända protokoll. Men för denna diskussion är det bara egentligen viktigt att du förstår att protokollet är nätverkens ”nödragg” och därför bara används när andra protokoll inte är tillgängliga en fredagkväll.

Vi avslutar den analogin nu för att inte bli fnittriga när vi pratar om att det är rätt osäkert att använda NTLM och det kan leda till du får virus.

Vem är du, vem är jag? NTLM är gammal teknik som inte har en aning

Problemen är många och vi pratar om hur bristen på ömsesidig autentisering leder till att man kan göra så kallade relay-attacker där man agerar man-in-the-middle. Det senaste är ju PetitPotam där man använder svagheterna i NTLM för att ta över ett helt Active Directory via dess certifikatsservice. Det var en diskussion med en gammal kollega om just detta som inspirerade mig att föreslå ämnet för Mattias Jadesköld. Och givetvis tar vi upp PetitPotam i avsnittet.

TLS 1.0

Jag får ta fram skämskudden här: jag hade ingen aning om att TLS var så gammalt. Har plikttroget lagt till en notis om felaktigheten längst ner på sidan. Här finns en bra tabell:

ReleaseCodenameRelease date
TLS 1.3March 21, 2018
TLS 1.2RFC 5246August, 2008
TLS 1.1RFC 4346April, 2006
TLS 1.0RFC 2246January, 1999
Källa: endoflife.software

Inse exakt hur länge vi haft TLS! Jag hade ett uppdrag för ett tag sedan att uppgradera en kunds gamla SUSE-servrar för att slå på TLS 1.2 och distributionerna från 2010 hade det inte tillgängligt trots att det då hade funnits i två år. Nya protokoll tar TID på sig att rullas ut.

Varför? Det förklarar vi i podden, men ett tillägg: man vill inte vara först med ett nytt protokoll som har massiva säkerhetsproblem. Så är det bara.

NTLM – långsamt farväl till gammal teknik

Men det var ju inte riktigt ämnet: vi behöver diskutera varför denna gamla teknik inte dör. Svaret är nog att det finns en lång svans av teknologi som underhålls men inte utvecklas. Microsoft har historiskt haft en livscykel för sina produkter där produkten utvecklas de första fem åren och de följande fem åren underhålls den. När Microsoft lämnat utvecklingsfasen är de inte så intresserade av att lägga in stöd för nya protokoll. Och övergången från Windows 7 till Windows 10 var i början seg då få vill uppgradera då sjuan upplevdes som ”bra nog” och erfarenheterna från 8 och 8.1 knappast var positiva.

Powershell i Windows 7 saknar stöd för TLS 1.2. Den som skriptar, måste peta in en sträng för att tvingas Powershell att istället använda .Net frameworks stöd. Annars kan dina skript kanske inte prata med moderna system.

Länkar – gammal teknik

Felaktigheter – gammal teknik

  • Erik påstår att TLS 1.0 dök upp i slutet av 2000-talet. Det stämmer inte alls. Det släpptes 1999. Men däremot började TLS ta över på bred front efter SSL 3.0 vid den tiden.

Lämna ett svar

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top