Månad: juni 2020

27 juni, 2020

Show Notes för #82 – Den nya ”månlandningen”

Detta måste vara en helt ny konspirationsteori. Jag vet om dårar som tror att USA aldrig åkte till månen 1969, men att det var Kina som gjorde det… Den var ny.

Avsnittet heter 82 – Den nya ”månlandningen”
Det spelades in 2020-06-26 och lades ut 2020-06-28.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

För några veckor sedan var det det förflutnas lärdomar som gällde när vi pratade om ”utdöda säkerhetsteknologier”, men denna gång är det framtiden som den kan tänkas se ut i och med att Kina slänger sin hatt i ringen. AI, Kvantdatorer, Block chain och IoT.

Månlandning är ju en jämförelse som förpliktigar, eller hur? Men är det vad vi pratar om? USA spenderade enorma pengar på projektet att landa på månen. Komikern Tom Lehrer uttryckte det sähär på sitt karaktäristiska giftiga sätt:

”And what is it that put America in the forefront of the nuclear nations? And what is it that will make it possible to spend twenty billion dollars of your money to put some clown on the moon? Well, it was good old American know how, that’s what, as provided by good old Americans like Dr. Wernher von Braun!”

Må så vara, men projektet lyckades, med liten marginal framför Sovjet. Därefter tacklade Amerikanarna av många år framöver. Men den som uppnår målet att hitta på en revolutionerande ny typ av AI eller kvantdator kommer ha mycket att vinna… För ett tag… Jag kommenterar på att det är en tillfällig seger, eftersom historien visar att andra länder snabbt kommer i kapp, ofta med hjälp av agenter och industrispionage.

Men fem till tio år av att vara marknadsledande kan räcka för att hålla täten eller till och med skifta världens centrum. Jag förutspådde att Kina inom tjugo år skulle kunna ta över ledarrollen från USA. Ett kanske lite kontroversiellt uttalande, men det är en distinkt risk/möjlighet beroende på hur du ser på saken. Kanske är den ”gamla världen”, hur man nu definierar den, i samma tillstånd som det Västromerska imperiet under 400-talet. Spekulativt kanske, men inte omöjligt.

Jag var nog lite väl optimistisk när jag sa att Sovjet var några veckor från att slå Amerikanarna med en bemannad expedition till månen, men det var, precis som jag sa en allvarlig explosion som satte ”p” för den möjlighet de hade:
https://www.youtube.com/watch?v=U9fkYIrRwbo

Faktum är att det var flera explosioner, varav en med många dödsoffer som till sist gjorde det omöjligt att hinna i tid. Och raketerna var inte ens adekvata för uppdraget. Men det är uppenbart att de hade en högst reell chans att slå Amerikanarna i kapplöpningen, vilket USA var väl medvetna om.

Winston Rowntree har en filosofisk, rätt elak och humoristisk version av det hela med månlandningen:
http://www.viruscomix.com/page545.html

En bra genomgång av det hela visar på alla problem som fanns:
https://www.forbes.com/sites/startswithabang/2019/07/11/this-is-why-the-soviet-union-lost-the-space-race-to-the-usa/#43df65c84192

Men tillbaka till nu och framtiden:

IDG rapporterar:
https://computersweden.idg.se/2.2683/1.735175/tencent-investera-ai-molnet?queryText=kina

13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

6 juni, 2020

Show Notes för 79 – Anonym med Tor och Tails

Effekten av att norpa första bildresultatet från Google när man söker på ”Tails”. Kanske ändå rätt ok, givet att han är någon form av räv. Typ Firefox alltså eller nåt?

Avsnittet heter 79 – Anonym med Tor och Tails
Det spelades in 2020-06-06 och lades ut 2020-06-07.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Skulle man bara prata anonym surfning, skulle vi kunna hålla på i timmar. Men om vi väljer ut den lilla tårtbit av anonymisering som heter TOR (The Onion Router) och den vanligaste vägen att använda det, Tails, har vi i alla fall ett väl avgränsad diskussion.

Vi har hållit oss från att dyka allt för djupt i den snåriga djungel som är att vara anonym.

Först en korrigering: Runt 11:10 säger jag att det troligen är mycket svårt att dekryptera en HTTPS-förbindelse på vägen givet att man inte hittar en sårbarhet (eller kan använda ett förfalskat certifikat som webbläsaren litar på). Det är sant förutsatt att man använder HSTS eller lösningar som HTTPS Everywhere. Gör man inte det, kan program som SSLStrip lura browsern att köra i klartext… Eller kunde.. För moderna webbläsare skriker i högan sky om en site inte är krypterad. Så det är nog inte så lätt längre att dekryptera, men för att vara så korrekt som möjligt (Vilket är den önskvärda nivån av korrekthet) bör det ändå påpekas.

En till korrigering: min kritik mot icke-härdade operativsystem skulle kunna tolkas som att Tails alltid är helt säkert, fast det är det ju inte så alls. Men det har mindre attackyta och är därför mycket mer lämpligt för anonymisering än att köra Windows 10 eller, säg, Ubuntu. Bara så det är klart. 🙂

Sen till funderingarna om HTTPS gör det svårare att injicera skadlig kod i en webbläsare. Det är såvitt jag kan se sant, men det finns ju fortfarande siter som inte har HTTPS, och då blir liknande attacker möjliga. De sårbarheter som användes av FoxAcid är sedan länge fixade. Men det är värt att notera att det är en fördröjning av patchningen av FireFox i Tails, eftersom det inte finns en uppdateringsmekanism, utan kräver att Tails uppdateras i sig.

Sen till det där med ”rent mjöl i påsen”. Jag kallade det för en idiotisk debatt, vilket det verkligen är. Men om någon undrar hur jag ser på det hela, finns en längre text skriven av mig här. TLDR: jag avskyr begreppet då det kommer med en outtalad anklagelse mot alla som vill hålla något hemligt, trots att det inte är något annat än den frihet vi alla måste få kräva.

Dock är det uppenbart att TOR-nätverket historiskt visserligen har fungerat men även ofta blivit en väg där underättelsetjänster och andra aktörer hare kunnat fånga folk som de tror har något att dölja.

En lite otäck tanke är att kanske är anonymitet i framtiden enbart en möjlighet om man inte försöker vara det, utan ser till att se ut som alla andra på nätet. Den som vägrar ha en Facebook-sida eller något annat socialt media sticker i och med detta ut själv, vilket är en oroväckande utveckling i sig.

Scroll to top