Avsnittet: 137 – Varför finns gammal teknik kvar?
Inspelat: 2021-10-01 (publicerat 2021-10-03)
Deltagare: Mattias Jadesköld och Erik Zalitis
Detta avsnitt är ett samarbete Nordlo AB.
Lyssna på avsnittet – gammal teknik
Medan du lyssnar
Juni 2020 spelade vi in avsnittet ”Säkerhet kring utdöd teknik” där vi diskuterade lärdomarna från säkerhetsprinciper och protokoll som inte var genomtänkta eller som inte åldrats väl och vi numera inte använder längre. Vi kan se dagens avsnitt som en fristående fortsättning på den diskussionen. Idag är fokus lagt på varför vi inte blir av med standarder och protokoll som BORDE varit nedlagda. PPTP, Magic Quotes och bristfälliga XSS-skydd i browsern finns ej mer, men det gör dagens samtalsämnen:
FTP
Det klassiska filöverföringsprotokollet för oss gamla gubbar! Det används oftast av historiska skäl och för sin enorma kompatibilitet och enkelhet. Men det har inte alltid varit roligt att bråka med brandväggar och NAT och passive mode för att få data att flöda. Men säkerhetsmässigt är ju det stora problemet att det är totalt okrypterat vilket leder till att det har många säkerhetsproblem. Vi pratar mer om det i avsnittet och varför det kanske ändå har en framtid och det verkar det ha. Vi kan använda det säkert för att ladda ner t.ex. Ubuntu Linux om vi kontrollera SHA256-hashen efteråt.
NTLM
Det går att skriva spaltkilometer om Microsofts rätt ökända protokoll. Men för denna diskussion är det bara egentligen viktigt att du förstår att protokollet är nätverkens ”nödragg” och därför bara används när andra protokoll inte är tillgängliga en fredagkväll.
Vi avslutar den analogin nu för att inte bli fnittriga när vi pratar om att det är rätt osäkert att använda NTLM och det kan leda till du får virus.
Vem är du, vem är jag? NTLM är gammal teknik som inte har en aning
Problemen är många och vi pratar om hur bristen på ömsesidig autentisering leder till att man kan göra så kallade relay-attacker där man agerar man-in-the-middle. Det senaste är ju PetitPotam där man använder svagheterna i NTLM för att ta över ett helt Active Directory via dess certifikatsservice. Det var en diskussion med en gammal kollega om just detta som inspirerade mig att föreslå ämnet för Mattias Jadesköld. Och givetvis tar vi upp PetitPotam i avsnittet.
TLS 1.0
Jag får ta fram skämskudden här: jag hade ingen aning om att TLS var så gammalt. Har plikttroget lagt till en notis om felaktigheten längst ner på sidan. Här finns en bra tabell:
| Release | Codename | Release date |
|---|---|---|
| TLS 1.3 | March 21, 2018 | |
| TLS 1.2 | RFC 5246 | August, 2008 |
| TLS 1.1 | RFC 4346 | April, 2006 |
| TLS 1.0 | RFC 2246 | January, 1999 |
Inse exakt hur länge vi haft TLS! Jag hade ett uppdrag för ett tag sedan att uppgradera en kunds gamla SUSE-servrar för att slå på TLS 1.2 och distributionerna från 2010 hade det inte tillgängligt trots att det då hade funnits i två år. Nya protokoll tar TID på sig att rullas ut.
Varför? Det förklarar vi i podden, men ett tillägg: man vill inte vara först med ett nytt protokoll som har massiva säkerhetsproblem. Så är det bara.
NTLM – långsamt farväl till gammal teknik
Men det var ju inte riktigt ämnet: vi behöver diskutera varför denna gamla teknik inte dör. Svaret är nog att det finns en lång svans av teknologi som underhålls men inte utvecklas. Microsoft har historiskt haft en livscykel för sina produkter där produkten utvecklas de första fem åren och de följande fem åren underhålls den. När Microsoft lämnat utvecklingsfasen är de inte så intresserade av att lägga in stöd för nya protokoll. Och övergången från Windows 7 till Windows 10 var i början seg då få vill uppgradera då sjuan upplevdes som ”bra nog” och erfarenheterna från 8 och 8.1 knappast var positiva.
Powershell i Windows 7 saknar stöd för TLS 1.2. Den som skriptar, måste peta in en sträng för att tvingas Powershell att istället använda .Net frameworks stöd. Annars kan dina skript kanske inte prata med moderna system.
Länkar – gammal teknik
- Testa HTTPS-stödet på din server hos Qualys.
- Hur en NTLM-attack med PetitPotam kan gå till
- Mer om protokollet NTLM
- En utmärkt och mycket väl beskriven förklaring av PetitPotam från TrueSec.
- Hur BEAST fungerar.
- Directory traversal i FTP.
- Fyra vanliga sätt att hacka FTP. Artikeln är lite klumpigt skriven men ändå värd några minuter av din tid.
- Dridex Banking Trojan som använder FTP.
- Nordlos hemsida.
Felaktigheter – gammal teknik
- Erik påstår att TLS 1.0 dök upp i slutet av 2000-talet. Det stämmer inte alls. Det släpptes 1999. Men däremot började TLS ta över på bred front efter SSL 3.0 vid den tiden.