Jeg har stirret på den der Apple SSL fejl:
Der er overordnet to hyposteser:
A) Ærligt uheld.
B) Med vilje.
Hvis hypotese A) er sand, er Apple et lallende amatøragtigt klythus der ikke har nogen form for kvalitetssikring på selv den mest centrale sikkerhedskritiske del af deres kildetekst.
Det rimer ikke på nogen måde med det indtryk jeg får af folk der har arbejdet i, hos og med Apple omkring sikkerhedskritisk software.
Tværtimod.
Jeg hælder derfor klart til hypotese B: Nogen gjorde det her med vilje.
Hvis nogen mente at Apples hardware spildte tiden på at beregne SHA1 hash på certifikater, ville det give givet mere mening slet ikke at begynde på det og derfor tror jeg ikke der er kommet nogen ordre fra Apples ledelse om at “optimere SHA1 med 25%” eller noget i den stil.
Det her er utvivlsomt kommet som en overraskelse for alle Apples medarbejder pånær en enkelt.
Hvis nogen derimod prøvede at gøre det nemmere for den i kryptografiske bøger altid forhadlagte “Eve” at lytte ind på Apple brugere, uden at nogen opdagede det, er rettelsen simpelthen lige i nettet: Den har plausible deniability — “Ooops, patch(1) snød mig” — og indeholder ikke nogen vektorer der peger bagud.
Men hvis agent var dét så ?
NSA er tidens oplagte bussemand for den slags, men det forudsætter et næsten helt utænkeligt ringe samarbejde mellem NSA og Apple før det ville give mening for NSA at sparke sådan et stort hul i sikkerheden, ikke mindst i lyset af at NSAs anden officielle opgave er at holde IT-sikkerheden i USAs statsapparater oppe.
Det er blevet påpeget at der er et mildest talt suggestivt sammenfald imellem et af Snowdens NSAs dokumenter og timingen af første release med denne kodedetalje, men det overbeviser mig ikke. Primært fordi “PRISM” handler om “direkte opsamling fra ${FIRMA}s servere”, mens den her “fejl” kræver Man-In-The-Middle aktiviteter hvor Apple-dimsen nu end befinder sig.
I min optik er det meget mere sandsynligt at dette er en genistreg fra en agent for nogen Apple aldrig ville række en lillefinger.
Og det kan være stort set hvem som helst:
Rusland, Den ${land}ske Mafia, Kina, Israel, Microsoft, The Laundry, Bilderberg-Verdens-Regeringen, Frimurerne, Korsridderne, Den Hemmelige Soviet, De Bayerske Illuminati, osv. osv.
(Sorter selv listen så den passer til dine fordomme)
Det lange og det korte er at nogen ville have adgang til at lege Man-In-The-Middle med kommunikation fra Apple devices og de fik det.
… indtil det blev opdaget.
Og her kommer så ironien ind i billedet.
I Danmark har både denne og den forrige regering haft meget travlt med at mørklægge alt muligt fra befolkningen, fra helt simple spørgsmål som “Er Danmark i Krig nu ?” og opefter, kulminerende med Mørklægningsloven.
Men samtidig er de iPhones og iPads som MF’er og embedsfolk render rundt med og hvorpå de roder med præcis dette mørklagte materiale, trods gentagne advarsler, pivåbne på grund af sikkerheds “brister” som denne.
“Enhver passende raffineret teknologi kan ikke skelnes fra ren magi” skrev Arthur C. Clarke for 52 år siden og nogen har tydeligvis hverken gået på Hogwarts eller lært nok om computere og derfor overhovedet ikke styr på teknikken.
phk
Leave a Reply