Beklager det lange svar, men …
> Hvordan kan det være lovligt stadig at færdes på Internettet med Windows 98.
Helt fint, men hvis din maskine sender spam eller deltager i DDoS bliver din forbindelse lukket hurtigere end idag
> Eller at køre et helt åbent access-point i sin cafe på et 5 år gammelt billigt skod-AP ?
To ting, lad os lige holde dem adskilte. Et skod-AP eller skod-router kan hackes og der er voldsomt mange eksempler på at man idag kan hacke routere fra diverse producenter, det er noget skidt. Sæt gerne mere lys på det og kom med forslag til alternativer. Jeg anbefaler ofte Soekris+BSD, men også Soekris+Linux, FitPC+Unix, XPC+Unix – eller nogle af de nye platforme som Ubiquiti EdgeRouter lader til at have fut i kedlerne.
Du har dog nok forregnet dig, for når TDC eller andre telefanter skal købe 100.000-vis af routere og kunderne vil betale ingenting, faktisk vil de gerne have penge for at blive kunder, så ender man med laveste fællesnævner. Jeg ser gerne nogle ISP varefakta og man kunne også forestille sig noget om End-of-life for routeren man har skal være “current” plus max 1-2 år. Det vil så vidt jeg kan se presse på i retning af systemer der kan flashes fremover med OpenWRT eller andet open source, for at bevare samme hardware. Det giver yderligere en lille fordel at hardware holder længere. Min soekris net6501-70 med OpenBSD er eksempelvis fra November 2011 og holder formentlig mange år endnu, har aldrig selv oplevet en soekris der holdt op med at virke.
Det andet issue med at have åbne access points er diskuteret mange andre steder, og der er en del som taler for at det er nødvendigt, specielt fordi vi har wireless så mange steder og der er så tilpas mange der aligevel får credentials at hvis man tror det er et “lukket” eller “sikret” netværk er man vist lidt naiv. Så hvis vi skulle presse citronen lidt skal vi gøre det ulovligt at have konferencenetværk, og folk skal bruge egen dataforbindelse? – med den ekstra krølle at vi idag bruger elendige mobiltelefoner og GSM/3G som har relativt ringe sikkerhed – faktisk noget du selv har talt om.
Så helt åbent AP med captive portal (med eller uden HTTPS) vs AP med kode vs større netværk med brugere – du kan ikke stole på at der ikke sker misbrug og må monitorere det. Hvad skal kravene være til det? Bemærk at logningsbekendtgørelsen og lovgivningen allerede har forsøgt at gå dette efter, men nok måtte indse at det ikke sker.
> Eller for ISP’er ikke at have ingress-filtre ?
Tjoeh, det er dejligt når man har udstyr som gør det nemt. Mine Juniperkasser elsker at smide deres hardware efter den slags og håndterer snildt den globale routetabel med næsten 500.000 prefixes/routes. Kan du anvise hvor jeg finder vejledningen til at bruge FreeBSD som router med ingressfiltering? Jeg er så “heldig” at mine kunder betaler en fornuftig pris, men som skrevet ovenfor gælder det samme ikke for internetbrugere generelt. Lav pris giver dårlige implementationer, formentlig sidder der endda nogle teknikere hos diverse udbydere og ærgrer sig over at ledelsen siger NEJ til at bruge penge og tid på eksempelvis ingressfiltre, eller hardware der kan det.
Det er nødvendigt at filtreringen sker TÆT på kunden, og et ASN BØR sikre at de ikke sender spoofede pakker ud. Det kan i de fleste tilfælde klares nemt med en lille firewall, anti-spoofing findes efterhånden til PF osv. I praksis er det dog et mere kringlet problem og internet er broken på mange måder.
Pt. sætter jeg nok mere tillid til at jeg indenfor en kortere årrække ser BGP med RPKI ( http://en.wikipedia.org/wiki/Resource_Public_Key_Infrastructure ) på nogle prefixes og andre prefixes er “unauthenticated” og får derfor en skraldespand af begrænsninger i form af begrænset båndbredde til deling.
> Eller at sælge et operativsystem med gabende store sikkerhedshuller ?
Som FreeBSD? De fleste angreb jeg bekæmper for tiden skyldes faktisk NTP DDoS amplification grundet monlist kommandoen i NTP software. “Heldigvis” skyldes noget af dette at eksempelvis Juniper bruger FreeBSD som basis for Junos. Skal jeg sende regningen til dig eller til dem? Eller gælder den omvendte beer-ware licens så du skylder mig en øl næste gang vi ses? 
ALT software har (mange) fejl – det ved du bedre end nogen anden tror jeg. Wietse Venema som er forfatter/programmør til Postfix har jævnligt postuleret at han laver en sikkerhedsmæssigt relevant fejl for hver 1.000 linier kode, og derfor laver han en del andre ting som begrænser skaden – og opnår derfor langt bedre kodesikkerhed generelt tiltrods for eksisterende fejl i softwaren.
Så sikkerhedshuller er langt mere end blot fejl i koden – og brugen af software i situationer hvor det ikke var tiltænkt er et stort problem. (Du nævner selv FTP nedenfor) Det betyder at vi ikke blot kan lave en plusliste over ting som må bruges i Danmark, eller plusliste for ting der må bruges i staten, eller i forbindelse med personfølsomme data.
Brugsituationerne er så forskellige og mangeartede at du vil ende med at skulle nummerere uendeligt, eller sige nej til alt alt for meget! Du kan godt indenfor begrænsede emner forsøge at certificere software common criteria ( http://www.commoncriteriaportal.org/ ) men når selv forsvaret opgiver at køre to adskilte netværk og blot laver undtagelser for at kunne bruge softwaren aligevel – hvad er så formålet?
(Til dem der ikke ved det blev Windows NT C2-certificeret, men dette sker i en bestemt konfiguration. Oprindeligt blev Windows NT certificeret i en konfiguration uden net, og så snart man slår netværk til er man “udenfor spec”. Idag er der vist ingen der rigtigt tænker på common criteria mere)
> Eller at fraskrive sig enhver form for ansvar det produkt man sælger forsager, uanset årsag ?
Du har tidligere talt om dette i forbindelse med software, men hvordan gør vi op om prototyper skal skydes ned før de får et liv?
Ville Linux, eller FreeBSD for den sags skyld, nogensinde have fået en chance, hvis det ikke netop var grundet den nuværende frihed? Skal vi definere protokoller i ISO regi eller fortsætte efter det gamle David Clarck “We believe in: rough consensus and running code.” Jeg foretrækker klart det sidste!
> Eller at lægge personfølsomme oplysninger for alle danskere på en FTP server ?
Det er klart en fejl, men er det ikke CSC, KMD og de andre der skal rydde op? Straffen for at sløse med danske data er ikke tilstedeværende. Tvangsdigitalisering kommer til at ramme en masse i nakken som en boomerang!
> Hvor godt synes I egentlig det der med “selvjustits” og “ureguleret” virker når det kommer til stykket ?
Bedre end at snakke om tåbeligheder som censurfiltrering i UK, Europa netværk, samt kørekort og synspligt for internetforbindelser. Du er jo helt ude i hampen, jeg tror du skal finde en bedre leverandør af indica.
Leave a Reply