Monthly Archives: April 2014

OK, OpenSSL er ikke helt død – rygterne svirrer bare

Vi har allesammen hørt om Heartbleed formoder jeg, der kom efter annonceringen på http://heartbleed.com/ og mit blogindlæg http://www.version2.dk/blog/opdater-openssl-og-dit-os-nu-57202 en sand tsunami af artikler og indlæg på diverse fora omkring SSL, OpenSSL og CA (Certificate Authority) vanvid.

Faktisk holdt jeg i fredags en lille brainstorm over lidt morgenmad med min ven Martin, og vi har identificeret nok konklusioner til at fylde de første 10-15 blogindlæg. Nedenstående er blandt andet baseret på vores snak, Tak Martin Clausen.

En af konklusionerne, eller et par skal man måske sige, er relateret til OpenSSL og Open Source. Kort forklaret.

• OpenSSL er noget crap, det bliver aldrig godt – slå dyret ihjel bag laden. Det synspunkt deler vores egen PHK med artiklen OpenSSL must die, for it will never get any better.
• OpenSSL er en vital del af vores infrastruktur, og underfunded i ekstrem grad
• Open Source er ikke automatisk sikkert. Det er som sådan ikke en ny konklusion og er udtalt af Spaf flere gange
• OpenSSL vægter speed fremfor korrekthed, dette var en stor WTF for mig, tak til Martin som kender OpenSSL og endda har resultater hvor et rent C SSL bibliotek er hurtigere end OpenSSL assemblerkode!
• Lette bugs opdages, svære bugs opdages eventually – og fixes derefter ret hurtigt. Jeg er meget pro-open source, men firmaer som Coverity der scanner software for sikkerhedsfejl har erfaring for at dette er rigtigt. Find eksempelvis deres Open Source Integrity Report 2013 siger “Open Source Code Quality Surpasses Proprietary Code Quality In C/C++ Projects”

Nå, men for at starte bagfra Coverity siger i deres “Coverity Scan: 2013 Open Source Report”:

In 2013, for the first time, we saw open source quality for the projects in the Scan service surpass that of proprietary projects at all code base sizes. The 2012 Coverity Scan Report looked at a sample analysis of more than 250 proprietary code bases totaling more than 380 million lines of code, with an average codebase of nearly 1.5 million lines of code, and we found that open source code had lower defect density levels up to 1 million lines of code. For the 2013 report, we analyzed approximately 500 million lines of code across almost 500 proprietary C/C++ projects.

Så hvorfor er OpenSSL så “elendig”? Bemærk gåseøjne, der er formentlig kun få personer der ville kunne programmere, endsige styre et projekt af den størrelse gennem så mange år med så skiftende forhold og krav. Specielt når vi taler om OpenSSL så er det noget alle bruger (de fleste Unix systemer har OpenSSL og bruger det), så burde det ikke have en masse funding? Nej, det lader til at der ikke er nok funding til at der er bestilt et regulært audit af koden.

Audit, hvad er det? Audit er når en gruppe dedikeret sætter sig og gennemlæser koden, prøver at afdække fejl og sikkerhedsproblemer i design, algoritmer, kode, funktioner osv. Det er noget som er begyndt at spire i højere grad og for nyligt er der kommet nogle gode rapporter omkring audit af flere værktøjer, herunder: Truecrypt audit og Cryptocat audit

Så hvad skal vi gøre? Funde Open Source er 100% nødvendigt, bruger du det og har det værdi så smid penge efter det! Jeg betaler gladeligt penge til OpenBSD og OpenSSH fordi jeg bruger det dagligt. Det er derfor med stor fornøjelse jeg læste om LibreSSL

Hvad er LibreSSL? Det er OpenSSL efter en tur i grønthakkeren. OpenBSD folkene har påtaget sig opgaven med at skrælle OpenSSL ned til en størrelse der kan håndteres. De startede med at annoncere det OpenBSD has started a massive strip-down and cleanup of OpenSSL
og efter en uges tid kom der en statusrapport One week of OpenSSL cleanup . De smider ligeledes twitter updates med skræmmende humor og referencer til skrald de finder når de vender de gamle sten.

Nu er der så også kommet en hjemmeside – som dog er meget kortfattet – fordi de er i fuld gang med arbejdet. Den er dog i Comic Sans, så det borger for kvaliteten …
http://www.libressl.org/

Jeg støttede kort efter at heartbleed blev annonceret penge til OpenBSD foundation både privat og fra firmaet, og kan varmt anbefale at I også hiver kortet frem.

OpenBSD er et projekt som uden tvivl har gjort meget for internetsikkerhed og uden OpenBSD havde vi ikke OpenSSH som alle Linux distributioner bruger (jeg er aldrig stødt på en Linux uden OpenSSH, men prove me wrong ). Det er bevist med OpenBSD at man kan lave et operativsystem med ekstrem fokus på sikkerhed, som samtidig KAN bruges – selvom det er langsommere end Linux og de andre BSD’er.

Jeg kan sagtens se at OpenBSD vil kunne lave samme process med OpenSSL/LibreSSL som de har gjort med OpenSSH-OpenBSD og OpenSSH-portable til andre Unix varianter. De har erfaringen, sikkerhedsviden, programmerer sikkert – med fokus på korrekthed fremfor hastighed! De mangler formentlig blot flere resourcer til at gøre det.

Bemærk dog at mange ikke er enige med Theo de Raadt som er OpenBSDs hårde diktator. Jeg har nok vænnet mig til det, og jeg ved og stoler på hvordan han er. Nogle vil sige konsekvent en idiot, men jeg vil fokusere på de gode ting som konsekvent med hensyn til rettigheder, licenser, erfaring med at styre sikkerhed, proven track record med OpenBSD/OpenSSH osv. Så ja, det her er et fundraiserindlæg og kom nu igang.

Hvis du af en eller anden grund stadig ikke synes Theo og OpenBSD foundation skal have dine penge, så find andre lignende projekter som CryptoCat, Sudo eller dit eget ynglingsprojekt og støt det – så der kan betales et audit af projektet.

Hvis du ejer en europæisk udgave af Nokias tablet Lumia 2520, skal du passe på med at oplade den i stikkontakten med den medfølgende lader.

Nokia har nemlig udsendt en officiel advarsel om, at en produktionsfejl i AC-300-opladeren kan betyde, at brugeren i visse tilfælde kan få stød af opladeren.

Problemet skyldes, at et stykke plastik omkring laderens udskiftelige stik kan rive sig løs. Hvis det sker, vil laderen i følge Nokia kunne give stød, hvis brugeren kommer i kontakt med de interne komponenter.

»Selv om vi ikke har modtaget henvendelser omkring dette mulige kvalitetsproblem, så er kvalitet og sikkerhed første prioritet i Nokia. Vi undskylder over for de, der har købt en Lumia 2520, og vi arbejder på højtryk for at gøre ulejligheden så kortvarig som muligt,« udtaler Nokias Jo Harlow, der er EVP for Smart Devices.

Nokias advarsel gælder både den medfølgende lader og rejseoplader-sættet. Det anslås, at omkring 30.000 AC-300 opladere og 600 rejseopladere er berørt af fejlen.

Jeg ved ikke, om det er en eller anden form for miljøskade fra at have arbejdet i it-branchen i mange år, men jeg bliver altid så glad, hver gang der sniger sig lidt mere teknologi ind i verden. Jeg er nok en af dem, der ender med at sidde og nusse med en robotkat på plejehjemmet, mens et lille modeltog med jævne mellemrum kører forbi med Werthers Echte (eller vent lidt, jeg vil egentlig hellere have lakridser).

Jeg har især en forkærlighed for teknologi, der sætter mig i stand til at træffe og eksekvere flere valg selv. Jeg valgte læge efter hvem der havde et elektronisk bookingsystem, som – omend klodset – giver mig mulighed for selv at danne mig et overblik over mulighederne og booke, når det passer mig. Ikke ligesom hos min tandlæge, hvor man kan ringe ned og forhandle med klinikassistenten for at få nogle bud på, hvornår hun tror, at det kunne passe mig.

Jeg fløj med Norwegian i dag, hvor de har fået “snack bar”-bestillinger indbygget i en Android-tablet i sædet, så man direkte vælger, bestiller og betaler fra sædet, og kort tid efter får det bestilte leveret af kabinepersonalet. Meget mere behageligt end da jeg bestilte room service i morges og skulle ringe og forklare en hotelansat med meget dårlige engelskkundskaber, hvad jeg gerne ville have. Det blev næsten det rigtige, jeg fik leveret.

Der er meget endnu, jeg gerne ville have automatiseret; desværre fik jeg engang købt en for tidlig/dårlig udgave af en robotstøvsuger, med det resultat, at ægtemanden har mistet tiltroen til konceptet og ikke er til at overtale til at købe en ny – nå ja, for desuden mangler vi en dims, der inden støvsugeren slippes løs har samlet legoklodser og andet godt op fra gulvet suk. Men jeg vil bare så gerne slippe af med alt, hvor jeg har den mindste fornemmelse af, at det er spild af menneskelig tid og kræfter at bakse med det (også selvom det retfærdigvis skal siges, at det sjældent er mig, der støvsuger derhjemme).

Jeg håber virkelig ikke, at jeg nogensinde når en alder, hvor jeg synes, at ny teknologi er noget underligt noget og bare vil have, at alting skal være, som det pleje. Men indtil videre er det dog betryggende, at min far stadig sender mig mails, om at jeg må se at få opdateret iOS og links til artikler, han har læst på version2, og at min mor er ferm til at checke vores Google-kalendere, før hun laver en aftale. Måske har jeg en hel del tid at løbe på endnu, ind til I bliver nødt til at sætte mig ind i en eller anden virtual reality-verden, hvor det hele er stivnet i 2030.

I kølvandet på afsløringen af sikkerhedshullet Heartbleed i OpenSSL er en 19-årig canadier som den første blevet anholdt for at have udnyttet bristen.

Det canadiske politi, RCMP, har sigtet den 19-årige for at have hacket sig ind i og stjålet følsomme oplysninger fra Canadian Revenue Agencys it-system, der blandt andet administrerer skatteoplysninger. Det skriver SC Magazine.

Ifølge Canadian Revenue Agency er der over en periode på seks timer blevet stjålet 900 såkaldte sociale forsikringsnumre fra agenturets it-system. Tyveriet er sket et tidspunkt før den 8. april, hvor agenturet netop patchede sine servere for sikkerhedsbristen i OpenSSL.

Politiets specifikke mistanke om, at teenageren skal have udnyttet Heartbleed, er i sig selv interessant. Sikkerhedshullets art betyder nemlig, at det kan være vanskeligt at afgøre, om en server i det hele taget er blevet udsat for et angreb.

Ifølge Yan Zhu fra Electronic Frontier Foundation kan det kun lade sig gøre, hvis offeret holder logs over sine datapakker – hvilket hun pointerer ikke sker særlig tit.

Den anholdte forventes at blive stillet for en dommer den 17. juli.

En række smartphone-producenter og teleselskaber er nu indgået i en fællesaftale om at indføre en dræberknap eller kill switch i alle nye smartphones. Det skriver Epn.dk

En dræberknap gør det muligt at slette alt data på sin smartphone, i tilfælde af at den er blevet stjålet. Samtidig sikrer funktionen også, at den stjålne smartphone fremover er ubrugelig.

Bag den nye aftale står velkendte selskaber som Apple, Google, Samsung, Microsoft, Motorola, Nokia, HTC og Huawei sammen med de fem største teleselskaber i USA.

Aftalen forpligter selskaberne til at udstyre alle smartphones efter juli 2015 med den såkaldte dræberknap-funktion.

Det er en aftale som kommer i kølvandet på en stærk stigning af smartphone tyverier i USA. Derfor håber man nu på, at en dræberknap kan ødelægge markedet for stjålne smartphones, ved at gøre telefonerne ubrugelige.

»Denne fleksibilitet giver forbrugerne adgang til de bedste funktioner og applikationer, som dækker deres unikke behov, mens det også beskytter deres smartphones og den værdifulde information, de indeholder,« siger Steve Largent, direktør i erhvervsorganisationen CTIA – The Wireless Association.

Ifølge Jakob Willer, direktør for brancheforeningen Teleindustrien, er der ikke nogen planer om at indføre en lignende aftale i Danmark.

»Det er ikke noget, vi var drøftet i brancheregi. Muligvis har selskaberne selv gjort sig vervejelser om det,« siger han i et skriftligt svar til Jyllands-Posten.

Microsoft har annonceret, at opkøbet af Nokia Devices bliver gennemført fredag den 25. april. Købet skulle oprindeligt være gennemført i slutningen af sidste kvartal til en pris på 7,1 milliarder dollar, men blev udsat af regulative myndigheder. Det skriver Ars Technica.

Overraskende køber Microsoft ikke Nokias produktionsfabrik i Sydkorea, som hovedsageligt producerer Nokias smartphones. Fabrikken var udsat for fyringsrunder i 2012, men blev omstillet samme år til produktion af smartphones.

Microsoft er ikke kommet med nogen forklaring på, hvorfor fabrikken ikke er med i købet.

Derudover vil handlen byde på navneforandringer i Nokia. Et brev fra Nokia Devices and Services til en af sine leverandører, afslører nemlig, at afdelingen fremover vil blive kendt som en ny virksomhed under navnet Microsoft Mobile.

Microsofts satsning med ny brugergrænseflade i Windows 8 blev ikke modtaget med begejstring blandt kunderne – og nu truer tekniske problemer med at give styresystemet ny modvind.

Version2 skrev i sidste uge, hvordan Microsoft på den ene side kræver, at man installerer en ny opdatering oven på Windows 8.1 – kendt som 8.1. Update eller Windows 8.1.1 – og samtidig fraråder virksomhedskunder, som installerer via WSUS-serveren, at hente opdateringen på grund af tekniske problemer.

Men det er ikke kun gennem WSUS-serveren, at Windows 8.1 Update giver ballade, fortæller indehaveren af Hadsten Computer, som hjælper både private og virksomheder med deres Windows-maskiner.

»Microsoft har massive problemer. Jeg har aldrig oplevet så mange problemer med Windows før, og jeg har arbejdet med Windows siden version 3.1 (fra 1990’erne, red.). Det her er Windows Vista nr. 2 – bare meget værre end Vista,« siger Stefan Granholm, der har drevet Hadsten Computer siden 2008.

Han downloadede selv den nye opdatering, men siden da har Windows bedt om en aktiveringskode. Den kode, der fulgte med hans Windows-licens, virker ikke.

»Først ville den slet ikke opdatere til Windows 8.1.1, men da det endelig lykkedes, står der, at den ikke er aktiveret og at jeg har en ulovlig kopi. Jeg har også prøvet med telefonaktivering flere gange, men det kan man ikke, for der er for mange tal i licenskoden,« fortæller han.

Ud over problemerne med aktivering har opgraderingen til 8.1 Update også fjernet syv programmer på computeren, blandt andet Paint.net. Kampen for at få lov at opgradere har foreløbig krævet omkring 15 arbejdstimer, vurderer Stefan Granholm, som også ad flere omgange har talt med Microsofts support i både Danmark og England, uden at det har hjulpet.

»Jeg talte med Microsoft i en time, hvor de prøvede at fjernstyre min computer og aktivere den. Men bagefter siger den stadigvæk, at den ikke er aktiveret. Men Microsoft er ligeglade,« siger han.

Al balladen kunne måske være et helt lokalt problem med hans computer, men det er ikke tilfældet, fortæller han.

»Jeg har haft 14-15 privatkunder, som har henvendt sig til mig med samme problem. De har haft alle mulige forskellige computere, fra Asus til Lenovo, så det er ikke hardwaren,« siger Stefan Granholm.

Nu vil han nedgradere til Windows 7 for at kunne komme videre og slippe for Windows 8-problemerne.

»Det her kan jeg jo ikke arbejde med, så jeg er nødt til at skifte tilbage til Windows 7. Men jeg skulle jo gerne lære at arbejde med Windows 8, for det er det, som kunderne får som standard på en ny computer,« siger Stefan Granholm.

Kunder hos Hadsten Computer går dog som oftest hjem med en Windows 7-maskine, for Stefan Granholm har nu valgt kun at sælge Windows 8-computere til kunderne, hvis folk beder om det.

»Vi solgte i forvejen ikke ret mange Windows 8-licenser. På et halvt år har vi solgt fire af dem mod over 100 Windows 7-licenser. Virksomheder vil ikke have det, og brugergrænsefladen er elendig for private,« siger han og nævner som eksempel, hvordan Windows 8 som standard kører Internet Explorer i Metro-version, som ikke kan køre Java og dermed NemID.

Windows 8 er også siden lanceringen i 2012 blevet proppet med meget store opdateringer på flere gigabyte, noterer han. Fra version 8.0 til og med 8.1 har der været over seks gigabyte opdateringer, og den nyeste Windows 8.1 Update – som har givet så mange problemer – fylder selv 800 megabyte.

»Når du siger til kunderne, at denne her computer kommer med Windows 7 – så køber de den,« siger han.