Avsnittet: 159 – Säkerhet som förändrade – del 3/3
Inspelat: 2021-03-18 (publicerat 2022-03-20)
Deltagare: Mattias Jadesköld och Erik Zalitis
Detta avsnitt är ett samarbete med Nordlo.

Lyssna på avsnittet – Säkerhet

Medan du lyssnar – Säkerhet

Vi är i mål! I denna tredje och sista del av vår miniserie om säkerhetsteknologier som revolutionerade världen har vi en argan hund, militära angelägenheter, signering i finaste vax för dina filer självkontroll när du sitter vid datorn.

Nummer 7: Mandatory access control

Säkerhet är viktigt att upprätthålla och om alla får göra vad som helst, fungerar det bara inte. Men bara för att dina program körs med behörigheter som är begränsade är inte allt bra, och det har vi sett exempel på problem med många gånger. Ett obegränsat program kan göra allting du kan göra och det innebär att det har tillgång till alla dina filer. Fortfarande inte orolig? Låt oss då lägga till: och din webbläsarhistorik.

Förstår du nu hur bra det är? Du kan bygga MAC enligt principer om klassificering, vilket även kan bygga på en form av begränsning baserat på ”need to know”. SELinux låter dig sätta klassificering på filer och styra vem som får nå dem baserat på deras behörighetsklass, snarare än bara deras identitet.

Vanliga filbehörigheter styrs enligt DAC, ”Discretionary access control” där en ägare kan dela ut och dra tillbaka rättigheter efter eget huvud och därför är det enkelt och smidigt att använda. MAC ger istället kontrollen till en organisation eller en IT-avdelning och talar om vad en viss typ av klassificering ger dig rätt att göra. Detta är en förenkling, men översatt till mjukvaruvärlden, handlar det om att en applikation inte ska ha samma rättigheter som kontot det körs som, utan efter vad det har för klassificering och vad det behöver nå.

Nummer 8: Kodsignering

Om du signerar en fil, innebär det att den skyddas kryptografiskt. Alla kan se vad den innehåller, men att ändra i den, bryter sigillet. Minsta lilla förändring och sigillet finns kvar, men är nu ogilitgt. Man kan dock givetvis ta bort det och sätta ett eget, men det är då svårt att lura användaren att filen kommer från originalutgivaren.

Nummer 9: Kerberos

Problemet med delade nycklar är att det snabbt spårar ur när alla ska ha unika nycklar till andra alla. Assymetrisk kryptering och Diffie-Hellman hjälper. Men om man vill ha ett lösning som automatiserar allting och fortfarande är säker, då är Kerberos den lösningen. Tjänsten som delar ut tillfälliga nycklar på ett säkert sätt från en eller flera maskiner som kallas KDCs (Key distribution centers).

Denna lösning är hjärtat i Microsofts Active Directory.

Nummer 10: Begränsade konton

Förr om tiden fanns bara inloggningar på delade tjänster. Hemdatorn startade upp utan inloggning och allt var frid och fröjd (Nåja). Men med tiden kom kraven på att man skulle kunna hålla sina filer borta från andra i samma byggnad. Och på den vägen är det.

Men fram tills Windows Vista dök upp, fick Microsoft-användare tänka sig för. Då körde nästan alla med administrativa konton, eftersom det var lättast. Vi har nu äntligen lämnat det och begränsade konton med eller utan elevering (UAC, su eller sudo)

Länkar – Säkerhet

• Nordlo

Felaktigheter

• Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Bild-credits

BIld av Peter Wiberg från Pixabay