13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

Lämna ett svar

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top