mboost-dp1

Åbent brev til Danid


Gå til bund
Gravatar #51 - Saxov
9. okt. 2011 09:45
Daniel-Dane (48) skrev:
Ja, eller WinRar. Problemet er bare, at fornuftige folk nok obfuscater den.
Jeg kan sige den er "obfuscated" men bare fordi man ikke kan se hvad de har kaldt deres egne variablerne og metoderne, gør det altså ikke det helt umuligt at arbejde med :)
Gravatar #52 - Daniel-Dane
9. okt. 2011 09:53
Sandt, Java er et stort sikkerhedshul.
Gravatar #53 - apkat
9. okt. 2011 11:45
Daniel-Dane (52) skrev:
Sandt, din mor er et stort sikkerhedshul.


FYP
Gravatar #54 - arne_v
9. okt. 2011 15:53
Daniel-Dane (52) skrev:
Sandt, Java er et stort sikkerhedshul.


Hvis man tror på "security by obscurity" så er Java ikke sproget man skal vælge.
Gravatar #55 - arne_v
9. okt. 2011 15:55
Daniel-Dane (48) skrev:
Ja, eller WinRar.


Indeholder WinRar en Java decompiler??
Gravatar #56 - arne_v
9. okt. 2011 16:02
Daniel-Dane (48) skrev:
Problemet er bare, at fornuftige folk nok obfuscater den.


Næppe.

Tro på obfuscation til at sikre koden er et klassisk begynder fænomen.

Normalt gælder det at:

cost skrive normal business kode < cost reverse engineere unobfuscated code < cost reverse engineere obfuscated code < værdi af speciel algoritme eller password til konto

Det er meget sjældent at værdi af kode ligger mellem cost reverse engineere unobfuscated code og cost reverse engineere obfuscated code, hvilket er intervallet hvor obfuscation giver mening.

Derfor er det meget sjældent at Java byte kode bliver obfuscated (af sikkerhedsmæssige grunde).

Det sker at man obfuscater Java byte kode for at gøre den mindre.

Tilsvarende til hvordan man f.eks. pakker JavaScript kode for hurtiger download.
Gravatar #57 - arne_v
9. okt. 2011 16:03
Daniel-Dane (50) skrev:
Er en obfuscated fil unormal?


Det ses sjældent og kræver et ekstra step i build process.

Det må vel definitorisk være unormalt.
Gravatar #58 - Daniel-Dane
9. okt. 2011 16:07
arne_v (54) skrev:
Daniel-Dane (52) skrev:
Sandt, Java er et stort sikkerhedshul.


Hvis man tror på "security by obscurity" så er Java ikke sproget man skal vælge.


Præcis. Men kan man reelt beskytte koden mod at blive set? (Altså, det er jo ikke svært at decompile Java.)

arne_v (55) skrev:
Daniel-Dane (48) skrev:
Ja, eller WinRar.


Indeholder WinRar en Java decompiler??


Hmm. HMM!

Min tanke var bare, at Java ikke er skabt til andet end frontend.
Gravatar #59 - arne_v
9. okt. 2011 16:25
Daniel-Dane (58) skrev:
Men kan man reelt beskytte koden mod at blive set? (Altså, det er jo ikke svært at decompile Java.)


Nej.

Man må enten ikke give koden til nogen eller vælge et andet sprog (compiler Java source eller Java byte code til native code er så i denne sammenhæng meget lig med at vælge t andt sprog). Bemærk at mange andre sprogs ikke-native output er lige så nemme at decompile som Java byte code, så der skal vælges forsigtigt.
Gravatar #60 - arne_v
9. okt. 2011 16:26
Daniel-Dane (58) skrev:

Min tanke var bare, at Java ikke er skabt til andet end frontend.


Pussigt nok bruges det mest til backend!
Gravatar #61 - Daniel-Dane
9. okt. 2011 16:28
#60
Dumt ordvalg. Jeg mente, at offentlig Java source ikke kan være andet end client-kode af sikkerhedsmæssige årsager.

Edit:
Men så igen, det gælder faktisk alle sprog.
Gravatar #62 - arne_v
9. okt. 2011 16:48
#61

Jeg er helt uenig.

Security by obscurity virker ikke.

Hvis noget skal være sikkert skal det netop være kendt og reviewet af uafhængige eksperter.
Gravatar #63 - Daniel-Dane
9. okt. 2011 17:36
Vi taler nok hinanden forbi, nu hvor du bringer "Security by obscurity" på banen igen.
Gravatar #64 - arne_v
9. okt. 2011 17:42
#63

Lad mig eksemplificere: jeg vil mene at nemid ville være mere sikker, hvis de offentliggjorde både applet source code og server side koden.

Den ville så kunne blive reviewet af alle med interesse )og kompetance).
Gravatar #65 - Daniel-Dane
9. okt. 2011 17:47
Ja, uden kodeordene. ;P
Gravatar #66 - kasperd
10. okt. 2011 19:17
Er der mere man burde gøre andet end bare at vente og se hvor lang tid de tager om at svare?

myplacedk (43) skrev:
Eller måske er de bare dårlige til at kommunikere.

...jeg omformulerer lige:

De er dårlige til at kommunikere, måske er det bare derfor.
Måske du skulle have brugt en måned længere på at formulere den kommentar.
Gravatar #67 - kasperd
17. okt. 2011 21:13
kasperd (40) skrev:
Jeg har netop sendt en email for at rykke for et svar.
19. september fik jeg at vide at jeg måtte vente lidt endnu på et svar. Lidt endnu er en ret upræcis størrelse, så efter 10 dage spurgte jeg om det kunne præciseres. Det spørgsmål har jeg heller ikke fået dvar på.

Jeg kan nu konstatere at lidt endnu altså godt kan betyde over fire uger. Er der nogen her som har et godt bud på en øvre grænse for hvor lang tid "lidt endnu" kan dække over?
Gravatar #68 - Dreadnought
17. okt. 2011 21:20
Giv dem en dato, så er du ude over det problem med at gætte sig frem til hvad de mener er "lidt endnu".
Gravatar #69 - kasperd
17. okt. 2011 21:26
Dreadnought (68) skrev:
Giv dem en dato
En dato for hvad?
Gravatar #70 - Dreadnought
18. okt. 2011 07:17
Offenliggørelsen af fejlen.
Gravatar #71 - kasperd
18. okt. 2011 07:22
Dreadnought (70) skrev:
Offenliggørelsen af fejlen.
Spørgsmålet går på hvordan de vil håndtere sikkerhedshuller i appletten når der bliver fundet en fejl. På nuværende tidspunkt er der ikke mere at offentliggøre end hvad der allerede er at læse i den her tråd.
Gravatar #72 - kasperd
18. okt. 2011 08:40
Nu er der kommet et svar. Dog ikke noget særligt brugbart svar. Kort sagt fortæller svaret, at deres sikkerhedsforanstaltninger ikke tåler offentliggørelse.

Det ser jeg som en erkendelse af at deres sikkerhedsforanstaltninger ikke er gode nok, og de i stedet har valgt at satse på security through obscurity.

Jeg overvejer nu tre muligheder for mit næste træk.

1. Fortæl min bank at jeg ikke stoler på danids sikkerhed og spørge dem hvad jeg bør gøre.
2. Kontakte datatilsynet da danid åbenlyst prøver på at skjule noget.
3. Skrive et svar til danid som lyder noget i retning af:
Jeg tolker dit svar således at I ikke selv stoler nok på jeres sikkerhedsforanstaltninger til at offentliggøre hvordan de virker. Hvordan skal jeg som bruger kunne stole på et system når det eneste jeg ved om det er at producenten af systemet ikke selv stoler på det?
Gravatar #73 - myplacedk
18. okt. 2011 10:30
kasperd (72) skrev:
Det ser jeg som en erkendelse af at deres sikkerhedsforanstaltninger ikke er gode nok, og de i stedet har valgt at satse på security through obscurity.

Det KAN altså også betyde at de gør begge dele. Security by obscurity er KUN et problem, hvis det erstatter noget bedre. Ikke hvis du gør begge dele.

kasperd (72) skrev:
1. Fortæl min bank at jeg ikke stoler på danids sikkerhed og spørge dem hvad jeg bør gøre.

Svar: Lev uden netbank. Der er IKKE nok der gør dette, til at det får betydning.

kasperd (72) skrev:
2. Kontakte datatilsynet da danid åbenlyst prøver på at skjule noget.

Datatilsynet gør ikke noget, da det åbenlyst er hemmelige ting de skjuler.

kasperd (72) skrev:
3. Skrive et svar til danid som lyder noget i retning af:

Resultat: De fniser lidt af din overfortolkning.

Din bekymring er reel. Om de har har styr på det, finder vi åbenbart ikke ud af ved at spørge. Skal der gøres mere, er det noget med at få staten til at afgøre, at systemet skal være mere synligt. Du er velkommen til at gøre forsøget, det vil passe mig fint hvis det lykkes.

At de holder nogle ting hemmelig er lidt et dårligt tegn, men ingen garanti. Der er også ting i det banksystem jeg arbejder på, som jeg har lidt lyst til at prale med. Men ud over teknikere som laver en god teknisk løsning, så er der også PR-folk som vil have en pæn front, samt ejere der har det bedst med at der ikke kommer for mange konkrete informationer ud. (Altså om sikkerhedsløsningerne.)

Selvom jeg har en god lås på min dør, så bryder jeg mig alligevel ikke om at folk piller ved låsen, eller for den sags skyld kigger for interesseret på den.
Gravatar #74 - kasperd
18. okt. 2011 12:28
myplacedk (73) skrev:
Security by obscurity er KUN et problem, hvis det erstatter noget bedre. Ikke hvis du gør begge dele.
I den konkrete sag vurderer jeg at den mest sandsynlige forklaring er at de har valgt security through obscurity fordi den bedste løsning de kunne finde på ikke var sikker nok til at tåle dagens lys.


myplacedk (73) skrev:
Selvom jeg har en god lås på min dør, så bryder jeg mig alligevel ikke om at folk piller ved låsen, eller for den sags skyld kigger for interesseret på den.
Det er ikke en relevant sammenligning. Der er tale om en trussel mod brugernes data. Og trusselen vil ikke blot berøre data beskyttet med nemid, men også data lagret på computere som potentielt kan kompromitteres gennem en svaghed i nemid appleten.

Det ville nærmere svare til at myndighederne forbød dig at pille ved låsen på din egen dør.
Gravatar #75 - kasperd
18. okt. 2011 13:14
myplacedk (73) skrev:
kasperd (72) skrev:
2. Kontakte datatilsynet da danid åbenlyst prøver på at skjule noget.

Datatilsynet gør ikke noget, da det åbenlyst er hemmelige ting de skjuler.
Jeg tror datatilsynet er mere seriøse end du antyder. Hvis datatilsynet stiller sig tilfreds med et fuldstændigt indholdstomt svar må næste skridt være at tage fat i sladderpressen eller politikkerne.

Min forventning er at datatilsynet retter henvendelse til danid og at danid bliver nødt til at give datatilsynet et svar.

Jeg har skrevet følgende til datatilsynet:

På baggrund af dette svar har jeg en beggrundet mistanke om at danid ikke har en fyldstgørende procedure for at håndtere sikkerhedsopdateringer til deres applet. I værste fald betyder dette at når der engang bliver fundet et sikkerhedshul i deres applet vil brugernes computere kunne kompromiteres gennem dette sikkerhedshul.

I et sådan scenarie vil data lagret på brugerens computer kunne tilgås af uvedkommende, og data beskyttet af nemid vil sandsynligvis også kunne tilgås af uvedkommende. Og hverken bruger eller nemid har nogen måde at sikre sig at der altid anvendes den nyeste version af appletten.

Hvis min mistanke holder stik mener jeg at danid ikke har overholdt deres forpligtelse til at beskytte brugernes personoplysninger. Og da danid ikke har ønsket at afkræfte min mistanke ser jeg mig nødsaget til at rette henvendelse til datatilsynet.


Emailen indeholdt også en kopi af mit spørgsmål (se starten af denne tråd hvis I har glemt spørgsmålet) og den seneste email fra danid.
Gravatar #76 - Mnc
19. okt. 2011 11:48
kasperd (72) skrev:
Jeg overvejer nu tre muligheder for mit næste træk.

1. Fortæl min bank at jeg ikke stoler på danids sikkerhed og spørge dem hvad jeg bør gøre.
2. Kontakte datatilsynet da danid åbenlyst prøver på at skjule noget.
3. Skrive et svar til danid som lyder noget i retning af:
Jeg tolker dit svar således at I ikke selv stoler nok på jeres sikkerhedsforanstaltninger til at offentliggøre hvordan de virker. Hvordan skal jeg som bruger kunne stole på et system når det eneste jeg ved om det er at producenten af systemet ikke selv stoler på det?

Hvorfor vælge?
Gravatar #77 - kasperd
26. okt. 2011 09:56
kasperd (75) skrev:
Jeg har skrevet følgende til datatilsynet
De har ikke svaret endnu, men ifølge deres hjemmeside er deres mål også kun at de skal nå at svare på 80% indenfor 1-12 måneder afhængig af hvilken type henvendelse det drejer sig om. Jeg ved ikke hvilken kategori dette falder under, men jeg har ikke tænkt mig at vente 12 måneder før jeg rykker for et svar.
Gravatar #78 - kasperd
29. okt. 2011 10:57
Delvist relateret til denne historie kan man så tage et kig på https://www.tinglysning.dk/tinglysning/unprotected... og spørge sig selv hvor lang tid det kan tage at opdage, at man har glemt at få fornyet et certifikat.

Tinglysningen siger at man bare skal ignorere den advarsel man får om at der er et sikkerhedsproblem, og fortsætte alligevel.
Gravatar #79 - Mnc
29. okt. 2011 11:24
kasperd (78) skrev:
ignorere den advarsel man får
Serious site is serious...
Gravatar #80 - arne_v
30. okt. 2011 02:05
kasperd>

Har du nogle gode eksempler på hvad andre firmaer gør ved dette problem (signeret kode hvori der efter publisering findes en sikkerheds fejl)?
Gravatar #81 - kasperd
30. okt. 2011 11:34
arne_v (80) skrev:
Har du nogle gode eksempler på hvad andre firmaer gør ved dette problem (signeret kode hvori der efter publisering findes en sikkerheds fejl)?
Jeg har ingen eksempler for java applets. Men jeg kender eksempler for software som installeres på brugerens computer.

Det meste kode som afvikles fra et website kører i en sandkasse, hvorfra det ikke kan foretage angreb der rækker ud over det site det kører på.

Der er selvfølgelig både tilfælde hvor man pga. fejl i sandkassen kan bryde ud eller pga. xss og lignende fejl kan angribe andre sites, men for disse fejl er der en metode til at opgradere softwaren.

Sandkassen implementeres i software installeret på brugerens computer, og når brugeren har installeret en opdatering fra det software repository kan en angriber ikke tvinge brugeren til at køre en ældre udgave.

Java appleten downloades til gengæld hver gang den skal bruges, og man er nødt til at stole på at et ondsindet website vælger den nyeste version og ikke en ældre sårbar udgave.

Jeg kender ingen metode til at løse dette problem med signerede java applets, og det gør Danid tilsyneladende heller ikke.
Gravatar #82 - T-Hawk
30. okt. 2011 12:10
kasperd (81) skrev:

Jeg kender ingen metode til at løse dette problem med signerede java applets, og det gør Danid tilsyneladende heller ikke.


Det kunne ikke tænkes at der kun var adgang til at hente den nyeste udgave af appletten?
Gravatar #83 - kasperd
30. okt. 2011 13:25
T-Hawk (82) skrev:
Det kunne ikke tænkes at der kun var adgang til at hente den nyeste udgave af appletten?
Appletten hentes ikke direkte fra danid, den hentes fra det enkelte site der anvender nemid. Hvis et ondsindet site ønsker at misbruge et hul i appletten vælger det site selvfølgelig den version som hullet ligger i.
Gravatar #84 - arne_v
31. okt. 2011 00:34
kasperd (83) skrev:
Appletten hentes ikke direkte fra danid, den hentes fra det enkelte site der anvender nemid.


Nope.

Den hentes fra applet.danid.dk - ihvertfald de banker som jeg har checket!
Gravatar #85 - kasperd
31. okt. 2011 08:54
arne_v (84) skrev:
Den hentes fra applet.danid.dk - ihvertfald de banker som jeg har checket!
Du har ret, jeg lod mig forvirre af denne lettere vildledende dialog man præsenteres for første gang man bruger nemid.

Det ændrer dog ikke på at den tilladelse man giver til appletten stadig er gældende uanset hvilken webserver man henter den fra. Så et ondsindet site kunne stadig anvende en ældre version.
Gravatar #86 - arne_v
31. okt. 2011 14:07
#85

Medmindre det første apletten gør er at teste på hvor den er hentet fra.
Gravatar #87 - starn
31. okt. 2011 15:23
Er det ikke muligt på en eller anden måde at begrænse applet'ens adgang? F.eks. hvilke filer den må ændre/oprette. Eller skal man ud i at køre browseren/systemet i en sandbox?
Gravatar #88 - arne_v
31. okt. 2011 15:28
#87

Applets er default sandboxede og har ingen adgang til fil systemet.

Men DanID appletten skal have adgang til certfikatet på client PC.

En Java security manager kan sagtens begrænse adgang til et dir eller en enkelt fil.

Jeg ved ikke præcis hvad DanID appletten gives adgang til.
Gravatar #89 - kasperd
2. nov. 2011 11:50
arne_v (86) skrev:
Medmindre det første apletten gør er at teste på hvor den er hentet fra.
Det er en teoretisk mulighed. Det ville ikke løse problemet fuldstændigt, men det ville reducere angrebsfladen betydeligt, da man så ville være nødt til at finde et sikkerhedshul i den kode der undersøger hvor appletten er hentet fra.

Jeg ved ikke nok om java applets til at sige hvorvidt en applet kan se dette og hvorvidt nemid gør det.

arne_v (88) skrev:
Jeg ved ikke præcis hvad DanID appletten gives adgang til.
Når man giver appletten rettigheder til at køre får man intet at vide om hvad rettigheder den får. Det får mig til at tro, at den får rettigheder til alt.
Gravatar #90 - arne_v
2. nov. 2011 12:38
kasperd (89) skrev:
Jeg ved ikke nok om java applets til at sige hvorvidt en applet kan se dette


Det kan den.

kasperd (89) skrev:
og hvorvidt nemid gør det.


Det ved jeg saa heller ikke.
Gravatar #91 - kasperd
10. nov. 2011 00:02
Det er nu godt tre uger siden jeg skrev til datatilsynet for at høre deres holdning. Og det er knap en uge siden jeg rykkede for et svar. Jeg har ikke hørt noget endnu.

Til gengæld er der andre som har fået mere opmærksomhed da de demonstrerede et mitm angreb http://www.version2.dk/artikel/politisk-flertal-vi...

Måske det er på tide man finder ud af hvem der kommer til at står for den kulegravning, så man kan sikre sig at mit spørgsmål bliver besvaret.
Gravatar #92 - kasperd
10. nov. 2011 18:49
For præcis en time siden fik jeg et svar fra Datatilsynet som indikerer at min email er blevet sendt videre til Digitaliseringsstyrelsen. Jeg har ingen anelse om hvor længe Digitaliseringsstyrelsen tager om at reagere på sådan en henvendelse.
Gravatar #93 - apkat
10. nov. 2011 22:28
nok mindst lige så lang tid :D
Gravatar #94 - Cloud02
10. nov. 2011 22:32
apkat (93) skrev:
nok mindst lige så lang tid :D
Nok længere tid, for han kan ikke rykke dem for svar :D
Gravatar #95 - kasperd
10. nov. 2011 23:45
Cloud02 (94) skrev:
Nok længere tid, for han kan ikke rykke dem for svar
Datatilsynet fortalte mig da hvilken email adresse de havde sendt den videre til, så jeg kan da sagtens rykke Digitaliseringsstyrelsen for et svar. Men lad os lige give dem en uge til at bekræfte at de har modtaget henvendelsen.
Gravatar #96 - Cloud02
11. nov. 2011 07:19
#95
Du kan også prøve at sende en mail til diverse IT-ordfører og så håbe på at de evt. stiller et §20 spørgsmål på den baggrund.
Gravatar #97 - kasperd
21. nov. 2011 23:27
kasperd (95) skrev:
jeg kan da sagtens rykke Digitaliseringsstyrelsen for et svar. Men lad os lige give dem en uge til at bekræfte at de har modtaget henvendelsen.
Jeg har netop sendt dem en email for at sikre mig at de har alle de nødvendige oplysninger.

Cloud02 (96) skrev:
Du kan også prøve at sende en mail til diverse IT-ordfører
Er der nogen som har forslag til formuleringen af en sådan email? (Det står naturligvis andre frit for at selv sende en sådan email, såfremt I skulle have interesse i sagen).
Gravatar #98 - kasperd
4. dec. 2011 22:45
Jeg er nået frem til at det må være på tide at kontakte IT-ordføreren for et af folketingspartierne. Nu skal jeg bare have formuleret en passende henvendelse. Digitaliseringsstyrelsen ser ikke ud til at være hurtigere til at reagere end nogen af de andre.
Gravatar #99 - arntc
6. dec. 2011 07:28
kasperd (98) skrev:
Jeg er nået frem til at det må være på tide at kontakte IT-ordføreren for et af folketingspartierne. Nu skal jeg bare have formuleret en passende henvendelse. Digitaliseringsstyrelsen ser ikke ud til at være hurtigere til at reagere end nogen af de andre.


Vil du gerne have svar?

Hvis ja - så vent med at sende den til Troels-gate er gået lidt i glemmebogen. Der er ingen der vil svare på kritiske spørgsmål lige pt.
Gravatar #100 - snesman
6. dec. 2011 07:35
arntc (99) skrev:
Vil du gerne have svar?

Hvis ja - så vent med at sende den til Troels-gate er gået lidt i glemmebogen. Der er ingen der vil svare på kritiske spørgsmål lige pt.


Nej, find en måde at kæde det sammen med Troels-gate, (evt noget med it-sikkerhed hos Skat), og send det hele til Fox-news..... PROFIT!
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login