"Overhyped as usual"

Ik heb Security nightmare gestemt, gewoon omdat ik vind dat lekken niet thuis horen!

Dit zou een aanleiding moeten zijn voor hosters en cloud providers om veiliger te gaan werken, zodat ook het benaderen van de lekke cache niet zomaar kan plaatsvinden. Dus betere en veiliger connecties, veiligere (web-, naam- en andere) server configuraties, gebruik van best policies, header security, hashes en nonces, zwakke encryptie afvoeren, en weghalen van retirable en verlaten code, nog beter letten op XSS-Dom insecurity etc. Veiliger certificeringsinstallaties, etc.

Geen http-only cookie kwetsbaarheid meer, geen clickjacking kwetsbaarheid, of lucky13, RC4 etc. etc.

Kijk bijvoorbeeld eens op een willekeurige site door de ogen van Recx Security Analyser -> https://chrome.google.com/webstore/detail/recx-security-analyser/ljafjhbjenhgcgnikniijchkngljgjda?utm_source=chrome-app-launcher-info-dialog en zie waar men nog een heleboel steken laat valen.

Totdat er nieuwe en veilige hardware komt, zullen via deze weg de bulk van de toegenomen eventuele onveiligheid moeten zien op te vangen. Maar dan kun je als hoster niet langer meer wegkomen met meerdere domeinen op een en hetzelfde IP en het feit dat sub-domeinen als bij afraid-dot-org ineens jouw sub-domeinen niet meer zijn.

Ik vermoed dat wat we nu zien de zogenaamde pre-caching via Meltdown/Spectre een samenwerking was tussen chips fabrikanten en bijvoorbeeld een dienst als NSA. Ook dit zero-day gat is nu gelekt. Men zal in die kringen wel even licht hebben lopen "hissen". Even geen vinkje over voor een leuk bonusje of feestje dit keer of business as usual?

Weer 1 van hun mooie plannetjes in duigen. What's next?

Ik twijfelde tussen Overhyped en Business as usual.
Toch maar voor het laatste gekozen. Ik accepteer dat digitale media die aan de buitenwereld is gekoppeld altijd risico's met zich meebrengt.
Zodra of nog voordat deze dreiging zowel in soft- als wel hardware is getackled, dient zich vanzelf wel weer een ander gat of lek tussen de altijd kwetsbare Bits en Bytes aan...onbetwist.

Hadden we niet geleerd, al lang geleden, dat wachtwoorden in je browser bewaren niet zo'n heel slim idee was want nogal risicovol?
Als dit zo'n spectaculaire vonst is, waarom krijgen we er dan geen spectaculaire voorbeelden bij?

Zouden onspectacilair simpele oplossingen dan misschien ook soelaas bieden?
Browsen met NoScript extensie geactiveerd.
Een simpel programmaatje gebruiken om het geheugen wat vrij te maken voordat je suf gaat browsen.

Firefox heeft een wat knullige implementatie van een forget knop.
Wellicht zou het een idee zijn een dergelijk programmaatje je ontwerpen voor je systeem.
Een forget knop in je taakbalk, of 1 die dat elke 5 of 10 minuten automatisch doet?

Cache rommel is altijd al de grootste dreiging geweest voor je privacy, misschien wel goed dat we er nu slimmer en bewuster mee moeten omgaan.
Wat je computer niet onthoudt kan het ook niet verliezen.


* https://www.security.nl/posting/545097/Raspberry+Pi+niet+kwetsbaar+voor+Spectre+en+Meltdown

Het is inderdaad een security nightmare want koppel dit aan de ME interface van Intel en de PSP interface van AMD dan weet je eigenlijk wel dat jouw pc zomaar jouw pc niet meer kan zijn. En daar kun je helemaal niets tegen doen behalve volledig offline gaan. Ik vraag me trouwens wel af hoe het zit als je VNC via een Raspberry PI het internet opgaat, hoe kwetsbaar ben je dan nog? De RPI is niet kwetsbaar voor de bugs maar is helaas wel bagger traag. Beetje downloaden en Netflix streamen zal zeker niet gaan lukken. Bankzaken daarentegen wel.

Het is al meer dan een jaar een 'Security Nightmare', waar de hardware- en software fabrikanten allang van op de hoogte waren.

Men heeft er alles aan gedaan om de lekken te dichten, maar het blijkt niet mogelijk en heeft vastgesteld dat elke hardware die de consument bezit, ongeacht welke OS en/of software pakketen al geinfecteerd is.

Als je alles hebt gevolgd en het nieuws hier leest, dan kan men een patroon en/of verband zien.

Wat is nu het geval...een van de grootste chipfabrikanten, die onder allerlei verschillende namen en aan alle hardware fabrikanten, de 'communicatie chip' levert.

Dus de chip die verbinding heeft met alle interne onderdelen, zoals je CPU, HDD, Bluetooth, WiFi, USB, BIOS enz..enz.. en de verbinding met de buitenwereld maakt, blijkt enorm lek te zijn en ondanks een update/patch niet te dichten is.

En we hebben het niet alleen over pc's en smartphones, maar tevens routers, modems, tablets, gameconsoles, smart tv, domotica enz..

Ik kan uitgebreid gaan uitleggen, hoe men dit oude trucje flikt, dat is onbegonnen werk.

Maar het ligt niet alleen aan die chip, maar het is een samenspel van allerlei factoren en kennis van de gebruiker.

Gezien de meeste gebruikers, maar van alles op hun systemen installeren, is het overzicht ver te zoeken, is men volledig de controle kwijt en weet absoluut niet wat er allemaal op de achtergrond gebeurd.

Hier kunnen de meeste gebruikers niets aan doen, doordat de ontwikkeling zo snel gaat en er teveel van de gebruiker wordt gevraagd.

Gebrek aan kennis, maar dit geldt ook voor de fabrikanten en dienstverleners, zoals Google, Android, Apple, Adobe, Twitter en Facebook bv...want een progje of platform ontwikkelen en up to date houden was geen probleem.

Nu staat de 'veiligheid' en 'betrouwbaarheid' boven aan het lijstje en vallen er veel door de mand, dat men de kennis, mankracht en financiele middelen er niet voor heeft.

En roept men hulp in van het aller grootste IT bedrijf ter wereld en die helpen al decenia iedereen. Nu helemaal.

Nou vraag men zich af, hoe ik dat weet...Nou, Wij...Een groep bevriende hoogleraren en studenten van de UT en ik vrijwillig, volgen deze 'hackers' al meer dan een jaar...

Men weet nog half niet wat er ons allemaal te wachten staat...

Maar samen staan we sterk..;-)

Dan wordt het dus follow de money en kijk waar die zogenaamde chip-versnelling onveiligheid vandaan komt.

Wie is er het eerst met dit idee gaan spelen? Wie heeft het gepropageerd?
Dan komen we misschien uit wat de ware bron van de meeste zero-day onveiligheid van weleer is geweest.
(nu is het immers letterlijk op meerdere plaatsen tegelijk uitgelekt)

Dat zal moeilijk zijn, want eerst kregen Chinese hackers de schuld.
Nu is het weer hype om Russen verantwoordelijk te stellen voor alles en nog wat,
dat er op het westelijk halfrond misgaat

Wie verzint het om alle digitale wereldburgers zowat aan zulke enorme privacygaten bloot te stellen?
Waar gaan de vingers heen. En vijftien jaar oude design flaws nog wel.

Wat moesten die Big Tech CEO's allemaal tekenen en
waar moesten ze op straffe van levenslang zonder proces de slammer in zich aan houden?

Waar is de proliferatie overigens begonnen? TPA of waren het lekkende insiders?

Ik vind het toch wel een security nightmare, omdat het lek al meer dan 20 jaar bestaat en misschien allang is uitgebuit door lieden die er van wisten maar het verder stil hebben gehouden om er zoveel mogelijk van te profiteren.
Verder hebben clouds een probleem, en hoe kan je als gebruiker van een cloud nou zien of de cloudbeheerder alle patches wel heeft geïnstalleerd. De cloudbeheerder vind het misschien overhyped en wil geen performanceverlies.
Het is zo omvangrijk en het kan zo ver gaan, dus ja toch een security nightmare vind ik het.

+ 1

Als je dan alleen al weet hoe verdeeld de meningen zijn ten aanzien van dit onderwerp:
https://www.netkwesties.nl/711/juristen-sterk-verdeeld-over-datagraaien.htm

En we passen dit toe bij de manieren waarop men verdeeld is over het iets minder geborkt maken van onze digitale infrastructuur! Hoe moet het dan gaan om te komen tot een beter gebruik van best policies en een echt transparante veiligheid voor CDNs en in het bijzonder cloud data providers? Trusted computing voor iedereen - is dit haalbaar?

Hoe kan iets veilig zijn als sub-domeinen niet meer de jouwe zijn zoals bij een gratis service van afraid dot org...

Waarom neemt men geen maatregelen tegen inherent onveilig gebleken Autonome Systemen door bij voortzetting van onveiligheid te verspreiden, de hele toko desnoods down te halen, alle onveiligheid te sink holen tot een betere veiligheid is bereikt. Publiekelijk aan de schandpaal nagelen en die incompetentie zooi snel en goed afstraffen.

Reinigen dat moeras, vangen die alligatoren en brodeloos maken desnoods.

Ik ben voor. Wie is er eigenlijk nog ethisch en met een goede moraal bezig, wanneer men tegen is?

[x] Overhyped

Verreweg het grootste deel van die cache wordt gevuld met font data.

Zal niet helpen tegen deze bug.


Het gaat er niet om wat er nu in staat, maar wat een aanvaller er in zet. Lees het leuke artikel van Bert Hubert op dit forum, waar hij de principes van de bug op een vereenvoudigde manier uitlegt.

Een security nightmare is het in elk geval niet. Dat zou het pas zijn als er geen oplossing voor beschikbaar is, of dat je kunt verwachten dat er steeds weer bugs zullen opduiken. (zoals bij Java en Flash)

Anderen gaan anders met het hypen weer volop verder, ook wat betreft het gebruik van de juiste javascript code.
Er komt een nieuw soort "purisme" op, bijkans als religieus gedrevenen ;)

Tabs versus spaces of wel of niet de ; (semicolon) gebruiken. Ook komt de grotere veiligheid van volledig gecompileerde code tegenover het interpretatie model weer om de hoek kijken.

Security through obscurity is m.i. geen oplossing, nooit geweest en moet derhalve worden afgewezen (obfuscatie, cloaking).
Pas op men gaat dit vast weer in zekere zin hier proberen.

Ik denk in dit geval van het juist blokkeren van verzoeken en bepaald 3rd party code script al een heel eind kan helpen.
Wat niet geladen wordt, kan je ook niet in je k*nt komen bijten later, lijkt me.

Heel veel ligt ook buiten bereik van de gebruiker en de veilig opererende codeur, zoals het handhaven van veiligheid bij hoster, provider, CDN e.d. "That's out of our hands", tenzij we kiezen met onze beurs open of dicht te doen.

Op dat niveau moeten we gaan vertrouwen op het nemen van de nodige maatregelen voor een nog veiliger connectie, best policies toepassen en security headers en betere security monitoring. De man op het kissie naast het rack zal het wel weer moeten doen. (Nogmaals dank aan hen die in alle stilte Nederlands infrastructuur veilig weten te houden, chapeau).

De hardwarematige oplossingen komen pas veel later. We moeten echt wat gaan doen wil de eindgebruiker niet verder vogelvoer worden voor staatsacteurs, cyber snoopers en commerciële profilers, trackers, datagraaiers en malcreanten.

luntrus