antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #25 geplaatst: 15 april 2018 - 18:46
Ik weet niet of je mij hier mee aanspreekt? Voor de helderheid: in de link naar de lijst van Apple die je post had je zelf kunnen zien dat het Türktrust certificaat verlopen is, dat bedoelde ik.

Het was natuurlijk op Flix bedoeld, die dat certificaat niet kan vinden...

En dat het in december verlopen is, betekent ook dat het zes maanden geleden nog actief was...

Hoeveel "devices" zijn nog niet up-to-date?

Ik neem aan dat jouw machine de laatste versie van alles draait, maar dit artikel gaat over alle toestellen. Je moet dus wat breder denken dan alleen "mijn machine". Is bv. Outlook in een oudere versie van Office op Windows niet kwetsbaar? Volgens Turkish Hack Team, alleszins wel. Door een bug. Ik heb het niet getest en 't is mogelijk dat ze gewoon aan 't pochen zijn, of aan 't liegen, maar het is een feit dat het certificaten systeem gaten vertoont. Gaten zoals Türktrust er jaren één geweest is.

Natuurlijk, je kop in 't zand steken is makkelijker dan nadenken. Jou laptop interesseert geen kat. Maar deze waarschuwing is bedoeld voor mensen in de diplomatie en industrie. En die hebben wel eens handelsgeheimen te beschermen.

En, nee, met alleen een certificaat trek je geen laptop leeg. Maar je kan wel meekijken wat er over dat VPN gaat. Het is niet altijd "leegtrekken"...
geplaatst door: cyrano
I'd tell you a UDP joke but you might not get it.
geplaatst door: HEXDIY
If it ain't broke, don't fix it!
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #27 geplaatst: 15 april 2018 - 20:58
Hoeveel "devices" zijn nog niet up-to-date?

In ieder geval die van jou want anders zou je geen Türktrust meer hebben?  :wink:

Natuurlijk, je kop in 't zand steken is makkelijker dan nadenken. Jouw laptop interesseert geen kat. Maar deze waarschuwing is bedoeld voor mensen in de diplomatie en industrie. En die hebben wel eens handelsgeheimen te beschermen.

Nogal een aanname dat de inhoud van mijn laptop niet interessant is :sneaky2:. Ik steek niet mijn kop in het zand bij dit soort zaken maar probeer er juist over na te denken. En wil vooral een zinnige risico-afweging maken. Een Türktrust certificaat dat op mijn laptop in principe nooit gebruikt zal worden, waarvan de onbetrouwbaarheid (buiten dat eenmalige incident) niet vaststaat is in mijn geval en voor de meeste lezers hier niet echt relevant. Theoretisch potentieel gevaarlijk, dat ben ik met je eens, maar het gaat om het risico in het grotere geheel.

En, nee, met alleen een certificaat trek je geen laptop leeg. Maar je kan wel meekijken wat er over dat VPN gaat. Het is niet altijd "leegtrekken"...

Niet mee eens. Als ik met mijn laptop in China verbinding maak met mijn als betrouwbaar bekend staande VPN provider komt daar geen Türktrust certificaat aan te pas. Bovendien wil een 'fout' certificaat niet zeggen dat er dan zomaar 'meegekeken' kan worden, daar komt wat meer bij kijken. Je maakt hier bovendien de aanname dat er dan nog veel meer onbetrouwbare root certificaten in macOS zouden staan buiten Türktrust? Kijk eens wat minder vaak in die CVE database Cyrano, we verzanden in details terwijl het grotere verhaal veel interessanter is.
Laatst bewerkt op: 15 april 2018 - 21:04 door boiing
geplaatst door: boiing
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #28 geplaatst: 15 april 2018 - 21:06
Bedoel je Tübitak soms?

Het ging over Türktrust (een regel verder in het plaatje in je link). Beiden zijn verlopen en niet meer aanwezig in een up-to-date macOS.
geplaatst door: boiing
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #29 geplaatst: 15 april 2018 - 21:10
Ik denk dat het deze was:

https://www.e-tugra.com/en-us/repository/e-tu%C4%9Fracertificatesandrevocationlists.aspx

Verkregen via EBG Elektronik in Oostenrijk. Een bedrijf in problemen, ondertussen opgekocht door Schneider.

Het doet er eigenlijk niet echt toe. Turkije was maar een voorbeeld. Het punt is dat het certificaten systeem erg kwetsbaar is voor overheden en andere entiteiten omdat er geen enkele vorm van controle op is. Het heeft in het geval Türktrust bijna 10 jaar gekost voordat het geroep uit de sec community gehoord werd door Apple. En natuurlijk niet alleen door Apple. Als ik 't me goed herinner, heeft Microsoft er nog wat langer over gedaan.

Daarbij komt nog het probleem dat niet alle clients de revocation lists volgen.
geplaatst door: cyrano
I'd tell you a UDP joke but you might not get it.
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #30 geplaatst: 15 april 2018 - 21:11
Goed om weten, dank je.
Trouwens, ik had zowel Türktrust als Tübitak al jaren geleden manueel uitgesloten.

Wat veel verontrustender is zijn de berichten van Koerden die bij het binnenreizen in Turkije de ontgrendelingscode van hun laptop en smartphone moeten bekendmaken...
geplaatst door: HEXDIY
If it ain't broke, don't fix it!
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #31 geplaatst: 15 april 2018 - 21:29
Dat het certificaten systeem kwetsbaar is (omdat overheden uiteindelijk als 'betrouwbare' partner worden gezien), daar ben ik het mee eens. Interessant, maar wel belangrijk om het in perspectief te zien. Wat kan er in het ergste geval fout gaan en in hoeverre ben dan je kwetsbaar? Een vertrouwd certificaat van een onbetrouwbare instantie maakt nog niet dat je device wordt gelezen of je verkeer wordt onderschept. Dan moet je ook met een verkeerde provider verbinden of een foute website bezoeken etc.. Daar kun je een hele nieuwe discussie over opstarten.

En HEXDIY, dat is iets heel anders maar verontrust mij ook. Dit lijkt een nieuwe trend te worden, de USA zinspeelt bijvoorbeeld ook op het opgeven van social media inloggegevens als voorwaarde voor het verkrijgen van een visum. Trump kennende lijkt mij dat slechts een kwestie van tijd..
geplaatst door: boiing
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #32 geplaatst: 15 april 2018 - 22:32
Waarschijnlijk omdat je niet goed gekeken hebt...

Als iemand beschuldigt van niet goed kijken en zoeken, sta je eigenlijk best in je hemd als blijkt dat dat ding niet meer bestaat.
geplaatst door: Flix
antw: Alleen 'lege' devices naar China, Rusland, Iran en Turkije
reactie #33 geplaatst: 16 april 2018 - 17:18
Dat het certificaten systeem kwetsbaar is (omdat overheden uiteindelijk als 'betrouwbare' partner worden gezien), daar ben ik het mee eens. Interessant, maar wel belangrijk om het in perspectief te zien. Wat kan er in het ergste geval fout gaan en in hoeverre ben dan je kwetsbaar? Een vertrouwd certificaat van een onbetrouwbare instantie maakt nog niet dat je device wordt gelezen of je verkeer wordt onderschept. Dan moet je ook met een verkeerde provider verbinden of een foute website bezoeken etc.. Daar kun je een hele nieuwe discussie over opstarten.

In het voorbeeld waarvan sprake is, werd dit certificaat al misbruikt om dissident personeel van de stad Ankara te vinden en te ontslaan. Enkele daarvan zijn in de gevangenis beland wegens belediging van Erdogan. Het maakt een MITM aanval een stuk makkelijker. En voor de overheid is een MITM aanval poepsimpel, omdat ze de infrastructuur controleren. Erger, er bestaan speciale routers die dit automatiseren. Zonder certificaat vangen die encrypted data die moet gebrute-forced worden. Met certificaat is het gewoon leesbaar.

Zoals HexDIY al aanhaalt, de Koerden zijn er al op grote schaal slachtoffer van geworden, net als de zogezegde aanhangers van die Islamitische geestelijke uit de USA die achter de zogezegde staatsgreep zou zitten. Ze hebben zelfs een "veilige" chat app gecreëerd om te spioneren. Met dat "bewijs" zijn enkele duizenden ambtenaren, leden van het gerecht, politie mensen en gewone mensen in de gevangenis beland. In een aantal gevallen was het aanwezig zijn van het telefoonnummer van een dissident in je telefoon voldoende om gearresteerd te worden. Sommige van die arrestanten hebben meer dan een jaar in voorarrest gezeten. Heel leuk als alleenstaande moeder zonder familie, of als je een zaak hebt.

Citaat
En HEXDIY, dat is iets heel anders maar verontrust mij ook. Dit lijkt een nieuwe trend te worden, de USA zinspeelt bijvoorbeeld ook op het opgeven van social media inloggegevens als voorwaarde voor het verkrijgen van een visum. Trump kennende lijkt mij dat slechts een kwestie van tijd..

De "Border Control" beschikt al jaren over software om alle devices op korte tijd te kopiëren. Dan moeten ze eventueel nog de encryptie kraken, maar dat schijnen ze in de meeste gevallen ook te kunnen. Er zijn teveel haken en ogen aan encryptie, zodat de modale gebruiker altijd wel ergens een steekje laat vallen.

Saillant is ook dat de Border Control al vele jaren over lezers beschikt voor ID-cards met chip, maar ze niet gebruikt, in tegenstelling tot de kopieer software die erg veel gebruikt wordt. Je zou toch verwachten dat die chips in die ID-cards een doel zouden hebben.

Nog erger is de Senaat. Die hadden ID-cards met de foto van een chip, zonder echte chip. Die betaalden ze ca. 30$ per stk, wat erg veel is voor een kaart met alleen een magneetstrook. Zo'n kaart is door iedere knutselaar te kopiëren. Maar ze dachten dat ze daarmee veilig waren...
geplaatst door: cyrano
I'd tell you a UDP joke but you might not get it.