Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Waarom zou ik de CA's vertrouwen die in mijn OS zijn meegeleverd?
21-02-2015, 20:20 door Anoniem, 5 reacties
Naar aanleiding van de recente Lenovo- en de minder recente Diginotar affaire heb ik de vraag. Waarom de OS leverancier zou moeten bepalen welke Certificat Authorities vertrouwd zijn en welke niet. Hoe kan een eindgebruiker bepalen wat safe is en wat niet. M.i zou er een consument moeten kunnen nagaan of het certificaat dat uitgegeven is een door instantie, bijvoorbeeld de bank of digid, vertrouwd kan worden of niet. CA trust is nu te veel een security professional feestje, verificatie zou voor een eindgebruiker ten minste mogelijk en begrijpelijk moeten zijn. Graag hierover jullie mening en ideeen.
Reacties (5)
Omdat je geen keus hebt. Namelijk, als jij het maar zou wagen jou onwelgevallige CAs uit de CA store te verwijderen, dan zal windows die bij de eerstvolgende keer dat er naar updates gekeken wordt stilletjes weer terugzetten.
Daarnaast is het gevolg voor certificaten gesigneerd door onbekende CA dat je een zeurpopup krijgt waar je doorheen zal klikken want anders kom je niet verder, en dan is de betreffende CA ook goedgekeurd.
Als je nu zou concluderen dat het systeem onwerkbaar en onrepareerbaar is, dan is die conclusie correct, nog versterkt door allerlei "gebruiksvriendelijke" constructen die eromheen gebouwd geworden zijn.
Daarnaast is het gevolg voor certificaten gesigneerd door onbekende CA dat je een zeurpopup krijgt waar je doorheen zal klikken want anders kom je niet verder, en dan is de betreffende CA ook goedgekeurd.
Als je nu zou concluderen dat het systeem onwerkbaar en onrepareerbaar is, dan is die conclusie correct, nog versterkt door allerlei "gebruiksvriendelijke" constructen die eromheen gebouwd geworden zijn.
21-02-2015, 23:00 door
Erik van Straten
Ik ben het volstrekt eens met de TS, er is veel te weinig transparantie. Maar het is niet zo dat OS- en browserleveranciers bepalen wat goed voor jou is, eerder dat ze niet willen discrimineren. Er zijn bepaalde normen opgesteld; als een CA aangeeft daaraan te voldoen is het daarmee klaar. Het is ondoenlijk om hen allemaal te controleren; de branche wordt geacht dat zelf te doen. Zie https://cabforum.org/.
Lastig is wel dat Windows dynamisch (on the fly) ontbrekende rootcertificaten kan downloaden op het moment dat die ontbreken. Lastig is ook dat je niet zomaar weet welke certificaten noodzakelijk zijn om Windows zelf, en Microsoft Update, betrouwbaar te laten functioneren.
21-02-2015, 22:19 door Anoniem: Omdat je geen keus hebt. Namelijk, als jij het maar zou wagen jou onwelgevallige CAs uit de CA store te verwijderen, dan zal windows die bij de eerstvolgende keer dat er naar updates gekeken wordt stilletjes weer terugzetten.
Dat is waar, maar als jij root certificaten naar de "untrusted" store kopieert of verplaatst, worden ze, meen ik, niet verwijderd. En, als ik me niet vergis, is untrusted "leidend".Lastig is wel dat Windows dynamisch (on the fly) ontbrekende rootcertificaten kan downloaden op het moment dat die ontbreken. Lastig is ook dat je niet zomaar weet welke certificaten noodzakelijk zijn om Windows zelf, en Microsoft Update, betrouwbaar te laten functioneren.
Nooit een voor geinstalleerd systeem kopen, of pc schoon maken en zelf vanaf een cd installeren.
Dus partities en mbr verwijderen, dan schoon installeren.
Op grc.com kun je kijken of er iets niet klopt, maar is niet eenvoudig.
Dit kan ook gebeuren binnen een bedrijf, dus dat admin de certificaat wijzigd, en dus alles mee kan kijken.
Ik gebruik zelf linux, en je hebt dan veel vrijheid, en ze installeren geen rotzooi op je pc, geen spyware, geen toolbars etc.
Dus jij en de gebruikers bepalen zelf wat er in de toekomst gebeurt, als iedereen blijft kopen, dan vraag je zelf erom.
De gebruikers die ik op linux hebt gezet, zijn zeer tevreden, en zeggen hadden we dit maar eerdere gedaan.(meeste weten niks van pc's)
Ik kom ook gebruikers tegen die steeds 2 virusscanners hebben lopen, niks weten, vrienden in de it zeggen inux is voor gevordere gebruikers, steeds werkt de mail niet, ik wil niet overstappen. Ze doen maar.
Dus partities en mbr verwijderen, dan schoon installeren.
Op grc.com kun je kijken of er iets niet klopt, maar is niet eenvoudig.
Dit kan ook gebeuren binnen een bedrijf, dus dat admin de certificaat wijzigd, en dus alles mee kan kijken.
Ik gebruik zelf linux, en je hebt dan veel vrijheid, en ze installeren geen rotzooi op je pc, geen spyware, geen toolbars etc.
Dus jij en de gebruikers bepalen zelf wat er in de toekomst gebeurt, als iedereen blijft kopen, dan vraag je zelf erom.
De gebruikers die ik op linux hebt gezet, zijn zeer tevreden, en zeggen hadden we dit maar eerdere gedaan.(meeste weten niks van pc's)
Ik kom ook gebruikers tegen die steeds 2 virusscanners hebben lopen, niks weten, vrienden in de it zeggen inux is voor gevordere gebruikers, steeds werkt de mail niet, ik wil niet overstappen. Ze doen maar.
Als topic starter bedank ik jullie voor je bijdragen, met name de link naar cabforum.org heeft een voor mij tot nu toe onbekend aspect geopend. De wereld van CA's is voor de niet security professional schimmig en onduidelijk. Je moet maar hopen op voldoende zelfreinigend vermogen van de OS- en browserleveranciers. Windows of Linux is hierin niet van wezenlijk belang, Het gaat erom welke CA's vertrouwd worden, Voor een rogue CA is opname in de trusted CA list dus interessant. Gezien het feit dat auditors die toezien op de betrouwbaarheid van CA's deels dezelfden zijn als instanties die belasting ontduiking faciliteren is mijn vertrouwen daarin niet onbeperkt. Wie betaald, bepaald....
23-02-2015, 21:32 door
bjoa66
Als topic starter bedank ik jullie voor je bijdragen, met name de link naar cabforum.org heeft een voor mij tot nu toe onbekend aspect geopend.
De wereld van CA's is voor de niet security professional schimmig en onduidelijk. Je moet maar hopen op voldoende zelfreinigend vermogen van de OS- en browserleveranciers. Windows of Linux is hierin niet van wezenlijk belang, Het gaat erom of je als eindgebruiker op een eenvoudige wijze kan controleren of een CA te vertrouwen is. Voor een rogue CA is opname in de trusted CA list interessant.
Gezien het feit dat auditors die toezien op de betrouwbaarheid van CA's deels dezelfden zijn als instanties die belasting ontduiking faciliteren is mijn vertrouwen daarin niet onbeperkt. Wie betaald, bepaald....
De wereld van CA's is voor de niet security professional schimmig en onduidelijk. Je moet maar hopen op voldoende zelfreinigend vermogen van de OS- en browserleveranciers. Windows of Linux is hierin niet van wezenlijk belang, Het gaat erom of je als eindgebruiker op een eenvoudige wijze kan controleren of een CA te vertrouwen is. Voor een rogue CA is opname in de trusted CA list interessant.
Gezien het feit dat auditors die toezien op de betrouwbaarheid van CA's deels dezelfden zijn als instanties die belasting ontduiking faciliteren is mijn vertrouwen daarin niet onbeperkt. Wie betaald, bepaald....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
