Focus op veiligheid – OpenPGP in Thunderbird, Veiliger tls-certificaten
Na 21 jaar komt er binnenkort eindelijk OpenPGP-ondersteuning rechtstreeks in Thunderbird. Mozilla, Apple en Google korten de geldigheidsduur van tls-certificaten in. En uit onderzoek blijkt dat mensen zelden hun wachtwoord wijzigen na een datalek. Deze en andere beveiligingsnieuwtjes lees je in Focus op veiligheid.
Koen Vervloesem
OpenPGP-ondersteuning in Thunderbird 78.2
Mozilla heeft van zijn e-mailclient Thunderbird de langverwachte versie 78 vrijgegeven. Langverwacht omdat dit de eerste versie zou zijn met OpenPGP-ondersteuning ingebouwd. Maar helaas heeft deze ondersteuning wat vertraging gekregen. Ze staat nu op de planning voor Thunderbird 78.2, dat hopelijk tegen dat je dit leest bijna uit is. Voorlopig heb je dus nog altijd de extensie Enigmail nodig om OpenPGP-ondersteuning aan Thunderbird toe te voegen, en die werkt alleen samen met de oudere versie Thunderbird 68. Voor wie e-mails wil versleutelen en digitaal ondertekenen en versleutelde boodschappen van anderen wil lezen en verifiëren in de nieuwe Thunderbird, is het dus nog eventjes wachten. Maar gezien de bug report 22687 met titel “OpenPGP support” in Bugzilla al 21 jaar open staat, zullen die enkele maanden extra toch geen probleem zijn, niet?
Rust in de Linux-kernel
Google-ingenieur Nick Desaulniers, die werkt aan het compileren van de Linux-kernel met Clang en LLVM, stelde voor de Linux Plumbers-conferentie een sessie voor over ondersteuning van de programmeertaal Rust in de Linux-kernel. Josh Triplett van het Rust-ontwikkelaarsteam was onmiddellijk voor, en zei zelfs dat de ontwikkelaars zullen bekijken welke wijzigingen er in Rust nodig zijn voor gebruik in de Linux-kernel. Rust is een systeemtaal zoals C, maar is veiliger omdat de compiler heel wat vaak gemaakte fouten uitsluit. Linus Torvalds liet eerder al weten dat het kernelteam aan het kijken is of Rust een alternatief voor C zou kunnen zijn voor onderdelen die niet van de centrale kernel deel uitmaken, zoals drivers.
Veiliger tls-certificaten
Mozilla, Apple en Google zijn van plan om hun Root Store Policy te updaten zodat tls-certificaten geen 825 dagen meer geldig zijn, maar slechts 398 dagen. Bij het bezoeken van een website waarvan het tls-certificaat na 1 september uitgegeven is en meer dan 398 dagen geldig is, zul je een certificaatwaarschuwing krijgen. Door de geldigheidsduur te verminderen, zullen we sneller veiliger certificaten verkrijgen. Zo duurde het uitfaseren van md5-gebaseerde ondertekeningen maar liefst vijf jaar omdat tls-certificaten toen vijf jaar geldig waren. Bij sha-1-gebaseerde ondertekeningen duurde het uitfaseren drie jaar, omdat tls-certificaten toen drie jaar geldig waren. Een geldigheid van iets meer dan een jaar kan een toekomstige uitfasering van een zwak algoritme dan ook sneller doen verlopen. Een certificaat op het einde van de geldigheidsduur vernieuwen is ook minder disruptief dan een certificaat op een ongepland moment intrekken.
Mensen wijzigen zelden wachtwoord na datalek
Onderzoekers aan Carnegie Mellon University en Indiana University Bloomington wilden weten of mensen hun wachtwoorden wijzigen na een datalek bij een website waar ze een account hebben. Dat bleek dik tegen te vallen. Ze onderzochten de wachtwoorden van 249 mensen. Daarvan hadden 63 een account op een domein waarop ingebroken was. Van die 63 veranderde slechts 33% hun wachtwoord, binnen de 3 maanden na de aankondiging zelfs maar 13%.
Gemiddeld waren de nieuwe wachtwoorden 1,3 keer sterker dan de oude, maar de meeste waren even sterk of zelfs zwakker. Bovendien leken de nieuwe wachtwoorden heel sterk op andere wachtwoorden van de slachtoffers, en slechts weinigen veranderden ook hun wachtwoorden op andere websites, zelfs al gebruikten ze daar hetzelfde gecompromitteerde wachtwoord of een dat er sterk op lijkt. De conclusie: na een datalek moet er veel sterker en herhaaldelijk gecommuniceerd worden over het belang van het wijzigen van je wachtwoord, ook de op andere websites hergebruikte wachtwoorden.
Nieuwe beveiligingsdistributies
Er zijn weer nieuwe versies uitgekomen van enkele Linux-distributies voor beveiligingsspecialisten. In BlackArch Linux 2020.06.01 zijn meer dan 150 nieuwe tools toegevoegd. Wicd om een draadloos netwerk te kiezen is vervangen door het grafische programma wifi-radar en het commandlineprogramma wifi-menu. Onder de motorkap van de distributie voor pentesters draait Linux-kernel 5.6.14. Overigens is er dankzij Serverion een nieuwe mirror in Nederland voor BlackArch Linux. Network Security Toolkit 32 is gebaseerd op Fedora met Linux-kernel 5.6.15. De distributie heeft nieuwe webpagina’s om Wireshark- en tshark-conversaties te bekijken, voor de nieuwe Kismet Wireless Surveillance, en nog vele andere toepassingen. De beschikbare netwerk- en beveiligingstoepassingen hebben ook een upgrade gekregen.
Nieuwe versies van Tails en Tor Browser
In Tails 4.8 is de Unsafe Browser standaard uitgeschakeld. Een aanvaller kan immers een beveiligingskwetsbaarheid in een andere toepassing uitbuiten om een onzichtbare Unsafe Browser op te starten en zo je ip-adres te lekken. Dat wil je natuurlijk niet in een Linux-distributie die je speciaal draait om anoniem te blijven op het Tor-netwerk. Maar de Unsafe Browser is in sommige omstandigheden nodig, bijvoorbeeld als het netwerk vereist dat je inlogt via een captive portal. Dan dien je de Unsafe Browser dus tijdelijk in te schakelen. Verder heeft allerlei software een upgrade gekregen, en de Linux-kernel is bijgewerkt naar versie 5.6.0, wat een betere hardwareondersteuning oplevert. Ook het Tor-project heeft een nieuwe release: Tor Browser 9.5 focust zich op gebruikers helpen om onion-services te begrijpen. Webmasters kunnen nu met een http-header aangeven dat hun website ook via een .onion-adres bereikbaar is. Als je in Tor Browser de optie Onion Location hebt ingeschakeld, krijg je de eerste keer dat je zo’n website bezoekt de vraag of je vanaf nu altijd automatisch de .onion-versie wilt bezoeken. De Tor Browser laat nu ook toe om authenticatiesleutels voor onion-services op te slaan en te beheren. Verder zijn de icoontjes in de adresbalk en de foutboodschappen bij het bezoeken van onion-services verbeterd.
En verder
Na meer dan een jaar is er nog eens een nieuwe versie van Dropbear uitgekomen, de SSH-server voor embedded Linux-systemen. Dropbear 2020.79 ondersteunt rsa-sha2-ondertekeningen en ed25519-sleutels voor hosts en gebruikers. Een volgende versie van OpenSSH zal de ondersteuning van RSA met SHA-1 stopzetten. LibreSSL 3.2.0 schakelt tls 1.3 aan de serverkant standaard in. En Hashcat 6.0 ondersteunt 51 nieuwe hashalgoritmes en is verder geoptimaliseerd. Zo kan het met bcrypt gehashte wachtwoorden 45% sneller kraken. Apple biedt met zijn project Password Manager Resources een opensource verzameling van wachtwoordregels en gerelateerde informatie waarvan wachtwoordbeheerders gebruik kunnen maken bij het genereren van wachtwoorden. Google maakt zijn netwerkscanner Tsunami opensource. Deze maakt gebruik van tools zoals nmap en ncrack om kwetsbare systemen op je netwerk te vinden. De kerneldriver wg van WireGuard is in OpenBSD geïmporteerd en zal in OpenBSD 6.8 zijn opwachting maken. En talloze organisaties maken zich zorgen over het Open Technology Fund dat opensourceprojecten financiert die voor een veiliger internet zorgen. De geldkraan zou omgebogen worden naar closedsourceprojecten.
