ich habe mir letztens einen Vortrag zu privacyIDEA angehört und muss sagen das ich es echt cool finde. Versuche bei der Arbeit noch das Produkt ein zu bringen.
privacyIDEA ist eine sehr gute Lösung für Mehrfaktor Authentifizierung, das Produkt wird gepflegt, ist aber leider bisher in viel zu wenigen Distributions Repositories vertreten. Fremdquelleninstallation ist bei einem so sensiblem Thema, wie Authorisierung, eher die schlechtere Wahl/Idee. Da das Thema Mehrfaktor Authorisierung immer wichtiger wird, ist auch bei uns in der Firma die Einführung einer Mehrfaktor Authorisierung Lösung für das erste Quartal 2017 geplant.
Das ist ein sehr interessanter Aspekt. Fremdquelleninstallation. Vertrauen. Updates. Deswegen kannst Du das ganze ja auch in einer Enterprise Edition mit Update-Subscription und SLA bekommen.
Von blablabla233 am Mo, 10. Oktober 2016 um 00:31 #
Was u.U noch schlimmer sein kann wenn es eine Amerikanische Firma ist die einem Bundesdienst Tuer und Tor aufmachen muss, das ist bei einer Distri wenigstens noch eine Kontrollinstanz mehr. Bei Fremquellen musst Du so oder so vertrauen, ein Fremdpacket kann so ziemlich alles mit deinem System machen, da kommt es auf die Sensibilität des Packets nicht drauf an.
Das stimmt natürlich - bloß nicht in diesem Fall. privacyIDEA ist open source. Insofern kann eine Firma da keine Tür und Tor aufmachen, weil eine Firma, die da Dienstleistung erbringt, nichts hat, was nicht sowieso verfügbar ist. Außer den Kunden Kontaktdaten. Weiterhin liegt die open source Entwicklung für privacyIDEA federführend in Deutschland (Disclaimer: meine Firma) und ebenso der Support. Insofern musst Du Dir bei dem privacyIDEA Code wohl weniger Sorgen machen als bei dem darunterliegenden Linuxsystem selber, weil Du da nicht mehr den Überblick hast, wer da seine Finger im Spiel hast. ...nur so, wenn wir schon die Aluhüte aufziehen
PS: Das ganze ist Python. D.h. Du könntest sogar auf Deinem produktiven System den Code wie er installiert ist und läuft direkt einem Audit unterziehen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 10. Okt 2016 um 07:10.
Von blablabla233 am Mo, 10. Oktober 2016 um 14:33 #
Packet auf FirmenMirror mit Backdoor versehen, mit FirmenKey signieren basta. Die chance dass Du das Packet Dekompilierts oder dessen Funktion mit dem "originalen" Source-code vergleichst ist extrem minimal.
Von blablabla233 am Mo, 10. Oktober 2016 um 14:38 #
Mit der Alutuette hast Du natürlich recht, ich meinte auch nur dass man einem "Enterprise-Packet" nicht mehr vertrauen sollte als der Distro seiner wahl im Gegenteil, sie wissen wer der Abonnent ist und können ganz gezielt manipulieren.
Ich glaube man muss aufpassen, dass man die Distributionen da nicht so sehr glorifiziert. Wenn ich mir anschauen, wie aufwändig es ist, manche etwas komplexere Software (konkret hier 2FA) in eine Distribution reinzubekommen, weil sich keiner der Sache annehmen will (die haben auch nur alle 24h Stunden am Tag), da bin ich etwas ernüchtert, dass die Distributionspakete immer so die tollsten sind. Sie können zu alt sein oder schlecht paketiert, weil sie eben nicht vom eigentlichen Developer paketiert sind. Ich würde das pauschal also nicht unterschreiben, dass die Distributionspakete immer die bessere Wahl sind. Du musst außerdem in dem Fall dem originalen Entwickler vertrauen und auch noch dem Distributionspaketierer. Sind also auch mehr beteiligt. Weiterhin glaube ich nicht, dass ein der Distributionsmaintainer eines Paketes sich den Code tatsächlich anschaut. D.h. ein Angreifer könnte auch schon vorher Backdoors eingebaut haben. Die Vergangenheit hat ja auch gezeigt, dass es solche Fälle tatsächlich gibt. Entweder fällt dem Paketierer Sicherheitslücken nicht auf (wie denn auch) oder der Paketierer patcht selber welche rein.
Es ist also die Frage, wie Du in einer sensiblen Umgebung einen vertrauenswürdigen Softwarestand erreichst. Und nur auf die Distri zu vertrauen ist nicht notwendiger Weise der Königsweg.
Von blablabla233 am Di, 11. Oktober 2016 um 10:51 #
Absolut korrekt, Packetierer koennen natuerlich auch nicht jede upstream aenderung untersuchen, aber eine zusaetzliche Kontrollinstanz ist es trotzdem...ohne Garantie. In wirklich sensiblen Umgebungen gibt es heute fast nur noch eine Möglichkeit, weg vom netz.
Dass du hier mit "Aluhüten" anfängst, ist ja nicht sehr vertrauenerweckend, falls du wirklich mit der Entwicklung von privacyIdea zu tun hast
Nach all den Enthüllungen der letzten Jahre Leute mit Sicherheitsbedenken in die Aluhut-Träger-Ecke zu stellen, sollte sich eigentlich erledigt haben. Erst recht für jemand, der angeblich aus der Sicherheitsbranche stammt.
Von blablabla233 am Di, 11. Oktober 2016 um 10:58 #
Ich glaub nicht dass er das so meinte, privacyIdea ist halt nur ein Glied in einer laaaangen kette im Betriebssystem dem man vertrauen muss/kann/sollte? Aber dass ist genau ein Grund weshalb ich OpenBSD so gut finde, sauberen klaren und nahezu Fehlerfreien Code im Grundsystem (die Pkg's sind eine ganz andere Frage wo wohl etwas wie AlpineLinux wohl sinnvoller ist)
Mir geht es hier darum, Sicherheitsbedenken zu relativieren. Ich habe übrigens auch einen Aluhut in der Schublade! ;-) Ganz einfaches Beispiel: Was passiert denn heute im Bereich der Zwei-Faktor-Authentifizierung? Du nimmst DUO oder einen anderen Service. Das wird auch im Unternehmensnetzwerk ernsthaft in Erwägung gezogen! D.h. Du hast nicht nur die Software nicht unter Kontrolle sondern auch gar nicht die Authentifizierungsentscheidung. Da sprechen wir noch gar nicht von Bugs und Hintertüren - da ist das Konzept eine einzige Hintertür!!!! Dann werden gerne Smartphones verwendet. Die nicht an sich nicht vertrauenswürdig sind, sondern deren Rollout-Prozess (Google Authenticator) total anfällig ist. D.h. sich über Hintertüren in einer Open Source Software Gedanken zu machen, da hat man 99% der Menschheit und auch der DAX-Unternehmen schon weit hinter sich gelassen! ;-) Ich habe das auch nochmal in dem oben erwähnten Vortrag dargelegt. https://www.youtube.com/watch?v=96_v5MJRSY8
Aber jeder kann auch gerne auf dem installierten System den laufenden Code reviewen...
ich habe mir letztens einen Vortrag zu privacyIDEA angehört und muss sagen das ich es echt cool finde.
Versuche bei der Arbeit noch das Produkt ein zu bringen.
privacyIDEA ist eine sehr gute Lösung für Mehrfaktor Authentifizierung, das Produkt wird gepflegt, ist aber leider bisher in viel zu wenigen Distributions Repositories vertreten.
Fremdquelleninstallation ist bei einem so sensiblem Thema, wie Authorisierung, eher die schlechtere Wahl/Idee.
Da das Thema Mehrfaktor Authorisierung immer wichtiger wird, ist auch bei uns in der Firma die Einführung einer Mehrfaktor Authorisierung Lösung für das erste Quartal 2017 geplant.
Das ist ein sehr interessanter Aspekt. Fremdquelleninstallation. Vertrauen. Updates.
Deswegen kannst Du das ganze ja auch in einer Enterprise Edition mit Update-Subscription und SLA bekommen.
Was u.U noch schlimmer sein kann wenn es eine Amerikanische Firma ist die einem Bundesdienst Tuer und Tor aufmachen muss, das ist bei einer Distri wenigstens noch eine Kontrollinstanz mehr. Bei Fremquellen musst Du so oder so vertrauen, ein Fremdpacket kann so ziemlich alles mit deinem System machen, da kommt es auf die Sensibilität des Packets nicht drauf an.
Das stimmt natürlich - bloß nicht in diesem Fall. privacyIDEA ist open source. Insofern kann eine Firma da keine Tür und Tor aufmachen, weil eine Firma, die da Dienstleistung erbringt, nichts hat, was nicht sowieso verfügbar ist. Außer den Kunden Kontaktdaten.
Weiterhin liegt die open source Entwicklung für privacyIDEA federführend in Deutschland (Disclaimer: meine Firma) und ebenso der Support.
Insofern musst Du Dir bei dem privacyIDEA Code wohl weniger Sorgen machen als bei dem darunterliegenden Linuxsystem selber, weil Du da nicht mehr den Überblick hast, wer da seine Finger im Spiel hast. ...nur so, wenn wir schon die Aluhüte aufziehen
PS: Das ganze ist Python. D.h. Du könntest sogar auf Deinem produktiven System den Code wie er installiert ist und läuft direkt einem Audit unterziehen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 10. Okt 2016 um 07:10.Packet auf FirmenMirror mit Backdoor versehen, mit FirmenKey signieren basta. Die chance dass Du das Packet Dekompilierts oder dessen Funktion mit dem "originalen" Source-code vergleichst ist extrem minimal.
Mit der Alutuette hast Du natürlich recht, ich meinte auch nur dass man einem "Enterprise-Packet" nicht mehr vertrauen sollte als der Distro seiner wahl im Gegenteil, sie wissen wer der Abonnent ist und können ganz gezielt manipulieren.
Ich glaube man muss aufpassen, dass man die Distributionen da nicht so sehr glorifiziert. Wenn ich mir anschauen, wie aufwändig es ist, manche etwas komplexere Software (konkret hier 2FA) in eine Distribution reinzubekommen, weil sich keiner der Sache annehmen will (die haben auch nur alle 24h Stunden am Tag), da bin ich etwas ernüchtert, dass die Distributionspakete immer so die tollsten sind.
Sie können zu alt sein oder schlecht paketiert, weil sie eben nicht vom eigentlichen Developer paketiert sind.
Ich würde das pauschal also nicht unterschreiben, dass die Distributionspakete immer die bessere Wahl sind.
Du musst außerdem in dem Fall dem originalen Entwickler vertrauen und auch noch dem Distributionspaketierer. Sind also auch mehr beteiligt.
Weiterhin glaube ich nicht, dass ein der Distributionsmaintainer eines Paketes sich den Code tatsächlich anschaut. D.h. ein Angreifer könnte auch schon vorher Backdoors eingebaut haben. Die Vergangenheit hat ja auch gezeigt, dass es solche Fälle tatsächlich gibt. Entweder fällt dem Paketierer Sicherheitslücken nicht auf (wie denn auch) oder der Paketierer patcht selber welche rein.
Es ist also die Frage, wie Du in einer sensiblen Umgebung einen vertrauenswürdigen Softwarestand erreichst. Und nur auf die Distri zu vertrauen ist nicht notwendiger Weise der Königsweg.
Absolut korrekt, Packetierer koennen natuerlich auch nicht jede upstream aenderung untersuchen, aber eine zusaetzliche Kontrollinstanz ist es trotzdem...ohne Garantie. In wirklich sensiblen Umgebungen gibt es heute fast nur noch eine Möglichkeit, weg vom netz.
Dass du hier mit "Aluhüten" anfängst, ist ja nicht sehr vertrauenerweckend, falls du wirklich mit der Entwicklung von privacyIdea zu tun hast
Nach all den Enthüllungen der letzten Jahre Leute mit Sicherheitsbedenken in die Aluhut-Träger-Ecke zu stellen, sollte sich eigentlich erledigt haben. Erst recht für jemand, der angeblich aus der Sicherheitsbranche stammt.
Ich glaub nicht dass er das so meinte, privacyIdea ist halt nur ein Glied in einer laaaangen kette im Betriebssystem dem man vertrauen muss/kann/sollte? Aber dass ist genau ein Grund weshalb ich OpenBSD so gut finde, sauberen klaren und nahezu Fehlerfreien Code im Grundsystem (die Pkg's sind eine ganz andere Frage wo wohl etwas wie AlpineLinux wohl sinnvoller ist)
Mir geht es hier darum, Sicherheitsbedenken zu relativieren. Ich habe übrigens auch einen Aluhut in der Schublade! ;-)
Ganz einfaches Beispiel: Was passiert denn heute im Bereich der Zwei-Faktor-Authentifizierung? Du nimmst DUO oder einen anderen Service. Das wird auch im Unternehmensnetzwerk ernsthaft in Erwägung gezogen! D.h. Du hast nicht nur die Software nicht unter Kontrolle sondern auch gar nicht die Authentifizierungsentscheidung. Da sprechen wir noch gar nicht von Bugs und Hintertüren - da ist das Konzept eine einzige Hintertür!!!!
Dann werden gerne Smartphones verwendet. Die nicht an sich nicht vertrauenswürdig sind, sondern deren Rollout-Prozess (Google Authenticator) total anfällig ist.
D.h. sich über Hintertüren in einer Open Source Software Gedanken zu machen, da hat man 99% der Menschheit und auch der DAX-Unternehmen schon weit hinter sich gelassen! ;-)
Ich habe das auch nochmal in dem oben erwähnten Vortrag dargelegt.
https://www.youtube.com/watch?v=96_v5MJRSY8
Aber jeder kann auch gerne auf dem installierten System den laufenden Code reviewen...