Kodsnack 46 - Korthuset vinglar
2014-04-15 04:49Fredrik och Kristoffer snackar om Heartbleed - den ovanligt allvarliga buggen som nyligen upptäckts i OpenSSL. Därifrån kommer undran varför hela SSL-upplägget med certifikat och rotcertfikat fungerar (snarare inte fungerar) som det gör. Vi hoppas att fler vågar lära sig, experimentera med och rent av utveckla kod omkring kryptering. Vi undrar varför det inte decentraliseras mer. Och så en del om problemen med att spela in sina diskussioner och höra sig själv i efterhand.
Länkar
- OpenSSL - säkerhetsmjukvaran i vilken buggen kallad Heartbleed har upptäckts
- Bruce Schneier - amerikanskt krypto- säkerhets- och integritetsspecialist
- Chuck Norris-memes
- Schneier-memes
- Heartbleed
- Schneiers post om Heartbleed - buggen är elva på tiogradiga skalan
- Schneier om säkerhetsteater på flygplatser
- Fear mongering - att använda rädsla för att påverka
- HTTPS
- Man in the middle-attacker
- Serien XKCD förklarar Heartbleed
- Privata nycklar
- Vad kan man hitta genom att utnyttja Heartbleed? - artikeln jag hittade med de som försökte få ut privata nycklar
- Googles uppdateringar efter Heartbleed
- Twitter säger sig vara opåverkade
- … liksom Facebook
- Men Tumblr säger byt lösenord …
- … precis som Github
- Gotofail
- Koden för Heartbleedbuggen
- Heartbeat-meddelande
- TCP heartbeat
- Bounds check
- Den sedelärande historien om Bobby tables - också från serien XKCD
- Kritik - från 2009 - av hur OpenSSL är skrivet
- GNUTLS - alternativ till OpenSSL, som hade sin egen bugg helt nyligen.
- Rotcertifikat
- Akustikanalys
- Social engineering - social manipulation, att lura människor istället för att överlista eller hitta hål i tekniska lösningar
- Zero-day exploit
- Verktyg för att undersöka om webbplatser åtgärdat buggen
- Heartbleeder - kod för att testa din sårbarhet
- Nyheter om Heartbleed i vanliga tidningar
- DNSSEC - säkring av domännamnsserversystemet
- Kritik mot DNSSEC
- Darwinism
- RSA-kryptering
- CA - certificate authority - utgivare av certifikat
- Napster - tidig fildelningstjänst för musik som stämdes ihjäl
- Bittorrent - känt och välanvänt protokoll för fildelning utan en central server
- Waste
- Winamp - klassiskt mp3-spelarprogram
- Justin Frankel - mannen bakom både Waste, Winamp och Gnutella
- AOL - medieföretaget som förr i tiden var stora på uppringd internetuppkoppling (helst till AOLs egna lilla inhängnad) i USA
- OpenSSH - som inte har något med OpenSSL eller Heartbleed att göra
Händelser efter inspelning
- NSA Said to Exploit Heartbleed Bug for Intelligence for Years - artikel som kom strax efter att avsnittet spelades in
- Bekräftelse att det går att komma över privata nycklar genom att utnyttja Heartbleed