varia

Code signing troubles

Door Blokker_1999 op zondag 29 juli 2018 11:33 - Reacties (7)
Categorie: /var, Views: 2.770

!!! Klein beetje ergernis van de afgelopen weken/jaren van mij afschrijven !!!

Sinds heel wat jaren sta ik voor 1 van mijn hobby projecten in voor het digitaal ondertekenen van de code en installers die we creŽeren. Doordat we bijna dagelijks builds maken hebben we dit werk dan ook geautomatiseerd. Maar het verkrijgen van zo een certificaat en het gebruik ervan wordt met elke iteratie moeilijker en moeilijker.

Toen we hiermee begonnen hadden we via Tucows een certificaat van Comodo gekocht. Comodo is evenwel niet de eenvoudigste als het op verificatie aankomt van je identiteit. Niet alleen verwachten ze dat je een hoop documenten opstuurt, ze willen ook nog eens dat je langs de notaris passeert om deze te laten wettigen. Die man trok nogal een ogen, zoiets had hij nog nooit meegemaakt.

Toen het certificaat na 2 jaar verviel hebben we dan ook even rondgekeken en kwamen we bij Globalsign uit. Voor een gelijkaardig bedrag kregen we een eenvoudigere verificatieprocedure en bijkomend ook nog eens ondersteuning in het Nederlands ipv uit India. Dit is enkele jaren goed gegaan totdat Globalsign besloot om geen code signing certificaten meer te verkopen aan particulieren.

Terug naar Comodo dus, en terug langs de notaris. De eerste keer geen probleem, maar toen het certificaat verviel na 2 jaar ben ik tegen een muur aangelopen. Opnieuw heel de papierwinkel in orde gemaakt, netjes betaald maar ik heb nooit mijn certificaat gekregen. En ook mijn geld heb ik nooit teruggezien. Heel dat probleem heeft ons uiteindelijk meer dan een maand gekost voordat ik doorhad: dit komt niet meer goed. Snel een nieuwe aanbieder gezocht en ditmaal bij Thawte uitgekomen. Eenvoudige procedure (net zoals bij Globalsign), snel doorlopen en we waren weer vertrokken.

Recent naderde dan het einde van dat certificaat en ga je dus weer op zoek naar een nieuw aanbod. Blijkt dat ook Thawte gestopt is met het verkopen van code signing certificaten aan particulieren en als je wat verder kijkt dan vind je dat zo goed als alle aanbieders ermee gestopt zijn. Comodo bleek even de enige die er nog was totdat we bij Certum uitkwamen.

Maar niet alleen zijn de meeste CAs gestopt met de verkoop aan particulieren, het blijkt vandaag ook standaard te zijn om het certificaat om een smartcard te zetten in plaats van een puur softwarematig cert te gebruiken. Dus konden we ook nog eens gaan investeren in een hardware token. Nadat ik het token in ontvangst had genomen moesten we nog wat hordes overwinnen. Het tekenen gebeurd in een virtuele machine die vandaag op Hyper-V staat gevirtualiseerd. Het token heeft een USB aansluiting. Je ziet hem al komen, Hyper-V doet geen USB passthrough. Dit heb ik gelukkig kunnen oplossen met een freeware tooltje van VirtualHere. De gratis versie staat maar 1 USB apparaat toe, maar dat is alles wat ik nodig heb.

Dan heb je je kaartlezer in je VM, software en drivers geÔnstalleerd en dan blijft de software maar melden dat er geen kaartlezer beschikbaar is. Om gek van te worden. Daar ik eerst denk dat het aan de USB passthrough haal ik een oude PC van onder het stof, installeer er snel een Win10 op en merk dat ik daar hetzelfde probleem heb. Het duurt een tijd voor ik de klik maak maar opeens heb ik het.

RDP, verdomde RDP schakelt de smartcards uit op de PCs waarmee je verbinding maakt om dan je eigen smartcards door te geven aan die PC. Microsoft noemt dit een veiligheidsmaatregel. Ik kan er enkele andere, minder leuke namen voor bedenken. Maar het zij zo. Ik installeer snel VNC om mijn theorie te testen. Ik sluit de RDP connectie, start de VNC connectie en kijk, de kaartlezer is gevonden.

Maar nog mag ik niet rusten. Want het nieuwe hardware token heeft 1 groot nadeel ten opzichte van een softwarematige private sleutel. Telkens als ik het certificaat wil gebruiken om te tekenen, moet ik een PIN code ingeven. Begrijp me niet verkeerd. Ik begrijp waarom men hardware tokens is gaan gebruiken. Deze kan je niet zomaar stelen. Maar het maakt het er voor dit type van gebruik niet eenvoudiger op. Gelukkig kwam ik al heel snel een oplossing tegen op het grote internet waarbij men dit probleem had opgelost met AutoHotkey. Deze kan netjes voor je de PIN code ingeven telkens het venstertje naar boven komt.


code:
1
2
3
4
5
6
7
8
9
10
  Loop
  {   
    Sleep 2000
    if (WinExist("Windows Security"))
    {   
      WinActivate ; use the window found above
      SendInput 1234
      SendInput {Enter}
    }   
  }



En zo kunnen we weer 2 jaar verder. Benieuwd welke barriŤre ze in 2020 voor mijn voeten gaan gooien.

“Iedereen kan mailen als Charles Michel of Jan Jambon”

Door Blokker_1999 op zaterdag 28 oktober 2017 13:22 - Reacties (1)
Categorie: /var, Views: 1.573

Computerwetenschapper Jeroen Baert van de KU Leuven heeft na de ophef in Nederland over het ontbreken van spf records op de domeinen van de overheid eenzelfde controle gedaan bij deze van de Belgische overheid en heeft daarna enkele mails aan het persbureau Belga laten zien om aan te tonen dat het ook mogelijk is om mails die afkomstig lijken van het email adres van onze eerste minister te versturen met daarbij volgende opmerking:
Op zich is dit vreemd, het probleem bestaat vermoedelijk al lang, maar is in principe heel snel op te lossen
En dit vind ik zeer vreemd voor een computerwetenschapper. Deze man zou toch moeten weten hoe email werkt en hoe de beveiliging (die er amper is) werkt. Het toevoegen van een SPF record gaat, in tegenstelling tot wat hij tegenover Belga verteld, helemaal niet voorkomen dat een vreemde nog een email gaat sturen die lijkt te komen vanaf een minister. Dit blijft een koud kunstje.
Volgens Baert moeten de operatoren hun ‘spf-record’ in orde brengen, waarmee wordt bepaald wie het e-mailadres mag gebruiken. Mails die die toestemming niet hebben, zouden zo worden geweigerd.
Als het zo simpel was dan hadden we de hoeveelheid spam en de hoeveelheid malware die wordt verdeeld al heel lang kunnen terugdringen. Zoals in het artikel rondom het ontbreken van deze records in Nederland al te lezen viel in de comments is een SPF record nog altijd iets dat gecontroleerd moet worden aan de kant van de ontvanger en niet de verzender. Daarnaast kan de ontvanger er voor kiezen de controle niet uit te voeren of een andere actie ondernemen dan dat de verzender vraagt (bijv. markeren als spam ipv te verwijderen).
Daarnaast zijn er ook weer verzenders die er voor kiezen om een zogenaamde “soft fail” te implementeren door allerhande technische beperkingen en fouten die verderop in de email keten kunnen gebeuren tussen zender en ontvanger en waar geen van de 2 partijen controle over heeft.

Ik vind het dan ook zeer bedenkelijk dat een computerwetenschapper een uitspraak doet over iets in zijn vakgebied waarmee hij de bal heel hard misslaat. Je kan een probleem dat inherent is aan een decennia oud protocol niet zomaar oplossen door een simpel record toe te voegen wat alleen maar zou werken in een ideale wereld. Want als we die ideale wereld hadden, dan hadden we dat record niet nodig. Om nog maar te zwijgen over alle andere beveiligingssystemen die je nog zou kunnen implementeren in mail en waar je ook maar weer moet vertrouwen op de tegenpartij…

Gezocht: partner voor schijnhuwelijk

Door Blokker_1999 op woensdag 26 juli 2017 08:12 - Reacties (31)
Categorie: /var, Views: 10.541

Belastingen in BelgiŽ behoren tot de hoogste ter wereld, en alleenstaanden behoren tot de hoogst belaste mensen in BelgiŽ. Daaruit concludeer ik dat ik vermoedelijk 1 van de hoogst belaste mensen ter wereld ben.

Een voorbeeld?

Heel veel zogenaamde aftrekposten, dat zijn bedragen die je van je bruto wedde aftrekt om zo een lager belastbaar inkomen te verkrijgen, mogen koppels op beide lonen verrekenen. Neem bijvoorbeeld de aftrek voor de lening die je bent aangegaan voor de eigen woning. Hoewel die woning evenveel kost of je nu alleen of met twee woont, je betaalt er als single (met 1 loon) op het einde van de rit meer voor dan als koppel (met 2 lonen). En dit is zo voor de meeste belastingmaatregelen

In de huidige begrotingsonderhandelingen ligt een voorstel op tafel om weer net hetzelfde te doen. Maandag kwam naar buiten dat de regering een belasting van 0,1% wil invoeren op effectenrekeningen maar met een vrijstelling van 200 000 euro. Dinsdag werd verduidelijkt dat deze vrijstelling per partner geldig is. Met andere woorden: ook hier worden koppels weer bevoordeeld. Niet dat ik zoveel geld heb, maar het is weer een zoveelste slag in het gezicht van de single.


Daarom deze oproep: ik ben op zoek naar een partner m/v voor een schijnhuwelijk ten behoeve van een fiscale lastenverlaging. GeÔnteresseerden mogen mij altijd een DM sturen.

Op en top Nederlands?

Door Blokker_1999 op zaterdag 13 februari 2016 10:43 - Reacties (31)
Categorie: /var, Views: 5.631

In de krant kwam ik vandaag een artikel tegen met als ronkende titel "Zeg niet callgirl maar beldel". Ik geef even de intro van het artikel mee:
Vervang lastminutereis door valreepreis, zeg niet airbag maar botsballon en noem een callgirl voortaan een beldel. We moeten af van overbodige Engelse woorden in onze taal. “We zijn onze eigen taal aan het ondergraven”, zegt Frens Bakker, medeauteur van het boek Op-en-top Nederlands
In het artikel gaat men verder in op de verengelsing van onze taal. En hoewel ze daar voor een deel gelijk in hebben (moeten we het echt hebben over kids wanneer we het hebben over onze kinderen?) slaan zij in hun opzet toch wel heel ver door. Bijkomend maken zij trouwens ook fouten tegen de taal die zij zo verdedigen.

Even verder in het artikel lezen wij:
"Maar er zijn heel wat an≠de≠re re≠de≠nen. Zo kun je En≠gel≠se leen≠woor≠den ge≠brui≠ken als smurf≠woor≠den: nie≠mand weet wat ze pre≠cies be≠te≠ke≠nen. Sco≠pe is er zo een≠tje, of in≠put. Door≠dat nie≠mand de exac≠te be≠te≠ke≠nis kent, kun je er ach≠ter≠af nog alle kan≠ten mee uit. Daar≠naast kie≠zen we soms En≠gel≠se woor≠den om≠dat die de be≠te≠ke≠nis af≠zwak≠ken. ‘I love you’ klinkt min≠der be≠la≠den dan ‘Ik hou van je’.”
Met alle respect voor deze heren. Maar het is niet omdat zij de termen scope of input niet verstaan dat deze in het dagelijkse leven ten onrechte worden gebruikt.

Het gebruik de betekenis kunnen uiteraard afhankelijk zijn van context maar een woord als scope betekend meestal gewoon de omvang. Met input bedoelen we gewoon de invoer. We zouden inderdaad gebruik kunnen (en moeten) maken van deze Nederlandstalige woorden wanneer het kan, maar in vele velden zoals de technologie sector is het nu eenmaal gebruikelijk om Engelstalige woorden te gebruiken daar heel de omgeving Engelstalig is. ITers onder ons weten maar al te goed hoe moeilijk het kan zijn wanneer je echt alles gaat vertalen om daarna hulp te gaan zoeken.

Lezen we verder:
Voor≠al de evo≠lu≠tie in het on≠der≠wijs baart hem zor≠gen. “In het ho≠ger on≠der≠wijs wordt steeds meer En≠gels ge≠spro≠ken, waar≠door het niet lan≠ger no≠dig is om de we≠ten≠schap≠pe≠lij≠ke ter≠mi≠no≠lo≠gie in het Ne≠der≠lands bij te wer≠ken. Zo on≠der≠graaf je je ei≠gen taal.”
Maar waarom wil je wetenschappelijke terminologie vertalen naar het Nederlands? Het onderzoek gebeurd meer en meer internationaal en de voertaal bij dat onderzoek is Engels. Ga je later werken Iin je vakgebied dan heb je heel veel kansen dat je met buitenlanders zult moeten communiceren over je vakgebied en dan sta je daar ineens met alleen maar de kennis van de Nederlandstalige termen.

Maar wat me het meeste stoort zijn de alternatieven waar ze mee afkomen. Het is dan ook de titel die me aanzette om het artikel te lezen.

Nemen we bijvoorbeeld het woord callgirl (wat al heel lang in het Nederlands gebruikt word) dan heb je een samengesteld woord waarbij zeker de onafhankelijke woorden geen negatieve bijklank hebben. Ga je dan voor beldel, met alle respect maar dan ben je toch echt iemand aan het beledigen. Een ander alternatief dat ze geven is belnimf. Nimf als in nimfomane persoon? Wat Iis er mis met belmeisje als je dan toch echt een Nederlands woord wenst? Of is het echt de bedoeling er een negatieve klank aan te geven?

En het blijft niet bij dat ene woord. Een onenightstand word een scharrelwip bijvoorbeeld. Als het niet beter kan heren, dan doe je het naar mijn mening beter niet en gebruik je de Engelse term. Een update word een bijtijding (waarom geen opwaardering of bijwerking?) Een babysit een bengelbewaarder, wiegenwacht of oppas (dat laatste kennen we gelukkig wel, die eerste twee?)

Maar men zondigt nog meer. Eigennamen vernederlandst men ook. Het is een mirakel dat ik in heel dat artikel nog geen Apple iFoon zie staan of een Driesterren Melkweg (voor hen die het niet weten, de naam Samsung komt van het Koreaans voor 3 sterren).

Wat men wel doet is bijvoorbeeld de naam Bitcoin vertalen naar webmunt of digimunt. Terwijl we op Tweakers al lang spreken van virtuele munten (of valuta) is de Bitcoin toch echt een naam van 1 van die producten en geen allesomvattende naam. Toegegeven, ik zeg ook wel een Bic tegen een balpen. Een sandwich (vernoemt naar een plaatsje nabij Dover) word ook maar even hernoemd naar een dubbeldekker (even een bus opeten?)

Maar de beste vind ik wel "toep". Hun eigen verzonnen afkorting voor "app". Toep is uiteraard een verkorting van toepassing maar als je dan gewoon al maar de uitleg leest op hun eigen website (op-en-top-nederlands.nl) dan lezen we daar
De regelmatig geactualiseerde woordenlijst is gratis te doorzoeken via de toep Vindpunt. Deze toeppassing (applicatie), werkt op alle platformen en zowel op uw mobiele telefoon als op uw tablet en computer.
Nu lijkt het mij dat applicatie toch echt een Nederlandstalig woord is. Toegegeven, het heeft zijn oorsprong vermoedelijk in het Engels maar we spreken niet over een application, maar een applicatie. Bijkomend staat in diezelfde zin ook het woord tablet en het woord computer. 2 Engelstalige woorden die men blijkbaar zo normaal vind dat men deze niet moet vertalen.

Het mag duidelijk zijn dat de vernederlandsing van deze engelstalige termen niet eenvoudig is, maar laten we het alstublieft op een vriendelijke manier doen zonder dat we aan bepaalde woorden (die objecten, mensen of beroepen omschrijven die wel eens een negatieve bijklank hebben) zomaar negatieve woorden moeten toevoegen en laat ons ook niet overdrijven. Een app is een app en een computer een computer.

DNSSEC en Google open DNS

Door Blokker_1999 op woensdag 30 december 2015 12:21 - Reacties (2)
Categorie: /var, Views: 3.406

Gisteren avond kwamen er via IRC ineens meldingen binnen dat enkele domeinen niet meer bereikbaar waren voor bezoekers. Zowel bevestigingen als ontkenningen kwamen van verschillende gebruikers binnen.

Al snel werd gevonden waar het verschil vandaan kwam: mensen die gebruik maken van Google DNS konden de site niet meer bereiken. Een snelle query op de commandline toont inderdaad aan dat Google niet meer thuis geeft op de vraag:

hans@utopia:~$  dig mtasa.com @8.8.8.8

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mtasa.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48852
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mtasa.com.             IN      A

;; Query time: 73 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:08:00 2015
;; MSG SIZE  rcvd: 35


De reden waarom was evenwel niet onmiddellijk duidelijk. Aan de zone files voor de getroffen domeinen was niets veranderd, andere open DNS servers hadden geen enkel probleem met het geven van de records en ook een snelle controle via een online tool leverde een correct werkende DNS server op (al heb ik wel geleerd dat er nog wat waarschuwingen moeten weggewerkt worden).

Na wat verder zoeken kwam ik op de tool van dnsstuff.com uit en die wist me wel correct te melden waar het probleem zat: Een failure op de datum van het DNSSEC SOA record.
De documentatie die ik gevolgd heb voor het opzetten van DNSSEC had wel de aanbeveling om regelmatig de zone opnieuw te ondertekenen om zone walking te voorkomen (een methode om uiteindelijk alle records in je zone te vinden) maar zij faalden om te melden dat een ondertekende zone sowieso slechts 30 dagen geldig is. Na deze termijn word de digitale ondertekening ongeldig verklaard.

Daar ik DNSSEC op 29/11 heb opgezet is het dus ook logisch dat op 29/12 de geldigheid overschreden word. En Google is zo vriendelijk om vanaf dat moment de data niet meer door te sturen naar de eindgebruiker (wat eigenlijk ook correct is).

Na even snel de zone opnieuw ondertekend te hebben en de zone te herladen krijgen we even later wel van Google een correct antwoord:

 hans@utopia:~$ dig mtasa.com @8.8.8.8

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mtasa.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3995
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mtasa.com.                     IN      A

;; ANSWER SECTION:
mtasa.com.              13794   IN      A       91.121.44.90

;; Query time: 23 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:16:55 2015
;; MSG SIZE  rcvd: 43


Vragen we de DNSSEC data op dan krijgen we ook netjes het moment van ondertekening te zien (onder RRSIG):

 hans@utopia:~$ dig A mtasa.com. @8.8.8.8 +noadditional +dnssec +multiline

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> A mtasa.com. @8.8.8.8 +noadditional +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18718
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;mtasa.com.             IN A

;; ANSWER SECTION:
mtasa.com.              14399 IN A 91.121.44.90
mtasa.com.              14399 IN RRSIG A 7 2 14400 20160129054739 (
                                20151230054739 52103 mtasa.com.
                                hfUnuuCvFK6F6Os+WzQqpQP23EP1xkduPrBTZ4smZmbY
                                Qmc/VR4QqrC8d10oY0loSljig17kWZBU7mlDwYLPMI0F
                                ED7j1RnUgs1KctQc3bVy6p/iXMRkAq7FeD8gWPkiTj7W
                                CKukzEosTLe0WdGC5XkeKD2HF8i4tQlO++X5I9jDmwvK
                                y5Opd9Bbc04SQUfIulQYgNX3bjzNnI8Y9nYWZ2BL4k7D
                                mLSJU98Ps1wo4JFSizzkSJCMdVUPuK2xuDSrD66BzdgX
                                arHkkb5I7lRInq0D6T6Dvn5dAEXRmKsR58SRrOgZ8WxD
                                QhNukrJP6Xkp451DfafJVmhe264url1bWw== )

;; Query time: 492 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:17:56 2015
;; MSG SIZE  rcvd: 351


Lessons learned:

- DNSSEC ondertekende zones moet je regelmatig opnieuw tekenen (time for a cron job)
- Google DNS is 1 van de weinige open DNS servers die een controle uitvoert op de geldigheid van ondertekende zones. Zeker een pluspunt voor Google.