Månad: mars 2020

25 mars, 2020

Ju mer allting förändras…

Vad är detta? Ett inverterat ”purity test”? Ju fler verktyg man kan hantera desto värre är man alltså som person… I alla fall om man är ung… Men det är jag för gammal för att förstå…

Hummm…. En till ”vissa datorprogram är onda och elaka”-diskussion. När jag var ung var det modem som gav problem. Nu är det tydligen Kali Linux!

Innan Internet fanns ju de telefonuppringda BBS:erna, där man kunde uttrycka sig fritt och stort och det sågs inte alltid med blida ögon…

Jag minns hur trötta vi var att höra på när BBSerna anklagades för att vara samlingspunkter för all sköns olagligheter och farliga saker som skulle förleda oss in i ett mörker av ondska och dekadens. Bara det att det aldrig hände. Precis som att popmusiken och det långa håret inte gjorde min fars- och mors generation till satanister. Beatles var den värsta försyndelsen på den tiden. Idag upptäcker generation efter generation deras utmärkta musik.

Om jag vore ung, skulle jag har en Kali Linux i en virtuell maskin på min dator för att lära mig hur det fungerar med sårbarheter och säkerhetsanalyser. Sen skulle jag ha Discord för mina spelsessioner med Fallout och Civlization.

Tor skulle jag köra en kvart, tills jag tröttnade på hur slött det är och gick tillbaka till vanliga Internet.

Varje generation börjar med att sucka över alla äldre som inte fattar vad de håller på med, sen går 20 år och de är själva där och förfasas över allting som verkar nytt och farligt.

Allting vi hade när vi växte upp (TV, radio, bandspelare …) var någonting någon generation ansåg var vägen till fördärvet. Men vi kan inte förstå varför. Men Kali Linux kan vi ju tycka är något som borde förbjudas. Eller hur? Bara onda hackers som kör… Kan vi någon gång sluta vara dumma i huvudet?

20 mars, 2020

När det gått snett i verkligheten inom Open Source

I IT-säkerhetspoddens tredje, och sista, är Linus Karlsson (Security Specialist) från Debricked med oss och pratar om när det gått snett I verkligheten. 

Riskerna att inte uppdatera Open Source och beroende applikationer

Ett vanligt fenomen är dåliga rutiner på att uppdatera sin mjukvara  (eller dependencies som det benämns i avsnittet). Linus tar fallet med Equifax som exempel. 

Equifax är ett stort kreditupplysningsföretag I USA som drabbades av en läckage där 145 miljoner människors information läckte. Ungefär hälften av USAs befolkning. Information som namn, adresser och körskortsuppgifter läckte. 

Grundorsaken berodde på att Equifax nyttjade ett bibliotek, som är väldigt vanlig, som heter Apache struts. Biblioteket används för att skapa webtjänster baserat på Java. 

Trots att Equifax upptäckte sårbarhet i Apache struts tog det ungefär ett halvår innan de presenterade detta. Anledningen vara att biblioteket inte uppdaterats och konsekvenserna blev att Equifax fick sitt varumärke svärtat samt att de fick betala tillbaka oerhört mycket pengar. De fick bland annat erbjuda gratistjänster till sina kunder. 

Om man litar på A, som litar på B, betyder det automatiskt så att man litar på B? 

Linus tar ett annat exempel som är mycket mer sofistikerat och som bygger på just att man litar på sin mjukvara och på så viss även litar på mjukvarans beroende program. 

Den här gången drabbar det registryt NPM, eller rättare sagt Event Stream som är ett populärt paket bland java-script. Paketet gör en väldigt specifik grej, och i just detta fall, strömmar av event. Paketet är oerhört populärt och nyttjas i massor av mjukvara. 

Event Streams skapare blir kontaktad av en okänd person som har ett antal förslag på förbättring och skickade dessa. Allt kändes som att personen agerade i all välmening. Förbättringarna godkändes, men ytterligare en dependencies smögs med. Det syntes men eftersom personen verkade schysst lade man ingen större notis om det, eftersom det inte innhöll något skadligt. 

Men en månad senare uppdaterades just den här dependencies med ny kod. Den här gången skadlig!  

Attacken var väldigt sofistikerad, och riktad, eftersom den skadliga koden aktiverades bara när mjukvaran hanterade Bitcoins. Dessutom om balansen på Bitcoin-plånboken hade hög likviditet. På så vis upptäcktes det inte lika lätt. 

Konsekvenserna är okända men skadliga koden skeppas tillsammans med mjukvara för Bitcoin. 

Hur kan man skydda sig mot detta? 

I första exemplet gäller det givetvis att se till att ha en tydlig patchrutin. Mjukvaran ska vara uppdaterad. Man måste också ha koll på vilka beroenden som finns i mjukvaran och att även dessa är uppdaterade. 

Det andra exemplet är knepigare eftersom det nästan är ett Social Engineering-attack där skaparen av mjukvaran luras att uppdatera sin kod. Ett tydligt svar finns inte riktigt utan det diskuteras fortfarande huruvida det är grundaren som var oansvarig medan en annan stor grupp tycker att man inte kan ha sådana förväntningar på en person som skapat mjukvaran på sin fritid. Dessutom en person som inte har tid att uppdatera mjukvaran längre. 

Vem man ska lita på kanske inte är det viktiga utan mer mekanismen hur man tar in ny mjukvara, och upprätthåller den, i sin kod. 

14 mars, 2020

Om krisen kommer

Ok, kriget verkar lysa med sin frånvaro, men krisen har vi inte undsluppit. Jag minns tiden då Corona bara var ett rätt gott öl i de flestas medvetande.

Sitter med lite prepping just nu. Det handlar om att kolla att man är redo för vår kära lilla pandemi. Vatten? Ok! Värme? Ok! Mat? Ok! Mediciner? Hmmm.. verkar som en del hunnit gå ut sedan jag kollade senast. Plåsterrullen gick ut 2005. Inte jättebra, frågan om den går att använda som vägbeläggning nu.

Mitt i vårt eviga kollande efter IT-säkerhetshot, kom den fysiska verkligheten ifatt oss. Nu är det en världsomspännande pandemi och detta hände nyss. För några veckor sedan var alla lugna, och nu gapar affärerna tomma. Hur hände detta?

Man tror att man har allt redo, särskilt som man preppar vilket jag gör. Men så fort krisen kommer, biter man sig i tungan. Senaste problemet jag upptäckt är hur svårt det är att ladda ner sina favoritpoddar till en USB-sticka. De verkar vilja strömma, men att ladda ner dem kräver en del meckande med webbläsarens F12-konsol. Varför då kan man fundera? Tja, jag har en mediaspelare, passande nog från Kina, som kan spela mp3-filer från en USB-sticka. Om el och Internet försvinner, är det trevligt med några timmars podcasts att lyssna på. MSB låter dig snällt ladda ner allting de har på sin podd, men andra är olika nivåer av jobbiga att få ner. Lite symptomatiskt, vi agerar som om vi trodde att nätet aldrig skulle gå ner eller strula.

För några veckor sedan verkade Itunes krångla. Vi tappade inga lyssnare trots detta, men vi såg att andra appar tog upp och kompenserade för förlusten. Folk laddade ner en annan poddapp och körde vidare. Detta är kanonfint tills den dagen det inte finns något Internet. Då sitter folk och har inte mycket nytta av sina datorer alls.. Känns dumt på något sätt. Vi verkar väldigt lite beredda på någon form av förändring av det vi alltid tycker oss ha haft.

Så två av våra poddavsnitt som troligen är värda att återhöra:

4 mars, 2020

Det där rena mjölet

Internet plus bevakning, är det: 1) säkrare? 2) The Truman show? 3) Båda delarna? Fundera i grupp och säg svaret högt ut i ett tomt rum, så registrerar vi det och återkommer.

”Den som har rent mjöl i påsen, har inget att frukta”. Är det bara jag, eller har det någonsin känts bra att höra? I det finns en anklagelse: att de som är rädda för övervakning också är skyldiga till något. Det man egentligen lägger till är ”för du har väl rent mjöl påsen?”. Ett sådant maktspråk/härskarteknik är svår att kontra. Om man försöker, går man i andras ögon från ”potentiellt skum typ” till ”garanterat paranoid”. Men låt oss försöka hålla diskussionen rationell. Alla organisationer, grupper eller företag kan utöva makt på otillbörliga sätt. Det kan vara av många skäl, men ett skydd är att olika aktörer håller varandra i schack. Lagar och regleringar gör en del av jobbet. Offentlighetsprincipen är en annan. Ingen har okontrollerad makt över allting. Politiker, företagsledare och vanliga personer kan hållas ansvariga för sina handlingar. Med GDPR kan det bli dyrt att bete sig på ett osäkert eller tvivelaktigt sätt. Denna ömsesidiga kontroll håller antalet övertramp nere.

Men så har vi händelserna de sneaste 15-20 åren. Vi har sett inskränkningar och en väg öppnas för ett allt större godtycke i maktutövningen. Det görs givetvis saker för att öka transparensen, men mer gör för att minska den som jag ser det. Övervakningsdebatten är död och begraven sedan slutet av 00-talet och effekterna av den är nu sådana att vi ofta får för oss att det alltid varit just såhär. Nu kommer hemlig dataavläsning upp på bordet. Det är ju också veckans poddavsnitt. och handlar om att polisen kan installera skadlig kod på misstänktas datorer och mobiltelefoner. Juristerna skakar på huvudet och få verkar tycka att det är särskilt vettigt: det som snart blir vardagsmat. Det är ju inte det att man inte borde få modernisera spaningsarbetet utan snarare hur lätt det blir att göra totalt intrång på en persons liv och sedan slira ner för den rutschkana som ”ändamålsglidning” verkar vara. Om tio år är det ju igen ”som det nog alltid har varit” och vi är oroliga över något nytt lagförslag som åtminstone för stunden känns drakoniskt.

IT-säkerhetsområdet är för all framtid ihoptvinnat med brottbekämpning och rätten till privatliv. Hur mycket man än associerar vårt område till SQL-injektioner och buffertöverskrivningar är det så. Hur du än ser på det som nu händer, är det mycket viktigt att du lär dig att förhålla dig till det och inte tittar åt andra hållet. Vi bäddar just nu som vi snart kommer att få ligga… Gilla det eller inte, men så är det.

Facebook Spotify Soundcloud Apple Rss

Senaste avsnitten

Scroll to top