Månad: mars 2021

28 mars, 2021

#117 – Pentests and the economy (In English)

Episode: #117 – Pentest och ekonomi (eng)
Recorded: 2021-03-26 (published 2021-03-28)
Participants: Erik Zalitis and Simon Roe (Outpost24)
This episode is brought to you by SIG Security.

Listen to the episode

Things to ponder while listening

This text and the podcast is in English as mr Roe is a native English speaker.

So where to begin? I will assume you know what penetration testing means. Instead I will try to interpret Simon’s ideas and counter them with my own. I agree with much of what he says, but have some other experiences on some occasions.

Simon likes to talk about the future of pentesting by comparing it to Netflix. Instead of a lengthy negotiation of terms and prices, only to be told ”we will be able to start in eight weeks”, it should be a formalized process and little waiting times. This will mean that recurrent testing with short intervals can be done.

A common process is that you tell the customer that this is a 10 hour test or we need 40 hours. Simon rather tells you that this is what you get for x hours. He also believes that the customer should be able to see the tentative finding as the test runs and then fix them and ask the tester to retest within the tests original time frame.

Let’s first talk about where I agree with him:

The tests must be more formalized. Pentesting used to be long winded negotiation and suffer from some ”rockstar hacker” mentality. The testers were seen as super talented hackers that could warrant the exorbitant pricing. This is thankfully over now. The prices of testing is slowly decreasing as it should and there are many frameworks for testing available. Simon may talk about a Netflix (”Click to order”) approach, but for me it looks more like the ”order a new server by calling the customer manager” as opposed to the modern ”click a button to provision a new server on Amazon AWS”. I’m 100% with Simon here.

The reports and status should be available on a portal. This can make the process of delivering the bad news more secure, so the company gets the report and not some opportunistic hackers. The portal must have very heavy security and also feature automatic destruction of data and multifactor authentication not to say auditing.

Where I have other views on the matter

He wants to publish results on the portal as the test proceeds and also let the tester re-test (as I wrote previously). This is not something I would do. The rationale is that test must be allowed to finish before analysis can be done. Also, remember, we have a limited amount of testing hours. Retesting within those will consume time from completing the principal attacks properly. Also, I believe it will not give the customer a chance to understand the underlying problems before fixing them.

Then when it comes to the negotiation of the time frame, I see it a little bit differently.

I believe the correct approach to decide a time frame for testing is:

  1. Get the size of the environment to be tested.
  2. Build attack scenarios (e.g. Unauthenticated attack followed by a authenticated attack against…)
  3. Decide knowledge profile (White/Gray/Black hat)
  4. Decide location (e.g. On premises, over VPN or from the Internet)
  5. Decide the type of attacks (e.g. injections, buffer overruns, but not DDOS)
  6. Calculate a reasonable amount of time for the planned attack given the factors above
  7. If the customer wants to shorten the suggested time frame, it’s not a problem, but will yield less results.

This means, the test can be properly defined and accepted.

To sum it up, I like the idea of optimizing the pentesting procedures in order to make it behave like any other service you purchase and believe that Simon’s ideas are a good way to step in exactly that direction.

But what about going even further? I have an idea too:

Create a governing body for pentesting that oversees the process. It should be voluntary for testing companies to join, but can be used to prove that ”we’re a part of the international ethical hacker congress” (or whatever such an organization may be called). Part of the organisation can be making sure testers work, plan, attack, report and negiotiate jobs in a very similar way. The may create tools, procedures and provide a things like templates for reports and automatic data exports so reports from different testing companies can be loaded into an application to compare and summarize them. Some may think that ISC2 or ECCouncil could do this, but I think a large scope is needed for this.

Errata

  • None at this time. Please comment below if you find something that needs correction.
21 mars, 2021

#116 – Hur säker är en Mac?

Smaskens… Finns det möjligen någon form negativ åsikt om Mac här?

Avsnittet: 116 – Hur säker är en Mac?
Inspelat: 2021-03-19 (publicerat 2021-03-21)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Datorkriget har börjat. Dags att stå på varsin sida och vråla om hur den andra sidan är dumma och dåliga. Men vi är inte så intresserade av att se ner på Apple eller någonting annat. Möjligen kanske bilden ovan ger den känslan, men vi försöker istället ställa upp Apples säkerhet mot dagens hot och jämföra med hur Windows/Linux/Android har hanterat den allt tuffare världen vi lever i.

Förr brukade många Apple-användare skratta åt alla virus (ok, ”skadlig kod”) som plågade Windows-sidan och kommentera att ”MAC inte behöver något antivirus-skydd”. Men nu har ju Apple infört XProtect, som liknar ett virusskyddsprogram i MacOS. Och deras Gatekeeper ser till att du inte laddar ner opålitliga program hur som helst. Det känns rent spontant som Apple tvingas komma ikapp Windows vad det gäller inbyggda skydd.

Däremot är Apples hårdvara redan rejält moderniserad. Det finns secure boot, fulldisk-kryptering och teknologier för att enbart pålitlig kod får ladda vi uppstart. Så Apple är ju inte direkt omoderna vad det gäller säkerhet, men mekanismerna för att skydda användarna från att göra dumma saker känns bitvis lite efter. Och Apple ger åtminstone mig ett lite yrvaket intryck.

Sen har vi ju diskussionen om gamla hederliga programvaror/applikationer och ”appar”. De sistnämnda körs i en sandbox som hindrar dem för att prata med saker de inte borde få prata med. Men skyddet mot vad vanliga gammelmodiga applikationer får göra i Windows och MacOS är inte så starkt. Detta är svårt att genomföra och kanske ett problem vi snart blir av med, eftersom apparna långsamt håller på att ta över.

Jag pratar också om ”Mandatory Access Controls”, vilket förvirrande nog också kallas MAC. Men detta skydd är tyvärr inte så vanligt. I Linux har man AppArmor som är ett manifest eller en ”constrainment profile”, som det heter där, som deklarerar vad programmet eller tjänsten faktiskt får göra. Stöd för liknande finns givetvis i Windows, Android och Apples produkter, men används inte fullt ut och ej heller helt konsekvent.

Yup. Vem släppte in vargen i hönshuset?

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
14 mars, 2021

#115 – Supply Chain Cyber Security med Jonas Lejon

Ovanligt glad trots alla IT-säkerhetsproblem på nätet… Eller kanske just därför…

Avsnittet: #115 – Supply Chain Cyber Security med Jonas Lejon
Inspelat: 2021-03-12 (publicerat 2021-03-14)
Deltagare: Mattias Jadesköld, Erik Zalitis och Jonas Lejon
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Allt är ju elände som vanligt. Nu kan man inte ens lita på att den där hemliga kryptotelefonen, superavancerade servern eller programvaran är pålitlig även om man skaffat den genom en trovärdig leverantör. Supply chain-attacker handlar om att flytta attacken till leverantörssidan, så det du köper levereras ”för-hackat”.

Många fick säkert kaffet i vrångstrupen när nyheterna vrålade ut att Huawei installerat ”ris-kornsstora” spionchip i servrar de sålde. Det visade sig inte vara sant, men för många var det ett sent uppvaknande och en insikt om att saker kan levereras i ett olämpligt skick. Och det är inget nytt. På 90-talet lyckades en tidning leverera ett virus genom en diskett som följde med tidningen. Därefter har vi hört om virus på USB-stickor direkt från affären ett antal gånger.

Förr kanske det var vanligt att detta var ett misstag, men numera är det nästan garanterat att det är ett medvetet drag. Och leverantören själv kan vara helt oskyldig. I detta avsnitt, som är ett samarbete mellan oss och SIG Security, pratar vi om Sky ECC-attacken, Solarwinds-hacket och diverse andra kända supply-chain-attacker med Jonas Lejon.

Jonas driver en egen blogg (kryptera.se), utför penetrationstester och håller föredrag om IT-säkerhet.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

7 mars, 2021

#114 – 5G och IT-säkerheten

Matrs Mägiste från Telia är veckans gäst i IT-säkerhetspodden och berättar om just IT-säkerhetsaspekten på 5G.

Avsnittet: 114 – 5G och IT-säkerheten
Inspelat: 2021-02-26 (publicerat 2021-03-07)
Deltagare: Mattias Jadesköld, Erik Zalitis och Mats Mägiste.

Lyssna på avsnittet

Medan du lyssnar

Så, det blir alltså snabbare, mindre fördröjningar och fler funktioner! Nice, men hur är det med IT-säkerheten? Det är ju alltid det som sitter på den andra sidan av gungbrädan och flyger i en vacker båge över huvudet på funktionsidan som väger bly när den sätter sig på sin sida.

Men Mats Mägiste tror att säkerheten faktiskt är något man tagit hänsyn till här. Dock måste vi gå igenom de vanligaste frågetecknen om teknologin, varesig de handlar om säkerhet eller inte.

Så här är några av frågorna:

  • Är 5G något som märker skillnad på när vi väl börjar använda det?
  • Har vi skapat ett nytt sätt att ge hackarna enorma, dynamiska botnät?
  • Är strålningen farlig?
  • Hur är det med nät-neutraliteten?
  • När kommer vi få teknologin på bred front?
  • Vad får utländska aktörer för makt över våra nätverk när 5G införs?
  • Hur påverkar 5G oss som arbetar med IT-säkerhet?

David Jacoby skräder dock inte orden, vad det gäller 5G:
https://www.youtube.com/watch?v=tuWKYCoCiv4&t=1920s

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
Scroll to top