SIG Security

16 maj, 2021

#124 – Cyberpsykologi – en grundsten i riskhantering

Avsnittet: 124 – Cyberpsykologi – en grundsten i riskhantering
Inspelat: 2021-05-14 (publicerat 2021-05-16)
Deltagare: Mattias Jadesköld, Erik Zalitis och Robert Willborg
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Nu har vi ju många gånger sagt att social engineering är den mest kraftfulla attacken mot ett företag. Alltså att lura folk att hjälpa dig läcka ut deras data, ta över deras system eller helt enkelt gör det du säger till dem att göra. Inga brandväggar skyddar mot sådant.

Vi har talat om hur insiderhoten ser ut, så nu är det dags att diskutera riskhanteringen i frågan: alltså hur hanterar du risken som dina användare kan vara? Cyberpsykologi! Alltså att se våra mänskliga beteenden som en viktig del i riskmodellering och hantering.

Detta kan verka självklart och till och med floskelvarning, men det är skillnad på att säga att det är viktigt gentemot att faktiskt skapa policies, arbetsmetoder och sköta riskerna konsekvent genom att se psykologin som en central faktor. Alltså, fråga dig själv detta: hur ofta bryr du dig om att tänka på säkerhet ur ett psykologiskt perspektiv?

A) Ibland om det känns bra,
B) Har väl gjort det någon gång.
C) Vi gör inte det idag. Men vi tänker på att införa det.
D) En gång gjorde jag det… Låt mig berätta om detta tillfälle… Allt jag vet om IT-säkerhet bygger på denna händelse.
E) Vi gör det idag och har en plan där alla delar är byggda så att vi tar hänsyn till hur människor tänker och agerar.

Allt annat än E) är att inte inte göra någonting alls.

Det är också viktigt att inte skapa personberoenden, att se till att IT-avdelningen inte blir den sura grindvakten som säger ”Nej” till det mesta, att förstå men inte acceptera att folk pinkar in revir, få bort ”my little server”-administratörerna som hellre startar ett krig mot IT-avdelningen än att bli av med den där servern som de har under skrivbordet.

Men var är säkerheten i detta? Svaret är att det blir säkrare när folk känner att de är delaktiga i att följa policies, acceptera att de inte kan få behålla sina höga behörigheter utan att det finns en anledning och att man gör instruktioner och utbildningar som är lätta att förstå och ta till sig.

Att använda cyberpsykologi är att kunna bygga en organisation som faktiskt arbetar mot att hålla en högre säkerhetsnivå rent allmänt.

Diskussionen kommer också in på frågan om hur vi gör när vi anställer folk. När vi tittar på deras bakgrund, är det konstigt om det inte finns några avtryck på nätet? För en 60-åring? Kanske inte? För en 20-åring? Ja, det är mer rimligt att det borde finnas.

Sen är moral och vad vi ser som varningstrianglar när vi tittar på andra personer också något som förändras över tiden. Bill Clinton vågade inte erkänna att han ”rökt på”, så han sa ”I smoked, but did not inhale”. Detta gjorde att han klarade den, för den tiden, kontroversiella frågan. I slutet av 2006 fick Obama också frågan och sa med humor i rösten: ”I inhaled frequently…that was the point.”. Vid den tiden och med tanke på Obamas ungdomliga framtoning, var det inte längre ett problem.

Länkar

Rekommenderade böcker inom cyberpsykologi:
Mary Aiken: The Cyber Effect
Christopher Hadnagy: Social Engineering, the art of human hacking
Patrik Wincent: Den Digitala Drogen
Yasmin Winberg och Julia Lundin: Badfluencer
Kevin Mitnick: The art of Deception
Kevin Mitnick: The art of Intrusion

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
3 april, 2021

#118 – Praktiska råd efter Schrems II

Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Sanningen smärtar….

Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?

Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.

Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
28 mars, 2021

#117 – Pentests and the economy (In English)

Episode: #117 – Pentest och ekonomi (eng)
Recorded: 2021-03-26 (published 2021-03-28)
Participants: Erik Zalitis and Simon Roe (Outpost24)
This episode is brought to you by SIG Security.

Listen to the episode

Things to ponder while listening

This text and the podcast is in English as mr Roe is a native English speaker.

So where to begin? I will assume you know what penetration testing means. Instead I will try to interpret Simon’s ideas and counter them with my own. I agree with much of what he says, but have some other experiences on some occasions.

Simon likes to talk about the future of pentesting by comparing it to Netflix. Instead of a lengthy negotiation of terms and prices, only to be told ”we will be able to start in eight weeks”, it should be a formalized process and little waiting times. This will mean that recurrent testing with short intervals can be done.

A common process is that you tell the customer that this is a 10 hour test or we need 40 hours. Simon rather tells you that this is what you get for x hours. He also believes that the customer should be able to see the tentative finding as the test runs and then fix them and ask the tester to retest within the tests original time frame.

Let’s first talk about where I agree with him:

The tests must be more formalized. Pentesting used to be long winded negotiation and suffer from some ”rockstar hacker” mentality. The testers were seen as super talented hackers that could warrant the exorbitant pricing. This is thankfully over now. The prices of testing is slowly decreasing as it should and there are many frameworks for testing available. Simon may talk about a Netflix (”Click to order”) approach, but for me it looks more like the ”order a new server by calling the customer manager” as opposed to the modern ”click a button to provision a new server on Amazon AWS”. I’m 100% with Simon here.

The reports and status should be available on a portal. This can make the process of delivering the bad news more secure, so the company gets the report and not some opportunistic hackers. The portal must have very heavy security and also feature automatic destruction of data and multifactor authentication not to say auditing.

Where I have other views on the matter

He wants to publish results on the portal as the test proceeds and also let the tester re-test (as I wrote previously). This is not something I would do. The rationale is that test must be allowed to finish before analysis can be done. Also, remember, we have a limited amount of testing hours. Retesting within those will consume time from completing the principal attacks properly. Also, I believe it will not give the customer a chance to understand the underlying problems before fixing them.

Then when it comes to the negotiation of the time frame, I see it a little bit differently.

I believe the correct approach to decide a time frame for testing is:

  1. Get the size of the environment to be tested.
  2. Build attack scenarios (e.g. Unauthenticated attack followed by a authenticated attack against…)
  3. Decide knowledge profile (White/Gray/Black hat)
  4. Decide location (e.g. On premises, over VPN or from the Internet)
  5. Decide the type of attacks (e.g. injections, buffer overruns, but not DDOS)
  6. Calculate a reasonable amount of time for the planned attack given the factors above
  7. If the customer wants to shorten the suggested time frame, it’s not a problem, but will yield less results.

This means, the test can be properly defined and accepted.

To sum it up, I like the idea of optimizing the pentesting procedures in order to make it behave like any other service you purchase and believe that Simon’s ideas are a good way to step in exactly that direction.

But what about going even further? I have an idea too:

Create a governing body for pentesting that oversees the process. It should be voluntary for testing companies to join, but can be used to prove that ”we’re a part of the international ethical hacker congress” (or whatever such an organization may be called). Part of the organisation can be making sure testers work, plan, attack, report and negiotiate jobs in a very similar way. The may create tools, procedures and provide a things like templates for reports and automatic data exports so reports from different testing companies can be loaded into an application to compare and summarize them. Some may think that ISC2 or ECCouncil could do this, but I think a large scope is needed for this.

Errata

  • None at this time. Please comment below if you find something that needs correction.
6 december, 2020

Show Notes för #103 – GDPR 2.0 med Agnes

Avsnittet: #103 – GDPR 2.0 med Agnes
Inspelat: 2020-11-27 (publicerat 2020-12-06)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.

8 november, 2020

Show Notes för #99 – Hur blir man hackad med David Jacoby

Med tanke på ämnet, kanske vi skulle skratta och le mindre. #kränkt #hackingärseriöst #nördvarniung

Avsnittet heter #99 – Hur man blir hackad med David Jacoby
Det spelades in 2020-11-01 och lades ut 2020-11-08.
Deltagare: Erik Zalitis och Mattias Jadesköld
Detta avsnitt är ett samarbete med SIG Security.
Show notes skrivna av Erik Zalitis.

Någon vitsig typ föreslog att vi skulle byta titeln till ”Hur man blir hackad AV David Jacoby”. Och det vore onekligen en roligare rubrik. Så till avsnittet…

Jag startade Rodecastern några minuter i fyra söndagen den 1 november 2020 efter att ha fått kontakt med David som sprang runt i sitt hus med sitt headset på. Vi kom att prata i 90 minuter, men någonstans måste man ju dra en gräns, så avsnittet är knappt 60 minuter. Bland det bortklippta i detta videosamtal finns när jag fick se Davids alla Amigor, C64or och Ataris som fanns i källaren. Han har också ett antal BBS:er som man kan ”ringa” till via telnet också.. Otroligt häftigt.

Snacket kom dock att handla om hans jobb som ”evangelist” och jag försökte ta reda på om det är teknikerroll som också gör dig till en säljare. Det håller inte David med om, utan påpekar att han istället vill prata om säkerhetsproblem och lösningar med en publik som inte vill ha en djup teknisk beskrivning, utan snarare en aha-upplevelse.

David håller inte heller riktigt med om att han är ett varumärke själv. Men hans evangelism sätter faktiskt både honom och hans arbetsgivare, Kaspersky, på kartan. Han har synts i TV-program, hörts i poddar och uttalats sig offentligt i IT-säkerhetsfrågor. Det är vad evangelismen innebär i stora drag, eller vad han ser som en viktig del av den.

Här är attacktyperna vi diskuterade och som David rankade efter hur allvarliga de är just nu:

  • Phishing.
  • Attachment (skadlig kod i bilagor).
  • Sårbarheter (Buffertöverskrivningar).
  • Fake-antivirus och uppdateringar.
  • Social engineering.
  • DoS (Denial of service).
  • XSS, CSRF (session hijacking).

Två frågor som han ställde till mig var:

  • Hur mycket får jag köpa din Facebook-sida för?
  • Hur tror du pass blir stulna?

Ska inte avslöja något om svaren, men de är väldigt intressanta och visar hur hackare tänker och hur annorlunda det är mot andra personer.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Davids arbetsgivare, Kaspersky:
https://www.kaspersky.se/

Vårt förra avsnitt med honom:
https://www.itsakerhetspodden.se/podcast/46-david-jacoby/

Presentation av honom hos Kaspersky:
https://www.kaspersky.se/about/team/david-jacoby

En riktig jobbigt typ att ge hemelektronik till är han också:
https://www.expressen.se/nyheter/david-jacoby-hackade-sin-hemelektronik/

Allt detta gjordes möjligt att SIG Security:
https://www.sigsecurity.org/

Davids hemsida för de som inte är helt fast i sociala medias garn:
http://www.davidjacoby.se/

31 maj, 2020

Show Notes för #78 – Digitalisering

En sammanbiten min, som bara den som har sett framtidens IT-säkerhet i en allt mer sammankopplad värld, kan ha. Det är en spännande och skrämmande verklighet och vi kan inte fly den.

Avsnittet heter 78 – Digitalisering
Det spelades in 2020-05-18 och lades ut 2020-05-31.
Deltagare: Mattias Jadesköld, Erik Zalitis och Pernilla Rönn.
Show notes skrivna av Erik Zalitis.

Detta är ett samarbete med SIG Security.

”Må du leva i spännande tider” sägs vara ett citat med gamla Kinesiska anor. Detta är troligen inte alls historiskt korrekt, men i talesättet ligger en del mörker. Det ska enligt vad jag förstått var en förtäckt önskan om olycka till en fiende. Hur det än är med den saken, lever vi faktiskt i ”spännande” tider och framtiden är både en stor möjlighet och ett stort hot.

Pernilla Rönn, som började sin karriär i branschen 1994, höll nyligen föredraget ”THE DIGITAL TRANSFORMATION SETS NEW REQUIREMENTS ON CYBER SECURITY” för SIG Security och här berättar hon om vilka utmaningar vi står inför när vi får den uppkopplade staden där allting står i ständig kommunikation med allting annat. Vad är då kraven på vår Cybersäkerhet när detta nu börjar hända?

Den digitala staden – påminner om Super Pipeline.

Det handlar egentligen om just vilka krav den nya digitala transformationen ställer på oss och samhället och givetvis hur de möjliggör en säkrare framtid.

Det är rätt självklart att alla involverade organisationer måste tänka om och modernisera sitt arbetssätt. Ordet för dagen är ”DevSecOp” som jag kallar för ”an army of one”, med en liten nickning till USAs arme som har just detta motto. Pernilla menar att alla i hela organisationen måste arbeta med säkerhet, vilket kommer få den där utpekade säkerhetsavdelningen att på sikt i någon mån faktiskt försvinna.

1994 när hon började, var medvetenheten om IT-säkerhet låg och det var i stora drag inte ens en fråga.

Länkar

SIG Security, vår eminenta samarbetspartner:
https://www.sigsecurity.org/

Hennes föredrag (tyvärr, ni har missat det!):
https://www.sigsecurity.org/fokus-kvall-21-4-virtuell-den-digitala-transformationen-staller-nya-krav-pa-cybersakerheten-risker-och-mojligheter-med-det/

Scroll to top