Månad: december 2019

26 december, 2019

Hur blir 2020-talet? Ingen aning…

2020 .. Vad skulle Nostradamus ha sagt? Bara nonsens, antar jag. Det brukar vara så med honom.

Morsan visade mig en bild av hur en tidning på 50-talet trodde att 2000-talets hem skulle kunna se ut. Den visade ett vardagsrum och vi var båda fascinerade över att TVn faktiskt så ut som en riktig platt-TV och satt upphängd på väggen. Det var exakt det enda de fått till rätt. Alla andra saker i rummet hade ett av två problem:

  • De var för radikala gissningar
  • De var för konservativa gissningar

Rummet såg ut som ett typiskt 50-talsrum, alltså en konservativ gissning, och ingenting kändes framtida. Andra idéer var opraktiska saker som idag inte går att bygga eller ingen någonsin tänkte på – man byggde andra, mer användbara prylar istället.

Så nu är vi där igen. Bara för att årtalet känns jämnt och vi kommit på att vi står på randen på ett nytt decennium, så måste alla gissa på vad som händer fram till 2030? Har vi någonsin gjort rätt i detta avseende? Svaret är varken Nostradamus och någon annan kan sägas ha kommit fram med en komplicerad uppsättning gissningar som träffat ens i närheten av facit. Detta glömmer vi nu för resten av inlägget och börjar (kill)gissa helt vilt.

Konservativa gissningar:

Multifaktorautentiseringen tar över och lösenorden försvinner, attackerna fortsätter att bli allt smartare och farligare. För ett tag kommer sociala medier hålla världen i ett järngrepp. Allt blir uppkopplat… Alltså verkligen allt… Livslängderna för varje system går ner och ingenting blir varaktigt. Sårbarheterna blir allt fler trots bättre kodningstekniker. Alla teknologier går upp en Internet (Radio, TV, bilar, flyg, broar)

Normala gissningar:

En ny, disruptiv teknologi kommer ändra precis allt. För tio år sedan var det smarttelefonen. Vad blir det denna gång? Blir det bara en EN ny uppfinning? Allt fler blir uppkopplade, Afrika kommer fram som en allt mer viktig spelare, ivrigt påhejade av Kina. Då och då kommer en charlatan fram och lurar oss att köpa något som till sist bara visade sig var en bluff. Internet kommer helt eller delvis sluta fungera ibland på grund av nya attacker. Det blir troligen mest en irriterande sak än något som kastar oss tillbaka till tidigare epoker. Mynt och sedlar blir ovanliga och fasas ut i stora delar av världen. Övervakningen är överallt och algoritmerna som räknar ut vad vi vill, tänker göra och hur vi kan påverkas blir kompetenta … på riktigt… AI blir bättre och mer effektivt. Vi får se nya attackvektorer som vi aldrig hade kunna gissa. … Och jag har säkert missat alla andra saker som kommer hända.

Radikala gissningar:

Det första maskin-människa-interfacet blir populärt. Det blir på mode att operera in datorer i huvudet. William Gibson får förhoppningsvis uppleva detta och se hur Neuromancer kan se ut i verkligheten.

Vi bygger den första AI:t med lika många (simulerade) neuroner som en människa. Den är inte självmedveten. En världsomspännande katastrof dödar en signifikant del av mänskligheten.

Vansinniga gissningar:

Disco gör comeback och dragspelsmusik blir populärt igen. Den vanliga huskatten evolverar fram tummar och tar över världen.

Vad tror ni? Har jag fel eller har jag fel?

//Erik

11 december, 2019

Dags att gå med i det lila laget?

Go purple team! Go to new places, create new systems… and destroy them…

Som du säkert vet, är det ”blå laget” försvarare och det ”röda laget” attackerare. Dessa färger används ofta när man beskriver en grupp av pentestare som ett ”red team”. Blandar man röd och blå, får man lila. Något lila lag finns ju inte, men detta är något jag vill slå ett slag för.

Om du jobbar med att attackera webbapplikationer, är det en mycket bra sak att ha kunskaper i hur man bygger dessa. Tvärtom är också sant.

När jag första gången byggde ett REST API, visste jag direkt hur det borde byggas för att skydda mot attackerare, eftersom jag har testat andra kunders sådana. Det visade sig vara mycket fördelaktigt att utgå från att man ibland är en anfallare och se om man kan få igenom skadliga anrop i systemet man just byggt. Givetvis kan inte detta ersätta att man låter en oberoende testare gå lös på det senare, men det gör mycket för att höja grundnivån redan från början.

Men om man börjar på det ”blå laget” och bygger system och applikationer, hur blir man bättre på ”red teaming” ? På samma sätt: man vet hur saker fungerar, vilket gör att sårbarheter och attacker helt plötslig blir mycket enklare att förstå. En låssmed är väl förberedd att lära sig bryta sig in i byggnader.

Personligen skulle jag säga att jag inte ens tror att det är möjligt att bli med i det röda laget med mindre än att du kan djup systemadministration och infrastrukturdesign. All programmering, som jag skrev, är av godo här.

Så se till att skaffa dig en djup förståelse av allting som du är satt att attackera. Det räcker inte enbart med mantrat ”tänk som en hackare”, även om det hjälper (det skrev jag ju i ett tidigare blogginlägg!)

4 december, 2019

Ett år i ”etern”

Generisk bild av tårta. Vi spelar in ljud här! Vad vet vi om clipart?

Vårt första avsnitt av IT-säkerhetspodden lades upp utan för mycket fanfar söndagen den 25 november 2018. Det är nu drygt ett år sedan i dessa dagar.

Själva idén till podden verkar ha olika förklaringar beroende på när du frågar oss. Exakt vad som ledde fram till att vi kom på detta är jag inte helt klar på. Men jag hade gjort ett videoklipp där jag förklarade hur man metodiskt felsöker som jag mest minns för mitt stolpiga talande efter manus och min oförmåga att uttala ”Google Chrome” korrekt. Denna gav både mig och Mattias lite blodad tand, eftersom det var han som hade föreslagit att jag skulle spela in inslaget som började som en föredragning av mig inför mina kollegor. Sen hade en annan kollega på vårt gemensamma jobb tidigare drivit en podd. Så det låg liksom i luften på något sätt.

En kväll satt vi på en restaurang och bestämde oss för att hålla en podd live. Den spelades inte in, men vi låtsades att det var på riktigt. Vårt första avsnitt är baserat på vad vi pratade om den kvällen och handlar om virus. Jag börjar med att skämta om att jag hoppas vi plockas upp för sändning, precis som pilotavsnitt av TV-serier används för att övertyga TV-nätverken att köpa en säsong av serien.

Så var vi alltså igång och vi pratade om filterbubblor, DMARC, Zero trust network. Mattias tyckte att vi borde gör intervjuer, vilket vi rätt snabbt insåg var en bra grej. Det både drog nya lyssnare och dessutom fick vi möjligheten att låta andra berätta spännande historier. Intervjuerna, visade det sig snart, blev populära och vi fortsatte.

Det var ganska klart rätt snabbt att vi inte kände att vi var tvungna att hålla oss strikt till ett område och med avsnittet om prepping gick vi till och med utanför vad som traditionellt menas med IT-säkerhet.

Mattias och jag har några gånger stått på scen och pratat om olika ämnen inom IT-säkerheten, vilket gått bra och dragit publik.

Under hösten tyckte vi att vi skulle slå ett slag för historieberättandet och började därför att försöka väva in intressanta berättelser i avsnitten.

Vi har hunnit med att starta ett mycket lyckat samarbete med SIG Security, göra totalt runt 60 avsnitt under denna tid.

Scroll to top