Texter

30 maj, 2021

#126 – Vad händer efter en cyberattack?

Avsnittet126 – Vad händer efter en cyberattack?
Inspelat: 2021-05-28 (publicerat 2021-05-30)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Kan en organisation som blivit hackad överleva? Svaret från de senaste 20 åren är uppenbart: JA! De kan till och med klara sig bättre och vinna i popularitet. Men det finns några saker som verkar krävas:

  • Att regelbundet kommunicera klart, ärligt och öppet.
  • Visa att man tar situationen på allvar och har en plan för att det inte ska hända igen

Men innan man blivit hackad, då? Vi pratar inte om hur man hanterar den framtida attacken, utan hur man hanterar arbetet efter att dammet lagt sig. Och det är:

  • Ha en plan för hur man ska kommunicera med allmänheten, pressen, myndigheterna och andra intressenter och partners.
  • Se till att ha en enad front inför allmänheten. Ingen personal får uttala sig direkt, utan allt kanaliseras genom utpekade representanter.

En sak vi inte riktigt vet är vad som händer om man blir hackad, går ut och säger att allt är grönt och sedan direkt efteråt blir hackad igen. Det känns rent spontant som en situation utan någon form av lyckligt slut.

… och så Klarna. När vi spelade in avsnittet (fredagen den 28 maj) var inte många uppgifter kända, så vi är av naturnödvändighet ganska sparsamma med dem. När fler detaljer dyker upp kommer vi att samla information. I framtiden, när vi har perspektiv på situationen, kommer vi kunna göra en episod om vad som hände och vad vi lärt oss.

Vi visste redan då att Klarna troligen inte blivit hackade och att det rimligen av självförvållat. Men effekten är ändå snarlik då kundernas information exponeras.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
23 maj, 2021

#125 – Öppna skolplattformen

Så här ser alltså hotet mot Stockholms stads oälskade app ut. Eller är det så? Kanske finns det möjligheter för samarbete mellan parterna. Det är ett lika intressant psykologiskt som tekniskt drama som pågår just nu.

Avsnittet125 – Öppna skolplattformen
Inspelat: 2021-05-14 (publicerat 2021-05-23)
Deltagare: Mattias Jadesköld, Erik Zalitis och Christian Landgren.

Lyssna på avsnittet

Medan du lyssnar

IT-säkerhet, precis som IT i stort, är ofta ett psykologiskt, precis som tekniskt problem och vi talade ju i förra veckan om cyberpsykologi. Men en sak är säker med detta bråk: det var irritation men även en ”can do”-mentalitet som drev fram ”Öppna skolplattformen” som ett svar på den officiella appen från Stockholm Stad. Och det var ovilja till förändring som drev på stadens svar med hot om stämning och försök att sabotera denna uppstickare. Men Christian poängterar att inget av det som de gjort är olagligt. Informationen kontrolleras fortfarande och tillhandahålls av staden. Det är ju bara ett nytt ”ansikte” mot användaren.

I mitt stilla sinne undrar jag vad som händer när Christian och hans medarbetare funderar på att lägga till funktioner i appen. Är detta lämpligt? Kan det misstolkas som att den delen av appen då kommer att vara officiell från Stockholm stad, vilket den inte är. Sådana här saker är känsliga och båda sidor gör bäst i att gå försiktigt fram.

Om det uppdagas ett säkerhetshål i appen som inte beror på Stockholms stad, vem kommer få skulden för det. Både staden och Öppna Skolplattformen kan anses sannolika att fixa de sårbarheter som uppstår. Men förlusten av kontroll för stadens del är nog ganska obehaglig för dem. Detta är lite som när producenter av serier, TV-program och filmer ser hur deras fans skapar egna berättelser med deras karaktärer. Likaledes obehagligt som det är lockande.

Dock är det ganska klart att den öppna skolplattformen är en rejält förbättring gentemot den officiella. Mattias visade mig båda och det är som natt och dag. Den officiella är rörig, funktioner är ologiska och den som inte är haj på datorer och Internet har ingen rolig upplevelse med den.

Öppna skolplattformen kostar idag 12 kronor att köpa och nya funktioner införs kontinuerligt.

Vad det gäller säkerhetsproblemen, beskrivs de två största rätt bra i avsnittet, så jag lämnar den diskussionen därhän. Men det är ändå märkligt hur dessa fel, som är så uppenbara, missats. Tror de behöver ser över sitt säkerhetsarbete i form av pentester, kodgraskning och arkitekturgenomgång.

Vi lever i intressanta tider där ”medborgaraktivism” kan uttryckas såhär konstruktivt, men ändå ha kraften att starkt ifrågasätta myndigheternas monopol på viss typ av verksamhet. Det finns både starka möjligheter men som jag skrev ovan en hel del farhågor.

Sen över till Stockholm stads konsulthaveri. Varför styr de sina konsulter så illa? När man har saker ”in house” och sedan lejer ut dem, blir den kvarvarande it-avdelningen en beställarorganisation. Och en inköpschef/beställare/administratör/it-chef måste ha hårda nypor och ställa krav. Gör man inte det, skriver alla konsulter åtta timmar varje dag oavsett hur mycket i verkligheten jobbat. Timmarna rusar iväg. Detta är extremt svårt att hålla koll på, men styrs av en falsk förhoppning att ta in konsulter bara kräver att man trycker på en knapp.

Den som lyssnat på mina utläggningar om denna magiska knapp, vet hur lite jag tror på dess funktion och det där ”magiska”. Det är tyvärr något som alla som startar ett projekt måste förstå, tycker jag. Och Game of Thrones, som jag felaktigt kallar Games of Thrones i inledningen, har nog varit mer värt pengarna än detta system.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
16 maj, 2021

#124 – Cyberpsykologi – en grundsten i riskhantering

Avsnittet: 124 – Cyberpsykologi – en grundsten i riskhantering
Inspelat: 2021-05-14 (publicerat 2021-05-16)
Deltagare: Mattias Jadesköld, Erik Zalitis och Robert Willborg
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Nu har vi ju många gånger sagt att social engineering är den mest kraftfulla attacken mot ett företag. Alltså att lura folk att hjälpa dig läcka ut deras data, ta över deras system eller helt enkelt gör det du säger till dem att göra. Inga brandväggar skyddar mot sådant.

Vi har talat om hur insiderhoten ser ut, så nu är det dags att diskutera riskhanteringen i frågan: alltså hur hanterar du risken som dina användare kan vara? Cyberpsykologi! Alltså att se våra mänskliga beteenden som en viktig del i riskmodellering och hantering.

Detta kan verka självklart och till och med floskelvarning, men det är skillnad på att säga att det är viktigt gentemot att faktiskt skapa policies, arbetsmetoder och sköta riskerna konsekvent genom att se psykologin som en central faktor. Alltså, fråga dig själv detta: hur ofta bryr du dig om att tänka på säkerhet ur ett psykologiskt perspektiv?

A) Ibland om det känns bra,
B) Har väl gjort det någon gång.
C) Vi gör inte det idag. Men vi tänker på att införa det.
D) En gång gjorde jag det… Låt mig berätta om detta tillfälle… Allt jag vet om IT-säkerhet bygger på denna händelse.
E) Vi gör det idag och har en plan där alla delar är byggda så att vi tar hänsyn till hur människor tänker och agerar.

Allt annat än E) är att inte inte göra någonting alls.

Det är också viktigt att inte skapa personberoenden, att se till att IT-avdelningen inte blir den sura grindvakten som säger ”Nej” till det mesta, att förstå men inte acceptera att folk pinkar in revir, få bort ”my little server”-administratörerna som hellre startar ett krig mot IT-avdelningen än att bli av med den där servern som de har under skrivbordet.

Men var är säkerheten i detta? Svaret är att det blir säkrare när folk känner att de är delaktiga i att följa policies, acceptera att de inte kan få behålla sina höga behörigheter utan att det finns en anledning och att man gör instruktioner och utbildningar som är lätta att förstå och ta till sig.

Att använda cyberpsykologi är att kunna bygga en organisation som faktiskt arbetar mot att hålla en högre säkerhetsnivå rent allmänt.

Diskussionen kommer också in på frågan om hur vi gör när vi anställer folk. När vi tittar på deras bakgrund, är det konstigt om det inte finns några avtryck på nätet? För en 60-åring? Kanske inte? För en 20-åring? Ja, det är mer rimligt att det borde finnas.

Sen är moral och vad vi ser som varningstrianglar när vi tittar på andra personer också något som förändras över tiden. Bill Clinton vågade inte erkänna att han ”rökt på”, så han sa ”I smoked, but did not inhale”. Detta gjorde att han klarade den, för den tiden, kontroversiella frågan. I slutet av 2006 fick Obama också frågan och sa med humor i rösten: ”I inhaled frequently…that was the point.”. Vid den tiden och med tanke på Obamas ungdomliga framtoning, var det inte längre ett problem.

Länkar

Rekommenderade böcker inom cyberpsykologi:
Mary Aiken: The Cyber Effect
Christopher Hadnagy: Social Engineering, the art of human hacking
Patrik Wincent: Den Digitala Drogen
Yasmin Winberg och Julia Lundin: Badfluencer
Kevin Mitnick: The art of Deception
Kevin Mitnick: The art of Intrusion

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
9 maj, 2021

#123 – Skam, skuld och gamification

See no evil, hear no evil, say no evil.

Avsnittet: 123 – Skam, skuld och gamification
Inspelat: 2021-04-30 (publicerat 2021-05-09)
Deltagare: Erik Zalitis och Mattias Jadesköld.

Lyssna på avsnittet

Medan du lyssnar

Så det kan vara direkt vanskligt att skrämma folk med vad som händer om de inte ser över sin del av företagets säkerhetsarbete. Men det är ändå väldigt kraftfullt att skapa en kultur där man fostrar ett ”såhär gör vi inte här”-tänkande för att stoppa slarv och underlåtenhet. Dock verkar man faktiskt kunna ta till ”gamification” för att nå detta mål utan att skapa obehag för de anställda, alltså att göra säkerhetsarbetet till ett spel för att väcka vår tävlingsinstinkt till liv. Detta är en positiv form av manipulation som, rätt hanterad, kan få folk att faktiskt finna spänning i säkerhetsarbete.

För vem vill inte bli ”chief-lead-it-security-master of remembering to logout before going home” ? Dessa titlar är givetvis på Engelska, för det låter bäst så. Skämt åsido, rätt utformat fungerar detta! Man behöver (och bör nog) inte gå totalt utanför rimlighetens gränser. Men en säkerhetsrelaterad frågesport där man få poäng är betydligt mer på en vettig skala om du frågar mig.

Känns detta svar rätt, kanske du behöver .. ehmnm.. tävla mer…

Bilderna är från MSBs DISA-utbildning och visar på en frågesport som liknar lite gamification-konceptet. Men det saknar kanske elementet av tävlan, eftersom myndigheter måste vara försiktiga med sådant…

Tror inte det är så farligt om katten hittar lösenordet, men mellanalternativet är ju ganska ovettigt ändå. Är det inte exakt det som borde hända om du lämnar ut ditt ultrasäkra lösenord ”p@ssw0rd” till alla som frågar efter det eller verkar trevliga?

Vi ska inte hänga ut Webhallen, men de bör nog anses vara en av de företagen som satsat hårdast på gamification för att öka försäljningen. Detta är ju mer manipulation och ökar knappast it-säkerheten hos folk. Men de psykologiska mekanismerna är i stort sätt de samma. Och personligen har jag inga egentliga problem med det.

Weeeeee….. Level 17…. Read ’em and weep… Like someones wallet…
Ja, detta achiement finns faktiskt.

Detta är dock bara en utvikning, låt oss gå tillbaka till huvudämnet – gamification för att lära folk IT-säkerhet…

Är det inte elakt att få folk att tävla om att kunna IT-säkerhet på detta sätt? Det tycker inte jag, eftersom det inte på något sätt hymlas med avsikterna och att man faktiskt försöker göra processen att öka säkerheten till någonting positivt för de som är med. På många företag måste man idag faktiskt gå igenom kunskapskontroller för att få behålla sina nätverksbehörigheter. Det är milsvida från att driva folk med fruktan, skam och skuld. Och gamification leder också bort från detta destruktiva beteende.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
2 maj, 2021

#122 – Kan man lita på sårbarhetsskanning?

Avsnittet: 122 – Kan man lita på sårbarhetsskanning?
Inspelat: 2021-04-30 (publicerat 2021-05-02)
Deltagare: Erik Zalitis och Mattias Jadesköld.

Lyssna på avsnittet

Medan du lyssnar

Så var det den där irriterande röda knappen som säljer garanterad säkerhet. Sårbarhetsskanning är ju en klassisk mekanism för att se till att allting på nätverket är ok I själva verket är det nätverket, servrarna och klienterna samt mjukvaran som måste avsökas. Dessutom databasserver, webbservrar och alla typer av tjänster. Det är ett grannlaga jobb med mycket att gå igenom.

Att ha en nätverksbaserad nätverksavsökning/skanning som skickar rapporter är ett bra input för vidare analysarbete och för att tidigt spåra miskonfigurationer, okända maskiner som plötsligt dykt upp och givetvis också saknade säkerhetspatchar.

Sen är det också bra att tänka på att man bör tänka på hur man tillåter, eller snarare hindrar, vem-som-helst att koppla in vad-som-helst på nätverket. En lösenordsbaserat trådlöst nätverk är en mycket dålig idé, rent allmänt i dagens nätverk. Använd istället ett gästnät för sådant och segmentera det så att det inte når övriga klienter.

Är jag elak som dömer ut onlinetjänster för skanningar? Det gör jag egentligen inte, det är bara det att jag inte ser riktigt vad de tillför som ökar säkerheten så mycket. Hittar dessa ett allvarlig problem, borde inte din lösning lagts ut på Internet till att börja med.

Lite icke-IT-säkerhetsrelaterad Errata:
Gilbert and Sullivan har skrivit ”I’ve got a little list” som satts upp ganska många gånger. Här finns den som Opera i Australien fast ganska moderniserad. Och så givetvis, Family Guy… Jag trodde den var äldre än Gilberg and Sullivan, men inte så är inte fallet. Den är definitivt inte ett skillingtryck. Den kommer från Operan The Mikado från 1885. Antar att farsan, som är Opera-fantast kommer klaga på min okunskap i ämnet… 🙂

Länkar

  • Nessus – Ett verktyg som ger en mycket bra övergripande bild av säkerheten.
  • OpenVAS/GVM – En ”gratis-Nessus” som faktiskt kan vara rätt vettig.
  • NMAP – Nätverksskanner med ett antal NSE-skript värda att använda för att djupare testa.
  • SecurityTools – En vettig lista på de populäraste säkerhetsverktygen
  • Burp Suite – Mycket vanlig och populär säkerhetsskanning med intrångsverktyg för webbapplikationer.
  • Kali Linux – verktygsvit med pentestar- och sårbarhetsanalysverktyg. Mycket använd lösning som är gratis.
  • OWASP ZAP – gratis säkerhetsskanningsverktyg med intrångsverktyg för webbapplikationer.
  • CIS Internet security – mer eller mindre de-facto standard för härdning av operativsystem och tjänster.

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
25 april, 2021

#121 – IT-säkerhet enligt åklagaren

Oooooooorder!!!! Oooooooorder in court!!!!

Avsnittet: #121 – IT-säkerhet enligt åklagaren
Inspelat: 2021-04-24 (publicerat 2021-04-25)
Deltagare: Erik Zalitis och Håkan Andersson

Lyssna på avsnittet

Medan du lyssnar

Håkan Andersson – en man du inte vill möta i en mörk domstolslokal.

Våren 2020 skapade jag en tråd i ”Säkerhetsbubblan” på Facebook, en grupp om just IT-säkerhet. Jag bad deltagarna ställa frågor som senare skulle hamna hos åklagaren, Håkan Andersson, en vän till mig. Det tog ett år innan detta verkligen hände, men nu är vi här och Håkan svarar. Det är värt att notera att jag fått uppdatera en del av materialet, eftersom en hel del hänt under året. Sen har jag lagt till egna frågor och förtydligat området på några av dem.

Här är frågorna:

  • Vi börjar med en enkel fråga: Anders skrev att ”Jag har alltid undrat om det heter ”legala” eller ”juridiska” frågor, så där har du en fråga.”. 

Ja, Håkan tyckte ju att det var strunt samma, men nu vet ni också varifrån orden har sitt ursprung. Som något av en språknörd, gillar jag sånt här!

  • Vi har även fått frågor om hur det är med Cloud act, Stored Communications Act och nu senast Schrems II-domen. Detta har diskuterats tidigare I podden, men nu ställer jag frågan till dig: har vi som vanliga användare tillräckligt med skäl att lita på att vårt data i molnet är säkert och kan den Svenska lagen hjälpa oss om vi råkar illa ut därav?

Detta har vi frågat ett antal personer om här i podden, men denna gång frågar vi om vad det betyder för en vanlig privatperson.

  • SSL används för att kryptera förbindelser och vi har haft det på tapeten senast förr-förra avsnittet om huruvida datacenter ska få bryta din kryptering för att läsa ditt data. Vad säger den Svenska lagen?

En klassisk vid det här laget som inspirerats av videokonferensdebatten förra våren.

Vi pratade om FLoC, Googles föreslagna system för att ersätta tredjeparts cookies. Jag hade just läst om detta och kom inte ihåg namnet på det, men det är en ganska oroväckande idé att Google som har en majoritet av webbläsarmarknaden, i princip kan skapa ett monopol på att styra och sälja annonser via webbläsaren. Se länkarna nedan för en mer djuplodande kritik av systemet.

  • Ett år efter att Lag (2020:62) om hemlig dataavläsning trädde I kraft, vad har vi nu för erfarenheter?

Inte många här, då den verkar ha applicerats sparsamt. Man kan förstå varför, att bedriva denna typ av spaning är dyrt och komplicerat. ”The jury is out on this question”, eller i detta fall åklagaren…

  • Peter undrar om MD5. Denna hash-standard för att kontrollera datas äkthet är osäker då det går att ändra data och lura MD5 att påstå att det inte ändrats. Ändå används denna standard av många forensiska verktyg. Egentligen handlar det inte om just den standarden, utan mer om vilka brister I forensiken som ändå kan accepteras I en rättegång och vilka som inte kan det.

Såååå… Man kan alltså INTE vråla ”Objection your honor – I am #kränkt – MD5 is bad and I’m innocent” i domstolen och förvänta sig att de lägger ner åtalet. Bra att veta.

  • Sista frågan är: vad ser du för faror och möjligheter I framtiden för IT-säkerheten och lagen.

Frågan vi alltid ställer och som ofta leder till insiktsfulla svar och vilda gissningar.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
18 april, 2021

#120 – Den oorganiserade spamkungen

Let me take you down, ’coz we’re going … to… Spamford fields… Nothing is real and nothing to get hung about.

Avsnittet: #120 – Den oorganiserade spamkungen
Inspelat: 2021-04-18 (publicerat 2021-04-18)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Så, dags att bli nostalgiska igen och därmed lära oss av det förflutna. Men herr Wallaces värld såg mycket annorlunda ut än den vi lever i idag. Det var en tid av de stora vildhjärnorna till entreprenörer. Då kunde charlatanerna sälja sina verkningslösa produkter, sina tveksamma råd och bygga stora personligheter kring luft. Och spammarna kunde snabbt och enkelt nå en värld som togs på sängen. Mr Wallace är en smart man som är notorisk och dessutom helt saknar skrupler. Han såg tidigt möjligheten till att använda moderna kommunikationsmetoder för att överösa världen med meddelanden och annonser

Runt 4:55 nämnde jag BBS-lagen som en jämförelse med hur lagar kan gälla teknologier som inte fanns när de skrevs. Det var när Eskil Block 1988 anklagade Maj Wechselman för att vara spion för Sovjetunionen, som hon stämde honom för förtal och vann. Det utmynnade i att BBS-lagen antogs 1998, då BBS-erna var påväg bort. Men den applicerar även på Internet-forum och även nyare typer av Internettjänster som tillåter publicering av insändare eller användarnas texter. Därav min referens.

Sen vill jag påpeka några saker om ”Telephone Consumer Protection Act of 1991”. Det är sant att den inte täcker spam över epost, men den har uppdaterats med anledning av Can spam som gör det. Därav förändringarna på 2000-talet. Lagen är givetvis inte så användbar som skydd mot oönskade faxmeddelanden, då få använder faxar. MEN, den skyddar faktiskt mot oönskade telefonsamtal och kräver att vara företag har en lista på kunder som bett dem inte ringa dem. Inget av det vi sa var fel, men vi gav inte riktigt hela bilden.

Runt 11:36 pratar jag om Steve Gibsons utredning om Realaudio/Realplayer och dess spionfunktion. Han anses ha uppfunnit begreppet ”Spyware”. Idag är många programvaror, webbtjänster och till och med operativsystem spioner som identifierar oss och håller koll på oss. Märkligt att tänka på hur mycket bråk det blev om Gibsons upptäckt och hur glömt det är idag.

Runt 15:20 nämner jag Richard M. Stallman. Ja, jag och Mattias är försiktiga med att vara kontroversiella eller att ta ställning i allt för mycket. Men att jämföra Wallace lama ursäkt varför han spammar, med Stallmans dito om varför han beter sig olämpligt mot kvinnliga medarbetare, är ganska relevant. Jag förstår givetvis att autism kan göra det svårt att fungera i sociala sammanhang, då jag själv är inom spektrumet, men ursäkter som dessa får mig att ta mig för pannan. Sorry.

Runt 20 minuter kommer vi fram till att ”ensamvargen” är på utdöende. Med dagens stora grad av specialisering av hackare, är det svårt för en ”enmans-armé” som Wallace att göra sig gällande. Hans dagar som elak, mustaschrullande mogul är förmodligen över. Men vem vet, han verkar inte vilja sluta…

Sen tyckte jag att hans hundratusentals fejk konton är vardagsmat för Facebook idag. Vet inte hur lång tid det tar för alla hackarna att nå… och överträffa dessa siffror idag, men det är nog inte så svårt. Men Facebook är också bra mycket bättre på att hantera dessa. Dock långt ifrån perfekt, om du inte tror att Filip och Fredrik nya Bitcoinsystem är ett lämpligt meddelande på Facebook, vilket inte jag gör…

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
11 april, 2021

#119 – Hur säkra är våra videotjänster?

Avsnittet: 119 – Hur säkra är våra videotjänster?
Inspelat: 2021-04-09 (publicerat 2021-04-11)
Deltagare: Mattias Jadesköld, Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
3 april, 2021

#118 – Praktiska råd efter Schrems II

Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Sanningen smärtar….

Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?

Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.

Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
28 mars, 2021

#117 – Pentests and the economy (In English)

Episode: #117 – Pentest och ekonomi (eng)
Recorded: 2021-03-26 (published 2021-03-28)
Participants: Erik Zalitis and Simon Roe (Outpost24)
This episode is brought to you by SIG Security.

Listen to the episode

Things to ponder while listening

This text and the podcast is in English as mr Roe is a native English speaker.

So where to begin? I will assume you know what penetration testing means. Instead I will try to interpret Simon’s ideas and counter them with my own. I agree with much of what he says, but have some other experiences on some occasions.

Simon likes to talk about the future of pentesting by comparing it to Netflix. Instead of a lengthy negotiation of terms and prices, only to be told ”we will be able to start in eight weeks”, it should be a formalized process and little waiting times. This will mean that recurrent testing with short intervals can be done.

A common process is that you tell the customer that this is a 10 hour test or we need 40 hours. Simon rather tells you that this is what you get for x hours. He also believes that the customer should be able to see the tentative finding as the test runs and then fix them and ask the tester to retest within the tests original time frame.

Let’s first talk about where I agree with him:

The tests must be more formalized. Pentesting used to be long winded negotiation and suffer from some ”rockstar hacker” mentality. The testers were seen as super talented hackers that could warrant the exorbitant pricing. This is thankfully over now. The prices of testing is slowly decreasing as it should and there are many frameworks for testing available. Simon may talk about a Netflix (”Click to order”) approach, but for me it looks more like the ”order a new server by calling the customer manager” as opposed to the modern ”click a button to provision a new server on Amazon AWS”. I’m 100% with Simon here.

The reports and status should be available on a portal. This can make the process of delivering the bad news more secure, so the company gets the report and not some opportunistic hackers. The portal must have very heavy security and also feature automatic destruction of data and multifactor authentication not to say auditing.

Where I have other views on the matter

He wants to publish results on the portal as the test proceeds and also let the tester re-test (as I wrote previously). This is not something I would do. The rationale is that test must be allowed to finish before analysis can be done. Also, remember, we have a limited amount of testing hours. Retesting within those will consume time from completing the principal attacks properly. Also, I believe it will not give the customer a chance to understand the underlying problems before fixing them.

Then when it comes to the negotiation of the time frame, I see it a little bit differently.

I believe the correct approach to decide a time frame for testing is:

  1. Get the size of the environment to be tested.
  2. Build attack scenarios (e.g. Unauthenticated attack followed by a authenticated attack against…)
  3. Decide knowledge profile (White/Gray/Black hat)
  4. Decide location (e.g. On premises, over VPN or from the Internet)
  5. Decide the type of attacks (e.g. injections, buffer overruns, but not DDOS)
  6. Calculate a reasonable amount of time for the planned attack given the factors above
  7. If the customer wants to shorten the suggested time frame, it’s not a problem, but will yield less results.

This means, the test can be properly defined and accepted.

To sum it up, I like the idea of optimizing the pentesting procedures in order to make it behave like any other service you purchase and believe that Simon’s ideas are a good way to step in exactly that direction.

But what about going even further? I have an idea too:

Create a governing body for pentesting that oversees the process. It should be voluntary for testing companies to join, but can be used to prove that ”we’re a part of the international ethical hacker congress” (or whatever such an organization may be called). Part of the organisation can be making sure testers work, plan, attack, report and negiotiate jobs in a very similar way. The may create tools, procedures and provide a things like templates for reports and automatic data exports so reports from different testing companies can be loaded into an application to compare and summarize them. Some may think that ISC2 or ECCouncil could do this, but I think a large scope is needed for this.

Errata

  • None at this time. Please comment below if you find something that needs correction.
Facebook Spotify Soundcloud Apple Rss

Senaste avsnitten

Scroll to top