0x05: Det går rett til /dev/null

Thu, 01 Oct 2020
Martin (@mrtn9), Eirik (@0xSV1), Alexander (@ErDetEnTing) og Rene (@ParticleVoid) følger opp respons fra lyttere, kommer med tips om hvem man skal følge på Twitter og hva slags kurs man bør ta, og diskuterer nyheter. Simula gir ikke opp rampelyset, ZeroLogon danser Samba, NIST reviserer ting og Citrix kaster glass i steinhus.

Finn oss på Twitter

Eller send oss en e-post på podcast@5h3ll.sh

Follow-up

  • Atluxity (Hans-Petter Fjeld) skriver på Twitter:
  • Jan Erik: “Hvis du/dere har tips angående hvem man kan følge i InfoSec sektoren på diverse plattformer så kanskje det kunne vært et fint innslag i en episode. Nå har jeg bare hørt den første, så godt mulig at dere har nevnt dette i senere caster”

Nyheter

“Simula–direktøren sier Smittestopp har tilfredsstilt alle kravene Amnesty har satt, med unntak av at data har blitt samlet inn om brukerne.”

Amnesty International has highlighted seven key principles that should guide the government’s decisions before a full roll-out of any contact tracing app: 

  1. Frivillig å installere appen, og kildekoden skal være tilgjengelig for granskning.
  2. Begrenset omfang, all data skal brukes for å kontrollere spredningen av COVID-19, ikke noe annet.
  3. Det må vitenskapelig bevises at det ikke er mulig å de-anonymisere data. ???
  4. Appen må være i tråd med relevant lovgivning, med personvern fremst i fokus. Minst mulig data skal samles inn, og lagres sikkert.
  5. Appen, datainnsamlingen og analyse av data må være under tilsyn av tredjepart.
  6. Dataen og appen skal slettes så fort det ikke er bruk for dataene lenger.
  7. Likhet og ikke-diskriminering. Dataen må ikke påvirke personer uforholdsmessig, og skal være tilgjengelig for alle, uavhengig av forskjellig tilgang til smarttelefoner
        • Den andre risikovurderingen vi må klare å formulere på en åpen, offentlig og ryddig måte, er evnen til samvirke i hierarkiet av hendelses- og krisehåndtering skjeden fra lokale CSIRT-er til nasjonal krisehåndtering.
        • En risikovurdering av hvor gode er vi egentlig på å ta i bruk standarder, sette krav til bruk av nasjonale IKT-infrastrukturer, samt nasjonale digitale tjenester og tjenesteplattformer.
        • en vurdering av befolkningens, og samfunnets evne til å stå imot informasjons- og påvirkning operasjoner og konsekvensene dersom denne trusselen dessverre slår til. Og f.eks. sannsynlighet for påvirkning i forbindelse med valg, konsekvenser for tilliten til det offentlige blant innbyggere, samarbeidspartnere og allierte.
    • https://twitter.com/cculina/status/1309432653356163079
      • NSM fremholder flere viktige poeng som må hensyntas ved tjenesteutsetting - alle like viktige ved utsetting til nasjonale leverandører.
      • Hvis det er norsk jurisdiksjon og høyere sannsynlighet for fortsatt operativ evne i krise og krig som er den viktige forskjellen, må vi se nærmere på hvordan vi gjør det på hjemmebane først. Man har ingen åpenbar sikkerhetsgevinst av norske leverandører eller norsk jurisdiksjon.
      • En nasjonal skytjeneste, kanskje i Sikret Offentlig Nett (SON), høres ut som en god idé. Samtidig ville det vært lurt å ta ansvar for sentral kartlegging av verdikjeder, og utpeking av virksomhetene som skal skjermes, i stedet for å la det være opp til departementene.
      • En nasjonal strategi og et nasjonalt krafttak krever klarsyn, kunnskap og stø kurs. Dit må vi komme, men på veien hadde det vært fint om vi ikke skremte virksomheter som står for innovasjon og verdiskapning bort fra teknologi og løsninger som muliggjør nettopp dette.

Andre topics

  • Podcast-relatert
    • Har du bidrag eller spørsmål?
    • Kunne tenke deg og være gjest? Send epost til podcast@5h3ll.sh
  • (War)Stories from the workplace
    • Martin fant en sårbar wordpress-plugin for litt siden. JWT token alg=none. “100+ active installations”. I havet av crappy wordpress-plugins, hvem skal man egentlig si ifra til?
      • Martin ønsker seg en Wordpress SOC/CERT som kan remote blokkere eller alarmere brukere av sårbare plugins som har blitt rapportert inn.
        • Evt stanse nye downloads av utdatert plugins
  • René: Det finnes så mange sertifiseringer og kurs, har 5h3ll noen anbefalinger eller tips til lytterne? Del gjerne erfaringer gode og dårlige.
    • Hvordan tilpasse informasjon fra amerikanske sertifiseringer til norske tjenester interesser etc. bruk av altinn, finn, nav, skatteetaten o.l.