KRONIKK: La IT-sikkerhet og personvern bli pensum i skolen

[Redaksjonen.]

KRONIKK: La IT-sikkerhet og personvern bli pensum i skolen

[GOAXT8WU]

Hjelper komplisert passord mot at myndighetene ser at vi gjør? Folk er naive og tror at myndighetene alltid er på den gode side. Hva galt gjorde jødene i Norge før 2. verdenskrig? Ingenting, men alikevel bla de eskortert av politet ut av landet. Tenk på hva man kan spore i dag!

[GOAXT8WU]

Hjelper komplisert passord mot at myndighetene ser at vi gjør? Folk er naive og tror at myndighetene alltid er på den gode side. Hva galt gjorde jødene i Norge før 2. verdenskrig? Ingenting, men alikevel bla de eskortert av politet ut av landet. Tenk på hva man kan spore i dag!

 

Og det er fint å kunne rette skrivefeil. Finner ingen redigeringsmulighet.

[quantum]

 

Hjelper komplisert passord mot at myndighetene ser at vi gjør? Folk er naive og tror at myndighetene alltid er på den gode side. Hva galt gjorde jødene i Norge før 2. verdenskrig? Ingenting, men alikevel bla de eskortert av politet ut av landet. Tenk på hva man kan spore i dag!

 

Og det er fint å kunne rette skrivefeil. Finner ingen redigeringsmulighet.

gå til forumtråden

[Bolson]

Hjelper komplisert passord mot at myndighetene ser at vi gjør? Folk er naive og tror at myndighetene alltid er på den gode side. Hva galt gjorde jødene i Norge før 2. verdenskrig? Ingenting, men alikevel bla de eskortert av politet ut av landet. Tenk på hva man kan spore i dag!

 

Poenget i denne artikkelen er da ikke kompliserte passord, men f.eks være bevist på IT-sikkerhet og personvern generelt. Og ikke minst at dette må man lære fra man kan krabbe.

 

Bevisthet og kunnskap rundt IT-sikkerhet og personvern vil også kunne være med å beskyttet oss fra "myndigheter" som ikke er på "den gode side". Fordi vi da vil være langt mer skeptisk til hva vi gjør tilgjengelig, vi vil bruke mer kryptering og anonymisering osv.

 

For meg har Aune svært gode poenger, faktisk har det vært en av mine kjepphester i 25 år at IT-opplæring må legge vekt på kunnskap som verner oss som brukere fra de negative sidene ved IT og gjør oss til beviste og informerte brukere.

[tommyb]

Jeg er helt enig i at man trenger å fokusere på rådgiving og lære å ha sikkerhet som en del av tankegangen. IT-sikkerhet og forståelse av personvern er en vesentlig kunnskap for å eksistere i samfunnet i dag. Om dagens utviklere hadde slik i ryggmargen, hadde også dagens systemer vært tryggere.

 

Men det kan være vanskelig å få slik opplæring bra. Man har tilgang til nettbrett fra første klasse nå - noen til og med i barnehagen. Truslene kommer så tidlig at man strengt tatt ikke ennå burde læres å tenke defensivt, så det er en pedagogisk utfordring å gjøre et slik fag til noe positivt.

[YEMSHO1H]

I Call BS, Are Strandvik Aune, Atea og dere såkalte konsulent-hus.

 

På overflaten høres det du sier relativt nøkternt ut, og toucher på frustrasjoner jeg merker i Norge nå etter å ha flyttet hjem fra nord-amerika

og møtte et kunnskaps-vakum og uvitenhet som grenset på farlig uansvarlig hva IT-sikkerhet gjaldt.

 

Hvor var Atea og bransjen når jeg kom hjem i fjor og måtte hack-proofe grunnleggende tjenester som NAV og DIFI, NRK, andre statlige

tilbud for lavt hengede frukt, i fjor ca rundt “sikkerhets”-dagene til Atea og DIFI? Potensielt sett millioner av nordmenn kunne blitt rammet.

Sikkerhets-dagene er forøvrig det, tørreste, minst relevante og minst talentfulle jeg har sett i hele infosec sirkuset.

 

Gapende hull som åpenbart hadde vært der i åresvis , noen 5-10 år, rett forran snuten til dere alle?

Resultat av misvisende påstander om IT-sikkerhet og manglende tekniske ferdigheter nødvendig for kunne vite detaljene og et fokus på selge

produkter og tjenester.

Videre svekket ble tilliten når det kom frem at bestikkelser er business as usual i Atea sine øyne fra saken i Danmark.

- Og dumme meg som alltid har trodde det gjaldt å være god i grenen sin..

 

Med Firefox og noen plugins satte jeg ut for å vise hvor enkelt det var - siden jeg måtte melde meg inn i disse måtte gapende hull tettes så

jeg kunne i alle fall late som det var trygt.

 

DIFI.no løftet ikke en finger for å svare en gang før en bit Norge.no database fra DIFI sin Oracle DB, dukket opp i inbox til hun stakkars

som trodde SSL 3.0 var en oppgradering i sikkerhet og en blog-post verdig.

Kunne satt opp skilt som sa CLUELESS - LIGHTS ON NOBODY HOME, noe de fant ut uker etterpå.

GPG/PGP var og noe ukjente voodoo greier virket det som, ingen hadde så mye som en public key omtrent.

 

En Microsoft IIS app server hadde lite feil i ASP scriptet til web appen's Glemt Passord side og ga opp Oracle DB server tilgang på noen

minutter via SQL injection som ledet til RCE, remote code execution, på Oracle DB som hostet Norge.no og e-innkjøp kvalitetssikring og mer.

Hvem vil vel ikke ha sikker digital epost fra slike kompetente leverandører?

Herifra kunne nettverket falt som Domino brikker.

Resultatet av en kjede med små feil dere konsulent-hus mangler kompetanse på, om dere har noe i det hele.

 

NAV.no har latt hele verden bruke deres mail server som hvem som helst ansatt i over 5 år takket være en feil i NAV.no web kode.

NRK..P3.. Mange offentlig tilbud, Aviser, viste samme symptomene når en tittet etter Rinse and repeat.

Epidemisk uvitenhet og misinformasjon, og ren inkompetanse.

 

Prosessen med patching var frustrerende og plaget av inkompetanse og komplett mangel på innsikt hva it-sikkerhet er.

- og disse usikra tjenestene skal vi basere livene våre rundt? For dette gav jeg min tid og kompetanse gratis for knapt så mye som en “takk”.

 

Ytterst få kan noe om digital sikkerhet, mange tror de kan, og jeg tror på de helt de skal fortelle meg hvor sikker den windows stacken med

software ingen av de har skrevet eller lest koden til - med mulig unntak av VB/C#/Java scriptet som utgjør web appen på stoppen av stacken,

I Norge drikker selv Forsvaret kool-aiden og innbiller seg de kan si noe de ikke har hatt kildekode-gjennomgang på som sikkert.

 

Atea og bransjen vil du skal tro de vet godt, vil godt og kan godt. I virkeligheten har ingen av dem studert kildekode til store deler av software

stackene de selger - de har ikke sett under panseret på bilen de kjøpte, som de når selger oss en paint-job senere.

 

Da får man mange abstrakte taler uten mye konkret og en bransje som innbiller folk at man man tror noe er trygt bare fordi leverandøren sa så.

- uten å sitte med mulighet verifisere påstanden, eller egen kompetanse på området. Når millioner av linjer kode i plattformen Ikke studeres kan man ikke si at den er eller gå godt for den.

 

Studie av kildekode, exploit teknikk, reverse engineering og fuzzing glimrer med sine fravær, fordi de kunne ikke hacket seg ut av en våt

papirpose, langt mindre funnet og laget egne exploits eller demonstrere kjennskap til kjerne-konseptene i software hacking.

Hvorfor tror dere vi bruker tiden vår der? Fordi det er her IT-sikkerhet fødes og oppfostres - eller misfostres.

Hackere studerer detaljene i slikt så langt stacken går, i begge retninger.

Sikkerhet i digitale system starter med koden. Bugs, enten i software eller logikken er der all sikkerhet starter, og der de alle fleste hacks foregår.

Passord er noe vi knapt tenker på, softwaren er full av dører uansett om aldri så mange passord-skifter skjer.

 

 

Når "kompetansen" er VB Script, C# og kanskje Java er man så godt som blind IT-sikkerhet angår og ikke-programmere vet ikke hva de

snakker om i sammenhengen.

Uten kompetent kode gjennomgang av erfarne kan man ikke si at noe er trygt eller inspisere den for "bugs", langt mindre fikse oppdagede feil

på meningsfull måte eller verifisere påstander.

atea.no/sikkerhet/ har ingen ting som tilsier at de en gang vet hva ordene betyr for noe, videre vil jeg påstå at et “response team” i

samarbeid med AIG - selskapet ansvarlig for credit default swap krisen og at verdens økonomien krasjet 10 år siden - gir meg ikke akkurat

trygghet i tankene.

 

Microsoft fikset 8 remote SMB hull i windows i April i år alene, mange av åresvis gamle og har vært i plattformene bransjen selger som trygtge.

- De kan ikke sjekke og sjekker ikke derfor finner de ikke slikt.

Vet bransjen engang hvordan man exploiter en buffer overflow? Hva en heap-spray brukes til?

Eller en SQL injection? Unserialise misbruk av objekt elementer for RCE? Popper shell med preg_replace? Har dere sklidd en NOP-slide?

Gjemt rootkit fra CPU med dens debug registere? Tar NSA, CIA, etc deres exploits til bruk i sine kit?

Eller noen som helst av universet av teknikker hackere utvikler mot programmerings tabber? Har dere en gang lest en phrack artikkell eller vet hva det er engang?

 

I et ord: Nei.

 

Med andre ord prøver Staten Norge og microsoft-generasjonen. lære å kjøre bil fra en blind kjørelærer - og derfor er lyset på, men ingen

Hjemme i boblen IKT-Norge.

Den gode nyheten er at jeg har en bro å selge dere.

 

$0.02