Regjeringen bruker 1,6 milliarder på data­sikkerhet

[NTB - digi]

Regjeringen bruker 1,6 milliarder på data­sikkerhet

[missi]

Så lenge vi ikke flagger hjem alle data som ligger i Office365, G-suite og lignende samtidig som vi forbyr outsourcing av det offentlige Norge sine data så er dette mer eller mindre bortkastede penger.

[blablaukeblad]

De ti rådene er generisk søppel fra et eller annet menneske uten et eneste clue om hva det går i. Et av dem hadde fungert bra om folk ahdde visst hva sikkerhet betyr fra der angripren står, men siden dere leier å hackere så vet dere lite om det - og det viser. Dette blir en lang post, en TL;DR. Desverre ikk i nærheten av dekkende. Blir litt ranting mens jeg påpeker noen få ting, som i seg selv bare er tippen av ignoranse isfjellet som er Staten Norge A/S.

1.
Etabler tilstrekkelig systematikk for sikkerhetsstyring og sørg for at en fagperson støtter ledelsen i arbeidet.

--
Dette hjelper lite når ingen egentlig skjønner hva sikkerhet er fra hackere sitt ståsted aka 99.99% av windows Norge... vi bruker ikke passordene dine...de tar vi på vei ut

2.
Inkluder digital sikkerhet i virksomhetens risikoarbeid.

--
Se svar på 1.

3.
Kartlegg virksomhetens sikkerhetskultur og identifiser hva som kan forbedres. Fastsett ønsket kultur og gjennomfør tilpasset, årlige treningsprogram for å fremme god sikkerhetskultur.

--
Igjen, dtte hjelper lite når dere er på VILLSPOR. Det handler om mer enn passord og 2FA, kode for det mest og finurligheter i den.


4.
Sats på god bestillerkompetanse og gjør en risikovurdering som forankres hos ledelsen.

--
Se 1.

5.
Oppgrader program- og maskinvare.

--
0day, zeroday, etc er uhll selv ikke leverandøren vet om, og derfor ikke kan patches.

6.

Installer sikkerhetsoppdateringer så raskt som mulig.

--
Hvis du er så avhengig av av leverandøren for å ta grep i det hele så har du ikke noe i feltet å gjøre. Lukket software som Windows er 100m ++ linjer kode ingen i Norge har lest. Vi ahr funnet hull der i alt fra TCP/IP stack til Fildeling og RPC.

8.
Bruk kun siste versjon av nettlesere og krypter viktig informasjon på bærbare enheter.

--
Nettlesere er den største C-runtimen utenfor boot og OS og lastet med plugins og blandede programmeringsspråk - en suppe av hull.

9.
Endre standard passord og ikke tildel sluttbrukere administratorrettigheter.

--
Ikke bruk passord, bruk nøkler, ikke stole på lukkede hardware tokens, men noe som en passord beskytta PGP nøkkel hvor systemet krypterer en melding til deg med din public key og du dekrypterer med din passord-beskytta privat nøkkel.

10.
Etabler en beredskapsplan for ulike typer hendelser og gjennomfør øvelser.

--
Folk flest tror Microsoft eller Oracle ordner biffen. Det gjør de ikke. De e avhengige av hackere som rapporterer hull. Microsoft og Oracle er lsik jeg eide halve kongeriket med enn nettleser, litt SQL og et par eld gamle oracle escape exploits.


FY faen Erna, Du søler bort penga våre gang på gang. Mer av det som ikke funker gjør ikke saken bedre og du vet ikke hva sikkerhet er i denne sammenhengen. Ikke Atea heller: Jeg måtte rette store hull hos NAV, DIFI, Helse Sør-Øst og mer. Helse Sør-øst ignorerte meg og 8 måneder senere kom det frem at noen hadde stjålet 2.9 millioner journaler, blant annet min. PST skriekr NASJONSTAT. Jeg skriker LOL. Pusslete Syte Tjeneste. Jeg kom inn med en nettleser og noe gamle hull i Oracle via en buggy frontend som ikke var oppdatert på 8år, noe jeg vet sikkert da samme hullet jeg fant da var der enda.

Det gjelper ikke å kaste bort svimlende summer. Norge må ansette ekte hackere som finner hull, lager explotis og koser seg med det; Ikke posere med metasploit eller folk med XYZ grad i noe helt urelatert som kun kan bruke windows word, outlook og IE.

og DIFI: Hvorfor i HELVETTE router dere mailen deres via Microsoft? Dere bruker jo ikke PGP så de leser jo alt.

Jeg kunne fortsatt i evigheter, men skal ikke det. I stedet skal jeg publiesere hvor lett det var og hvor uvitende de ansvarlige er, også PST. Jeg skjems over å si jeg er Norsk i mine sirkler pga den komplette manglen på innsikt. Toppen på kaka var når NSM kopierte GCHQ sine crackmes når de skulle søke etter hackere.. jfc. Nasjonal Sinnsyk Mongomyndighet.

Atea er selgere forkledd som konsulenter. Jeg har gjort jobben deres og andre sin gratis for knapt en takk. Det som møtte meg skremte meg helt vanvittig. SIkkerhetsansvarlige uten IT bakgrunn eller programmering, forklare med teskje problemene og følgene og rette på ting som at SSL 3.0 "oppgraderingen" til DIFI. Vi har visst i mange år SSL 3.0 var broken by design.

uhm.. NSM og de her fishing E-postene sine får meg til å grine av skam. Si meg, har NSM eller PST studert de 100millioner linjene som utgjør windows som de liker så godt? Nei? Så hvordan kan dere påstå å være sikre?

Noen enkle råd:
1. Styr unna Windows, Outlook og IE. Bruk programvare som har kode tilgjenlig for gjennomgang. Drop Oracle,: PostgreSQL er mye bedre og gratis også oppgradering. Support kontrakter fåes kjøpt og. Gang på gang møter jeg utdaterte Oracle DBer og MS rammverkbaserte webapps.

2. Ikke kjøp Web apps i microsoft rammeverk; de forfaller nesten alltid og er en
fin kilde til hull.

3. Sats open source, ting man kan gå gijennom selv. Bidra til open source. Linux kjører på tv boxen din, smart tven, telefonen, servere på internet, routere og latterlig mye annet. Linux er ikke perfekt, men det er bedre enn å kjøre i blinde.

4. Fas ut passord for nøkkel basert autentisering.

5. Oracle er NO-NO-NO. MS og Oracle melker Norge for penger via sine "Gold Partners" som kaller seg konsulenter men er salgsmen: Luk dem ut. Finn noen som kun vil selge sikre løsninger, de som kan sakene sine vil ikke gjemme kildekoden.

6. Hackere må utdanne de som gir rådene, ikke sysadmins, ikke MCSE, ikke quakegamer-pwnxx. Hackere er ikke folk som bruker hele dagen sin på metasploit og scannere, det er wannabes. Hackere lever ii de små finurligheten i koden som kjører - det er der sikkerhet står og faller for oss. Sterkeste pass/key/whatever i verdne hjelper lite når koden lager rom til inngang.

7. Sikkerhetsansvarlige burde ved lov måtte vise til minst disse kunnskapene: Programering på mer enn Windows og da særlig mer enn VB. Bred erfaring med OS, burde inkluder windows, linux, n bsd, bonus point for andre ting som vxworks, nucleus, integirty-178B, minix, plan9, and so on, Vise til erfaring eller relevante prosjekter.

8. Outlook, IE og Edge må gå, særlig outlook. Hvis det er for komplisert for deg vil jeg anbefale deg å ta e jobb i kassa på KIWI eller en barnhage. Datamaskiner er sentralt i arbeidet deres og til mange andre: Det er verktøy. Verktøy må du vite hvordan brukes og hva det brukes til - snekkere går ikke på jobb uten å kunn bruke sag og hammer effektivt. Å møte opp på jobb forran en PC uten snøring på som foregår bak Den blå Windows Desktopen er simpelten IKKE akseptabelt. At Staten Norge kjører på LUKKEDE systemer som rapporter til utlandet er IKKE akseptabelt. Norge burde forlange innsikt i kilden i det aller minste.

9. BRUK PGP / GPG!!! Eposten ders er IKKE kryptert, jeg vet mang av dere tror det fordi det står SSL/ TLS forbindelse, men det er kun fra deg til SMTP server (utgående mail) og evt. POP/IMAP (inkommende.). Ingen jeg prata med i staten ant hva det var en gang.

10. Styr inna social media. Alle lo av meg når jeg sa det før.. helt til Trump ble president og England ville ut av EU. Disse utfallende var manipulrt fem ved å bruke facebook sin egentlig service som anvist. DU og MEG er produktet deres, ikke jeg da, har ikke FB, og pengene tjenste ved å selge tilgang til oss basert på trek, interesser o.s.v. Merk og at dine venner kan gi din informasjon ut for deg bare ved å godta en TOS, uten at du får beskjed - Cambridge Analytica brukt den metoden. Merk dere hvor lite Mark Zuckerberg poster om seg selv på Facebook. Det burde vær en varsel lampe.

11. I skrivende stund kan alle med e-post konto på Microsoft mailservere bli domene admin og patchen ventes om ca en måned...

12. Mobilen din e IKKE under din kontrol, og samtalene ders kan _lett_ avlyttes slik tlenettet er designet. En person med opertør tilgang en plass i verdn (kan koste under 1000 dollar) kan instruere nettverket, SS7, om å gi ut krypteringsnøklene dine, avlytte samtalene deres og spore dere - det er by _design_. Diameter er ikke bedre. For å ikke envne Google og alle appene som samler info om deg til formål hos totalt fremmede vi ikke kjenner. Når ble det OK å gi privat info om seg selv til fremmede?!? Studier antyder og at smart telefoner gjør brukerene dummere over tid. Jeg bruker min så lite om absolutt mulig, med null social media. Det er tydelig at de har rett, desverre. De fleste som bruker sosial mdia på telefonen sin er offer for såkalt "brain hacking" uten å skjønne det selv. Det utnyter en design feil i vår måte å tenke på for å få oss til å stadig sjekke. Reklamebransjen har kjent til det lenge, men det var med smart telefonen det virkelig ble et våpen.

Ok, dere datt vel av for lenge siden. Gud hjelpe oss.



Hvis dere trenger hjelp er jeg ledig for landet mitt da det sikrer meg og bedre, ikke at dere tar i mot:
Dere er for opptatt av ansikt og innrykk. Mine kvalifikasjoner? Hacket DIFI (og fikk tilgang til systemene for difi.no norge.no og e-anbuds tjenesten for vudering og innkjøp for alle statens departement), VG, DB, P3, NAV, Helse Sør-Øst, på rett over ei uke. Har mailene enda Mange referanser vanlige dødelige skjønner noe av er det ikk mange av i denne kretsen, men jeg har en få andre kan skilte med: jeg er eneste nordmannen som har har blitt bestuet en Prophile artikkel av verdens eldste magasin, av og for hackere. Dere har sikkert ikke hørt om det engang: Siden 1985 har Phrack (phrack.org) vært undergunnens og kulturen sitt magazin - kun det beste som folk kan bidra med i feltet havner der. Med andre ord, jeg tror jeg har et clue, og har fått bekrefta at jeg har det. Jeg er helt hes og uten stemme av å skrike varsko i all evighet snart.

Atea's sjef for sikkerhetssatsing og jeg gikk begge på Noroff omtrent samtidig. Forskjellen er at jeg hacket studen databasen på dag 3. og han sikkert enda ikke aner noe om det, det tok Noroff 16 år å ta meg seriøst og det var ganske tilfeldig at jeg tok det opp med dem, i mellomtiden ble 20 000 personnummer og student info som karakterer og betalingsinfo eksponert.
By the way, Atea: XSS (reflected, stored cross site scripting) på alle de der stemneskjemanene deres. Kan ikke være veldig god den 5000 kroners scannen deres, men jeg visste jo dere ikke hadde peiling når jeg fant hullene hos nav og difi, etc. Fin timing jeg leverte på ikke sant? Straks etter sikkerhetsdagene de og DIFI arrangerer var over. Vel, jeg visste det med en gang jeg så at de var microsoft re-selgere forkledd som konsulenter og at han som var sjef for sikkerhetssatingen hadde et helt år på Noroff bak seg og prata som en selger, gratis Scientolgy medlemskap til deg! Bestakk dere noen i Norge og? Eller var det bare i Danmark?

*gjesp* Hvorfor gidder jeg? ingen hører før det er for sent uansett. åja stemmer: DERE TVINGER OSS TIL PUTTE OSS INN I SLIKE SYSTEMER I SAMFUNNET VÅRT.

NSM og PST burde massivt revurdere sine ferdigheter og valg av software utad mot web og innad med stab. Husk at Microsoft trodde Webben, som kjører på Internett var en fad som ikke ville ta av. Husk og at Alle suksene til MS er *kjøp* ikke laget innhouse. NT, som vi nå i senere Windows versjoner er basert på, kom til live via HP sin OpenVMS sjef for utvikling som MS stjal. Du kan se hintne om det i VMS måten å gi program oppsjoner og argumenter på, samt programmerings struktur. DOS ble kjøpt. Frem til Windows 2000 kunne de ikk engang bruke sitt eget OS på sine gne tjenster som hotmail, der kjørte FreeBSD. Windows 2000 er på nett fordi det bruker BSD TCP/IP stack. Windows og Win9x stjålet fa Mac som Stjal det fa Xerox, og Xerox trodde ikke folk ville like en bitmappa skjerm med musepeker, og var en suppe buggy BSODs med glossy look som kuliminerte i Windows ME. Når microsoft skulle "fikse" TCP/IP stacken til Vista ble det så feilprogammert de kom med et hull som banet vei for en remote exploit, som shippet med Win 7 da vi ikke fortalte dem on TCP Window Size Integer Overflowe'en vi satt på. Vi følte at siden Microsoft holder ilbake hull til fordel for NSA trenger vel ikk vi være noe bedre. Merk at nsten alle forbedringer i Windows koden med henhold til skkerhet etter utgivelse er fra bidra fra folk som meg og det miljøet. Win 9x tok det måneder om ikke år før de laget patcher for feil til.

Er det bare meg som syns  NSM & PST bommer noe jævlig og er langt uttafor sin fattevne om Helse Sør-Øst og slike digital tin?. Storyen om hvordan en nordmann, en nettleser og litt kunnskap om SQL og scripting kom sammen i 20 minutter for å bryte seg inn i nettverket PST mener nasjonstater står bak før frokost, den deles nok en dag.. Prøvde å ta kontakt med de og NSM, Sykehus Partner og Helse SØr-Øst, De fleste svarte ikke, og sistnevnte rullet bare med øynene og forklarte meg hvor dyre konsulenter de hadde.

ALLE HENDELSER SKJER UTEN GJETTING AV PASSORD ELLER BRUKERNAVN, bare siden  NSM og PST  er så opptatt av 2FA. HAcking er mer som en slags digital jiu-jitsu der motstanderens moment(kode appen er skrevet med ofte) brukes mot dem selv, så NSM kan bare logge av da de tror 2FA løser alt - det hadde ikke hjulpet her, men de vet jo best med sin sub-standard tradecraft. Du vet, ting som resulterer i Frode Berg fengslet i Russland, Forrige tiårs sikkerhetstips til amøber, etc.


P.S: Erna Solberg.. hvem enn som gir deg rådene på allle ting datarelatert.. bytt dem ut!
Dette er FLAUT og FARLIG. Du fremstår som en ignoramus som bare satser dobbelt på det samme når ting går galt. Det blir ikke bedre av å spyle mer penger og tid i dass. Finn noen som ikke bare har brukt Windows hele livet, som programmerer og kan si deg uten å blunke hvor mange bits en IPv4 og en IPv6 addresse er og hvor mange bits som er i en byte. De som kan bestå den lavebaren burde ikke ha inflytelse over rettningen landet vårt går i.



Sånn da har jeg blogget nok for i dag. Skriveleif er med på kjøpet. Leste dene artikkelen å måtte bare rante fra meg for det er så vanvittig patetisk å se på hodeløsekyllinger prøve finne veien i mørket. Hvis du faller for E-poster så dårlige som NSM sin trenger du en IQ-sjekk og fratas lappen.


Ha en fortsatt clueless tilværelse.

 

Endret 3. mars 2019 av buffer overflow

[Gjest Slettet-t8fn5F]

Jøss. To stykker som allerede ikke har peiling på hva disse pengene er øremerket til, men likevel er de dypt kritiske eller bare rett og slett brønnpissere.

[Skatteflyktning]

 

Jøss. To stykker som allerede ikke har peiling på hva disse pengene er øremerket til, men likevel er de dypt kritiske eller bare rett og slett brønnpissere.

Erna og ...?

[blablaukeblad]

lille venn, de er øremerket sløsing på selgere utkledd som konsulenter og mer licensiert shitware dirtware