0x05: Det går rett til /dev/null
5h3llcast
Norwegian Bokmål - October 01, 2020 17:58 - 1 hour - 139 MBTechnology Homepage Download Apple Podcasts Google Podcasts Overcast Castro Pocket Casts RSS feed
Martin (@mrtn9), Eirik (@0xSV1), Alexander (@ErDetEnTing) og Rene (@ParticleVoid) følger opp respons fra lyttere, kommer med tips om hvem man skal følge på Twitter og hva slags kurs man bør ta, og diskuterer nyheter. Simula gir ikke opp rampelyset, ZeroLogon danser Samba, NIST reviserer ting og Citrix kaster glass i steinhus.
Finn oss på Twitter
Martin
Eirik
Alexander
Rene
5h3llcast
Eller send oss en e-post på [email protected]
Follow-upAtluxity (Hans-Petter Fjeld) skriver på Twitter:
“Syntes dere undervurderer cyberforsikring. Vi er så vant til forsikringer at vi ikke tenker på det, men er det noen som kan risiko så er det dem. De stiller masse krav, krav det er feil eller umulig å legge i lovgivning, som dermed fører til bedre it sikkerhet.”
NorSIS har noen eksempler på krav forsikringsselskapene kan ha (nettvett.no)
Jan Erik: “Hvis du/dere har tips angående hvem man kan følge i InfoSec sektoren på diverse plattformer så kanskje det kunne vært et fint innslag i en episode. Nå har jeg bare hørt den første, så godt mulig at dere har nevnt dette i senere caster”
Nyheter
Samba-Serveren din kan være berørt av ZeroLogon
CISA med ordre om å patche eller ta berørte domenekontrollere av domene nettverket
Sluppet patch - enkleste remediation
Oppdatert, mer “pentest vennlig” ZeroLogon PoC
Relaying og DCSync
Forskjeller - Krever domenekonto
Ny revisjon av NIST 800-53 er sluppet
Revisjon 5 ble sluppet 22. September, og oppdaterer Revisjon 4 fra 2015.
Nye Smittestopp skal være basert på teknologi fra Apple og Google
Simula langer ut: – Rapporten Amnesty har levert er direkte søppel, og er et stykke elendig arbeid
https://www.digi.no/artikler/simula-langer-ut-rapporten-de-har-levert-er-direkte-soppel-og-er-et-stykke-elendig-arbeid/500102?key=hDSoaaWk (Unlocked artikkel, not for final show notes) (Jeg sverger fremtidsvetle, hvis du putter dette i show notes fordi du ikke følger med når du copy-paster, så skal jeg sette på random alarmer på totalt random tidspunkt, så får vi se hvor mye du liker fremtiden etter det)
“Simula–direktøren sier Smittestopp har tilfredsstilt alle kravene Amnesty har satt, med unntak av at data har blitt samlet inn om brukerne.”
Amnesty International has highlighted seven key principles that should guide the government’s decisions before a full roll-out of any contact tracing app:
Frivillig å installere appen, og kildekoden skal være tilgjengelig for granskning.
Begrenset omfang, all data skal brukes for å kontrollere spredningen av COVID-19, ikke noe annet.
Det må vitenskapelig bevises at det ikke er mulig å de-anonymisere data. ???
Appen må være i tråd med relevant lovgivning, med personvern fremst i fokus. Minst mulig data skal samles inn, og lagres sikkert.
Appen, datainnsamlingen og analyse av data må være under tilsyn av tredjepart.
Dataen og appen skal slettes så fort det ikke er bruk for dataene lenger.
Likhet og ikke-diskriminering. Dataen må ikke påvirke personer uforholdsmessig, og skal være tilgjengelig for alle, uavhengig av forskjellig tilgang til smarttelefoner
https://www.digi.no/artikler/kommentar-tannlost-og-mangelfullt/500166
Det er nødvendig med økt profesjonalitet og tydelighet innen risikovurdering av forebyggende digital sikkerhet i et mer helhetlig perspektiv i Norge i dag. Virksomhetene der ute, som kjemper en kamp for å henge med i en raskt økende teknologiutvikling, med kostnadsdrivende kompetansekrav, trenger en profesjonell og kritisk sikkerhetsmyndighet som i tillegg til risikovurderinger også i et samarbeid med andre offentlige og private aktører kan bidra til gode felles nasjonale tjenester, tjenesteplattformer og IKT-infrastrukturer. Feks via:
en risikovurdering av departementenes ansvar håndtering på digital sikkerhet. Ikke en sikkerhetsrevisjon, men en risikovurdering av integrasjonen mellom sikkerhetsstyring og virksomhetsstyring, sett i lys av krav knyttet til sikkerhetsstyring etablert nå i senere tid.
Den andre risikovurderingen vi må klare å formulere på en åpen, offentlig og ryddig måte, er evnen til samvirke i hierarkiet av hendelses- og krisehåndtering skjeden fra lokale CSIRT-er til nasjonal krisehåndtering.
En risikovurdering av hvor gode er vi egentlig på å ta i bruk standarder, sette krav til bruk av nasjonale IKT-infrastrukturer, samt nasjonale digitale tjenester og tjenesteplattformer.
en vurdering av befolkningens, og samfunnets evne til å stå imot informasjons- og påvirkning operasjoner og konsekvensene dersom denne trusselen dessverre slår til. Og f.eks. sannsynlighet for påvirkning i forbindelse med valg, konsekvenser for tilliten til det offentlige blant innbyggere, samarbeidspartnere og allierte.
https://twitter.com/cculina/status/1309432653356163079
NSM fremholder flere viktige poeng som må hensyntas ved tjenesteutsetting - alle like viktige ved utsetting til nasjonale leverandører.
Hvis det er norsk jurisdiksjon og høyere sannsynlighet for fortsatt operativ evne i krise og krig som er den viktige forskjellen, må vi se nærmere på hvordan vi gjør det på hjemmebane først. Man har ingen åpenbar sikkerhetsgevinst av norske leverandører eller norsk jurisdiksjon.
En nasjonal skytjeneste, kanskje i Sikret Offentlig Nett (SON), høres ut som en god idé. Samtidig ville det vært lurt å ta ansvar for sentral kartlegging av verdikjeder, og utpeking av virksomhetene som skal skjermes, i stedet for å la det være opp til departementene.
En nasjonal strategi og et nasjonalt krafttak krever klarsyn, kunnskap og stø kurs. Dit må vi komme, men på veien hadde det vært fint om vi ikke skremte virksomheter som står for innovasjon og verdiskapning bort fra teknologi og løsninger som muliggjør nettopp dette.
Andre topics
Eirik: Tok SpecterOps: Adversary Tactics - Red Team Operations kurset forrige uke
TLDR
Key takeaways
Lessons learned, trade craft, TTP, defensive debriefs
Hvem passer det for
Tools:
Beau Bullock aka Dafthack med nytt MFA cloudpentest tool
Tester Microsoft 365 og on-prem tjenester for MFA inconsistencies
Bra for både red og blue-teams
Updates to Ghostwriter: UI and Operation Logs
Citrix advarer: – VPN gir et sugerør inn i bedriftens eiendeler
Det er lov å påpeke ironien her eller?
Podcast-relatert
Har du bidrag eller spørsmål?
Kunne tenke deg og være gjest? Send epost til [email protected]
(War)Stories from the workplace
Martin fant en sårbar wordpress-plugin for litt siden. JWT token alg=none. “100+ active installations”. I havet av crappy wordpress-plugins, hvem skal man egentlig si ifra til?
Martin ønsker seg en Wordpress SOC/CERT som kan remote blokkere eller alarmere brukere av sårbare plugins som har blitt rapportert inn.
Evt stanse nye downloads av utdatert plugins
René: Det finnes så mange sertifiseringer og kurs, har 5h3ll noen anbefalinger eller tips til lytterne? Del gjerne erfaringer gode og dårlige.
Hvordan tilpasse informasjon fra amerikanske sertifiseringer til norske tjenester interesser etc. bruk av altinn, finn, nav, skatteetaten o.l.