Nord Nord Sec #26

Moin, Hallo und Herzlich Willkommen! In der neuen Ausgabe Nord Nord Sec gibt es eine bunte Mischung aus verschiedensten Themen - dieses mal ist es etwas Politik-lastig geworden, aber da müsst ihr jetzt durch 😜 

Diese Woche habe ich für euch im Gepäck: Die Schweiz schreibt “Open Source” als Anforderung für Behördensoftware ins Gesetz, Wieso unsere Schulen auch mehr Open Source Software einsetzten sollten, warum Google uBlock Origin aus dem Chrome Browser kickt, warum Rossmann keine Teslas mehr kauft, Threat Modelling Verbesserungen durch CAPEC und ATT&CK sowie eine desaströse Studio zum Ausbildungsstand bezüglich “Secure Coding”.

Artikel

🇨🇭 “Open by default” als Gesetz: Software als Open Source und Behördendaten als Open Data in der Schweiz! Ein neues Gesetz regelt, das Software unter Open Source Lizenzen veröffentlicht werden muss, wenn sie in oder für Behörden entwickelt wurde. Die alte Forderung “Pulic Money - Public Code” wird also Wirklichkeit. Zumindest in der Schweiz.

Man stelle sich nur einmal vor, wenn nicht jede Gemeinde oder jedes (lokale) Amt eigene Softwarelösungen pflegen und entwickeln müsste, sondern es frei Verfügbare Software gäbe, die Prozesse digitalisiert und vernünftig unterstützt.

🧑‍🏫 Warum Schulen und Freie Software gut zusammenpassen Passend zum Artikel über Open Source/Data in der Schweiz, hier noch ein Plädoyer von Stefan Kaufmann von netzpolitik.org zum Einsatz freier Software an Schulen. Ziel vom Software Einsatz an Schulen sollte immer sein, den Schüler*innen generelle Kompetenzen im Umgang mit Technologien beizubringen, ohne Fokus auf eine konkrete Proprietäre Lösung, die zufällig an den Schulen eingekauft wurde - oder von den jeweiligen Unternehmen dort platziert wurden.

Auch das oft gehörte Argument, das Freie Software im Betrieb und zur Administration Zeit- und damit Personalintensiver wäre, stellt der Artikel ein einfaches Rechenbeispiel entgegen: Pro Schule werden im Landkreis Harz nun 4.000 Euro Lizenzkisten pro Jahr gespart - bei über 30 Schulen kommt da genug zusammen, um neue Stellen für Administrator*innen zu schaffen und die Lehrerschaft zu entlasten. Angenehmer Nebeneffekt: Man baut eigene Kompetenzen auf und ist nicht auf Gedeih und Verderb dem Support ausgeliefert, wenn es darauf an kommt.

🦹 uBlock Origin User nicht mehr erwünscht bei Chrome Long Story short: Google deprecated seinen Manifest v2 Support, da v3 aktuell ist. Allerdings gibt es keine v3-fähige Version von uBlock Origin.

Es gibt andere Ad Blocker die weiterhin in Chrome funktionieren, zum Beispiel uBlock Origin Lite - wer nach wie vor das gewohnte uBlock Origin verwenden möchte, sollte zu anderen Browsern greifen - zum Beispiel zu Firefox.

⚡️ Rossmann kauft keine Teslas mehr Wegen diverser Aussagen und den damit transportierten Werten von Elon Musk, wird Rossmann keine neuen Teslas mehr anschaffen.

Manchmal fragt man sich ja schon, wie Elon Musk auf der einen Seite sagt, er will mit Tesla den Klimawandel verhindern - und auf der anderen Seite dann Donald “The Crazy Orange” Trump als US Präsidentschaftskandidat unterstützen kann. 🤯 

🗺️ Mapping Attack Patterns to your Threat Model Dana Epp bringt den geneigten Lesenden hier näher, wie konkrete Angriffsmuster (CAPEC = Common Attack Pattern Enumeration and Classification) auf im Threat Modelling identifizierte Schwachstellen gemapped werden können.

Das ganze reichert die erstmal doch recht theoretisch und trockenen Schwachstellen mit mehr Informationen an und wenn man das noch mit der ATT&CK Datenbank von MITRE verbindet, bekommt man eine Adversarial Simulation zum nachstellen gleich mitgeliefert.

Falls ihr noch Guidance bei der Mitigation braucht - könnt ihr euch entweder beim D3FEND Framework inspirieren lassen, oder ihr kuckt mal bei der OWASP Foundation vorbei.

🛡️ Report on the State of Education in Secure Software Development Die Linux Foundation hat zusammen mit der Open Source Security Foundation (OpenSSF) einen Report herausgegeben, der sich mit der (Aus)bildung von fast 400 Professionellen Software Entwickler*innen befasst hat. Das Ergebnis: Wir brauchen dringend mehr Ausbildung und Training in dem Bereich. Ehrlich gesagt überrascht mich dieses Ergebnis nicht besonders. Tag für Tag werden neue Sicherheitslücken veröffentlicht, die teilweise banalste Programmierfehler offenbaren - oder schlicht vor Augen führen, das lediglich der Best-Case an Eingabemöglichkeiten bedacht wurde. Entwickler*innen werden mit immer mehr schwammigen Anforderungen konfrontiert, sind eingeschränkt in der Wahl ihrer Werkzeuge oder kämpfen gegen Windmühlen aus dem Architektur-Elfenbeinturm, der nach Monatelangen Diskussionen endlich die, jetzt schon wieder veraltete, “neue” Minor Version des Web-Frameworks frei gibt…

Auf der anderen Seite gibt es nach wie vor viele Entwickelnde, die mit Herzblut bei der Sache sind, sich auf dem aktuellen Stand der Technik halten und ihr bestes geben, sich mit den IT Security Experten im Unternehmen abstimmen, Best Practices umsetzten, Tests auch abseits von Unit Tests automatisieren und und und. Wenn ihr das lest: Macht weiter so! 🧑‍🚒 

Wenn ihr euch jetzt fragt, wie ihr eure Secure Coding Skills verbessern könnte: Die OpenSSF hat auch einen kostenlosen Kurs im Programm: Developing Secure Software (LFD121).

Video

💪 Make your own luck (do this to stand out in a crowded industry) Tolles Video das den Fokus weg von Glück und hin zu Chancen Schaffen verschiebt - Fokus hier auf die Tech Industrie, aber das kann für viele verschiedene Bereiche im Leben angewendet werden. Weg von “Mimimi, die anderen” und hin zu “was kann ich tun, um meine Chancen zu verbessern. Oder meinen Job, mein Leben, meine Beziehungen etc etc.

🧑‍🏫 HackTheBox - Perfection Ich hatte mich letztens auch mal wieder an einer Maschine in HTB versucht und bin gnadenlos gescheitert. Schön zu sehen, wie IppSec durchgeht wie ein heisses Messer durch Butter. Wer errät, wie weit ich gekommen bin, bekommt ein Virtuelles Eis 😜 

Tools und Co.

🖥️ onceupon/Bash-Oneliner Praktische Sammlung von Tipps, Tricks und onelinern für die Arbeit mit und im (Bash) Terminal.

🧑‍🏫 Semgrep Academy Ein (bisher) schnell wachsendes Angebot an kompakten Kursen zu und von Semgrep - einem meiner absoluten Lieblingstools um sowohl einen schnellen Über- bzw. Einblick in Software Projekte zu bekommen, als auch um es im Build zu platzieren um so mit einem guten Gefühl releasen zu können. Schaut rein - Die Einführung in API Security fand ich super, als nächstes ist bei mir “Secure Guardrails” dran.

Das Zitat der Woche stammt dieses mal (wieder) von einem Song. Bei “Niemand wie ihr” bekomme ich regelmässig Gänsehaut, da mir der Song vor Augen führt, wie glücklich ich über und mit meinen Eltern bin.

Wenn meine Kinder irgendwann so über mich denken, wär ich stolz.

Und auch abseits dieses Thema bleibt Punk Rock stabil. Geht wählen, engagiert euch und keinen Fuß breit den Faschisten ✊ 

Cheers,

Martin