Vad händer?

Det var några år sedan jag uppdaterade bloggen här, så tänkte skriva ett kort inlägg om vad jag pysslar med nuförtiden.

  • Bloggande: Mestadels av det jag skriver publiceras på Kryptera.se
  • LinkedIn: Jag försöker vara aktiv och uppdatera några gånger i veckan. Följ mig gärna: linkedin.com/in/jonaslejon/
  • Konsultande: Här lägger jag mestadels av min tid. Jag hjälper företag med oberoende säkerhetsgranskningar av produkter och system (penetrationstester) via mitt företag Triop AB
  • Föreläsningar: Ungefär en gång per månad så föreläser jag hos någon organisation om cybersäkerhet
  • Investeringar och entreprenörskap: Lägger nästan allt mitt fokus på WPSec (tidigare WPScans) som är en SaaS för sårbarhetsskanningar av WordPress-sajter. Är även delägare och med i Advisory Board på Holm Security.

Privat så blir det en hel del träning som vanligt och sporadiskt uppdaterande av min tränings-blogg på jonaslejon.se.

Köper och säljer sajter

Jag har genomfört två stora affärer i år, dels så har jag sålt av https.se där jag sålde SSL-certifikat i några år. Köpare är Miss Hosting och Miss Group.

Även så har jag köpt upp en tjänst, nämligen WPScans.com som är en såbarhetsskanner för WordPress-sajter. Tjänsten har funnits sedan början av 2016 och har flertalet hundra besökare om dagen som genomför skanningar.

Sedan jag tog över tjänsten så har jag 10x antalet användare och lagt om betalningsmodellen till en prenumerationsmodell. Finns så klart fortfarande mycket att göra och todo-listan är lång. Försöker anamma alla mina Growth Hacking-tricks och det är riktigt kul att se hur det ger effekt.

Även så finns det en blogg på blog.wpscans.com där jag och andra bloggar om WordPress-säkerhet.

Test av IoT-datorn VoCore

VoCore är en pytteliten dator som kör Linux, storlek som en enkrona ungefär. Standard så är operativsystemet OpenWRT installerat. OpenWRT är skapat för dig som vill köra en accesspunkt för WiFi. Priset ligger på runt 160 SEK utan docka och med dockan 400 SEK.

SSH-server är Dropbear och skal tillhandahålls av Busybox och ash (Almquist shell).

När du ansluter Micro-usb kabeln till extra-dockan så bootar den upp på några sekunder och drar igång hostapd med ett öppet WiFi-nät vid namn VoCore. Extra-dockan har micro-usb port, ethernetport samt usbport.

Jag hjälpte till att crowdfunda projektet på Indiegogo under 2014 och har inte hunnit testa prylen förrän nu. Det finns även möjlighet att köpa en nyare docka med audio samt så säljs även en kompatibel kamera separat.

Ethernet är på 10/100 och WiFi på 802.11bgn, 2.4GHz och 150Mbit. Även så finns det 28 st GPIO pinnar. Och skulle du inte gilla ssh så kan du även konfigurera enheten via OpenWRT:s webbgränssnitt vid namn LuCi som ser ut så här när jag loggar in:

OpenWRT LuCi VoCore

CPU-Info enligt nedan. Obs Raspberry Pi kör ARM men denna kör MIPS:

[email protected]:~# cat /proc/cpuinfo
system type : Ralink RT5350 id:1 rev:3
machine : VoCore
processor : 0
cpu model : MIPS 24KEc V4.12
BogoMIPS : 479.23
wait instruction : yes
microsecond timers : yes
tlb_entries : 32
extra interrupt vector : yes
hardware watchpoint : yes, count: 4, address/irw mask: [0x0ffc, 0x0ffc, 0x0ffb, 0x0ffb]
isa : mips1 mips2 mips32r1 mips32r2
ASEs implemented : mips16 dsp
shadow register sets : 1
kscratch registers : 0
core : 0
VCED exceptions : not available
VCEI exceptions : not available

Och en lista med processer:

[email protected]:~# ps w
 PID USER VSZ STAT COMMAND
 1 root 1360 S /sbin/procd
 2 root 0 SW [kthreadd]
 3 root 0 SW [ksoftirqd/0]
 4 root 0 SW [kworker/0:0]
 5 root 0 SW< [kworker/0:0H]
 6 root 0 SW [kworker/u2:0]
 7 root 0 SW< [khelper]
 65 root 0 SW< [writeback]
 68 root 0 SW< [bioset]
 70 root 0 SW< [kblockd]
 103 root 0 SW [kswapd0]
 150 root 0 SW [fsnotify_mark]
 192 root 0 SW [spi32766]
 235 root 0 SW< [deferwq]
 238 root 0 SW [kworker/0:2]
 246 root 0 SW [khubd]
 320 root 0 SWN [jffs2_gcd_mtd5]
 381 root 888 S /sbin/ubusd
 382 root 768 S /sbin/askfirst ttyS0 /bin/ash --login
 509 root 0 SW< [ipv6_addrconf]
 571 root 0 SW< [cfg80211]
 662 root 1048 S /sbin/logd -S 16
 697 root 1544 S /sbin/netifd
 718 root 1184 S /usr/sbin/odhcpd
 749 root 1148 S /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p 22 -K 300
 792 root 1528 S /usr/sbin/uhttpd -f -h /www -r OpenWrt -x /cgi-bin -u /ubus -t 60 -T 30 -k 20 -A 1 -n 3 -N 100 -R -p 0.0.
 825 root 1480 S /usr/sbin/ntpd -n -p 0.openwrt.pool.ntp.org -p 1.openwrt.pool.ntp.org -p 2.openwrt.pool.ntp.org -p 3.open
 888 root 1480 S udhcpc -p /var/run/udhcpc-br-lan.pid -s /lib/netifd/dhcp.script -f -t 0 -i br-lan -C
 962 nobody 972 S /usr/sbin/dnsmasq -C /var/etc/dnsmasq.conf -k
 986 root 1216 R /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p 22 -K 300
 992 root 1724 S /usr/sbin/hostapd -P /var/run/wifi-phy0.pid -B /var/run/hostapd-phy0.conf
 1044 root 1488 S -ash
 1058 root 0 SW [kworker/u2:2]
 1083 root 1480 R ps w
[email protected]:~#

Du kan även köra VoCore på ett 18650-batteri:

IMG_0135-1024x768

Users guide (utan docka)

VoCore user guide

 

 

 

Growth Hacking

Growth Hacking

IT-säkerhet är en stor del av min vardag och ordet hacking misstolkas en hel del. Just när det gäller Growth Hacking så handlar det om att göra små ”hacks” för att öka din försäljning, sidvisningar eller användarbas och har således inget med IT-säkerhet att göra.

Följande obligatoriska venn-diagram förklarar vad det handlar om:

growth hacking

På många företag finns det även en eller flera anställda med titeln Growth Hacker som ser till att kontinuerligt skruva och test olika metoder och sätt att åstadkomma mål. En person som jobbar som Growth Hacker är vetgirig och gillar att grotta ner sig i detaljer i alla steg, samt följer upp allt med underlag i form av statistik.

Som liten grötentreprenör så får du så klart göra allt sådant här själv så därför är det bra att ha koll på små och snabba saker som kan hjälpa ditt projekt. Börja smått och läs på och lägg sedan in i din kalender eller avsätt 15-30 minuter om dagen för Growth Hacking. Och börja i tid, redan när ditt projekt är i idéstadie så kan du fundera hur du kan nå ut för att hitta beta-användare och potentiella framtida användare.

Det finns mängder av information att läsa till sig om hur man utför Growth Hacks och jag tänkte här lista några av dem:

Kommentera gärna med egna tips eller länkar.

Bitcoin och blockkedjan Ƀ

Sedan en tid tillbaka så har jag börjat att lära mig mer och mer hur Bitcoin samt dess underliggande blockkedjeteknik fungerar. Den eller de anonyma personerna som skapade tekniken är synnerligen geniala och går under pseudonymen Satoshi Nakamoto.

Mastering BitcoinHar även spenderat semestern med att läsa böcker om ämnet samt undersöka andra användningsområden såsom NameCoin, Ripple och Etherum. Kan rekommendera boken Mastering Bitcoin från O’Reilly för den som vill öka sin förståelse för Bitcoin.

Jag har sedan tidigare investerat i Safello via FundedByMe för att jag tror på den underliggande tekniken men även blockkedjan. Även så konsultar jag inom området och fokuserar då så klart på säkerhet inom Bitcoin.

Så klart finns det även nackdelar med tekniken såsom att mining-delen slukar en hel del kapacitet (KnCMiner äger två hangarer i Boden) samt att stölderna från Bitcoin Plånböcker/Wallets är svåra att förhindra.

Vad tror du händer i framtiden kommer Bitcoin att bli mer utbrett och fler handlare kommer att ta emot betalningar med kryptovalutor? Själv har jag så klart tagit emot Bitcoins på https.se som säljer SSL-Certifikat sedan många år.

Uppdatering: proof-of-work som är en del av blockkedjan kräver givetvis beräkningskapacitet som drar energi och desto grönare energi desto bättre. Det är ingen tillfällighet att både KnCMiner och Facebook har lagt sina datorhallar i närheten av Lule älv.

Bloggy tackar för sig

bloggy-logo8-small

Uppdatering: En intressant sak som kan vara värt att nämna i sammanhanget är att Bloggy hade mer svenska användare än Twitter när det begav sig.

Det är nu 7 år sedan som jag skapade Bloggy eftersom Google köpte upp (och la ner..) Jaiku. Twitter fanns, men var en tjänst som låg långt efter både Pownce och Jaiku. Jag skapade Bloggy under några månaders intensiv kväll/nattprogrammering.

Så här såg det första mailet jag skickade ut till en privat e-postlista för att erhålla lite feedback den 15:de September 2008:

De senaste halvåret så har jag lagt mer eller mindre allt krut på ett enda projekt som går under namnet Bloggy.se som är en mikroblogg-plattform, och nu skulle jag behöva lite hjälp med att testa och hitta buggar och så klart få lite input på bra/dåliga saker innan det är dags för en publik beta.

Bloggy har nu strax över 90k användare och har en internationell systersajt med 9 språk på Cuzo.com. Det har varit många roliga minnen och många sömnlösa nätter och tidiga morgnar med buggfixar (alltid mot livesystem). Totalt finns 12 625 120 inlägg i bloggys databas (automatiska, manuella etc).

Intressanta blogginlägg som jag skrivit på vägen:

Avslutar med en bild som var vanligt förekommande under vissa perioder:

jaiku

Så arbetar .SE:s styrelse

CC BY 2.0 Flickr @kalexanderson
Bild CC BY 2.0 Flickr @kalexanderson

Jag  är sedan några månader invald i .SE:s styrelse med 9 andra personer (inklusive suppleant och sekreterare) och tänkte berätta utifrån mitt perspektiv hur vi jobbar. Arbetet styrs först och främst av den urkund som en gång i tiden upprättades samt stadgar och en arbetsordning för styrelsen. Några av de myndigheter som bedriver tillsyn gällande .SE:s verksamhet är Länsstyrelsen och PTS.

Vi träffas runt 8 gånger per år och några av dom återkommande punkterna på agenda är att vi går igenom ekonomi tillsammans med VD samt så rapporterar VD:n om verksamheten i stort.

Styrelsen beslutar även om stiftelsens mål på lång samt medellång sikt och det är på en övergripande nivå. Det är sedan via VD:n och ledningsgruppen som dessa övergripande beslut bryts ner och effektueras i organisationen.

Vi är en grupp med personer där alla har sin unika infallsvinkel och syn på saker vilket jag tycker är bra och något som en styrelse bör ha. Och eftersom vi sitter på en unik situation i Sverige så är det viktigt att vi förvaltar .SE ccTLD:n och stiftelsen på ett bra sätt. Det innebär att .SE medverkar till att internet utvecklas i en positiv riktning i Sverige men även att .SE är en attraktiv och bra arbetsplats.

Några av de projekt som .SE bedriver är Webbstjärnan, bokpublicering, statistikframtagning, Internetfonden, satsningar på ökad digital delaktighet, konferensen Internetdagarna och seminariertestverktyg, utveckling av program med öppen källkod, stöd vid införandet av IPv6.

Även om jag tycker att det är viktigt med transparens så omfattas det mesta av styrelsens arbete av sekretess.

Psst! Du vet väl att du kan bidra till internets utveckling genom att bli medlem i ISOC-SE?

För internets bästa ❤️

Jag har två nya uppdrag där jag verkar för internets bästa. Det är två styrelseuppdrag där det enda är för .SE (Stiftelsen för internetinfrastruktur) sedan November 2014 och det andra är Internet Society Sweden Chapter (ISOC-SE) sedan förra veckan.

Även så anordnar jag och Anne-Marie Eklund-Löwinder säkerhetsspåret för årets Internetdagarna som går av stapeln i November.

Men vad är för internets bästa då? Jo, du får nog olika svar beroende på vem du frågar men det jag tycker är viktigt är följande:

  • Fler lär sig programmera genom exempelvis barnhack
  • Ökad mångfald inom internetbranschen
  • Öppna data och entreprenörskap
  • Säkerhet såsom krypteringDNSSEC
  • IPv6
  • Robusthet, driftsäkerhet och stabilitet

Det är roliga uppdrag och förhoppningsvis kan min medverkan göra internet till en lite bättre plats. Och om du gillar internet så tycker jag att du ska gå med i den ideella föreningen ISOC-SE som kostar 350kr / år.

Vad tycker du är viktiga internetfrågor?

Bild CC BY 2.0 @balleyne

Bild CC Cydcor https://flic.kr/p/fcUr79

Svenska IT-Konferenser 2015

Jag tänkte försöka mig på att sammanfatta några intressanta konferenser som går av stapeln under 2015 som kan vara av intresse för dig som jobbar med webb/it/säkerhet.

Dessa konferenser går alla i Sverige:

  • Webbdagarna – Har tyvärr redan varit och jag lyckas alltid missa denna men nästa gång lovar jag att komma.
  • Internetdagarna – 23-24 November. Detta är en bred konferens som har ett antal olika spår för dig som gillar säkerhet, domäner, wordpress, startups
  • PyCon – 12-13 Maj. För dig som gillar att programmera Python. Går för andra året
  • EuroBSDcon – 3-4 Oktober. Brukar vara en bra konferens för dig som gillar opertivsystemet BSD.
  • SEC-T – 17-18 September. Helt klart bästa säkerhetskonferensen i Sverige. Även pubkväll den 23:de April
  • Startup Day – April 25. Har ej varit på den men har hört mycket bra om denna startup-konferens
  • NordicJS – 10-11 Sep. En konferens för dig som programmerar JavaScript. Lokalen förra året var Artipelag ute i Stockholms skärgård som helt klart verkar intressant.

Vad har du för förslag på konferenser? Lämna gärna en kommentar med tips.

DevOps Säkerhet

Att jobba med DevOps samt IT-säkerhet är några av de områden som jag gillar mest. Därför är det intressant att ibland stanna upp och reflektera. För inom DevOps handlar det oftast om att skeppa kod så snabbt som möjligt och bygga skalbara och snabba mikroinfrastrukturer med continuous integration. Säkerhet däremot ses ofta som en bromskloss i utvecklingsarbetet.

Det går att fuska med säkerhet: Genomföra saker snabbt men se säkerheten som ett lån med ränta. Att betala tillbaka på lånet snabbare gör att säkerheten blir bättre och det blir inte lika dyrt längre fram (technical debt).

Att ta med säkerheten tidigt i sin planering är viktigt, för använder ni Docker så se till att använda SELinux eller AppArmor (vilket bl.a. Ubuntu Snappy gör som standard).

Exponera ej Elasticsearch, Redis, MongoDB eller andra databaser direkt mot Internet, vilket tyvärr förekommer och nyttjas av elakingar.

Se även till att inte lagra lösenord i klartext och genomför säker radering av information. Visste du exempelvis att Mac OS X har kommandot srm?

srm – securely remove files or directories

Nu är det nog med rant för det blir faktiskt bättre. Och för att ge lite matnyttiga tips tänk på följande:

10 tips till säkrare DevOps

  1. Genomför inte bara backup. Kontrollera även löpande att den verkligen innehåller allt och fungerar. Backup för prod ska ej vara tillgänglig från stage och vice versa.
  2. Prod-, stage- och utvecklingsmiljöer ska ej dela nycklar, lösenord etc.
  3. Tänk på att ej lägga alla ägg i samma korg. Nyttja exempelvis Amazons availability zones.
  4. Kryptera så mycket som möjligt. Inte bara in-transit utan även lokalt, undvik helt klartextprotokoll samt införskaffa SSL-Certifikat.
  5. ossecLogga mycket och filtrera samt arkivera med hjälpmedel såsom OSSEC. Som förresten även kan hålla koll på filintegritet.
  6. Bevaka med verktyg såsom Nagios, Pingdom och New Relic. Glöm inte ändpunkter för API (10 saker som Bit.ly glömde att bevaka).
  7. Genomför löpande säkerhetskontroller med verktyg såsom QualysNessus och Detectity. Även manuella återkommande granskningar är att rekommendera av företag som utför penetrationstester.
  8. Omvärldsbevaka och håll Er uppdaterad när det kommer nya sårbarheter i de mjukvaror som Er infrastruktur använder. Vad är best practices just nu för att lagra lösenord, är det bcrypt, scrypt eller pbkdf2?
  9. Segmentera och filtrera så mycket som möjligt. Ingen enskild server eller konto ska ha tillgång till allt.
  10. Checka aldrig in lösenord, nycklar eller annat känsligt till ett repo.

Tänk inte bara DevOps, tänk även SecOps.

Lös inte nästa problem som du stöter på, på följande sätt (saxat från Stackoverflow)

https stackoverflow