Derfor skanner han koden sin med Aikido: – Kan unfucke det jeg fucka til

– Om ein skannar kjeldekoden sin med Aikido, kan ein unfucke det som ein fucka til, ved at ein får innsikt det som er fucky, skriver Tor Gjøsæter.

– Framfor GitLab sine greier nytter me Aikido, for å sikre meg og oss nattesøvn, skriver Tor Gjøsæter. 📸: Privat
– Framfor GitLab sine greier nytter me Aikido, for å sikre meg og oss nattesøvn, skriver Tor Gjøsæter. 📸: Privat Vis mer

Eit lite fråsegn i byrjinga her: Eg er på hels med bassar og bassinner i Aikido, så innhaldet kan/bør være farga av det.

Me byrjar med klaffetelegrafen:

På Sønstabø har me (rettare sagt, faren til Sven) bygd ein klaffetelegraf. Klaffetelegrafar vert også ofte kalla optisk telegrafar. Ein sender meldingar som optiske signal med klaffar. Klaffane set ein i ulike posisjonar, og kodar meldingar med dei, som vert avkoda av med augeballar og hjernene hos ein mottakar ein anna stad.

Slik kunne ein sende meldingar relativt kjapt, over relativt lange avstander.

Ein Klaffetelegraf, les meir på bremneset.no/1057-2.
Ein Klaffetelegraf, les meir på bremneset.no/1057-2. Vis mer

Åtaksvektorane på den er ikkje mangfaldige, sjølv med brainstorming i plenum kom me kun fram til:

  • Skugge framfor telegrafen med noko (slik at ein ikkje ser den)

  • Snike seg inn og kødde med klaffane så ting ikkje vert riktig

  • Og med sosial ingeniørskap der ein truar operatørar til å feiltolke / feilsende signal

Eg trur ingen på Sønstabø mista nattesøvnen av desse vektorane.

Søvnlaus på Sønstabø

Åtak er noko eg tenkjer på litt, meir enn før i alle fall. Når eg var yngre var risikovilligheten større, konsekvenstenkinga mindre utvikla, ikkje til stades tidvis. Noko ein kan høyre om i ein podcast om meg dersom ein er nysgjerrig.

No, derimot kan eg miste nattsøvnen av at ondsinna Bobby Tables som lever i NPM-pakkar, XSS-åtak og attgløymde API-nøklar i git historikken.

Det finnes ulike måtar å handtere mangel søvn på, sjølv har eg slutta med kaffi etter 11:59, og har eit nokså (til dels latterliggjort) stramt regime rundt søvn no etter å ha lest “Why we sleep” (takk Terje).

Stress og dommedagstankar knytta til DOS-angrep som vert trigga av alle pakkane me er avhengige av for å levere verdi til kunden hjelper ikkje på. Eg ser for meg alt som kan gå gale dersom nokon får tilgang til til dels tungt og dyrt maskineri. Kva skjer om nokon snur fasen på dette landstraumsanlegget? Det vert i det minste oppslag i Bømlo Nytt. I det verste så står ein båt til 500 millionar i fyr og flamme.

Dommedagstankar er ikkje berre negativt kan forfattaren skrive, dei er der for å hjelpe oss til å ta gode sluttingar. Ein ting eg har gjort sjølv på den fronten er å ta tryggleik meir på alvor.

Ikkje langt frå himmel til helvete

I industrien rundt oss her i Sunnhordland tek dei tryggleik på alvor og snakkar med tydeleg røyst om det. Alle PowerPointar startar eller sluttar med tryggleik. Alle skal trygt heim. I vår bransje gjeld det samme, alle bits og bytes skal trygt fram. Data skal vera trygge.

27 år gamle meg fniste av sånt, den 41 år gamle versjonen av meg er litt meir alvorstunga. Når ein har opplevd egne fuckups og oppdaga andre sine feiltrinn, så veit ein at det er ikkje langt frå himmel til helvete.

Når me varsla ein kagge som var vidopen for eit rainbow table “åtak”. Me kunne hente ut kva som helst ordre. Kanskje russarane allerede hadde gjort det for alt me veit.
Når me varsla ein kagge som var vidopen for eit rainbow table “åtak”. Me kunne hente ut kva som helst ordre. Kanskje russarane allerede hadde gjort det for alt me veit. Vis mer

Den kaggen sov antg ikkje så godt eit par netter, men dei fekk lukka holet og komme seg vidare. Det er nemleg ikkje alle som seier frå, eller handler ut frå Kants kategoriske imperativ. Særs ikkje nabolandet vårt.

Difor har me hos oss rett og slett starta å nytte scanning av kjeldekoden vår på skikk. Jau, før nytta me GitLab sine greier, og har testa mange ting. Problemet - trur eg - handlar om brukaroppleving i mange av desse systema.

Her eg arbeider så ynskjer me å nytte best-i-klassen software og integrere desse framfor å gå for ei sølvkule. Berre pitte yrså for mykje motstand og friksjon har mykje å sei når ein held på heile dagen med ulik grad av smertefulle system.

Unfucking i praksis med Aikido

Om ein skannar kjeldekoden sin med Aikido, kan ein unfucke det som ein fucka til, ved at ein får innsikt det som er fucky, enkelt.

Steg #1: Koble

Koble opp scannar gjennom gitlab/github. Peik og klikk affære. Går sikkert an å gjer med noko CLI greier, men start med peik og klikk.

Steg #2: Scanne

La magien skje. Scann repoene dine. Vurder nivået av fuckyness. Kva som faktisk er kritisk kjem opp også. Så ein ikkje brukar to veker på å fikse ein CVE som eigentleg er urelevant.

Alle funn, og ikkje minst støyredusert funnliste.
Alle funn, og ikkje minst støyredusert funnliste. Vis mer

Steg #3: Skamme

Så må ein faktisk skamme seg litt. For det vil jo dukke opp ting som stiller ein sjølv i dårleg ljos. Ein skal jo ikkje dumpe API keys inn i repo, men det kan tydeligvis skje den beste. Det som er gøy her, er at den plukka den opp i commit-historien, så den er ikkje innlysande med første augekast flatt i repo, men med litt automagisk graving i git historien dukkar den opp.

Ein fuckup eg skammar meg over.
Ein fuckup eg skammar meg over. Vis mer

Meir interessane ting som ikkje er fuckups, men heller ein konsekvens av å være framoverlent er denne me får sidan me nyttar Sentry.io

Ein skulle tru at ein greit på ballen når ein ikkje var sååå langt bakpå med NPM modulene. Tok feil gitt.
Ein skulle tru at ein greit på ballen når ein ikkje var sååå langt bakpå med NPM modulene. Tok feil gitt. Vis mer

Vårt fokus på omsyn til brukaren vert rett og slett vår akilles. Korleis me skulle fanga dette opp utan autamatikk veit ikkje eg. Lese CVE-ar med augeballane?

Steg #4: Fikse

Når pulsen har komme ned kan ein starte fiksen, det er mange gode knappar å trykke på.

Kor i vide verda er det me har brukt dette daaa
Kor i vide verda er det me har brukt dette daaa Vis mer
Opprett ein issue i Linear. Stilig.
Opprett ein issue i Linear. Stilig. Vis mer

Steg #5: Heng på

Så må ein jo endre litt kulturen og sørge for at ein saman med kunden viser og forklarer kvifor dette er viktig. Det er ingen som vil vakne til mareritt-scenariet.

Følg med på korleis ting går. Ser ut som i dette tilfellet at eg må ta meg ein runde her ja. Einaste trenden som helst ikkje skal gå oppover.
Følg med på korleis ting går. Ser ut som i dette tilfellet at eg må ta meg ein runde her ja. Einaste trenden som helst ikkje skal gå oppover. Vis mer

Me nytter Slack framfor Teams, me nyttar Linear framfor andre ting 😳, me nyttar Notion, me nyttar Figma og så vidare. Framfor GitLab sine greier nytter me Aikido for å sikre meg og oss nattesøvn. 🌚

Sjekk det ut, kan tilrå.