Eit lite fråsegn i byrjinga her: Eg er på hels med bassar og bassinner i Aikido, så innhaldet kan/bør være farga av det.
Me byrjar med klaffetelegrafen:
På Sønstabø har me (rettare sagt, faren til Sven) bygd ein klaffetelegraf. Klaffetelegrafar vert også ofte kalla optisk telegrafar. Ein sender meldingar som optiske signal med klaffar. Klaffane set ein i ulike posisjonar, og kodar meldingar med dei, som vert avkoda av med augeballar og hjernene hos ein mottakar ein anna stad.
Slik kunne ein sende meldingar relativt kjapt, over relativt lange avstander.
Åtaksvektorane på den er ikkje mangfaldige, sjølv med brainstorming i plenum kom me kun fram til:
Skugge framfor telegrafen med noko (slik at ein ikkje ser den)
Snike seg inn og kødde med klaffane så ting ikkje vert riktig
Og med sosial ingeniørskap der ein truar operatørar til å feiltolke / feilsende signal
Eg trur ingen på Sønstabø mista nattesøvnen av desse vektorane.
Søvnlaus på Sønstabø
Åtak er noko eg tenkjer på litt, meir enn før i alle fall. Når eg var yngre var risikovilligheten større, konsekvenstenkinga mindre utvikla, ikkje til stades tidvis. Noko ein kan høyre om i ein podcast om meg dersom ein er nysgjerrig.
No, derimot kan eg miste nattsøvnen av at ondsinna Bobby Tables som lever i NPM-pakkar, XSS-åtak og attgløymde API-nøklar i git historikken.
Det finnes ulike måtar å handtere mangel søvn på, sjølv har eg slutta med kaffi etter 11:59, og har eit nokså (til dels latterliggjort) stramt regime rundt søvn no etter å ha lest “Why we sleep” (takk Terje).
Stress og dommedagstankar knytta til DOS-angrep som vert trigga av alle pakkane me er avhengige av for å levere verdi til kunden hjelper ikkje på. Eg ser for meg alt som kan gå gale dersom nokon får tilgang til til dels tungt og dyrt maskineri. Kva skjer om nokon snur fasen på dette landstraumsanlegget? Det vert i det minste oppslag i Bømlo Nytt. I det verste så står ein båt til 500 millionar i fyr og flamme.
Dommedagstankar er ikkje berre negativt kan forfattaren skrive, dei er der for å hjelpe oss til å ta gode sluttingar. Ein ting eg har gjort sjølv på den fronten er å ta tryggleik meir på alvor.
Pass deg for skrivefeil – populære npm-pakker angrepet
Ikkje langt frå himmel til helvete
I industrien rundt oss her i Sunnhordland tek dei tryggleik på alvor og snakkar med tydeleg røyst om det. Alle PowerPointar startar eller sluttar med tryggleik. Alle skal trygt heim. I vår bransje gjeld det samme, alle bits og bytes skal trygt fram. Data skal vera trygge.
27 år gamle meg fniste av sånt, den 41 år gamle versjonen av meg er litt meir alvorstunga. Når ein har opplevd egne fuckups og oppdaga andre sine feiltrinn, så veit ein at det er ikkje langt frå himmel til helvete.
Den kaggen sov antg ikkje så godt eit par netter, men dei fekk lukka holet og komme seg vidare. Det er nemleg ikkje alle som seier frå, eller handler ut frå Kants kategoriske imperativ. Særs ikkje nabolandet vårt.
Difor har me hos oss rett og slett starta å nytte scanning av kjeldekoden vår på skikk. Jau, før nytta me GitLab sine greier, og har testa mange ting. Problemet - trur eg - handlar om brukaroppleving i mange av desse systema.
Her eg arbeider så ynskjer me å nytte best-i-klassen software og integrere desse framfor å gå for ei sølvkule. Berre pitte yrså for mykje motstand og friksjon har mykje å sei når ein held på heile dagen med ulik grad av smertefulle system.
Norske Tibber angrepet – kundedata på avveie
Unfucking i praksis med Aikido
Om ein skannar kjeldekoden sin med Aikido, kan ein unfucke det som ein fucka til, ved at ein får innsikt det som er fucky, enkelt.
Steg #1: Koble
Koble opp scannar gjennom gitlab/github. Peik og klikk affære. Går sikkert an å gjer med noko CLI greier, men start med peik og klikk.
Steg #2: Scanne
La magien skje. Scann repoene dine. Vurder nivået av fuckyness. Kva som faktisk er kritisk kjem opp også. Så ein ikkje brukar to veker på å fikse ein CVE som eigentleg er urelevant.
Steg #3: Skamme
Så må ein faktisk skamme seg litt. For det vil jo dukke opp ting som stiller ein sjølv i dårleg ljos. Ein skal jo ikkje dumpe API keys inn i repo, men det kan tydeligvis skje den beste. Det som er gøy her, er at den plukka den opp i commit-historien, så den er ikkje innlysande med første augekast flatt i repo, men med litt automagisk graving i git historien dukkar den opp.
Meir interessane ting som ikkje er fuckups, men heller ein konsekvens av å være framoverlent er denne me får sidan me nyttar Sentry.io
Vårt fokus på omsyn til brukaren vert rett og slett vår akilles. Korleis me skulle fanga dette opp utan autamatikk veit ikkje eg. Lese CVE-ar med augeballane?
Steg #4: Fikse
Når pulsen har komme ned kan ein starte fiksen, det er mange gode knappar å trykke på.
Steg #5: Heng på
Så må ein jo endre litt kulturen og sørge for at ein saman med kunden viser og forklarer kvifor dette er viktig. Det er ingen som vil vakne til mareritt-scenariet.
Me nytter Slack framfor Teams, me nyttar Linear framfor andre ting 😳, me nyttar Notion, me nyttar Figma og så vidare. Framfor GitLab sine greier nytter me Aikido for å sikre meg og oss nattesøvn. 🌚
Sjekk det ut, kan tilrå.