1 uke 1 uke

Oppgradering 1903 til Windows 10 ville ikke installeres, så det endte med at jeg måtte installere Windows helt på nytt. Prosessen er ganske enkel da man kan laste ned MediaCreationTool fra Microsoft, og med dette lage en oppstartsbar minnepinne. Backup-behovet mitt er ganske lavt da filene mine i all hovedsak er i ulike skytjenester på tvers av Dropbox, Drive og iCloud, men det er selvsagt alle lokale programmer og diverse innstillinger som må settes opp på nytt. Savegames for spill i Steam tar Steam kopi av i sin egen sky, så selv disse var det ikke behov for å tenke på.

Sist jeg reinstallerte Windows måtte jeg inn med driver til det eksterne lydkortet mitt samt HP-printeren jeg av og til bruker. Begge fungerte ut av boksen denne gangen. Lastet først ned og installerte Chrome og Firefox, logget inn i chrome og fikk satt opp lastpass-plugin slik at jeg har tilgang på alle passordene mine. Videre hentet jeg ned Spotify, Steam, Dropbox, FileZilla, Putty, AnyConnect (fra jobb), Citrix, VLC, Sublime, 7-zip og Office (office365).

Jeg har to skjermer, en 4k og en 3k, og bruker LittleBigMouse for å justere DPI og mus slik at jeg samløst kan flytte musen frem og tilbake mellom skjermene uten at den "hopper" i vertkalt nivå. Erstatter også den ekstremt plagsomme startmenyen med programmet OpenShell.

  • Ny enkel og pen startmeny. Smoked glass som skin, samt en justering av søkeboks i autofokus. Ny enkel og pen startmeny. Smoked glass som skin, samt en justering av søkeboks i autofokus.
  • Original rotete og stygg startmeny Original rotete og stygg startmeny

Så gjenstod å få opp utviklingsmiljøene. Det er alltid litt herk, men jeg startet med å installerte python3.8. Pip kommer med som standard, så jeg fikk raskt installert virtualenv, og satt tre miljøer: Et for denne hjemmesiden, et for et prosjekt knyttet til systemeoversikt og et for et script for å søke opp musikk via Spotifys API. Tenkte det var på tide å ta i bruk git, så jeg lagde tre nye prosjekter på github og lastet ned GitHub Desktop, som er en veldig enkel måte å komme i gang på.

Spotify-APIet ("freakocralw") skrev jeg om fra python2 til python3 (brukte et støtteverktøy "2to3" som tar seg av det meste, og refaktorerte koden litt.

Hjemmesiden var også skrevet i Python2 og mot Django 1x, så det var en god del jobb å få den til å virke igjen. Særlig knyttet til CSRF-tokens som før var statiske for økten. Nå endres de (i verdi) for hver side som genereres. Brukte disse i forbindelse med CSP-nonce, men gikk nå like greit over til å bruke modulen django-csp. PIL (bildebibliotek) hadde også blitt deprekert, men Pillow er bakoverkompatibelt. Måtte likevel endre på thumbnail-genereringen da "auto" ikke lenger aksepteres som en dimensjon. Valgte også å gå vekk fra MySQL og tilbake til SQLlite. Mindre styr ved lokal test. Migrering av data gikk helt fint ved bruk av dumpdata og loaddata så lenge permission og contenttypes ekskluderes (og etter litt opprydding i ugyldige verdier som ble lagt inn i MySQL-databasen før Django tok over kontroll over dataene i den)

python manage.py dumpdata > initial_data.json
python manage.py loaddata --exclude auth.permission --exclude contenttypes initial_data.json

Systemoversikt-prosjektet var allerede klart, og jeg hadde en fil med requirements, så det kom raskt opp igjen lokalt.

3 uker 3 uker

Jeg hadde behov for å slå sammen noen PDF-er jeg skannet her om dagen. Fant smallpdf etter litt søking, et online-basert verktøy. Kjekt om man ikke er bekymret for selve innholdet i dokumentet.

Er du glad i å spille kort kan jeg anbefale keepthescore for å holde styr på antall poeng. Du kan angi opptil 30 spillere, og stille inn om det er om å gjøre å få høyest eller lavest poengsum. Så legger du inn poengene for hver runde. Perfekt om du for eksempel vil spille tress.

Fra youtube kom jeg over How life grows exponentially. Denne karen "Primer" lager mange spennende simulerings-videoer som beskriver ulike konsepter fra biologi/evolusjon. Anbefales.

Så også noen klipp fra et nytt simulatorspill satisfactory. Hadde det vært på Steam hadde jeg sikkert kjøpt det med en gang, men det er det ikke...

Å finne ut hvor mye plass ting tar på disk i Linux kan være litt kronglete fra terminal, så jeg fant denne one-lineren:

du -ch -d 1 | sort -hr

2 måneder 2 måneder

6-8 september ble jeg med Oslo kommunes bedriftidrettslag på fjelltur. Vi var i underkant av 40 stykk fra ulike bydeler og etater. Vi tok bussen opp 11 på fredag, fremme ca 17, og gikk inn ca. 7 km til Glitterheim turisthytte. Lørdag startet vi 0830, rett etter frokost. Glitterheim ligger på 1386 moh, og første stopp var Glittertinden på 2142 moh, ca 750 meter stigning. Vi gikk raskt opp, og så omtrent ingen ting i tåka på toppen. Det var heldigvis vindstille.

Løypen vi gikk, omtrentlig tegnet inn.
Løypen vi gikk, omtrentlig tegnet inn.

Fire av oss gikk videre, sammen med to turgåere utenom vår gruppe. Vi gikk et stykke ned og snublet litt, men holdt oss unna de bratte skrentene ned mot vannet. Glitterrundhøe lå på 2089 moh. Derifra gikk det ganske bratt ned før vi kunne starte på stigningen til Ryggjehøe på 2142 moh. Det var mye sten og vanskelig å forutsi hvor langt vi kom til å tråkke igjennom, og hva som ventet der nede, men ingen nevneverdige skader på noen av oss. Det klarnet opp, og det var ganske god utsikt på toppen av Ryggjehøe. Derifra gikk det greit nedover, da i sporene til andre som hadde gått opp denne veien samme dag. Vi var fremme ved Glitterheim nøyaktig 18.00.

  • På Glitterrundhøe På Glitterrundhøe
  • Mot Glittertinden (fra Ryggjehøe) Mot Glittertinden (fra Ryggjehøe)
  • På toppen av Ryggjehøe På toppen av Ryggjehøe

    På vei ned og opp Ryggjehøe
    På vei ned og opp Ryggjehøe





    Ned fra Ryggjehøe, mot hytten
    Ned fra Ryggjehøe, mot hytten

      Søndag morgen våknet vi til klar himmel, og det ble en liten gåtur før vi busset tilbake til Oslo 11.00.
      Bilder

      Søndag morgen
      Søndag morgen




        2 måneder 2 måneder

        Mandag 26. til og med onsdag 28.08 var det ISF sikkerhetsfestival i Lillehammer. Det var et omfattende program med både foredrag og sosialt. Her er en rask oppdatering av det jeg fant mest interessant:


        Mandagen - Fellesøkter på Scandic Hotel
        Olav Lysne jobber nå med å lage et rammeverk for å kartlegge de komplekse digitale verdikjedene.

        Bjørn Erik Thon fra Datatilsynet hadde en humoristisk sammenlikning med en av sine første rapporter på personopplysningsvern for snart 10 år siden. Han brakte frem begrepet "eksorbitant", og trakk frem bekymringer rundt misbruk av personopplysninger i valgkamper, samt økende bruk av maskinbaserte algoritmer for å ta avgjørelser. Thon anbefalte boken The Black Box Society: The Secret Algorithms That Control Money and Information og rapporten Det store datakappløpet.

        Lance Spitzner snakket om å håndtere den menneskelige risikoen. For å oppnå sikkerhetseffekt må man søke de tiltak som man klarer å motivere for og som er enkle nok til at de lar seg gjennomføre. Ofte er det lettere å gjøre noe med å forenkle sikkerhetskravene slik at de blir gjennomførbare. Han la også mye vekt på at sikkerhetsteam må alliere seg med kommunikasjonsavdelingen. Både fordi de kan kommunikasjon, men også fordi eksperter ofte har en tendens til å ta [for] mye for gitt.

        Gary McGraw snakket om sikkerhet i programvare. Han snakket om BSIMM, et initiativ for å måle hva ulike selskap faktisk gjør knyttet til sikker programvareutvikling. Han mente man både må ha verktøy for å automatisere code review samt utføre pentesting, men at code review bør være førsteprioritet. Han delte inn sårbarheter i programvare i to kategorier "bugs" og "designflaws" og anbefalte Avoiding the top 10 software security design flaws. I tillegg anbefalte han boken Security Engineering: A Guide to Building Dependable Distributed Systems.

        Per Thorsheim snakket om ID-tyveri. Begreper som "mobilkapring" - ta over en annens telefonabonnement, samt et horribelt eksempel på en tjeneste hos en teleleverandør som tilbyr å sende kopi av SMS til valgfritt telefonnummer eller e-post, satt opp direkte fra "min side". Ille med tanke på at mange bruker SMS for 2-faktor autentisering (pålogging). Man kan ikke stole på at en SMS i dag faktisk kommer fra det nummeret som står oppgitt på telefonen.

        Til slutt pratet Kjetil Nilsen om det nye sentret NCSC, tidligere NorCERT, og den nye samarbeidsarenaen de nå etablerer på havnelagret i Oslo.


        Tirsdagen og onsdagen - mange spor i sentrum av Lillehammer. Her er de jeg satt mest igjen fra.
        Jeg startet med "Strategier og utfordringer ved flytting til skyen" av Monica Verma. Hun snakket om å finne kraftstenene sine, med referanse til Iron Man. Kraftstenene (fokuspunktene) mente hun burde være: 1) sky er et fellesansvar man må ta sammen med skyleverandør, 2) ha en strategi for privilegerte tilganger, 3) overvåk og mål, 4) hendelseshåndtering (majoriteten av hendelser skyldes feil kunden har gjort og ikke skyleverandøren - oppsett med andre ord samt applikasjonsspesifikt) og 5) automatiser mest mulig.

        Neste ut var "Tre ting du bør vite om informasjonssikkerhet i helsesektoren – og tre ting du kanskje ikke visste fra før?" av Jan Gunnar Broch. Han introduserte begrepet "balansert RoS" (risiko og sårbarhetsvurdering) som en balanse mellom tekniske risikovurderinger (sårbarheter og integrasjoner) og det han kaller funksjonelle risikovurderinger (opplæring, kost..).

        Sopra Steria hadde så et innlegg "Implementering av sikkerhetsovervåking. – Hvordan lykkes?". Jørgen Rørvik la vekt på 1) kjenn din egen IT og dine integrasjoner. 2) Fokuser på Active Directory (brukerkatalog og kilde for tilganger). Sjekk AD-trusts og sørg for at driftspersonell må bruke multifaktorautentisering (MFA) for privilegert tilgang. Hvor lang tid vil din organisasjon trenge på å gjenopprette AD? Ha en plan for hvilke systemer som skal prioriteres gjenopprettet ved en hendelse.

        Audun Jøsang (UiO) pratet om "Digital trusseletterretning", først teoretisk om ulike nivåer av trusselforståelse: fra tekniske indikatorer (IP-adresser, hash av skadevare, domener), via taktisk forståelse (verktøy og metoder), via operasjonell forståelse (kampanjer) til strategisk forståelse (mål og hvem som står bak). Presisjonen er størst på lavest teknisk nivå og tilpasningsevnen er lavest/tregest på toppen/strategisk - De som står bak endrer ikke mål ofte, og kan ikke endre hvem de er. Audun snakket også et forskningsprosjekt han nå søker om midler til.

        Jørgen Botnan hadde så en spennende presentasjon kalt "Digital (inn)brytningstid - Erfaringer fra penetrasjonstesting land og strand rundt". Erfaringer fra de fysiske sidene ved inntrengningforsøk i virksomheter. Kopiering av adgangskort, tukling med videoovervåkingsutstyr, utkledning som heismontør for å nevne noe.

        Ivar Andre Fenstad pratet så om "Hvordan møte innsidetrusselen". Han delte innsidere inn i tre kategorier. De som medfører uønskede hendelser ubevisst. De som bevisst gjør ugang alene og de som er "rekrutterte" (organiserte). NSM har en veileder Sikkerhet ved ansettelsesforhold og en podcast NSM Podcast 50 - Innsidetrusselen. Bakgrunnsjekk/klarering påstås å ha liten reel effekt. Stusset noe over dette da det er et grovt filter som trolig reduserer omfanget, uten at vi egentlig vet hvor mye. Det er viktig å bygge en sunn kultur med et godt arbeidsmiljø, forebygge tegn på ensomhet og depresjon, ha muligheter for å varsle. Ivar viste til slutt klippet It's OK to Say som oppfordrer til å være mistenkelig og observant på andres oppførsel.

        Det var en interessant paneldebatt (refleksjonsamtale) arrangert av Datatilsynet kalt "Muligheter og utfordringer med kunstig intelligens". Algoritmer kan være optimalisert for treffsikkerhet eller forklarbarhet. I et personvernperspektiv legger Thon vekt på forklarbarheten, da knyttet til avgjørelser som skal skje automatisk. Algoritmer brukt for å optimalisere/tilpasse seg individet (youtube-anbefalinger og nyheter vist på facebook wall som eksempel) kan være selvforsterkende ved at de viser bruker mer av det samme og ofte med økende ekstremitet. Skaper situasjoner der man i mindre grad blir utsatt for alternative syn. Det ble også dratt frem at dagens algoritmer er avhengig av gode treningsdata/eksempler å lære fra. Vi har flere eksempler på algoritmer som har blitt "rasistiske" eller på annen måte legger vekt på egenskaper som vi mennesker naturlig ser er irrelevante.

        Torstein Gimnes Are fortalte om cyberangrepet mot Hydro. Et meget spennende foredrag. Han la særlig vekt på at en slik hendelse er en virksomhetskrise, ikke en IT-krise. Det var stor interesse og masse spørsmål i etterkant. Imponerende hvor åpen han/Hydroledelsen er om hendelsen og forløpet.

        Stein Ove Røv snakket om "Social Engineering i det 21. århundret, teknikker og psykologien bak". Han anbefalte noen bøker som kan være interessante:

        Vegard Kjerstad snakket om å lede et Incident Response Team. De brukte ELK (programvare for logging og overvåking) da med X-pack og bruk av dens innebygde anomalideteksjon/maskinlæring for å støtte oppdagelse av unormale hendelser. The prince, 48 Laws of Power, Rationality and Power: Democracy in Practice og han nevnte eksperimentet five monkeys.

        Fikk også anbefalt boken The Phoenix Project - A Novel about IT DevOps and Helping Your Business Win og Personvern og GDPR i praksis.