Dit gaat weer een grote worden vrees ik.

wat ik niet begrijp is waarom er weer dit is:


"Deze tool vereist geen cryptografische handtekening en kan tijdens de installatie willekeurige code uitvoeren. Ook is het eenvoudig om willekeurige code aan PyPI toe te voegen, dat geen goede kwaliteitscontrole heeft, aldus SK-CSIRT. "

Op de pagina van SK-CSIRT wordt een opdracht om te zoeken naar deze package gegeven.
Echter zal deze opdracht wel onterecht urllib3 (met dubbele l) en misschien het package cryptography vinden.
Gebruik daarom de opdracht:
pip list -format=legacy | egrep '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib) '
Spatie toegevoegd op het einde van de regulaire expressie egrep opdracht.
En gebruik een dubbele streepje in het format argument(--format) tegen een DEPRECATION waarschuwing bij pip versie 9 en hoger.

Gaarne uitleg waarom Phyton in de big data setting http://www.kdnuggets.com/2015/05/r-vs-python-data-science.html storende informatie zou zijn.
Data scientisten worden opgeleid tot data modellering niet tot informatiesecurity. Grote verdienstens in marketing en meer als de belofte. Tevens de vraag/eis om zeff al die tools met de meest gevoelige data op de eigen laptop te hebben.

een groot deel van informationsecurity is de realisatie dat mensen betrokken zijn met hun gedrag in een keten. jij lijkt steeds als een gefrustreerde azijnzeiker hoog van een apenrots te pissen naar iedereen die iets inhoudelijks ter discussie stelt. ik denk daarom dat jij ook niet authoritive over informationsecurity bent gezien je posts met je houding daarin.

Raar, ik heb ze een jaar geleden al gemaild dat er een virus in een pakket zat, toen is er niets mee gebeurd, voor mij was dat toen exit python...

ik gebruik python dagelijk, maar om eerlijk te zijn, die zogenaamde DevOps houding van 'ik trek vanwege dat ene routinetje die gehel externe dependancy binnen van een library die niet zo portable blijkt te zijn na verloop van tijd', die snap ik niet zo. Kijk het is logisch om veel belastend specialistisch werk niet extra weer over te doen, maar jongens, soms wordt er voor een pruts dingetje een niete dependancy gekoppeld waarbij later in beheer wel de nadelen daarvan duidelijk worden. dependancy een wil een versie vooruit ivm updates, dependacy twee net niet ivm incompatible etc. het gemak komt dus met een prijs en daar moet je wel rekening mee houden en afwegen.

on topic weer:

dat er een paar libs of packages uit die repo nu iffy zijn, neemt voor mij absoluut niet weg dat python nog dagelijks een hele krachtige tool is.

ach, er hier is ook nooit echt een fatsoelijke (academische) opleiding vooraf aan gegaan, dus misschien moeten we dat in het achterhoofd houden :).

Klopt ik ben geen CEO van een groot bedrijf, dat is de uiteindelijk "authoritive over informationsecurity"
Als geheel van de keten probeer ik inhoudelijk dat goed aan te sluiten.
Er zij echter te veel van de azijnpissers die op een OS doosjes niveau blijven hangen. Het er niet mee eens dat de informatie security conform wettelijke aanwijzingen op orde gebracht zou moeten worden. Dat zeggen ze niet zo, maar handelen er naar.

"Als geheel van de keten probeer ik inhoudelijk dat goed aan te sluiten."

dat lukt je dan duidelijk niet:

https://www.security.nl/posting/531037

met 'niet authoritive' werd misschien misschien ook wel bedoeld: totaal ongeschikt.

met die logica zou je ook moeten zeggen; exit windows ?

fijn dat je bevestigend reageert!

poging om topic terug te vinden:

wat heeft je link http://www.kdnuggets.com/2015/05/r-vs-python-data-science.html nu te maken met enkele dodgy packages in PyPI te maken? Of was toevallig dat de eerste link die je vond toen je data science en python in google duwde?

Lijkt wel telemetrie. Moeten we dit als proefballon zien van mogelijk grotere narigheid?

Wat in ieder geval totaal ongeschikt voor security beleid is:
- blijven zeuren over techniek in doosjes.
- de gebruikers wegjagen naar shadow It, de Cloud en selfservice met outsourcing
- verbaasd staan gaan kijken hoe de data overal op straat beland. Met een CSO afgestudeerd in muziek in historie kan je van alles verwachten.

blijkt vooral ook typosquatting te zijn:

http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

jammer dat dat niet door de security.nl editors ook even vermeld is in hun samenvatting.

verder daarin

"The malicious code added to the fake package is executed as soon as the
developer or system administrator installs the package (which is often done
with administrator privileges)."

is ook niet helemaal waar. Veelal op unix machines wordt de std python van de linux distro repo geinstalleerd en alleen packages van die officiele linux installatie repo komen systeem breed (als root) geinstalleerd en alle anders: per user in de users /home. Althans, dat is mijn policy wel altijd geweest. Daarom is ook de '--user' optie van easy_install zo fijn :).

een typische jijzelf-bak is een teken van zwakte.

het is echt eenvoudig:

1) geen doosjes => geen IT keten
2) geen doosjes en geen techniek => geen IT security problemen en jij geen werk
3) exploits gebeuren op doosjes en niet in theorie op een velletje papier
4) shadow IT is teken van niet werkend gefaald IT beleid / implementatie van te veel regels en gedoe

analogie: heb je al eens auto proberen te rijden om op vakantie te gaan zonder een auto?

al automatiseer je de gehele keten en is de mens uit de loop, dan nog kan er een onvoorziene exploit in de keten zitten. heb je helemaal niets aan iso ditem iso datum en boos zijn op mis management of netwerk nerds etc. tijden veranderen, randvoorwaarden veranderen, dus aanpassen of je wordt gepowned, net als in de natuur met survival of the fitest. een selectie mechanisme dus. de zwakste schakel breekt het eerst en in de IT is dat altijd op of in een doosje ergens.

wat is jou opleiding dan? als jij een meninkje heb over een academische opleiding van een ander. is je al eens eerder gevraagd en daar heb je altijd ontwijkend op geantwoord. I wonder why..

anyway, inhoudelijk: als je wat van wiskunde zou begrijpen, dan moet je eens nadenken over het goedel theorema. het hand-waving gevolg daarvan is misschien wel dat regeltjes niet 100% dekkend KUNNEN zijn.

https://en.wikipedia.org/wiki/G%C3%B6del%27s_incompleteness_theorems

maargoed, ik voel wel al aan mijn water dat deze munt ook niet zal vallen bij je...

Ok laten we je post is analyseren.
Dat incompleteness theorem is prima. Als je me gevolgd had, had je kunnen beseffen dat ik die vaak gebruik.
De doosjes mentaliteit volgt de propaganda dat open source foutloos is en commerciële software fout. Die houding klopt niet met je genoemde theorema. Daarmee moet bij je het kwartje vallen dat je jezelf tegenspreekt.
De bekende PDCA cyclus erkend dat wel die houdt continue verbetering overigens wel in. Laat dat nu net de kern van de regeltjes richtlijnen zijn. Niet vasthouden aan vinkenlijstjes maar beseffen van wat de risico's en impact kan zijn.

Die doosjes waar ik naar verwijs, kun je prima doortrekken naar auto's, zoals je zelf doet. Besef dat er veel regeltjes rond auto's en weggebruik zijn. Het is niet de autoknutselaar die een motor inbouwt in een koets die voor de veiligheid van het ding en voor de veiligheid van de keten met het gebruik gezorgd heeft. Met ICT zijn we kennelijk dat geknutsel in werkplaatjes achteraf nog niet ontgroeid terwijl het al wel massaal van de lopende band gedropt wordt.
Hier spreek je jezelf weer tegen al valt dat muntje nog niet.

Beginnen over opleiding academische opleiding als de zaligmakende kennis waarmee je boven anderen staat. Oei wat is die fout wat je daar doet. Ik beweeg me al vele jaren in de hoek van analytics etc. waar velen zich op zo'n opleiding voorstaan maar wat informatiesecurity betreft er niets van snappen. Je kunt beter de zaak onafhankelijk van een klein afstandje bekijken dan deel uitmaken van dat circus met alle manipulaties. Dat muntje van gemanipuleer moet kennelijk nog vallen bij je. Peroonlijke zaken etc. leuk achteraf aan in een café met een hapje en drankje maar beslist niet als anoniem die zich gefrustreerd voelt.

Nee het is mijn ervaring omgeving waar al tijden mee te maken heb. Gevoelige gegevens die vrolijk naar de eigen machine eigen laptop geduwd wordt zonder verdere monitoring op het gebruik.

Argumenten dat de stagair of onderzoeker dat nodig heeft om een en ander programma uit te proberen waarbij dan tegenwoordig phyton R voorop staat omdat het tijdens de studie zo geleerd is om te doen. Het gaat dan om onderzoeksresultaten als resultaat niet om ethisch vertrouwd met die gevoelige gegevens om te gaan.

Als je dat als de gangbare praktijk ziet stel je dan eens voor wat de gevolgen zouden kunnen als ze onwetend van zelfstandig eigen tooltjes op de eigen laptop geplaatst zou kunnen gaan gebeuren. Om die onderzoekers het werk te laten moest de data verplicht door het management er op gezet kunnen worden.

Voor je begint met dat zal toch niet. Nou als dat waar is ....
Ga een verder denken en doe de waarnemingen het is eerder de norm dan uitzondering. Gooi alle grote nederlandse bedrijven en Non-profits maar op een hoop. Ik ben overtuigd dat je overal wel één of meerdere praktijkgevallen zult kunnen vinden waar het zo gaat.

@karma

"analogie: heb je al eens auto proberen te rijden om op vakantie te gaan zonder een auto?"

in de analogie gaat het om het niet beschikbaar hebben van een auto in een situatie waar hij duidelijk nodig is: net zoals het hebben van doosjes en OSen in een IT keten. het gaat niet om de wijze waarop een auto tot stand is gekomen.

je hebt er duidelijk niets van begrepen!

fijn dat je eens toegeeft dat je een fout gemaakt hebt:


kun je nu nog eens een poging doen en aangeven wat

http://www.kdnuggets.com/2015/05/r-vs-python-data-science.html

inhoudelijk met PyPI en pip te maken heeft gehad?

Lees eens goed wat de inleidende tekst van de PyPi-website zegt, en let op wat er niet staat.

Er staat dat het een plek is die auteurs van in Python geschreven pakketten gebruiken om hun software te distribueren en een plek waar je als gebruiker die pakketten kan vinden. Het gaat hier dus niet om Python zelf, en niet om de standaardlibrary van Python. Het gaat om pakketten van derden.

Er staat nergens dat er een centrale kwaliteitscontrole is, er staat nergens dat de kwaliteit van de software die je er kan vinden gegarandeerd wordt door de Python Software Foundation, er staat nergens dat men alleen bewezen betrouwbare auteurs toelaat. Dat soort claims ontbreekt volledig.

De Python Software Foundation biedt hulpmiddelen aan om software van anderen makkelijk te verspreiden. Ze nemen daarmee niet de verantwoordelijkheid voor die software over van de makers. Vanuit de Nederlandse consumentenbescherming geredeneerd zou je dat misschien wel verwachten, maar het is geen Nederlandse website en ze pretenderen niet meer te doen dan ze doen.

Ik vind het passen bij de mentaliteit die van Python zo'n prettige programmeertaal maakt: faciliteren zonder je handje vast te houden, ze bieden dingen die het leven makkelijker maken maar op een manier waarbij je wel zelf moet blijven nadenken.

"Dat incompleteness theorem is prima. Als je me gevolgd had, had je kunnen beseffen dat ik die vaak gebruik."

geef eens een linkje en een toelichting waar je dat dan doet en formuleer dan daarbij de beroemde goedel zin een expliciet zodat wij het ook allemaal kunnen begrijpen (https://en.wikipedia.org/wiki/G%C3%B6del%27s_incompleteness_theorems#First_incompleteness_theorem)

ik heb namelijk sterk het vermoeden dat je bluft en te hoog van de toren blaast, maar ik zie graag dat ik fout zit :).

Jammer dat je het niet door wil hebben. Ik krijg de belediging over me heen dat alleen academici tot security beleid in staat zijn. Ik zeg dat die houding faliekant fout is. Wat voor fout heb ik dan toegegeven... geen enkele.

Wat phyton met big data te naken heeft is nu net die link en mijn werkomgeving. Dat moet je niet eens ter discussie stellen. Het zelfde geld overigens voor R. Inderdaad het maken en publiceren van R packages makkelijk verspreiden maar zonder kwaliteitsgaranties voor wat dan ook.
De keerzijde daarvan is zonder kwaliteitscontrole copieren door anderen die enkel tot copieren in staat zijn en dsn rustig verklaren dat het perfect is. Zelf iets maken en controleren is duur dan komt het verdienmodel om de hoek.

Wat big data met slechte security te maken heeft is net de kern van shadow It. Ook die vraag mist het bewustzijn wat er echt speelt. Je moet gewoon eens bij de collega's in de organisatie buurten. Je komt dan mogelijk wat tot inzichten.

lees de originele post eens van de editors en kijk eens naar de subject van deze posting. het gaat hier niet om big data, het gaat om een aantal typosquat fake packages in de PyPI. python wordt voor veel meer gebruikt dan big data. R heeft niets met de PyPI repository te maken. je posts gaan inhoudelijk werkelijk nergens meer over.

Waarschijnlijk ontging de referentie je, maar hier heeft karma4 best wat relevante punten. (zeldzaam, inderdaad, maar toch)

De CSO (Chief Security Officer) van Equifax - onlangs met een enorme databreach van 143 mln mensen hun credit data - was een mevrouw met een middelbare opleiding in de muziek en geen security diploma's.
Ook al zitten CxO 's niet hoogspersoonlijk aan de knoppen , een relevante achtergrond om hun domein aan te sturen en de juiste prioriteiten te stellen lijkt toch wel noodzakelijk .

Dat je je security niet onder controle hebt als gebruikers massaal 'shadow IT' doen , gevoelige informatie op thuis-NASjes sharen met de wereld is ook een terecht punt.

En dat security niet 'klaar' is als je een bepaald doosje gebruikt (of het nu 'firewall' heet op 'open source kernel' ) is ook gewoon waar. Dat je met sommige bouwstenen je security beter en makkelijker voor elkaar kunt krijgen dan met andere bouwstenen wil ik zeker be-amen , maar denken dat je door een blokje 'firewall' in een design te plempen je het vinkje 'secure' mag zetten is niet zo. En evenzeer, 'draai alle servers op Linux' maakt ook je security team niet werkloos.
(het maakt hun leven wel wat makkelijker)


Heel stoer. Slaat als een tang op een varken. Zullen we ons nu afvragen of quantum onzekerheid ook betekent dat je je metingen (cq input data) niet kunt vertrouwen ?. Vlak na de trage server veroorzaakt door het gravitatieveld van de dikke sysadmin die ernaast staat.

Gewoonlijk heb je een stel regels en voor wat niet past een 'exception proces' waarbij iemand nadenkt en dan "OK" of "Niet OK" zegt.

Dus omdat het ook wel voor andere zaken dan big data gebruikt wordt (net als R) is het geen probleem dat er secuity awareness in de basis is.
En het is geen probleem dat er geen alignment is met informatiesecurity.

Dan ben je echt geblokkeerd in de doosjes wereld. Lees de originele artikel maar eens. De impact en het risico is niet benoemd en als je daar wat van meld zou het niets met het artikel te maken hebben.

Dan zou je op geen enkel artikel kunnen reageren want elke reactie voegt iets toe wat daar niet stond.

"Heel stoer. Slaat als een tang op een varken. Zullen we ons nu afvragen of quantum onzekerheid ook betekent dat je je metingen (cq input data) niet kunt vertrouwen ?. Vlak na de trage server veroorzaakt door het gravitatieveld van de dikke sysadmin die ernaast staat."

waarschuwing voor glad ijs!

quantum onzekerheid:

https://en.wikipedia.org/wiki/Uncertainty_principle

"asserting a fundamental limit to the precision with which certain pairs of physical properties of a particle, known as complementary variables, such as position x and momentum p, can be known."

niet complementaire metingen kunnen 100% scherp tegelijkertijd gedaan worden, mits natuurlijk de corresponderende operatoren commuteren.

massa geinduceerde ruimte kromming:

https://en.wikipedia.org/wiki/Einstein_field_equations#The_correspondence_principle

admin is niet zwaar genoeg, gaat niet snel genoeg tov server en obeservator zit in zelfde gravitatieveld vrijwel in de buurt van admin.

karma begon ongefundeerd over opleiding, er is een reductio ad absurdum toegepast om dat duidelijk te maken dat daar haken en ogen aan zitten:

https://en.wikipedia.org/wiki/Reductio_ad_absurdum

Verder heeft goedel veel praktische varianten die in de IT wel degelijk aanwezig zijn. Halting probleem van Turing:

https://en.wikipedia.org/wiki/Halting_problem#G.C3.B6del.27s_incompleteness_theorems

en of en hoe toepasbaar dat nu allemaal is in andere situaties is ook nog niet geheel duidelijk (met dus pro en cons):

https://en.wikipedia.org/wiki/G%C3%B6del%27s_incompleteness_theorems#Appeals_to_the_incompleteness_theorems_in_other_fields

vandaar het woord KUNNEN dan ook in de originele statement en je 'exception' fall back lijkt hierin een bevestigend argument te zijn.

Beter bedacht dan het aanvallen van een eindproduct zoals bij CCleaner is natuurlijk het aanvallen van programmeertalen, scripttalen, libraries en compilers. Petje af.

Andere anoniem hier.

Voor zover ik kan zien begon het hele heen en weer gepraat en gescheld over opleiding hiermee:
Je schreef ook nog ergens:
Je lijkt er daarmee zelf nogal van overtuigd te zijn dat iemands opleiding bepalend is voor wat hij of zij presteert. Maar als iemand dan naar jouw opleiding vraagt is dat opeens een falikant foute houding om opleiding belangrijk te vinden. Dat is nogal tegenstrijdig.

Mij kan, voor alle duidelijkheid, de opleiding van karma4 of wie dan ook niet veel schelen. Ik heb in mijn loopbaan meegemaakt dat iemand met niet meer dan MAVO als vooropleiding een betere automatiseerder bleek te zijn dan sommige academici. Ik heb gezien dat er mensen zijn die dankzij een onwaarschijnlijk goed geheugen voor feitjes met hoge cijfers door opleidingen heenvliegen om dan vervolgens opvallend slecht te zijn in het goed toepassen van al die feitjes die ze zo goed paraat hebben. En ik heb ook getalenteerde mensen met een goede opleiding gezien die die kennis wel degelijk goed toepasten en juist door die combinatie van talent en opleiding indrukwekkend waren. Het komt allemaal voor en het beeld is te divers om er simpele vuistregels aan te ontlenen, uiteindelijk merk je aan de persoon zelf wat die waard is.

Wat dachten jullie, karma4 en degenen die met hem aan het bekvechten zijn, ervan om er een punt achter te zetten? Jullie laten je allemaal niet van je beste kant zien zo.

En dan als je het zelf niet heb gecodeerd, is er dus snel het probleem van trust aan het opdoemen.

Test management wordt steeds belangrijker en dan nog een klein foutje en je zit je jaren lang af te vragen,
wat de impact had kunnen zijn.

Developers opleiden zonder ingesleten beveiligingsbewustzijn is vragen om steeds meer ellende. Is dat nou zo moeilijk in te zien? Kennelijk wel door degenen, die het circus aansturen.

Eens, vooral m.b.t. " uiteindelijk merk je aan de persoon wat die waard is"

Ik werk vanaf mijn 17e full time en ben na mijn 40e volledig afgestudeerd.

Ik merk dat sommigen denken dat er sprake is van 2 'kampen'. Volgens die gedachte hoorde ik voor mijn afstuderen dus bij het ene kamp en na mijn afstuderen bij het andere kamp?
Maar ik ben nog steeds dezelfde persoon...

Die vijandigheid tussen deze veronderstelde 'kampen' komt naar mijn idee altijd voort uit mensen die vinden dat ze onderdeel uitmaken van het kamp der niet-hoogopgeleiden. Zinloze houding. Ik ken mensen zonder hoge opleiding die slimmer en beter zijn dan ik.

Waar het om gaat dus is wat je daadwerkelijk kunt.