Kodsnack 452 - Det kommer inte att tolkas som en sträng, med Johan Boger

2021-12-21 05:26 Ladda ner (mp3) Öppna länkar i nya flikar

Fredrik snackar Log4shell med Johan Boger, IT-säkerhetschef på GleSYS.

Vi inleder ganska naturligt med att diskutera vad Log4shell är, och den klassiska undran hur ett sådant fel kunnat finnas där så länge. Bara för att något använts av många länge är det inte mer säkert.

När kommer TV-serien där hjältarna sitter och läser loggar för att skydda mot dataintrång?

Borde man ändra sitt sätt att jobba som en reaktion på problem som detta? Borde Fredrik läsa mer källkod? Johan är inte övertygad.

Avsnittet sponsras av Länsförsäkringar, som kraftsamlar och investerar för ett digitalt kundmöte i landslagsklass. Surfa in på Lf.se/itjobb för mer information om att jobba på Länsförsäkringar!

Fler rader kod kommer bara att ge oss fler fel i samtiden. Kan det bli trendigt med minimalism i framtiden?

Slutligen diskuterar vi lite att hitta balansen mellan att hantera akuta problem och att kommunicera om dem. Vi kommer även in en del på fördelarna med att säkerhetsproblem får coola namn och stiliga (eller mindre stiliga) loggor.

Ett stort tack till Cloudnet som sponsrar vår VPS!

Har du kommentarer, frågor eller tips? Vi är @kodsnack, @tobiashieta, @oferlund, och @bjoreman på Twitter, har en sida på Facebook och epostas på info@kodsnack.se om du vill skriva längre. Vi läser allt som skickas.

Gillar du Kodsnack får du hemskt gärna recensera oss i iTunes! Du kan också stödja podden genom att ge oss en kaffe (eller två!) på Ko-fi, eller handla något i vår butik.

Länkar

• Log4shell
• GleSYS
• Johan
• Original-kvittret om Log4shell-problemet
• Original-pull-requesten för att lösa problemet på Github
• Log4shell-varianter på Github (originalet verkar inte finnas kvar)
• Memes om Log4shell
• Log4j
• Graylog
• JNDI - Java naming and directory interface
• Shellshock
• Rensa bort klasser ur Log4j-jarfilen (under sjunde sektionen)
• Versioner av Log4j
• Lunasecs “vaccin” mot Log4j
• Mr Robot
• Fuzzer
• Honggfuzz - Googles fuzzer
• Avsnittet med Snyk - som bygger verktyg för att hitta säkerhetsproblem
• Defcon
• Moxie Marlinspike
• Länsförsäkringar - veckans sponsor
• Lf.se/itjobb - för mer information om att jobba på Länsförsäkringar
• Mikael Nyman
• Unixfilosofin
• Elastics inlägg om Log4shell

Bonuslänk

• Säkerhetspodcasten om Log4shell

Titlar

• Något enkelt
• Det pyr lite i kanten på världen
• Korrekt strängformattering
• Det kommer inte att tolkas som en sträng
• Raka motsatsen till vad man vill ha
• Finess från internets barndom
• Tillverkaren loggar allt jag skriver
• En form av trampolin
• Alla ficklampor på det här området
• Med all välvilja i världen
• Dagsfärsk information
• Samhällsklimat kring säkerhet
• Att få backning av ledningen
• DDOS:ad av tiotusen glödlampor i Borås
• Källkritiska mot källkod
• Foliehatts-Johan på säkerhetsavdelningen