Everything  is  Awful  (And  You’re  Not  Helping)  

An  op;mis;c  #infosec  talk  based  on  Shamir’s  Laws  of  Security  

Jan  Schaumann  @jschauma

Everything  is  Awful.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

https://v.gd/thingOfTheDay

@jschauma   BSidesSF  2016  

#Infosec  “research”  (aka  browsing  Shodan)  

And  YouWe’re  Not  Helping.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

One  of  these  two  people  probably  has  some  really  interes;ng  OpSec  stories  to  tell…  

…  the  other  one  keynotes  RSAC.  

Being  really  good  at  one  thing  does  not  make  you  an  expert  

in  all  things.  

@jschauma   BSidesSF  2016  

💡  

@jschauma   BSidesSF  2016  

#Infosec  !=  Real  World  

@jschauma   BSidesSF  2016  

where  Hanlon’s  Razor  is  dull.  

Welcome  to  #Infosec,  

@jschauma   BSidesSF  2016  

Why  Glenn  can’t  encrypt.  

@jschauma   BSidesSF  2016  

https://v.gd/hackersStealHospital

@jschauma   BSidesSF  2016  

https://v.gd/ccSignatureFun

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

https://v.gd/securusDataBreach

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

https://libraryfreedomproject.org/

Don’t  fuck  with  librarians.  

@jschauma   BSidesSF  2016  

💡  

https://v.gd/FreedomToRead https://en.wikipedia.org/wiki/Doe_v._Gonzales

@jschauma   BSidesSF  2016  

Everything  is  Awful.  And  We’re  Not  Helping.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

The  “S”  in  RSA…  …does  not  stand  for  

Sean  Penn.  

💡  

@jschauma   BSidesSF  2016  

Absolutely  secure  systems  do  not  exist.  

@jschauma   BSidesSF  2016  

Absolutely  secure  systems  do  not  exist.  

To  halve  your  vulnerability,  you  have  to  double  your  expenditure.  

@jschauma   BSidesSF  2016  

Absolutely  secure  systems  do  not  exist.  

To  halve  your  vulnerability,  you  have  to  double  your  expenditure.  

Cryptography  is  typically  bypassed,  not  penetrated.  

@jschauma   BSidesSF  2016  

Absolutely  secure  systems  do  not  exist.  

💡  @jschauma   BSidesSF  2016  

Absolutely  secure  systems  do  not  exist.  Keep  calm,  that’s  fine.  

 Raising  the  cost  of  an  aaack  

is  oben  sufficient.  Know  your  Threat  Model.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

https://v.gd/noSilverBullet

@jschauma   BSidesSF  2016  

HTTPS  

Essen;al  Complexity:  •  exposes  port  443  •  uses  TLS  •  speaks  HTTP    Accidental  Complexity:  •  weak  Ciphers  enabled  •  30  different  versions  of  at  least  5  different  

TLS  libraries  deployed  •  apache,  nodejs,  nginx,  Tomcat  ,  …  

💡  Reducing  complexity  reduces  aaack  surface.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

Data  is  your  friend.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

Data  is  your  friend.  

@jschauma   BSidesSF  2016  

Avg  payout  

@jschauma   BSidesSF  2016  

Cumula;ve  payout  by  vuln.  

@jschauma   BSidesSF  2016  

Data  is  your  friend.  

@jschauma   BSidesSF  2016  

Why  not    “APT  breaking  our  cryptos”?  

💡  Cryptography  is  typically  bypassed,  not  penetrated.  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

US  gov  risk  management  

@jschauma   BSidesSF  2016  

US  gov  risk  management  

@jschauma   BSidesSF  2016  

US  gov  risk  management  

#infosec  focus  “APT”  

breaking  our  cryptos  SQLi  

Keys  on  GitHub  

XSS  

@jschauma   BSidesSF  2016  Dat  APT,  tho.  

@jschauma   BSidesSF  2016  Dat  APT,  tho.  

"If  you  think  your  problems  can  be  solved  by  cryptography,  you're  probably  wrong.”  

-­‐-­‐  Robert  Morris  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

@jschauma   BSidesSF  2016  

Everything  is  Awful.  And  We’re  Not  Helping.  

@jschauma   BSidesSF  2016  

Everything  is  Awful.  (Keep  calm,  that’s  fine.)  

@jschauma   BSidesSF  2016  

💡  

@jschauma   BSidesSF  2016  

Is  the  internet  on  fire?  

@jschauma   BSidesSF  2016  

The  internet  is  always  going  to  be  on  fire.  

Don’t  waste  your  ;me  on  busy  work.    Measure  your  impact.    

     

Priori;ze.  

@jschauma   BSidesSF  2016  

Don’t  waste  your  ;me  on  busy  work.    Measure  your  impact.    

 Understand  your  threat  model.  

 Priori;ze.  

@jschauma   BSidesSF  2016  

Don’t  waste  your  ;me  on  busy  work.    Measure  your  impact.    

 Have  a  threat  model.  

 Priori;ze.  

@jschauma   BSidesSF  2016  

Measure  your  impact.    

Priori;ze.    

Help  others  take  responsibility.  Guide  them.  

@jschauma   BSidesSF  2016  

💡  Everybody  else's  job  is  more  complicated  than  you  think.  

@jschauma   BSidesSF  2016  

Measure  your  impact.    

Priori;ze.    

Be  helpful.    

Teach.    Listen.  

@jschauma   BSidesSF  2016  

Measure  your  impact.    

Priori;ze.    

Be  helpful.    

Teach.    Listen.    

…and  stop  with  the  fucking  Sun  Tzu  quotes.  

@jschauma   BSidesSF  2016  

Measure  your  impact.    

Priori;ze.    

Be  helpful.    

Teach.    Listen.    

…and  stop  with  the  fucking  Sun  Tzu  quotes.  

@jschauma   BSidesSF  2016