Banning TP-LINK..... the correct strategy?

OBJECTIVE:  Something to think about.

 This type of news comes around frequently over the last decade.   Should we ban a Chinese manufactured product from entering our country.

The Wallstreet Journal just published an article on this with regards to one of the most popular wifi routers sold in the US on Amazon and other retailers.

U.S. Weighs Ban on Chinese-Made Router in Millions of American Homes

Trust in a foreign manufacturer should always be a concern to individuals taking risk based decisions for entire industries... or even your own home if you are personally inclined.   

Imposing a ban does make sense, but one has to consider that most of the other crap in your house was also made directly in China, or China was involved in some part of the supply chain.

In a capitalist country, if someone is selling $25 routers, no one will want to pay $150 for one manufactured within your country.  Once again, the ban makes sense, but since all the other routers could also be "suspicious" the ultimate solution will be more complex.

The only way I see off the top of my head to achieve this in a capitalist world is to subsidize key industries and produce the crap IN-COUNTRY.   This takes a plan that goes beyond whining about it at the FTC or other government body to ban "some" crap while not really knowing what other crap would need to be banned.   I say crap because lets face it, a $25 router cannot possibly be mil spec ;-) 

Without subsidies for what could be identified as KEY INFRASTRUCTURE, Americans cannot produce (today) a $25 router.   Once the economy tanks and people are starving, and civil war is at the door or completely in the yard, maybe.....

In the meantime, pick a router you can at least replace the OS on and get some sense of security, but unless you built your own hardware, a slight risk remains when faced with an adversary who has always thought long term when your culture cannot see past the next election.

---------------------------------- 

Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.

Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies

www.eva-technologies.com

Imagine a Vulnerability Testing tool that defaults to showing you partial results

Well, to my surprise, Tenable.IO has added a new setting that defaults to NOT showing you everything.

So when creating a new scan, you are faced with this new option:

That reads:  

SCAN FOR UNPATCHED VULNERABILITIES (no patches or mitigation available)

Now, once you know this setting exists and it is OFF by default you can obviously set it to ON when you create a new scan.   You can also retrain everyone using the tool so they do the same.

You are still left with TWO major issues.

The least important one:  Human error.   I still accidentally create scans today that have the SHOW SUPERSEDED setting still ON by default because Tenable sets that very very stupid setting to ON by default.  So I and others will certainly launch scans that have this new (and equally stupid) setting OFF and potentially get partial results without knowing it.

The MOST important issue:  All your past scan tasks are now set to OFF on this setting.   This means that for every client we manage, and every scan task (for us, this totals tens of thousands of scan tasks), we have to open each one and set this setting to ON.

What the heck Tenable.  You are a vulnerability assessment and reporting tool.  And in my opinion, this is your main mission regardless of if a fix is published.  

If I have a critical and exploitable vulnerability on a critical system, I want to know so I can decide how I will mitigate that risk.  

Will I turn the system off, will I investigate the issue and see if my other countermeasures can be tuned to reduce this risk, these are risk management decisions that fall outside of your responsibility.  

Your job is to report on vulnerabilities regardless of how easy they are to address and stopping to do this by default is a grave failure.

I am 100% AGAINST THIS SETTING being off by default.  It should be an individual decision taken by your clients.  That setting equates to wanting to be willfully blind.  Today we are told it applies to Red Hat only, but who knows for the future.

I remain stunned that this makes it into production.  If you are going to add new settings that can have large impacts like this, we should also be able to set it globally and not have to do this task by task.

So Tenable users.....

Below is the full panel so that if you decide you want to cancel Christmas and go through all your scan tasks you can easily find this new setting and start clicking.

Or, write me a note, as we will write software to call the API and do this automatically since I am not going to subject myself or my staff to do this manually.

@EVA Team, please add this to our TFCT (Tenable Failure Compensation Tool) that we keep coding to address the shortcomings of this commercial solution.

NOTE:  All these commercial solutions have short comings.  So keep in mind that when I write a negative blog post about Tenable, I do it as therapy and to push Tenable (one of my key partners) to get their act together and stop taking less then ideal decisions.  Since we work with many other tools, I can tell you with great certitude that they all have a long list of short comings.

 

 

----------------------------------

Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.

Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies

www.eva-technologies.com

----- ENGLISH FOLLOWS

Un cas intéressant d'exposition de données à l'UDA.


Le site web comprenait une seule ligne de texte qui pouvait totaliser plusieurs centaines de kilo-octets et qui était essentiellement un morceau de la base de données.

La bonne nouvelle, c'est qu'il est très probable que personne de malveillant n'ait eu connaissance de ce problème ou ne l'ait exploité.


Le problème a été découvert par des chercheurs en sécurité travaillant sur un projet de scrapping web.


Le problème a été soulevé par un journaliste qui a contacté l'UDA, qui a immédiatement résolu le problème. L'article a ensuite été publié par LaPresse.

J'ai enregistré une brève présentation de haut niveau du problème.

----- ENGLISH

An interesting case with a security exposure at the UDA.

The website, included a single line of text that could total several 100 kilobytes and was essentially a chunk of the backend database.

The good news is that it is most likely that no one malicious knew of this issue or leveraged it.

The issue was found by security researchers working on a web scrapping project.

The issue was brought forth by a journalist who contacted the UDA, and they immediately resolved the issue. The article was then published by LaPresse.

I recorded a short high level walkthrough of the issue.

 ------------

LaPresse, 13 juin 2024

 

 

 

Demonstration

 

 

 

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.

Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies

Disposerons-nous un jour d'une carte d'identité numérique provinciale qui sécurise réellement vos opérations bancaires ?

 

J'ai fait une entrevue ce matin sur QUB Radio basée sur un article du Journal de Montréal qui a été publié aujourd'hui et qui discute du plan du gouvernement pour arrêter le projet d'identité numérique de la province de Québec.

 

ARTICLE JOURNAL DE MONTREAL

Je me suis permis quelques remarques astucieuses parce que la situation de la dernière année en ce qui concerne tout ce qui a trait au gouvernement est risible.

 

ENTREVUE QUB RADIO - ERIC PARENT

Il s'avère que l'article original était un peu à côté de la vérité et que le projet d'identification numérique dans son ensemble n'est pas en fait repoussé, mais surtout les services adjacents que le gouvernement a promis d'offrir.  L'application mobile avec les services du gouvernement et des choses de cette nature.

J'ai dit que le gouvernement était comme un poulet sans tête et je maintiens cette déclaration.

Ce qui va continuer à m'irriter, c'est exactement ça.

Le citoyen typique ne se soucie pas que tous les services du gouvernement soient sur une seule application mobile.

Oui, le citoyen typique aimerait avoir des sites Web gouvernementaux bien définis, clairs et faciles à utiliser, et l'itération actuelle de ces services et les services ClicSequr sont un échec.

Mais ce que veut la personne en chair et en os, ce sont des services bancaires sécurisés et une protection contre l'usurpation d'identité résultant de l'utilisation d'une forme numérique d'identification.

Aujourd'hui, les gens ouvrent encore des comptes bancaires ou obtiennent de nouvelles cartes de crédit en utilisant leur numéro d'assurance sociale et un faux permis de conduire.

L'identification et la protection numériques, c'est ce que les gens veulent parce que c'est ce dont ils ont BESOIN !

Découvrir qu'un criminel a ouvert un nouveau compte bancaire à ton nom ruine une partie de ta vie.  Cela peut prendre plus d'un an pour résoudre ce problème.

Alors, qu'est-ce que le gouvernement fait de mal ?

C'est simple...

Tout d'abord, il pense qu'il s'agit d'une affaire québécoise.  Ce n'est pas le cas.  C'est une affaire canadienne.  Les provinces devraient s'unir et pousser le gouvernement fédéral à prendre ses responsabilités et à contribuer à la solution.

Les banques sont soumises à une charte fédérale.... le gouvernement fédéral doit forcer les banques à suivre les nouvelles règles.

Cela signifie des sanctions sévères si tu ouvres un compte bancaire pour la mauvaise personne parce que tu n'as pas suivi les règles d'identification numérique.  Et comme je l'ai dit à maintes reprises, il ne s'agit pas seulement de pénalités pour les entreprises, mais aussi de pénalités personnelles pour les cadres supérieurs lorsque leur entreprise soutient la fraude (est négligente).

Imagine un scénario dans lequel une personne entre dans une banque pour ouvrir un nouveau compte ou obtenir une nouvelle carte de crédit, et tu sors ta carte d'identité gouvernementale qui est en fait une carte d'identité numérique (oublie l'application mobile, opte pour le format de base).  Le commis scanne ta pièce d'identité, le système de la banque se connecte au système d'identification numérique du gouvernement et ta photo s'affiche pour confirmer que tu es bien la bonne personne.

 C'est très simple.  Sur tu peux ajouter des mesures supplémentaires en fonction de ce qui est demandé.   Si tu encaisses un chèque de 5 $, il n'y a pas beaucoup de stress, mais si tu essaies d'encaisser un chèque de 100 000 $, tu peux peut-être ajouter des mesures de sécurité supplémentaires.

C'est ce qui changerait la menace à laquelle nous sommes confrontés aujourd'hui.

Pourtant, aucun politicien n'en parle.

Tout d'abord, il s'agit d'un problème de société qui devrait être traité quel que soit le politicien au pouvoir.  Nous devons régler ce problème.

Mais comme les politiciens utilisent constamment ces thèmes pour obtenir une opinion publique positive afin d'assurer leur prochaine élection, rien de concret n'est fait.

C'est pourquoi les cyber-experts se tiennent généralement à l'écart des contrats gouvernementaux : trop de paroles et pas assez d'actions.

Il est évident que certaines personnes adorent les contrats gouvernementaux, parce qu'ils sont une source inépuisable d'argent, avec des demandes de changement qui se succèdent les unes aux autres.

Mais les vrais experts en cybersécurité le font d'abord pour la sécurité et non pour l'argent, et nous continuons à nous moquer de ces projets qui n'apportent pas la valeur réelle attendue.

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.

Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies