Tredje årliga sammanfattning av säkerhetsmötet med öppen källkod

Learn more about the annual Open Source Security Summit.

The third annual Open Source Security Summit shines a spotlight on the global community of cybersecurity and open source software experts with speakers ranging from Romania to Santa Barbara, California. This event brought together thought leaders, industry examples of open source security in action, and bustling commentary from participants all over the world! 

The Open Source Security Summit provides a space for companies and individuals to discuss how utilizing open source technologies leads to stronger security and trust through transparency. 

Highlights from this year included Kevin Mitnick, the world’s most famous hacker, Eva Galperin the director of cybersecurity at the Electronic Frontier Foundation (EFF), and one of the most popular security speakers and author, Mikko Hypponen.

To catch up on previous summits, you can watch many of the session recordings for 2020 and 2021 on the Bitwarden YouTube channel. Stay tuned to our channel for upcoming session recordings from the 2022 summit!

Kicking off the summit with his keynote address, Mikko Hypponen emphasized that most people don’t realize how ubiquitous open source technology is because it is running in the background of the tools they use on a regular basis. For example, the dashboard in your car, social media platforms like Facebook, search engines like Google, the Mars rovers, perhaps even your phone run on a Linux operating system. The internet eliminates borders, which enables companies and individuals to collaborate from across the world, said Mikko, echoing the sentiments Marten Mickos, CEO of HackerOne, shared in the inaugural year of this summit: “open source unleashes collaboration and innovation otherwise not possible.” 

“The internet is the best and worst thing that has happened in our lifetime. But the upsides are much bigger than the downsides… we are living in the middle of the biggest technological revolution that mankind has ever seen.”

One significant downside, of course, is the rise of malware and cybercrime, a realm that has grown exponentially over the past few decades as we have brought more and more smart devices and applications into our homes, our work, and our communities. 

“When a company doesn’t get hacked, that’s not a headline… rarely is anyone thanked for stopping a disaster that didn’t happen.”

Mikko’s book If It’s Smart, It’s Vulnerable goes into more detail on how our smart devices have introduced vulnerabilities into our day to day lives and “the transformative potential of the future of the internet.” 

Eva Galperin is the director of cybersecurity at the Electronic Frontier Foundation (EFF), a digital liberties organization. She is also the co-founder of the Coalition Against Stalkerware and has published extensive research on malware. In her keynote address, she emphasized the importance of diversity among product developers to avoid launching a product with significant blind spots like Apple’s AirTags being used by stalkers and other abusers, an example Eva explores in depth. Eva’s call to action for those working in cybersecurity is to think about how to protect the most vulnerable and least tech-savvy users of your product while you design it, not as an afterthought once the damage has been done.

“​​We need to use our power as cybersecurity professionals to protect the people at the margins whose concerns are really not brought to the center at the design stage or, indeed, at any stage in the technology development process.”

Eva offers the following 5 product design principles by Lesley Nuttall from IBM’s Security Labs for how to combat domestic abuse:

1. Start with diversity: The more people in the room making decisions about your product, the more use cases you will be able to identify.

2. Privacy & choice: If there is only one product that does the thing you need, then you don’t have a choice. Users must be able to make informed decisions about privacy settings.

3. Combat gaslighting: Timely notifications and auditing are essential.

4. Security & data: Users should understand who has access to their data and be able to cut someone off quickly and decisively.

5. Technical ability: Take into account all levels of technical ability so that one user cannot be controlled by another because they don’t know how to use your product.

Watch Eva Galperin’s full keynote address

Kevin Mitnick är välkänd för att ha gäckat FBI i många år på 1990-talet tills han så småningom avtjänade ett femårigt straff för hackerbrott. Han har sedan dess reformerat och leder nu penetrationstester för att hjälpa företag att hitta säkerhetsbrister och åtgärda dem. 

Årtionden innan krypterade meddelandeappar fanns, som en tonåring Kevin och hans vänner skulle göra "telefonfreaking" - att hitta lösningar genom telefonbolagens datorsystem så att de kunde ringa ett angivet nummer och prata anonymt. Sedan på college hackade han sitt första lösenord - hans professors lösenord. För att lära dig mer om Kevins berättelse, se hans bok Ghost in the Wires.

I sin nuvarande arbetslinje använder han social ingenjörskonst och andra simuleringar av nätfiskeattacker: "Förtroende är avgörande för bedrägeri. Om du kan få målet att lita på dig, kommer bedrägeriet sannolikt att fungera.” Sättet för företag och individer att försvara sig mot en attack är utbildning i säkerhetsmedvetenhet eller att öka fysiska säkerhetskrav som YubiKeys, "det är antingen träning, YubiKeys eller båda." Det mänskliga elementet är den svagaste länken i säkerhet. Kevin visade också hur hans team äventyrar maskiner för klienter som lagrar sina lösenord direkt i en webbläsare. 

Det bästa försvaret för att skydda dig mot hackare? Hackaren Kevin rekommenderar "att kombinera lösenordshanteraren med FIDO2 med en YubiKey eller säkerhetstoken som du måste ansluta till maskinen för att autentisera dig själv." För alla lösenord du behöver komma ihåg rekommenderar han att du använder en mening med mellanslag och skiljetecken för din lösenfras eftersom de är 1) lättare att komma ihåg och 2) mycket svåra att gissa. 

Konferensen innehöll också fyra fallstudier från Bitwarden-användare Greenpeace, Bitdefender, Ocrolus och InMotion Hosting.

Ernesto Berger förklarade den process som Greenpeace har gått igenom för att förhindra hackor, implementera krypterad kommunikation och etablera säkerhetsutbildning samtidigt som man undviker säkerhetsförlamning för sina anställda. Om en säkerhetsprocess är för svår, komplex eller besvärlig, kommer anställda sannolikt att kringgå den medan de utför sina jobb. Bitwarden hjälpte dem att förbättra säkerheten utan att belasta deras team genom att tillhandahålla säkerhet som är enkel att använda.

Se hela Ernesto Bergers session här

Enligt Mihai Talmacel från Bitdefender, "cybersäkerhet blir uppdragskritisk för företag av alla storlekar." Han betonar att proprietär och öppen programvara "inte är konkurrenter, utan partners som kan arbeta tillsammans." För att vara i affärer idag behöver du teknik och, i linje med Mikko Hypponens kommentarer i början av toppmötet, påminner han oss om att "teknik kommer med risk." Mihai uppmuntrar företag att sätta upp säkerhetsutbildning för anställda som använder gratis material från säkerhetsgemenskapen om kostnaden är en blockerare. Bitdefender valde slutligen Bitwarden för sin lösenordshanteringslösning på grund av förtroendet som följer med att vara öppen källkod.

Se hela Mihai Talmacels session här

För att förhindra användningen av skugg-IT, anser Julian Cohen, VP för säkerhet och CISO på Ocrolus, "den mest effektiva kontrollen är en lösenordshanterare." Julians team använder också SCIM och automatisk provisionering och tillhandahåller säkerhetsutbildning för att utbilda anställda om "varför det är effektivt, hur det håller ditt konto säkert, hur det är enklare än att hantera lösenord i ditt huvud eller använda samma lösenord för olika konton." Hans råd till företag: identifiera vad du har och vad du behöver för att undvika att "konstruera dig själv till döds" genom att implementera alla typer av verktyg. Identifiera vad som är viktigast för ditt företag och prioritera det först.  

Noah Ablaseau, SysOps senior plattform och säkerhetsingenjör på InMotion Hosting sa att hans team valde Bitwarden för sin lösenordshanteringslösning på grund av problem de hade haft med andra lösningar som var för tekniska för icke-tekniska användare. De hade funnit att många "användare ofta ersätter säkerhet för bekvämlighet när de lämnas till sina egna enheter." För dessa användare innebär att ge dem "säkerhet via trojanska hästar" som gör att de kan utföra sina jobb utan avbrott eller med ökad lätthet snarare än ökade svårigheter att de faktiskt kommer att använda det: "de bryr sig inte riktigt om de är säkra eller inte. Det är bara lätt." 

För Noah och hans team är förståelse för användare och deras behov den viktigaste biten för att komma igång med ett säkerhetsalternativ som fungerar för ditt team och håller ditt företag säkert. Enligt hans erfarenhet, "det värsta som kan hända är att ha en användarbas som är rädd för att rapportera att de har gjort ett misstag", om de inte känner sig bekväma med att komma fram kommer du inte att ha möjlighet att ge ytterligare utbildning eller åtgärda säkerhetsluckor.

Se Julian Cohen och Noah Ablaseaus hela session här

Öppen källkod Security Summit är ett forum för intersektionella samtal över branscher och gränser. Toppmötet 2022 innehöll högtalare från Proton, FIDO Alliance, CISA, SeMI Technologies, RaivoOTP, Cryptomator och Cryptpad.

Daniel Huigens, kryptografiteamledare på Proton, utvecklade hur och varför man bygger webbappar som du kan lita på, som ProtonMail. End-to-end-kryptering är grunden för att bygga upp detta förtroende för att din data är säker. Öppen källkod innebär att du inte behöver ta för givet att ett verktyg eller plattform faktiskt använder end-to-end-kryptering, du kan se om så är fallet i själva källkoden.

Se hela Daniel Huigens session här

David Turner, chef för standardutveckling från FIDO Alliance förklarade vikten av att gå bort från säkerhet som är rent kunskapsbaserad, som att bara använda ett lösenord för att säkra ditt konto, till att inkludera besittningsbaserade säkerhetsåtgärder (kallas "något du har" form av autentisering). Att kombinera olika faktorer som något du känner till (lösenord) med något du har (säkerhetsnyckel) leder till en starkare säkerhet. Att använda lösenordshanterare som kan generera och säkert lagra starka och unika lösenord för varje konto är det första steget mot att säkra dig själv och ditt företag. 

Se hela David Turners session här

Allan Friedman, senior rådgivare och strateg från Cybersecurity & Infrastructure Security Agency (CISA) detaljerade insyn i mjukvaruförsörjningskedjan, och noterade att många människor använder programvara med öppen källkod utan att inse att det är öppen källkod. Allan pekar på vikten av att konsumenter och anställda vet vilka verktyg de använder eftersom transparens ensam inte kommer att hålla användarna säkra, men det gör det möjligt för team att utföra korrekt riskhantering. 

Till exempel, "Om jag går ut och köper en Twinkie, kommer det att komma med en lista över ingredienser. Varför förväntar vi oss inte samma nivå av transparens som vi får från ett icke biologiskt nedbrytbart mellanmål som vi förväntar oss i programvaran som driver vår värld, vår kritiska infrastruktur och våra viktigaste system."

Att känna till ingredienserna i din mjukvaruförsörjningskedja betyder inte att du kommer att "hålla fast vid din diet" eller aldrig hitta sårbarheter, men det betyder att du kommer att ha en bättre uppfattning om vad du ska hålla utkik efter när du bygger ditt företags säkerhetssystem eller ditt personliga digitala fotavtryck. 

Se Allan Friedmans hela session här

Bob van Luijt, VD för SeMI Technologies och vokal anhängare av affärsmodellen med öppen källkod, förklarade hur "att bygga en gemenskap kring din produkt är ett kraftfullt verktyg" för att lära sig hur dina kunder använder produkten och vad de vill ha av den i framtiden. Att göra din produkt öppen källkod minskar barriären för att bygga en gemenskap.

Tijme Gommers, produktledande motståndarsimulering på Northwave Security och skaparen av RaivoOTP, lyfte fram anledningarna till att skapa en produkt med öppen källkod och hur RaivoOTP bidrar till övergången till en lösenordslös framtid. Genom att göra RaivoOTP till öppen källkod har han kunnat förbättra kodbasen och kvaliteten. Å ena sidan erkände han att "sluten källa-konkurrenter, naturligtvis, har fördelen av säkerhet genom dunkel." Men "öppen källkodsprodukter har potentialen att vara säkrare än konkurrenter med sluten källkod", på grund av den mycket större möjligheten till granskning. Ju fler människor är intresserade av säkerheten för din produkt, desto snabbare kommer du att hitta och åtgärda eventuella sårbarheter.  

Se Bob van Luijt och Tijme Gommers hela session här

Samarbete & Sekretess

David Benquė, designledare på Cryptpad, en kontorssvit med öppen källkod med end-to-end-kryptering. David noterar att samarbete på distans är en grundläggande förväntning för många företag nu, men dessa verktyg diskuteras inte alltid i relation till integritet. Även om det finns nackdelar med sekretess med att använda gratis samarbetsverktyg eller egenvärdiga verktyg, krypterar CryptPad information i klienten utan att lämna något läsbart på användarens enhet. 

Sebastian Stenzel, CTO på Skymatic talade om plattformen Cryptomator och om det kan bli för mycket säkerhet. Cryptomator är ett projekt med öppen källkod som specialiserat sig på att kryptera filer innan de laddas upp till molnet. För Sebastian är öppen källkod helt avgörande för säkerhetsverktyg. Vi behöver transparensen, särskilt när vi arbetar med kryptografi. Så det finns ingen anledning att lita på våra påståenden; du kan kontrollera källkoden." Han introducerade skillnaden mellan bruttosäkerhet, de policyer, verktyg och system som vi infört i våra företag och nettosäkerhet, alla dessa system plus den mänskliga faktorn. Om ett företags säkerhetspolicy belastar sina anställda för mycket eller underutbildar dem, kommer det att bli en minskning av nettosäkerheten oavsett vilka bruttosäkerhetssystem som finns på plats. 

Det bästa sättet att tillgodose den mänskliga faktorn? Se till att dina verktyg och policyer inte överskrider användningsgraden inom dina team.

Se hela Sebastian Stenzels session här

Ett enkelt men kraftfullt första steg mot att skydda dig själv och dina nära och kära online är att använda en lösenordshanterare. Kom igång idag med ett gratis individuellt konto eller starta en affärstestperiod för ditt team.

Håll kontakten med Bitwarden för att få aviseringar när sessionsinspelningarna från detta evenemang är tillgängliga och för att lära dig om fler cybersäkerhetshändelser och resurser som detta!

Vi ses på Open Source Security Summit 2023!