med-mastodon.com is one of the many independent Mastodon servers you can use to participate in the fediverse.
Medical community on Mastodon

Administered by:

Server stats:

365
active users

#informationsecurity

9 posts9 participants0 posts today

Hi everyone! I recently released 3 blog posts!
All of them are writeups on CTFs where I make some scripts and tools in bash and golang!

I'll leave you the link of the blog posts and if you have any suggestions or interact with me, don't hesitate to comment or DM me!

I hope you all can enjoy reading them!

blog.jackrendor.dev/posts/tryh

blog.jackrendor.dev/posts/tryh

blog.jackrendor.dev/posts/tryh

Jack Rendor's blog - Penetration Tester and Security Researcher · Tryhackme Security FootageWriteup on Security Footage, a room from TryHackMe where I explore the possible ways to extract files from a pcap file.

When teaching people about digital security for everyday people & organizers, is there are tool that anyone can recommend **for threat modeling, specifically?**

Folks can often fall into security nihilism or an extreme belief that anything technically possible, even if resource intensive, is likely to come to pass with them as a target, so I'd like to start by getting people grounded in likely threats they should be thinking about.

The International Criminal Court announced that they had a second cybersecurity incident. They say it was contained.

icc-cpi.int/news/icc-detects-a
- - -
La Cour pénale internationale a annoncé qu’ils ont eu un deuxième incident de cybersécurité. Ils disent qu’il a été contenu.

icc-cpi.int/fr/news/la-cpi-det

#ICC#CPI#InfoSec

Protecting your SIN is paramount, because it is the master key 🔑 to your identity in Canada 🇨🇦 . And it is really difficult to change.

Most places don’t need it and should never ask it. Of course, your workplace needs it for your T4/R1 tax slip, the same for the bank. But your landlord or ISP really do not.

Me: that’s why I never allowed SINs to transmit over email. One can’t leak something they don’t have.

cbc.ca/radio/costofliving/sin-

CBCYour SIN is a 'master key.' Here's why you must protect it | CBC RadioSince more businesses and organizations have started asking for people’s social insurance number, experts are cautioning people to be very selective about who they share their SIN with.

One of my clients is beginning the process of their cloud migration.

The first thing to report is that it’s not less expensive, but they’re doing it because it better serves their business needs. That’s the correct way to make a cloud vs local decision: it’s not about saving money, it’s about what works best for your business model.

Now, the real point of this post: I’m helping the decision makers with architecting the entire program, not just the migration itself.

We’re talking about three things:
1) The Business Continuity Plan (BC)
2) The Disaster Recovery Plan (DR)
3) The Incident Response Plan (IR)

In the case of a major, lengthy outage of their cloud apps and data, this particular client needs four functions:
1) Continue providing their services (their billable work)
2) Continue paying bills (accounts payable)
3) Continue generating invoices (accounts receivable)
4) Continue issuing paychecks (payroll)

For a manufacturing company, the list of requirements looks slightly different. For example, a manufacturer needs to be able to continue ordering and receiving raw materials.

THE LESSON
The cloud migration itself isn’t the only thing you need to be concerned with. Design your new BC, DR, and IR plans at the same time. It affects what your migration plan looks like, how long it will take, and how much it will cost. These aren’t things you do after the migration. They’re intrinsic migration design elements.

#CallMeIfYouNeedMe #FIFONetworks

Digitale Inkompetenz in sensiblen Bereichen – ein persönlicher Frustbericht

Wir schreiben das Jahr 2025.
Und doch fühlt es sich in vielen Bereichen an wie 1995.

Ich musste kürzlich indirekt mit einer Klinik in Kontakt treten – es geht um eine medizinische Angelegenheit. Im Vorfeld sollen relevante Unterlagen übermittelt werden: über 30 MB an PDF-Dateien, voll mit Befunden, Laborwerten, Anmeldeinformationen – alles höchst sensible, personenbezogene - ja, KRITISCHE - Gesundheitsdaten.

Die Klinik bietet keine Plattform für den sicheren digitalen Austausch an. Kein Patientenportal, keine verschlüsselte Uploadmöglichkeit, kein Hinweis auf DSGVO-konforme Alternativen. Gar nichts.
Also nutze ich, wie schon in anderen Fällen, unsere eigene kleine Nextcloud-Instanz. DSGVO-konform, selbst gehoste... Dateien hochgeladen, Freigabelink erstellt und per E-Mail verschickt.

Was dann passiert, ist ein Symptom:

Ein Mitarbeiter*in der Klinik meldet sich zurück – es kann nicht auf den Link zugegriffen werden. Keine Details. Kein Hinweis, was genau nicht funktioniert. Nur: „Es geht nicht.“
Zusätzlich scheint es die mündliche(?) Regel zu geben, keine Bilder ansehen zu dürfen. Bilder? Zu dem Link hat Apple Mail das Standardlogo von Nextcloud („icon.png“) angehängt. Kein Trackingpixel, kein Skript, kein Link dahinter. Einfach nur ein Logo. Und dieses PNG-File soll ein Sicherheitsrisiko darstellen? Während die 30+ MB sensibelster Daten lieber unsicher per E-Mail verschickt werden sollen? Nochmal zum Verständnis: PNGs: NO! PDFs: GO!

Ernsthaft: In welcher Welt stellt ein Bild ein Sicherheitsrisiko dar? Und in welcher Welt stellen PDFs dann kein Risiko dar? Der völlige Verzicht auf ein sicheres Datenübertragungsverfahren ist okay?

Ich erlebe das leider nicht zum ersten Mal. Besonders in medizinischen, sozialen oder behördlichen Einrichtungen scheint moderne IT-Sicherheit und digitale Kommunikation immer noch als überflüssiger Luxus oder „technisches Gedöns“ gesehen zu werden. Statt aktiver Problemlösung regiert das Prinzip: „Haben wir noch nie so gemacht – also lassen wir’s.“

Dabei geht es nicht nur um meine Frustration als technikaffiner Mensch, sondern um etwas viel Tieferes:

- Menschen in schwierigen Lebenslagen müssen sich durch bürokratische, technische oder schlichtweg ignorante Hürden kämpfen, obwohl sie eigentlich Hilfe bräuchten. "Wenn wir die Daten nicht erhalten, können (=wollen) wir Ihnen nicht helfen". Datensicherheit ist zweitrangig.
- Daten mit höchster Schutzbedürftigkeit werden regelmäßig per E-Mail oder Fax durch die Republik geschoben. Obwohl wir nicht nur sicherere, sondern auch einfacherere, und effizientere Lösungen hätten.
- Kliniken, Behörden und Praxen bremsen aktiv sinnvolle digitale Prozesse aus – oft aus Inkompetenz, Desinteresse oder weil irgendeine Compliance-Regel falsch interpretiert wird.

Und dann ist da noch die andere Seite:

Ich will der betreffenden Sachbearbeiter*in Person nicht einmal per se Böswilligkeit unterstellen. Wahrscheinlich ist es schlicht Überforderung. Hat nie eine Schulung erhalten. Sieht IT als (zu) „komplex“ oder „fremd“.
Das ist auch ein strukturelles Problem. Kliniken und soziale Einrichtungen müssen Menschen im Kundenkontakt digital schulen. Es ist nicht optional.

Wenn jemand an der Schnittstelle zu Patienten oder Angehörigen sitzt – und dann nicht weiß, wie man einen Link aufruft oder einen sicheren Datentransfer durchführt – dann liegt der Fehler nicht bei der Person allein, sondern beim System, das sie dort arbeiten lässt. Ohne Support, ohne Schulung, ohne Bewusstsein.

Aber irgendwann ist es natürlich auch eine persönliche Verantwortung.
Wenn ich Auto fahren will, muss ich auch wissen, wie ich tanken oder laden kann.
Wenn ich die Schnittstelle zum Kunden darstelle und digitale Kommunikation abwickle – dann muss ich zumindest die Grundlagen kennen. Oder mir Hilfe holen. Oder sagen: „Ich verstehe das nicht, ich brauche Unterstützung.“
Aber einfach „geht nicht“ zu sagen – ohne zu hinterfragen – ist in so einem Kontext schlicht unprofessionell. Und ich unterstelle 2025 jedem das Wort "Datensicherheit" mal gehört zu haben.

Was mich besonders ärgert:
Es ist ohnehin gerade eine herausfordernde Zeit. Es ist für viele Personen wahrscheinlich bereits emotional belastend, überhaupt mit einer Klinik zu tun zu haben. Und obwohl viele Menschen auf Hilfe angewiesen sind, habe ich das Gefühl, deren Prozesse tragen dazu bei, dass alles noch schwerer wird.
Weil sie es seit über 15 Jahren verpassen, eine vernünftige IT-Strategie umzusetzen.
Weil sie Sicherheit mit Inflexibilität verwechseln.
Weil sie glauben, „Compliance“ heißt, alles zu blockieren, was man nicht versteht – statt echte Lösungen zu ermöglichen. Statt ECHTE Security umzusetzen.

Dabei gäbe es diese Lösungen längst:

- Open Source Tools wie Nextcloud, CryptPad, Seafile etc.
- DSGVO-konforme Cloudlösungen, selbst gehostet oder professionell betrieben
- Zwei-Faktor-Authentifizierung, verschlüsselte Links, zeitlich begrenzte Freigaben
- Klare Prozesse für Datenaustausch mit Patienten, Angehörigen, Dritten
- Und vor allem: Menschen, die geschult werden, damit sie all das auch nutzen können

All das kostet weniger, als man denkt. Und bringt mehr, als die meisten ahnen.

Fazit:
Ich bin müde, jedes Mal auf technische Inkompetenz zu stoßen, wenn es ernst wird. Wenn Menschen mit psychischen, körperlichen oder sozialen Problemen auf ein funktionierendes System angewiesen sind – und dann an „Wir brauchen die Daten, aber wir haben keine Möglichkeit die Daten sicher zu übertragen“ scheitern.

Wir brauchen echte digitale Kompetenz – gerade im Gesundheits- und Sozialwesen.
Wir brauchen weniger Blockadehaltung und mehr Verantwortungsgefühl.
Und wir brauchen ein Ende dieser tief sitzenden Angst vor allem, was mit IT zu tun hat. Denn wer heute in diesen Bereichen arbeitet, muss digitale Kompetenz als Teil der beruflichen Grundausstattung begreifen.

Sonst versagen wir dort, wo es am meisten zählt.

🔒 Hai blindato la rete come un castello medievale?
Hai speso un patrimonio in tecnologie, corsi, certificazioni, acronimi che neanche un episodio di CSI.
Poi però…

💻 non controlli mai davvero cosa stai esponendo su internet.
🧠 E quando lo fai, è "una volta l’anno", giusto per aggiornare quel PDF polveroso che tieni pronto in caso di audit GDPR.