Hur gör man en budget?

Hur gör man en budget? Vad är en budget? Behöver jag en budget? Hur viktigt är det? Är du inne här och läser så har du antagligen insett att det är relativt viktigt med en budget, och är beredd att i alla fall lägga en kvart eller tre på att dyka lite djupare.

Vardagligt är en budget en plan över hur kosingen ska spenderas, och aktiviteten med att sätta upp planen är att budgetera. Rent generellt handlar budgetering om resurshantering och därmed går det att budgetera sin tid, sin energi, sina febernedsättande värktabletter under en influensaepisod, och i princip vad som helst.

Under huven är vi alla apor, men vi har ändå lyckats komma rätt långt. Utan särskilt mycket ansträngning brukar det lösa sig för de flesta trots allt. Men med det sagt så är det lätt att pengarna går till sånt man egentligen tycker är onödigt, eller helt enkelt till fel saker. Du behöver inte en budget, men att skissa på en budget kräver att du tänker igenom vad som är viktigt för dig, och den typen av självreflektion är — tycker jag — väldigt viktig.

Tripp, trapp, trull till budgeten.

Tripp – Vart går pengarna nu?

Det här kan ta en stund om du är ambitiös, men du kommer rätt långt på ett par minuter ändå. In i internetbanken på webben eller i mobilen och kika på transaktionerna under förra månaden. Från den förste, till den siste. Du vill kunna svara på:

  • Hur mycket pengar in hade du, och var kom de ifrån?
  • Hur mycket pengar gick ut från kontot?
  • Gick du plus? (… förhoppningsvis); och slutligen,
  • Hur mycket är “fasta avgifter” som kommer varje månad, typ hyra och mobil?

Som ointresserad kan du sluta här egentligen. Dra bort dina fasta avgifter från din lön och se till så att du inte bränner mer än det som är kvar varje månad. Ett starkt tips är att öppna ett sparkonto och sätta en automagisk överföring på ~10% av din lön efter skatt. Du kan sen sätta sprätt på resterande pengar med gott samvete.

Exempel:
Lön: 25.000kr
Efter skatt: ~19.000kr
Sparande: 2.000kr
Utgifter enligt Konsumentverket: ~16.000kr
Kvar för hopp och lek: 1.000kr.

Konsumentverket har en jättebra utgåva, https://www.konsumentverket.se/globalassets/publikationer/privatekonomi/koll-pa-pengarna-2021-konsumentverket.pdf, och på sidan 23 hittar du deras förutsedda utgifter för en 20-åring.

Trapp – Vart gick pengarna innan?

Gör om ovanstående exercis för de senaste tre månaderna, och se även till att få med sånt som inte händer så ofta. Det du vill förstå är vart pengarna har gått och varför. Den slutgiltiga budgeten är inte så mycket mer avancerad än den i förra steget, men din förståelse av varför det är som det är, är hästlängder före.

Ett sätt att göra det på är att lägga transaktionerna i olika hinkar allteftersom du går igenom dem. Var swishen till din rumskamrat för månadens elräkning, eller var det för en box vin? Enkla hinkar är:

  • Inkomster, kanske din lön eller CSN (bidrag + lån). Om det skiljer sig månad till månad så ta ett lågt snitt.
  • In på kontot efter skatt, det du faktiskt har att röra dig med varje månad.
  • Sparande, sikta på att sätta av 10% av det du har att röra dig med. Är det tufft så börja med 5% eller 500kr. Du ska klara att sätta av 500kr varje månad om det inte finns några speciella omständigheter.
  • Fasta utgifter, såsom hyra, el, försäkring, internet, mobiltelefoni, streamingtjänster, osv.
  • Rörliga utgifter, såsom mat, restaurang, öl, frisör, mm.
  • Kortsiktigt sparande, till viktiga saker som komma skall, ex.vis. semesterresa eller en shoppingtur.

Trull – Djupdykning för den intresserade

Nån fillur på intornett som berättar för mig vilka hinkar som är viktiga? Pfft. Pilutta dig.

Nä, här djupdyker vi och gör en egen analys baserat på vad vi hittar.

Försök hitta en vettig kategori för varje transaktion, och finns ingen kategori så uppfinn en ny. Utgifter till matvarubutiker som Willys eller ICA kan klassas som “mat” eller kanske “förbrukning” — välj en etikett och kategorisering som mejkar sens för dig. Det går rätt fort att hitta de övergripande kategorierna, men fortsätt att gå igenom dina utgifter för att se till så att allt kommer med. Under tiden är det bra att samtidigt anteckna hur mycket varje kategori “kostar” per kalendermånad.

För en djupdykning är det bättre att ha fler kategorier än färre. “Fasta utgifter” är till exempel en skitdålig kategori eftersom det inte ger någon insyn i vad det är som ingår. Är det dyrt för att du har en dyr lägenhet, eller för att du har stående överföringar till tjugoelva streamingtjänster?

Nästa steg är att gruppera kategorierna. Här är däremot “Fasta utgifter” en prima grupp, som då innehåller kategorierna för försäkring, telefoni, och så vidare. Vi förstår att en viss summa pengar kommer gå upp i rök varje månad, samtidigt som vi kan se vart pengarna går. Grupperna i föregående punkt (sparande, fasta utgifter, rörliga utgifter, kortsiktigt sparande) är en riktigt bra start.

Baserat på skissen du nu har kan vi fundera på om det är något som är rätt för dig. Nu ser du hur dina utgifter är fördelade, och vart pengarna går. Är du okej med siffran bredvid varje kategori, och känns varje kategori som något för dig?

A Note on Vendor Application Security

No need for tinfoil hats when it comes to application security, we’re all too painfully aware of what can happen. From data breaches to destructive attacks, the potential impacts couldn’t be more clear.

Web applications in particular are interesting because of their exposed position — it’s not uncommon for sensitive web applications to be secured “only” by their application logic.

This means that a logical flaw in one of the functions, be it the login function, authorisation function, or access control function, could have a devastating impact.

Application Security Audits

Penetration testing is a common method to assess the “security” of an application or system, as it entails trying to break in or perform unwanted actions. The result is that application owner, be it the developer or whoever bought the software, gains a better understanding of what flaws are present.

The final report will, almost always, include recommendations on how to fix the underlying problem, or otherwise lessen the risk level.

Verify According to Your Needs

The proverb “trust, but verify” (or perhaps “never trust, always verify”) applies to application security because of two unfortunate reasons:

  • It is easy to save effort on not doing “proper” security testing; and
  • The product might be secure, but your deployment and install might not.

I put “proper” in quotation marks because what is a reasonable level of security for one organisation may not be acceptable for another. The depth of analysis and testing is tied to the level of verification required.

Unfortunately, this might mean that the risk appetite and security level of the vendor does not match that of your organisation. It doesn’t mean that the vendor didn’t do an okay job of securing their product, but the extent to which they did may not be sufficient for you.

Always verify according to your needs.

OWASP Top 10 2013 – A10 – Unvalidated Redirects and Forwards

> How did I end up here?

Whenever a user is sent to some unexpected (and perhaps malicious) third-party site, an Unvalidated Redirection is said to have occurred. Though it is also known by quite a few other names: unvalidated redirect, open redirection, unvalidated forward, and so on.

Continue reading “OWASP Top 10 2013 – A10 – Unvalidated Redirects and Forwards”

PC Gaming in 2018

New years eve is just around the corner, so why not summarise the gaming that happened in 2018 :)!

In total I acquired about 50 games, of which I’ve played 15. Once again Humble bundle is responsible for the sheer numbers, with F2P-games (~10) coming in second. Most games have been launched at least, though I’m not counting them as “played”. A prime example of that is Quake 4. I thought I’d play it, but really, there are better games nowadays. Feels good to have it on Steam, though.

Continue reading “PC Gaming in 2018”

Setting up Web Application Pentesting Tools

This post will walk you through how to set up the basics needed to do web app pentesting. More specificly, we’ll be setting up a web browser for pointing and clicking, an attack proxy for hackety hacking – all while covering the configuration needed. Continue reading “Setting up Web Application Pentesting Tools”

F-Secure Radar Login Page Unvalidated Redirect Vulnerability

CVE-2018-6324
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-6324

Summary

The application will upon successfully logging in redirect the user to a user-controlled destination. A victim user may not recognise that a redirection takes place as they expect to be sent to a new page.

Vendor Description

F-Secure Radar is a turnkey vulnerability scanning and management platform. It allows you to identify and manage both internal and external threats, report risks, and be compliant with current and future regulations (such as PCI and GDPR compliance). It gives you visibility into shadow IT – to map your full attack surface and respond to critical vulnerabilities associated with cyber threats.
Source: https://www.f-secure.com/en/web/business_global/radar

Remediation

F-Secure has remediated this issue; no action required for cloud users or on-premise users receiving updates.

Technical Details

Navigating to the Radar application at https://portal.radar.f-secure.com/ will result in the user being sent to https://portal.radar.f-secure.com/login?ReturnUrl=~2Fdashboard.

Upon successful authentication, the value of the ReturnURL query parameter will be used to determine the redirect destination. It is possible to set this to any arbitrary domain as the value is neither validated nor forced to be a relative path.

The following URL would redirect the user to example.com after logging in:
https://portal.radar.f-secure.com/login?ReturnUrl=~2F~2Fexample.com

This could be used to send the user to a phishing site, prompting them to re-authenticate (e.g. “Wrong password or username, please try again”).

Vulnerability Disclosure Timeline

2018-02-05 – Vulnerability discovered
2018-02-05 – Vendor contact & response
2018-02-09 – Vendor confirms fix
2018-02-15 – Public disclosure