Folgen
-
Under veckan eskalerade konflikten mellan Israel och den terrorstämplade milisgruppen Hizbollah. Världens blickar vändes mot Libanon när Hizbollah-medlemmars personsökare och walkie-talkie-enheter plötsligt exploderade. De koordinerade explosionerna gav upphov till rykten om cyberattacker som antogs kunna spränga allt från personsökare till mobiltelefoner.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vad som egentligen sprängde enheterna. Det rörde sig inte om någon cyberattack utan om en leveranskedjeattack där Israel hade förpreparerat Hizbollah-beställda enheter med sprängämnen.
Veckans avsnitt handlar också om överraskande dåligt säkerhetsunderhåll av Apple-produkter, polisens tillslag mot Ghost ECC (Operation Kraken) och regeringens budgettillskott som ska stärka informations- och cybersäkerhetsarbetet i det svenska samhället.
Se fullständiga shownotes på https://go.nikkasystems.com/podd266.
-
Biltillverkaren Ford har lämnat in en kontroversiell patentansökan. Ford vill ha patentet för ett nytt sätt att personanpassa ljud- och videoannonser inuti bilar. Tekniken kallas ”In-vehicle Advertisement Presentation”. Den är tänkt att välja ut annonser för bilens infotainment-system och högtalaranläggning utifrån vart bilen är på väg och personerna som sitter däri.
Tekniken ska enligt patentansökan också anpassa hur ofta annonserna visas på skärmarna eller spelas upp i högtalarna. En av parametrarna som avgör frekvensen är huruvida bilens resenärer är upptagna med att prata med varandra. Om resenärerna är inne i en livlig diskussion ska tekniken inte störa resenärerna med ljudannonser. Systemet ska i stället lyssna på vad resenärerna pratar om och snappa upp nyckelord som senare kan utnyttjas för att spela upp relaterade annonser. Fords patentansökan beskriver därmed exakt den tjuvlyssning som folk oroar sig för att deras mobiler ägnar sig åt.
I veckans podd pratar Peter och Nikka om Fords kontroversiella patentansökan. Till skillnad från myten om tjuvlyssnande mobiler kan nämligen tjuvlyssnande bilar bli verklighet.
Se fullständiga shownotes på https://go.nikkasystems.com/podd265.
-
Fehlende Folgen?
-
Sättet som vi uppfattar världen bestäms i nämnvärd utsträckning av våra sökmotorer. Om en webbsida inte listas i Googles eller Bings sökresultat kommer få besökare att hitta dit. Det vilar därför ett tungt ansvar på Googles och Microsofts axlar. Deras presentation av webben kan påverka samhällsdebatten utan att någon ens märker det.
Tyvärr blir det svårare för sökmotorer att ge en allsidig bild av webben. Samtidigt som den sökbara ”ytwebben” överöses med lågkvalitativt och AI-genererat innehåll flyttar de mänskliga diskussionerna till djupwebben. Djupwebben är den del av webben som det krävs inloggning för att komma åt, vilket gör att publika sökmotorer inte kan hitta innehållet. Facebook-grupper och Discord-kanaler kan innehålla massvis av bra information, men användare som söker via Google eller Bing kan inte hitta den.
Parallellt med denna trend har företaget bakom den populära forumsajten Reddit orsakat nya orosmoln. För att sökmotorer ska få indexera Reddits innehåll måste de nu betala en avgift. Google har valt att betala avgiften medan Microsoft har valt att avstå. Det innebär att Microsofts Bing-sökmotor saknar de senaste månadernas Reddit-diskussioner.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om problemen som uppstår när de allmänna sökmotorerna inte speglar hela webben. Konsekvenserna kan bli långtgående och situationen spelar världens desinformationsspridare rakt i händerna.
Se fullständiga shownotes på https://go.nikkasystems.com/podd264.
-
I våras presenterade Svenska bankföreningen ett omfattande åtgärdspaket för att stärka kundskyddet och motverka digitala bedrägerier. En bankkund ska bland annat kunna sätta beloppsgränser och införa tidsfördröjningar av transaktioner. Bankkunden ska också kunna aktivera en funktion som gör att transaktionerna måste godkännas av en för bankkunden betrodd person.
I veckans specialavsnitt av Bli säker-podden gästas podden av Peter Göransson. Han är ansvarig för Svenska bankföreningens säkerhetssamarbete. Han berättar om digitala bedrägerier, bankernas utmaningar inom bedrägeribekämpning och om åtgärderna som bankerna nu vidtar.
Se fullständiga shownotes på https://go.nikkasystems.com/podd263.
-
När Iphone lanserades fanns det ingen appbutik. Steve Jobs förklarade att utvecklare som ville bygga appar för Iphone skulle göra det i form av webbappar. Ett år senare hade Apple ändrat sig och öppnade App Store som blev en historisk succé.
Idag är appinstallation tätt förknippat med operativsystemens inbyggda appbutiker: App Store och Google Play. Både Iphone och Android har dock fortfarande stöd för webbappar. Användare kan ”installera” webbsidor som om de vore appar.
Till skillnad från appar som distribueras via de officiella appbutikerna saknar Apple och Google kontroll över webbapparna. Det har öppnat en möjlighet för världens angripare. Säkerhetsföretaget Eset varnar nu för hur bedragare därigenom försöker lura tjeckiska bankkunder att installera falska kopior av officiella bankappar.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om webbappar genom tiderna och om bedrägeriförfarandet som Eset uppmärksammar.
Se fullständiga shownotes på https://go.nikkasystems.com/podd262.
-
Kanadensiska ”Linus Tech Tips” är en av världens största Youtube-kanaler inom teknik. Kanalen frontas av Linus Sebastian som tillsammans med kollegor testar datorkomponenter och bevakar nyheter från konsumentelektronikbranschen. Det råder inga tvivel om att Linus Tech Tips-gänget är en grupp kompetenta och teknikälskande datornördar.
Trots gruppens stora teknikkompetens har kanalen råkat ut för upprepade kontokapningar. Första gången var 2016 då en så kallad sim-swap-attack ledde till att deras Twitter-konto kapades. Andra gången var i fjol då en spionprogramsattack resulterade i att bedragare kunde ta över deras Youtube-kanal och sända reklam för investeringsbedrägerier.
Den här veckan var det dags igen. En klassisk nätfiskeattack gav angripare tillgång till Linus Tech Tips X-konto. På mindre än ett decennium har Linus Tech Tips därmed drabbats av tre kontokapningar. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om de olika metoderna som angriparna använde vid respektive tillfälle. Avsnittet handlar dock inte om hur slarviga några enskilda medarbetare har varit, utan avsnittet belyser vad dessa upprepade incidenter indikerar: nätfiskeattacker fungerar. Till och med säkerhetsmedvetna datornördar kan nätfiskeattackeras under rätt förutsättningar.
Se fullständiga shownotes på https://go.nikkasystems.com/podd261.
-
Bör mobilens funktion för automatisk anslutning till kända wifi-nätverk stängas av? Det tycker åtminstone australiensiska polisen. I början av sommaren publicerade de ett pressmeddelande där de bland annat uppmanade folket att stänga av funktionen (lyssna på avsnitt 256 av Bli säker-podden).
En gång i tiden var automatisk wifi-anslutning förenat med nämnvärda risker, både ur ett säkerhetsperspektiv och ett personligt integritetsperspektiv. De senaste 15 åren har Apple och Google arbetat hårt för att åtgärda de underliggande bristerna. Numera borde därför de flesta användare kunna bibehålla bekvämligheten med automatiskt wifi-anslutning.
Veckans avsnitt av Bli säker-podden följer upp avsnittet om riskerna med publika wifi-nät med en genomgång av hur wifi-nätverk har kunnat utnyttjas för att spåra användares mobiler.
Se fullständiga shownotes på https://go.nikkasystems.com/podd260.
-
Två veckor efter den stora Crowdstrike-incidenten börjar konsekvenserna utkristalliseras. Enligt en intervju som nyhetsbyrån Reuters gjorde med cyberförsäkringsföretaget Parametrix har de globala förlusterna landat på uppskattningsvis 15 miljarder dollar. Crowdstrikes aktie har samtidigt fortsatt att falla, och aktieägare har nu gått summan för att stämma IT-säkerhetsjätten för att ha undanhållit sina bristfälliga testrutiner.
I veckans avsnitt av Bli säker-podden följer Peter och Nikka upp vad som har hänt på Crowdstrike-fronten. Nikka presenterar också tre potentiella lösningar som Microsoft skulle kunna vidta för att inte liknande incidenter ska kunna inträffa igen. Podduon går igenom hur Apple och Google har löst situationen för sina operativsystem och varför det inte nödvändigtvis är gångbara lösningar för Microsofts del.
Se fullständiga shownotes på https://go.nikkasystems.com/podd259.
-
I fredags inträffade den historiskt största antivirusrelaterade driftstörningen. Plötsligt kraschade Windows-datorer runt omkring i hela världen, och efter att datorerna hade startat om kraschade de igen. Incidenten slog ut flygtrafiken i USA och tvingade svenska LKAB att utrymma en gruva. Betallösningar slutade fungera och TV-sändningarna från minst en TV-kanal gick ned.
Alla dessa datorkrascher berodde på en gemensam faktor: en säkerhetsmjukvara från amerikanska Crowdstrike. De drabbade företagen använde antingen mjukvaran själva eller förlitade sig på en leverantör som använde den nämnda mjukvaran.
På grund av tre samverkande buggar kunde en automatisk Crowdstrike-uppdatering få dessa ödesdigra konsekvenser. The Guardian rapporterar att försäkringsbolagen uppskattar följdkostnaderna för de amerikanska Fortune 500-företagen till 5,4 miljarder dollar (Microsofts finansiella förluster är inte medräknade).
I veckans specialavsnitt av Bli säker-podden kartlägger Peter och Nikka vad som egentligen hände och hur det kunde hända. De går igenom incidenten från start till slut och förklarar varför just Crowdstrike-uppdateringen kunde få så världsutbredda konsekvenser.
Se fullständiga shownotes på https://go.nikkasystems.com/podd258.
-
Mozilla och Meta har utvecklat en experimentell lösning för att mäta annonsers effektivitet utan att spåra användare. Lösningen låter annonsörer veta hur många kunder som köper något efter att ha sett eller klickat på någon av annonsörens annonser. Men annonsören får inte reda på exakt vilka kunder som har klickat annonserna i fråga.
Mozilla kallar lösningen “integritetsbevarande annonsmätningar” eller PPA (Privacy-Preserving Attribution). Deras målsättning är att ge webbens annonsörer ett spårningsfritt alternativ till de användarspårande annonseringslösningarna som Firefox och flera andra webbläsare blockerar i allt större utsträckning. Deras förhoppning är att experimentet ska mynna ut i en ny webbstandard som ersätter dagens integritetskränkande användarspårning.
Trots att lösningen är på experimentellt stadie har Mozilla valt att aktivera den som standard i den senaste versionen av Firefox. Firefox-användare som inte vill medverka i experimentet måste själva stänga av funktionen. Detta beslut ledde till stor kritik bland Firefox-entusiaster.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur PPA fungerar rent tekniskt. Nikka berättar varför lösningen är mycket bättre än dagens användarspårning och varför han trots det väljer att stänga av funktionen.
Se fullständiga shownotes på https://go.nikkasystems.com/podd257.
-
Den gångna veckan rapporterade media om så kallade Evil twin-attacker. En man i Australien hade satt upp falska accesspunkter på flera flygplatser. När resenärerna anslöt till de falska accesspunkterna möttes de av inloggningssidor som uppmanade dem att dela med sig av personlig information för att få komma ut på internet.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vilka risker som kvarstår med publika wifi-nätverk år 2024. Riskerna är lyckligtvis betydligt färre än för tio år sedan, men några risker kvarstår.
Se fullständiga shownotes på https://go.nikkasystems.com/podd256.
-
Stöldskyddsföreningen erbjuder en rådgivningstjänst som en del av sitt projekt Säkerhetskollen. Tjänsten är öppen för privatpersoner och småföretagare som vill ställa frågor om digitala brott.
Paul Pintér är en av personerna som svarar på frågorna. Han arbetade tidigare som IT-forensiker och nationell samordnare mot immaterialrättsliga brott. 2020 bytte han bana: från att arbeta med brottsutredningar till att arbeta med brottsförebyggande initiativ.
I veckans avsnitt av Bli säker-podden berättar Paul om de vanligaste frågorna som kommer in till Säkerhetskollens rådgivare. Han berättar bland annat om hur allt fler privatpersoner hör av sig med en oro för att deras mobiler skulle ha blivit hackade. Paul och Nikka diskuterar varför det är oftast är högst osannolikt och vad som troligen har hänt i stället.
Veckans avsnitt bjuder också på en varning till alla Authy-användare, ett avslöjande om hur betaljätten Visa råkade sprida bluffannonser samt en utvärdering av Protons totalsträckskrypterade ordbehandlare som på sikt kan utmana Microsoft Word och Google Docs (men inte än).
Se fullständiga shownotes på https://go.nikkasystems.com/podd255.
-
Det finns gott om appar för tvåfaktorsautentisering. Under många år var Authy poddens främst rekommenderade app för ändamålet. Den var kostnadsfri, reklamfri och lät användaren synkronisera sina tvåfaktorsautentiseringshemligheter mellan alla enheter oavsett operativsystem.
I fjol meddelade utvecklarna av Authy att de skulle lägga ned stödet för skrivbordsoperativsystem (Windows och Mac OS). Samtidigt började konkurrenten 2FAS få fotfäste. 2FAS erbjöd nästan allt som Authy erbjöd och hade dessutom öppen källkod.
2FAS nackdel var och är sättet som tvåfaktorsautentiseringshemligheterna synkroniseras. På IOS synkroniseras tvåfaktorsautentiseringshemligheterna via Icloud medan de på Android synkroniseras via Google Drive. Det ställer till problem för användare som har både en Iphone och en Android-surfplatta eller både en Android-mobil och en Ipad. Den relativt nya tvåfaktorsautentiseringsappen Ente Auth löser det problemet och utmanar nu 2FAS efter att ha åtgärdat två problem som appen drogs med fram till i våras.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om för- och nackdelarna mellan 2FAS och Ente Auth. Podduon pratar också om träning av AI-modeller, otillåten spårningskod och justitieminister Gunnar Strömmers syn på massövervakningsförslaget Chat Control 2.0.
Se fullständiga shownotes på https://go.nikkasystems.com/podd254.
-
SSF Stöldskyddsföreningen har lanserat en förhandsversion av ett nytt verktyg som kallas “Testa hemsidan”. Med hjälp av verktyget kan användare undersöka om olika webbplatser ser ut att vara legitima eller bedrägliga. Verktyget kollar på en mängd olika parametrar och väger ihop dem i en lättförståelig slutbedömning.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vilka parametrar som den här typen av testverktyg undersöker. Podduon förklarar hur automatiska testverktyg kan leta efter olika varningsindikatorer som är vanligt förekommande på bedrägliga webbplatser.
Peter och Nikka går också igenom vad som egentligen hände i veckan med massövervakningsförslaget Chat Control 2.0 som gjorde att det blev så stora skriverier. Nikka förklarar varför det så kallade kompromissförslaget inte löser grundproblemet med massövervakningsförslaget och varför han tillsammans med bland annat Journalistförbundet fortsätter att vara kritisk.
Se fullständiga shownotes på https://go.nikkasystems.com/podd253.
-
Den här veckan gick Apples årliga utvecklarkonferens av stapeln. I vanlig ordning presenterade Apple flera nyheter som stärker säkerheten och den personliga integriteten för Iphone-, Ipad- och Mac-användare, till exempel en renodlad lösenordshanterare.
Nyheten som stal fokus var dock Apples presentation av deras kommande AI-lösning. Den är egentligen en kombination av tre olika AI-lösningar: en som körs lokalt, en som körs i Apples moln och en som bara är vanliga ChatGPT.
Till skillnad från konkurrenterna har Apple tänkt till när det kommer till informationsskyddet. Apples egen molnbaserade AI-tjänst är byggd för att Apple inte ens ska ha teknisk möjlighet att komma åt informationen som användarna skickar dit. I veckans poddavsnitt pratar Peter och Nikka om hur Apple säger sig ha lyckats med detta konststycke. Nikka är imponerad över hur Apple beskriver att lösningen fungerar men konstaterar att den ändå lyser rött om den granskas utifrån Nextclouds Ethical AI-parametrar.
Se fullständiga shownotes på https://go.nikkasystems.com/podd252.
-
E-postbaserade nätfiskeattacker är fortfarande ett av angriparnas vanligaste verktyg för att ta sig in i organisationer. IT-säkerhetsföretaget Proofpoint håller ett vakande öga på vad nätfiskarna pysslar med och publicerar upptäckterna i en årlig rapport vid namn State of the Phish.
Årets rapport baseras på en undersökning med svar från över 8000 personer och en analys av 24 miljoner inrapporterade mejl. Rapporten visar bland annat att det skickas över en miljon Evilproxy-nätfiskemejl varje månad, men att 89 % av de som jobbar med säkerhet ändå tror att tvåfaktorsautentisering ger ett fullständigt skydd mot nätfiskebaserad kontokapning.
Veckans avsnitt av Bli säker-podden gästas av Michael Järpenge som är Senior Channel Systems Engineer på Proofpoint. Han berättar om varför tvåfaktorsautentisering inte skyddar mot Evilproxy-attacker och lyfter även andra intressanta detaljer som finns i årets State of the Phish-rapport.
Se fullständiga shownotes på https://go.nikkasystems.com/podd251.
-
När Apple släppte IOS 17.5-uppdateringen inträffade något mycket oväntat. En oroväckande stor skara Iphone-användare rapporterade att raderade bilder började dyka upp igen.
Att raderade bilder plötsligt skulle komma tillbaka var väldigt osannolikt men ändå inte tekniskt omöjligt. När användare raderar filer på sina mobiler försvinner inte spåren av filerna. Lagringsytan som de raderade filerna tog i anspråk markeras bara som ledig. De raderade filerna försvinner först när nya filer har skrivits över de raderade filernas spår.
I början av veckan bekräftade Apple att buggen fanns. De rullade också ut en IOS-uppdatering som åtgärdade den. I veckans avsnitt av Bli säker-podden diskuterar Peter och Nikka hur den inträffade situationen kunde uppstå. Nikka ifrågasätter också Check Points statistik som igen visar något helt annat än rubrikerna antyder. Han delar ut veckans känga till Google som spred en falsk Bitwarden-annons med Bitwardens riktiga domän, och Peter avrundar med att varna för problemen med säkerhetsfrågor.
Se fullständiga shownotes på https://go.nikkasystems.com/podd250.
-
Den här veckan gick Googles årliga utvecklingskonferens Google IO av stapeln. I samma traditionsenliga anda följer Bli säker-podden upp med årets avsnitt om säkerhets- och integritetsförbättringarna som kommer i årets Android-version. Veckans poddavsnitt bjuder också på goda nyheter från Bankföreningen samt resultatet från ett snabbtest av Nextclouds nya nyckelfärdiga tjänst som tyvärr lanserades i alltför ofärdigt skick.
Se fullständiga shownotes på https://go.nikkasystems.com/podd249.
-
Nu finns ett nytt sätt att installera appar på Iphone. Efter krav från EU har Apple tvingats tillåta andra appbutiker än App Store och förra månaden lanserades den första sådana: Altstore Pal. Än så länge finns det visserligen bara två appar i den appbutiken, men det är ändå ett tecken på vad som komma skall.
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur Apple har begränsat IT-säkerhetsriskerna som uppstår när andra appbutiker tillåts. Nikka jämför med hur situationen ser ut på Android-plattformen där vi precis har fått ett färskt exempel på hur en banktrojan lyckades stjäla 95 000 euro från ett offer i Finland.
Apple har vidtagit tre huvudsakliga åtgärder som gör att risken för spridning av skadeprogram minimeras trots tillåtandet av appdistribution via andra appbutiker (och inom kort även via vanliga webbplatser). För det första måste alla appar, oavsett distributionssätt, notariseras av Apple. För det andra måste utvecklaren ha en upparbetad historik, och för det tredje måste appen distribueras via en specifik och förutbestämd domän. I veckans avsnitt förklarar Peter och Nikka vad detta innebär och hur det motverkar spridning av skadeprogram.
Veckans avsnitt bjuder också på en uppföljning av förra veckans genomgång av lösennycklar (passkeys), en nyhet om hur Mullvad VPN försvårar trafikbaserad övervakning samt en nyhet om hur Microsoft ska prioritera säkerhet över allt annat.
Se fullständiga shownotes på https://go.nikkasystems.com/podd248.
-
Framfarten för lösennycklar (passkeys) fortsätter. Listan över webbplatser som erbjuder inloggning med lösennycklar växer. Lösenordshanterarna 1password, Proton Pass och Bitwarden kan allihop skapa, använda och synkronisera lösennycklar. Andelen användare som har börjat använda lösennycklar kryper allt närmare den magiska 50 %-gränsen.
Mitt i all framgång väcks det samtidigt kritiska röster. Inkonsekvent funktionalitet och förvirrande användargränssnitt sätter käppar i hjulen för anammandet. I veckans poddavsnitt passar vi därför på att fundera över hur utrullningen av lösennycklar har gått och vad som behöver göras för att inte världens första potentiella lösenordsersättare ska sluta som en parentes i historien.
Se fullständiga shownotes på https://go.nikkasystems.com/podd247.
- Mehr anzeigen
