#290 Mozillas sista misstag?

Det senaste decenniet har användandet av Mozillas webbläsare Firefox sjunkit stadigt. Allt färre internetanvändare väljer Firefox för att surfa på webben. Det är inte bara användarandelen som krymper i takt med att fler börjar använda internet. Till och med antalet månatligt aktiva Firefox-användare minskar år för år.

En användargrupp som ändå har hållit fast vid Mozilla Firefox är användarna som värnar extra mycket om sin personliga integritet. Många av dessa användare förargades förra veckan när Mozilla valde att införa kontroversiella användarvillkor för Firefox. Trycket blev så stort att Mozilla tvingades dra tillbaka och revidera några av de nya villkoren.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om Mozillas hantering av situationen. Nikka blickar tillbaka och läser upp Mozillas löften från tidigare år – löften som nu klingar falskt. Podduon diskuterar hur kontroversen påverkar Firefox överlevnadschanser och ställer sig frågan: begick Mozilla precis sitt allra sista misstag?

Se fullständiga shownotes på https://go.nikkasystems.com/podd290.

#289 Svensk-brittiskt självskadebeteende

Debatten om bakdörrar pågår inte bara i Sverige. Länder runt om i hela världen vill ha bakdörrar till populära molntjänster. I början av februari avslöjande Washington Post att Storbritannien begärde åtkomst till filer i Apples molntjänst. Britterna krävde rent av att Apple skulle kunna lämna ut filerna.

Apple kan, rent tekniskt, komma åt filer som vanliga användare lagrar i Apples moln. Det gäller dock inte för användare som har aktiverat funktionen Avancerat dataskydd. Då lagras filerna totalsträckskrypterade, så att enbart användarna själva kan komma åt sina egna filer. Britternas begäran förutsatte därmed att Apple skulle bygga in en bakdörr i sin molntjänst.

Att bygga in en bakdörr kan jämställas med att bygga in en sårbarhet, något Apple av förklarliga skäl ville undvika. En sådan sårbarhet hade äventyrat dataskyddet för Apple-användaren runt hela jorden. Apples första åtgärd blev därför att hantera britterna separat. Apple tog helt enkelt bort brittiska användares möjlighet att aktivera Avancerat dataskydd.

Storbritannien var de som krävde försämrat dataskydd. Resultatet blev att bara britterna själva förlorade möjligheten att spara information på ett säkert sätt i Apples moln.

I veckans poddavsnitt pratar Peter och Nikka om britternas digitala självskadebeteende och jämför det med situationen på hemmaplan. Så sent som i tisdags varnade VD:n för den säkra meddelandeappen Signal att samma sak kan hända här. Om Sverige kräver bakdörrar i Signal kommer Signal helt enkelt att lämna Sverige. Resultatet blir att resten av världen fortsätter kunna kommunicera säkert. De enda som drabbas är svenskarna, åtminstone de laglydiga svenskarna.

Se fullständiga shownotes på https://go.nikkasystems.com/podd289.

#288 Alla älskar Signal… nästan

I över sex år har Bli säker-podden rekommenderat meddelandeappen Signal. Appen är gratis, reklamfri och integritetsvärnande. Finansieringen kommer via frivilliga donationer.

Det finns många skäl att använda Signal-appen. Det främsta skälet är säkerheten. All kommunikation går, utan undantag, totalsträckskrypterat. Det innebär att enbart sändare och mottagare kan läsa meddelandena, se bilagorna och lyssna på samtalen. Till och med videosamtal och gruppkonversationer är totalsträckskrypterade.

En annan fördel är att Signal skyddar mot spoofing. Appen finns dessutom till alla operativsystem: IOS, Android, Windows, Mac OS och Linux.

Genom åren har Bli säker-podden lyft fram dessa skäl som argument för att byta till meddelandeappen Signal. 2020 stämde EU-kommissionen in och började rekommendera appen till sina medarbetare. För några dagar sedan gjorde EU-kommissionen samma sak.

I mitten av februari gav till och med svenska Försvarsmakten ut en instruktion om att använda Signal. Veckans avsnitt av Bli säker-podden dedikerar därför huvudämnet till att analysera Försvarsmaktens rekommendation. Peter och Nikka diskuterar hur Signal står sig mot konkurrerande meddelandeappar för att förstå varför Försvarsmakten valde just Signal.

Se fullständiga shownotes på https://go.nikkasystems.com/podd288.

#287 Säker AI på lilla trygga datorn

I fjol utsåg Elektronikbranschen den så kallade AI-datorn till Årets pryl. Elektronikbranschen skrev att ”AI-datorn med sin nya teknik förenklar vardagen genom att göra avancerad funktionalitet tillgänglig och lättanvänd för alla”. Det faktiska tillämpningsområdet för AI-datorer har än så länge varit något begränsat, men det finns en situation då de AI-processorutrustade datorerna briljerar: möjligheten att dra nytta av AI utan att skicka data till molntjänster.

I förra veckans poddavsnitt pratade Peter och Nikka om skillnaden mellan den molnbaserade och den lokala versionen av AI-modellen Deepseek. I veckans poddavsnitt följer de upp med en genomgång av den stora fördelen med att köra AI-modeller lokalt. Då minimeras risken för att den behandlade datan läcker.

Nikka lyfter också två nya exempel på relaterade situationer då lokala AI-lösningar stärker säkerheten. Windows-versionen av Microsoft Edge har precis fått en ny funktion som med hjälp av lokal AI varnar för scareware, till exempel annonser som påstår att datorn har blivit infekterad.

Google håller också på att rulla ut en ny Android-app vid namn Android System Safety Core. Den appen använder lokal AI för att blockera spam-meddelanden och hindra barn från att skicka nakenbilder på sig själva.

De nya AI-funktionerna i Microsoft Edge och Android kräver inte processorer med dedikerade AI-kärnor. Det gör däremot mer resurskrävande AI-verktyg, såsom Protons skrivassistent. Nikka konstaterar därför att utnämnandet av AI-datorn som Årets pryl 2024 kan ha legat helt rätt i tiden. Molntjänster må vara kraftfullare än kontorsdatorer, men ingenting skyddar datan lika väl som när den behandlas lokalt på lilla, trygga datorn.

Se fullständiga shownotes på https://go.nikkasystems.com/podd287.

#286 Djupdykning i kinesiska Deepseek

I slutet av januari fick de amerikanska AI-jättarna en ny utmanare. Från till synes ingenstans klev det kinesiska startup-företaget Deepseek in på arenan. Deepseeks AI-modeller visade sig inte bara vara konkurrenskraftiga rent funktionsmässigt. Deepseek chockade världen när de berättade hur lite det hade kostat att träna modellerna. Deepseek gjorde till och med den tillhörande molntjänsten gratis att använda, vilket fick Deepseek-appen att rusa upp till toppen av appbutikernas popularitetslistor.

Sedan lanseringen har kontroverserna kring Deepseek duggat tätt. Analytiker har ifrågasatt den låga träningskostnaden. ChatGPT-utvecklaren OpenAI har anklagat Deepseek för att ha utnyttjat OpenAI:s modeller för att träna Deepseeks modeller. Kopplingarna till Kina har gjort att många företag ifrågasatt om de bör använda Deepseeks molntjänst.

I veckans poddavsnitt pratar Peter och Nikka om Deepseeks AI-modeller och Deepseeks molntjänst. Nikka konstaterar att molntjänsten är hårt censurerad och ger svar som lika gärna hade kunnat komma direkt ur det Kinesiska kommunistpartiets handbok. Molntjänstens personuppgiftspolicy klargör också att användarnas data sparas av ett kinesiskt företag på kinesiska servrar. Därmed är det inte längre en fråga om huruvida svenska företag bör använda molntjänsten. Frågan är om de överhuvudtaget kan använda molntjänsten.

Se fullständiga shownotes på https://go.nikkasystems.com/podd286.

#285 Försvarsmakten varnar för bakdörrar

Svenska politiker vill att säkra meddelandeappar såsom Signal ska förses med bakdörrar. Genom dessa bakdörrar ska brottsbekämpande myndigheter kunna ta del av konversationerna trots att de är totalsträckskrypterade. Detta innebär slutet för möjligheten att kommunicera säkert, åtminstone för de laglydiga.

Bakdörrsdrömmarna diskuteras inte bara på EU-nivå utan även lokalt i Sverige. Utöver EU:s massövervakningsförslag Chat Control 2.0 och Europols Going Dark-initiativ har Sverige tagit fram ett eget utkast till svensk lagrådsremiss. Remissen heter ”Datalagring och tillgång till elektronisk information”, och remissinstansernas synpunkter har precis publicerats.

I veckans podd går Peter och Nikka igenom vad remissinstanserna tycker om det svenska förslaget. Samtidigt som Säkerhetspolisen stöttar förslaget blir det sågat längs fotknölarna av remissinstanser med teknisk säkerhetskompetens. Säkerhetsföretaget Truesec anmärker rent av på att den underliggande utredningen uppenbarligen saknade cybersäkerhetskompetens. Truesec får medhåll av Netnod som underkänner utredningens resonemang och konstaterar att förslaget förutsätter att tjänsterna bygger in sårbarheter. Journalistförbundet varnar därutöver för att förslaget tar bort journalisters möjlighet att kommunicera säkert med sina källor.

Kritiken påminner om varningarna som IT-säkerhetsbranschen redan har framfört mot massövervakningsförslaget Chat Control 2.0. Den här gången väljer dock även den tyngsta spelaren att invända. Försvarsmakten tar bladet från munnen och varnar för att förslaget ”inte kommer att kunna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part”. Politikernas bakdörrsdrömmar har blivit en fråga om det svenska samhällets säkerhet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd285.

#284 Borde Tiktok tillåtas på jobbmobilen?

Under flera år har USA hotat att förbjuda Tiktok om appen inte säljs till ett amerikanskt bolag. Den gångna helgen blev förbudet verklighet. Tiktok plockades bort från appbutikerna och inloggade amerikanska användare möttes av ett felmeddelande.

Förbudet blev dock kortvarigt. Ett dygn senare var appen tillbaka. USA:s nytillträdde president Donald Trump sköt upp förbudet i hopp om att hitta en lösning.

De amerikanska turerna kring Tiktok har återaktualiserat frågan om huruvida Tiktok-appen borde få finnas på svenska jobbmobiler. I veckans podd återvänder därför Peter och Nikka till frågan. Poddens rekommendation har inte förändrats, men det har däremot underlaget som företagen kan basera sina beslut utifrån. En studie från Rutgers University antyder att Tiktok visar mer kinavänligt innehåll än konkurrerande appar från amerikanska Meta och Google (Tiktoks ägare Bytedance förnekar att videoklippens ämne påverkar prioriteringsalgoritmen). Noyb har också anmält Tiktok till den grekiska motsvarigheten till Integritetsskyddsmyndigheten och hävdar att appen bryter mot GDPR.

Se fullständiga shownotes på https://go.nikkasystems.com/podd284.

#283 Digitala fingeravtryck lämnar fotspår

Annonsnätverken har många metoder för att spåra användare på nätet. De ofta omdebatterade spårningskakorna är långt ifrån det enda sättet. IP-adresserna är ett annat sätt. Webbläsarnas så kallade ”fingeravtryck” är ett tredje sätt.

Alla webbläsare avslöjar information om sig själva. Det kan handla om allt från tidzon och språk till skärmupplösning och operativsystem. Dessa egenskaper är långt ifrån unika, men en kombination av sådana egenskaper kan mycket väl vara det. Därigenom kan en webbläsare spåras mellan webbplatser trots att användaren blockerar spårningskakor och skyddar sin IP-adress med en VPN-tjänst.

2019 förklarade Google varför de förbjöd Google-annonsörer att spåra användare via fingeravtryck. Google skrev att fingeravtrycksspårning ”undergräver användarnas val och är fel”. Nu har Google ändrat åsikt. I Googles uppdaterade riktlinjer är det uttryckliga förbudet mot fingeravtrycksbaserad spårning bortplockat.

I början av januari briserade samtidigt en annan stor spårningsnyhet. 404 Media och Wired avslöjade hur tusentals appar samlade in användarnas geografiska positioner. Apparna läckte sedan datan till bland annat norska Gravy Analytics som i sin tur råkade ut för ett dataintrång. Underligt nog var flera av de berörda apputvecklarna helt omedvetna om att datan hade hamnat hos Gravy Analytics. Förklaringen låg i sättet som de annonsfinansierade apparna valde ut vilka annonser som skulle visas för användarna.

I veckans avsnitt pratar Peter och Nikka om spårning på nätet. Avsnittet är det första av två avsnitt på ämnet. Avsnittet avslutas med ett utdrag ur Lena Cohens artikel ”Online Behavioral Ads Fuel the Surveillance Industry – Here’s How” som EFF publicerade sjätte januari 2025 under CC BY-licens.

Se fullständiga shownotes på https://go.nikkasystems.com/podd283.

#282 Mobilnummer kan fortfarande spoofas

Så kallad ”spoofing” är ett återkommande problem. Bedragare kan ringa från ett helt annat telefonnummer än det som visas på mobilskärmen. PTS kräver att svenska operatörer ska motverka spoofing. Sedan i fjol måste operatörerna förhindra att någon ringer från utlandet med ett svenskt fast nummer. Från och med mars måste operatörerna också stoppa spoofade utlandssamtal från svenska mobilnummer.

Lösningen som PTS kräver kommer att stoppa många spoofade samtal, men det är ingen hundraprocentig lösning. I slutet av december testade vi att spoofa samtal inom och mellan de svenska operatörerna. Resultatet var nedslående. Trots att Telia hade tagit på sig ledartröjan och redan börjat blockera spoofade mobilnummer kunde vi spoofa samtal till och från Telia-mobiler.

I bland annat USA har operatörerna infört en mer långtgående lösning som kallas Stir/Shaken. Den gör att kompatibla samtal signeras, så att den som blir uppringd ser en grön bock intill verifierade uppringarnummer. För närvarande finns inga planer på att införa motsvarande teknik i Sverige.

För att råda bot på problemet har den svenska entreprenören Lisa Hasselgren startat företaget Säkra samtal där SSF Stöldskyddsföreningen är delägare. Säkra samtal erbjuder en app som låter uppringande företag styrka att det faktiskt är någon från företaget i fråga som ringer. Med Säkra samtals-appen kan den som blir uppringd också se vilken medarbetare på företaget som ringer, även om medarbetaren ringer från ett växelnummer eller ett dolt nummer.

I veckans poddavsnitt gästas Nikka av Lisa från Säkra samtal. Nikka berättar mer om sitt spoofing-test och förklarar varför PTS åtgärdskrav är bra men otillräckliga. Lisa berättar om bakgrunden till Säkra samtal och om hur appen fungerar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd282.

#281 800 000 tyska bilar (Volkswagen-läckan)

På årets upplaga av Chaos Communication Congress avslöjades en stor dataläcka. Volkswagen Group hade samlat in bilars GPS-positioner och sparat dessa utan totalsträckskryptering. De etiska hackarna i Chaos Computer Club kom över datan i samband med att de upptäckte att Volkswagen hade råkat lägga sina inloggningsuppgifter till molntjänsten Amazon AWS publikt på webben.

Totalt berörs över 800 000 elbilar av märkena Volkswagen, Skoda, Audi och Cupra (Seat). Enligt tyska Spiegel tillhör 68 000 av bilarna svenska bilägare. Volkswagen- och Cupra-bilarna är värst drabbade eftersom Volkswagen där, i strid med sin en policy, hade sparat GPS-positionerna med 10 cm noggrannhet. Det var därför inga problem för de etiska hackarna att se var bilarna hade parkerat historiskt, vilket i sin tur avslöjade allt från ett hemligt Volkswagen-labb till platserna där polis- och underrättelsetjänstfordon brukade parkera.

I årets första poddavsnitt pratar Peter och Nikka om Volkswagen-läckan. Peter förklarar varför enbart specifika bilmodeller drabbades. Nikka förklarar varför de läcka GPS-positionerna ska ses som personuppgifter och varför Volkswagen inte borde ha samlat in dem från första början.

Se fullständiga shownotes på https://go.nikkasystems.com/podd281.

#280 Detta händer (kanske) 2025

Ett nytt år står för dörren – ett nytt år då mycket kan hända. Traditionsenligt dedikerar Peter och Nikka huvudämnet i årsskiftespodden åt att spana in i framtiden. De presenterar i vanlig ordning fem IT-säkerhetsrelaterade nyheter som de tror att kan inträffa under det kommande året.

Kommer det transatlantiska dataöverföringsavtalet att falla? Kommer Apple att avisera sin egen webbsökmotor? Kommer användningen av lösennycklar att fördubblas igen? Det är tre av årets spaningar, och i veckans podd förklarar Peter och Nikka varför de tror dessa händelser kan inträffa under 2025.

Gott nytt år!

Se fullständiga shownotes på https://go.nikkasystems.com/podd280.

#279 Rätt eller fel – så gick året 2024

Året går mot sitt slut. Runt om i samhället lyser julbelysningen upp hem och hus på ett traditionsenligt vis. Lika traditionsenligt passar Peter och Nikka på att följa upp årets fem profetior. Har profetiorna för 2024 slagit in eller var årets spaningar helt uti det blå?

I veckans podd konstaterar Peter och Nikka huruvida Firefox reste sig ur elden, om tredjepartskakan fasades ut, om personlig integritet blev en valfråga samt om världen plågades av breda och AI-genererade spear-phishing-attacker. Peter utser också ordet ”inloggningsskalv” till årets nyord trots att det, förhoppningsvis, aldrig finns skäl att nämna det igen.

Se fullständiga shownotes på https://go.nikkasystems.com/podd279.

#278 Peter föll offer för nätfiskeattack

Förra veckan hände det som inte fick hända. Peter föll offer för en nätfiskeattack! Han råkade ge angripare åtkomst till Youtube-kontot där han publicerar bilrelaterade nyheter och recensioner.

Angriparna hade kombinerat tre metoder som tillsammans skapade en av de trovärdigaste nätfiskeattackerna någonsin. Angriparna använde bland annat ett modernt nätfiskeverktyg som gjorde att de kunde kapa Youtube-kontot trots att det skyddades med tvåfaktorsautentisering. Lyckligtvis upptäckte Peter att något var fel och hann återkalla angriparnas åtkomst i tid.

I veckans poddavsnitt diskuterar Peter och Nikka hur angriparna gick till väga. Peter förklarar varför han inte märkte att sökresultatet som han klickade på i själva verket var en bluffannons som hade slunkit igenom Googles annonsgranskning. Angriparna hade nämligen inte bara utnyttjat brister i Googles annonssystem. Angriparna hade också dragit nytta av Googles eget webbhotell för att skänka extra trovärdighet till nätfiskekampanjen.

I avsnittet ger podduon avslutande och konkreta rekommendationer på två åtgärder som förhindrar liknande attacker.

Se fullständiga shownotes på https://go.nikkasystems.com/podd278.

#277 Kändismingel på 90-årsfest (special)

I slutet av november firade SSF Stöldskyddsföreningen 90 år. Vänner och kollegor från hela säkerhetsbranschen minglade bland ballonger, dansgolv och tilltugg av alla dess slag. Mitt i firandet fanns också Bli säker-poddens mikrofoner som fångade upp intressanta röster från pratglada gäster.

Veckans specialavsnitt av Bli säker-podden gästas av fyra framträdande profiler i IT-säkerhetsbranschen. Björn Eriksson (Polisen, chef för komplexa cyberbrott) berättar om tillslaget mot Lockbit-utpressarna och förklarar varför det är så viktigt att anmäla utpressningsattacker. Lotta Mauritzon (Polisen, nationell samordnare mot bedrägerier) berättar om bedrägerierna som riktas mot privatpersoner i Sverige och förklarar varför stulna betalkortnummer fortsätter att vara ett problem.

Kristofer von Beetzen (produktchef på Freja E-ID) svarar på poddens följdfrågor om Frejas E-ID:s digitala ID-kort. Jeanette Lesslie Wikström (VD för Säkerhetsbranschen) avrundar poddavsnittet genom att ge branschens bild av IT-säkerhetsläget för företag runt omkring i Sverige.

Se fullständiga shownotes på https://go.nikkasystems.com/podd277.

#276 En webb utan krom

I somras slog en amerikansk domstol fast att Google hade ett olagligt monopol på sökmotorsmarknaden. Nu har Department of Justice framfört sitt förslag på lösning. De vill att Google ska sluta betala för att vara den förvalda sökmotorn i bland annat Safari och Firefox. De vill också att Google ska sälja sin omåttligt populära webbläsare Chrome och inte återvända till webbläsarmarknaden på åtminstone fem år.

Om Department of Justices yrkande blir verklighet stundar världsomvälvande förändringar på webbläsarmarknaden. Apple kommer att förlora de runt 20 miljarder dollar som Google betalar årligen för förmånen att vara Safaris förvalda sökmotor. Medan Apple kan kompensera för intäktsbortfallet ser det mörkare ut för Mozilla. Googles pengar har stått för över 80 % av Mozillas finansiering.

I veckans avsnitt av Bli säker-podden diskuterar Peter och Nikka hur Department of Justices yrkande påverkar webbläsarmarknaden. Nikka ifrågasätter om Mozilla kan överleva och förklarar hur Firefox eventuella död drar med sig många andra projekt i graven. Podduon ställer sig framför allt frågande till vilket annat företag som skulle kunna ta över utvecklingen av Chromium, det vill säga projektet som ligger till grund för alla Windows-baserade webbläsare som inte bygger på Firefox. Frågan är om någon annan än jätten från Seattle har resurserna.

Se fullständiga shownotes på https://go.nikkasystems.com/podd276.

#275 Falska digitala ID-kort i mobilen

Idag kan svenskar skaffa digitala ID-kort via Bank-ID eller Freja. Dessa digitala ID-kort är visserligen inte lika brett accepterade som pass eller nationella ID-kort, men flera stora butikskedjor ser digitala ID-kort som giltiga ID-handlingar.

Systembolaget var fram till förra veckan en av dessa butikskedjor. I fredags meddelade Systembolaget att de på grund av rapporter om ”ytterst välgjorda förfalskningar av digitala ID-kort” hade valt att sluta acceptera mobilappar för legitimering.

Av Systembolagets pressmeddelande framgick att Systembolaget enbart hade tillämpat visuella kontroller av digitala ID-kort. Sådana kontroller är tveksamma ur ett säkerhetsperspektiv. Det är förhållandevis enkelt att skapa falska appar som visar utseendemässigt trovärdiga ID-handlingar.

Både Bank-ID och Freja stödjer dock även teknisk kontroll av digitala ID-kort. Om butikerna kontrollerar de digitala ID-handlingarna på teknisk väg kan butikerna med lätthet avslöja alla falska appar.

I veckans poddavsnitt pratar Peter och Nikka om skillnaderna mellan visuell kontroll och teknisk kontroll av digitala ID-kort. Podduon konstaterar att digitala ID-kort som kontrolleras på teknisk väg är säkrare än plastkort, men de noterar också att det kvarstår två stora hinder som begränsar de digitala ID-kortens praktiska gångbarhet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd275.

#274 Vem kan hacka Iphone?

Företaget Cellebrite har gjort sig kända för sitt mobilupplåsningsverktyg. Cellebrite hjälpte bland annat FBI att ta sig in i mobilen som tillhörde skytten som i somras sköt Donald Trump i örat.

Huruvida Cellebrites verktyg kan användas för att komma in i en låst mobil varierar beroende på mobilmodell och operativsystemsversion. Äldre operativsystemsversioner har ofta sårbarheter som Cellebrites verktyg kan utnyttja. Detta framgår av läckta kompatibilitetstabeller som listar vilka mobiler som Cellebrite påstår sig kunna hacka.

Av samma kompatibilitetstabeller framgår att mobiler är avsevärt bättre skyddade om de inte har låsts upp efter omstart. Cellebrites verktyg har begränsade möjligheter att komma in i mobiler i så kallat BFU-läge (Before First Unlock). I samband med släppet av den senaste IOS-versionen har Apple därför infört en ny säkerhetsfunktion. Om en Iphone lämnas oanvänd i fyra dygn startar den automatiskt om till BFU-läge. Det sätter käppar i hjulet för kriminella som vill stjäla Iphone-mobiler i hopp om att de går att låsa upp någon gång i framtiden.

I veckans poddavsnitt pratar Peter och Nikka om Apples senaste tilltag. Nikka beklagar sig över felfokuserade kvällstidningsrubriker som påstår att Apple gör det svårare för polisen att komma in i mobiler. Apple har inte infört säkerhetsfunktionen för att låsa ute polisen. Apple har infört funktionen för att skydda hela världens Iphone-användare mot intrång från kriminella aktörer och människorättskränkande regimer.

Se fullständiga shownotes på https://go.nikkasystems.com/podd274.

#273 Ohälsosamt osäkra hälsoprylar

Smarta hälsoprylar samlar in stora mängder personuppgifter. Det är rent av deras huvuduppgift. Smarta hälsoprylar ska hjälpa användarna att hålla koll på rörelseaktivitet, viktförändringar och mycket mer därtill.

För att ge största möjliga nytta måste de smarta hälsoprylarnas appar kunna dela data med varandra. Det kan apparna göra på flera olika vis, till exempel genom Hälso-appen på Iphone, Health Connect-appen på Android eller någon av alla molntjänster som har uppfunnits för syftet.

Datainsamlingens och datadelningen baksida blir tydlig när någon av apputvecklarna slarvar med dataskyddet. Veckans podd handlar därför om tre exempel på hur personuppgifter från smarta hälsoprylar har hamnat i fel händer.

Se fullständiga shownotes på https://go.nikkasystems.com/podd273.

#272 Molntjänster regnar bort

En app som installeras på datorn finns alltid kvar på datorn. En fil som sparas på datorns hårddisk finns alltid kvar på datorns hårddisk. Det kan jämföras med molntjänster. Dagen då företaget som driver en molntjänst bestämmer sig för att inte längre tillhandahålla tjänsten försvinner alla spår av såväl appen som den sparade datan.

Problemet med molntjänster som ”regnar bort” har växt i takt med att allt fler appar ersatts med just molntjänster. Tidigare i veckan kom det senaste exemplet. Nyhetsläsaren Omnivore meddelade att de hade förvärvats av AI-företaget Elevenlabs och att Omnivores molntjänst därför läggs ned. Omnivore-användare har nu drygt två veckor på sig att exportera sin data innan den raderas.

I veckans poddavsnitt pratar Peter och Nikka om problemet med molntjänster som försvinner. Nikka poängterar återigen vikten av att aldrig välja en molntjänst som saknar exportfunktion och att helst undvika molntjänster som inte sparar offline-kopior automatiskt.

Se fullständiga shownotes på https://go.nikkasystems.com/podd272.

#271 Dumma smarta dammsugare

I mitten av oktober rapporterade australiensiska ABC News om kapade robotdammsugare. Angripare hade lyckats komma åt robotdammsugarnas fjärrstyrningsfunktioner och börjat skrika rasistiska obsceniteter genom robotdammsugarnas högtalare. Hemma hos en familj hade angriparna till och med börjat fjärrstyra robotdammsugaren och jaga runt familjens stackars hund.

Robotdammsugarna var tillverkade av Ecovacs och var utrustade med såväl kamera som mikrofon. Det innebär att andra angripare kan ha valt att inte ge sig tillkänna och i stället utnyttjat robotdammsugarna för spionage.

Förra veckan rapporterade finska Yle dessutom att Nordea plågats av överbelastningsattacker som orsakats av just kapade hushållsprodukter. I veckans avsnitt av Bli säker-podden återvänder därför Peter och Nikka till problemet med ”smarta” prylar vars smarthet bör ifrågasättas och vars säkerhet kan kritiseras.

Se fullständiga shownotes på https://go.nikkasystems.com/podd271.

#270 Nätfiske med QR-koder

QR-koder har en stor fördel: de är synnerligen lättlästa för datorer och mobiler. Tyvärr är de samtidigt helt oläsbara för oss människor. Det gör QR-koder till ett ypperligt verktyg för nätfiskeattacker.

Vi har nu fått ett nytt exempel på QR-kodsbaserade nätfiskeattacker. Smarta bedragare hade klistrat sina egna QR-koder ovanpå ett irländskt parkeringsbolags QR-koder. När parkeringsgäster skannade QR-koderna för att betala leddes de till bedragarnas webbplats i stället för parkeringsbolagets webbplats.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om problemet med nätfiskande QR-koder. Podduon går också igenom vad regeringens önskemål om utökad och permanent tillåten hemlig dataavläsning innebär. Nikka berättar även varför han avbryter sin utvärdering av sökmotorn Kagi. Hans upptäckter gör en rekommendation av sökmotorn helt utesluten.

Se fullständiga shownotes på https://go.nikkasystems.com/podd270.

#269 Alla bakdörrar kan missbrukas

En hackergrupp med kopplingar till den kinesiska staten har infiltrerat tre amerikanska internetoperatörer. Angriparna kan ha haft åtkomst till nätverken i flera månader. Detta avslöjar källor till Wall Street Journal. Hackergruppen ska enligt tidningen ha utnyttjat samma system som amerikanska myndigheter drar nytta av för sin lagliga trafikavlyssning.

I veckans poddavsnitt pratar Peter och Nikka om nyheten från USA och uppvaknandet som nyheten förhoppningsvis leder till. Nikka drar paralleller till de svenska försöken att kringgå EU:s förbud mot massdatalagring – försök som syftar till att få internetoperatörer att samla in och lagra trafikdata.

Peter och Nikka pratar också om en rekordstor överbelastningsattack, Microsofts förbättrade stöd för lösennycklar samt Adobes nya licensmodell. Ur ett underhållsperspektiv kan Adobes licensmodell antingen vara en stor förbättring eller tidernas bottenskrap. Om ett år har vi svaret.

Se fullständiga shownotes på https://go.nikkasystems.com/podd269.

#268 S:et i IoT står för säkerhet

Smarta hem-produkter och IoT (”Internet of Things”) har alltid haft ett dåligt säkerhetsrykte. Det sägs skämtsamt i branschen att bokstaven S i förkortningen IoT står för säkerhet.

När penetrationstestaren Laban Sköllermark köpte en realtidsavläsare till sin elmätare fick han ytterligare ett exempel på detta. Laban upptäckte flera säkerhetsbrister, vilka tillsammans gjorde att angripare kunde stjäla lösenordet till det trådlösa nätverket som realtidsavläsaren kopplades upp mot.

I veckans podd gästar Laban Sköllermark studion. Han berättar om sitt jobb som penetrationstestare och hur han upptäckte de nämnda säkerhetsbristerna. Han ger också konkreta avslutande råd kring vad alla bör tänka på för att hålla sina smarta hem-nätverk säkra.

Se fullständiga shownotes på https://go.nikkasystems.com/podd268.

#267 Säker inloggning blir folkligt

En färsk rapport från Yubico visar att 46 % av svenska folket har råkat ut för en lösenordsläcka under det senaste året. Det sänder en tydlig signal om att lösenord är en så säkerhetsmässigt svag inloggningsmetod att den måste kompletteras med tvåfaktorsautentisering. Tyvärr låter många användare bli att aktivera tvåfaktorsautentisering, inte bara på grund av att det är tidskrävande utan också på grund av oro för hur det egentligen fungerar.

Osäkerhet och förvirring har med hög sannolikhet också hämmat anammandet av lösennycklar (passkeys). Google och Microsoft har varit bidragande till den förvirringen. Fram till nu har Google enbart synkroniserat lösennycklar mellan Android-enheter. Om en Chrome-användare sparat en lösennyckel på sin dator har lösennyckeln varken säkerhetskopierats eller synkroniserats med användarens Android-mobil.

Förra veckan tog Google äntligen itu med problematiken. Nu fungerar Googles lösning precis som Apples motsvarighet, det vill säga att alla lösennycklar synkroniseras mellan alla kompatibla enheter. För Googles del innebär det Windows, Mac OS, Linux och Android samt inom kort Chrome OS och IOS. Nu är det bara Microsoft som fortfarande saknar stöd för synkronisering och säkerhetskopiering av lösennycklar.

I veckans podd pratar Peter och Nikka om Googles glädjande nyheter och hur dessa påverkar lösennycklarnas möjlighet att bli en folklig inloggningsmetod. Peter och Nikka pratar också om Apples nya lösenordshanterare i Mac OS och IOS som i stor utsträckning utmanar Bitwarden, Proton Pass och 1password.

Se fullständiga shownotes på https://go.nikkasystems.com/podd267.

#266 Nej, din mobil kan inte sprängas

Under veckan eskalerade konflikten mellan Israel och den terrorstämplade milisgruppen Hizbollah. Världens blickar vändes mot Libanon när Hizbollah-medlemmars personsökare och walkie-talkie-enheter plötsligt exploderade. De koordinerade explosionerna gav upphov till rykten om cyberattacker som antogs kunna spränga allt från personsökare till mobiltelefoner.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vad som egentligen sprängde enheterna. Det rörde sig inte om någon cyberattack utan om en leveranskedjeattack där Israel hade förpreparerat Hizbollah-beställda enheter med sprängämnen.

Veckans avsnitt handlar också om överraskande dåligt säkerhetsunderhåll av Apple-produkter, polisens tillslag mot Ghost ECC (Operation Kraken) och regeringens budgettillskott som ska stärka informations- och cybersäkerhetsarbetet i det svenska samhället.

Se fullständiga shownotes på https://go.nikkasystems.com/podd266.

#265 Tjuvlyssnande bilar

Biltillverkaren Ford har lämnat in en kontroversiell patentansökan. Ford vill ha patentet för ett nytt sätt att personanpassa ljud- och videoannonser inuti bilar. Tekniken kallas ”In-vehicle Advertisement Presentation”. Den är tänkt att välja ut annonser för bilens infotainment-system och högtalaranläggning utifrån vart bilen är på väg och personerna som sitter däri.

Tekniken ska enligt patentansökan också anpassa hur ofta annonserna visas på skärmarna eller spelas upp i högtalarna. En av parametrarna som avgör frekvensen är huruvida bilens resenärer är upptagna med att prata med varandra. Om resenärerna är inne i en livlig diskussion ska tekniken inte störa resenärerna med ljudannonser. Systemet ska i stället lyssna på vad resenärerna pratar om och snappa upp nyckelord som senare kan utnyttjas för att spela upp relaterade annonser. Fords patentansökan beskriver därmed exakt den tjuvlyssning som folk oroar sig för att deras mobiler ägnar sig åt.

I veckans podd pratar Peter och Nikka om Fords kontroversiella patentansökan. Till skillnad från myten om tjuvlyssnande mobiler kan nämligen tjuvlyssnande bilar bli verklighet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd265.

#264 Sanningen på djupwebben

Sättet som vi uppfattar världen bestäms i nämnvärd utsträckning av våra sökmotorer. Om en webbsida inte listas i Googles eller Bings sökresultat kommer få besökare att hitta dit. Det vilar därför ett tungt ansvar på Googles och Microsofts axlar. Deras presentation av webben kan påverka samhällsdebatten utan att någon ens märker det.

Tyvärr blir det svårare för sökmotorer att ge en allsidig bild av webben. Samtidigt som den sökbara ”ytwebben” överöses med lågkvalitativt och AI-genererat innehåll flyttar de mänskliga diskussionerna till djupwebben. Djupwebben är den del av webben som det krävs inloggning för att komma åt, vilket gör att publika sökmotorer inte kan hitta innehållet. Facebook-grupper och Discord-kanaler kan innehålla massvis av bra information, men användare som söker via Google eller Bing kan inte hitta den.

Parallellt med denna trend har företaget bakom den populära forumsajten Reddit orsakat nya orosmoln. För att sökmotorer ska få indexera Reddits innehåll måste de nu betala en avgift. Google har valt att betala avgiften medan Microsoft har valt att avstå. Det innebär att Microsofts Bing-sökmotor saknar de senaste månadernas Reddit-diskussioner.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om problemen som uppstår när de allmänna sökmotorerna inte speglar hela webben. Konsekvenserna kan bli långtgående och situationen spelar världens desinformationsspridare rakt i händerna.

Se fullständiga shownotes på https://go.nikkasystems.com/podd264.

#263 Bankernas bedrägeribekämpning

I våras presenterade Svenska bankföreningen ett omfattande åtgärdspaket för att stärka kundskyddet och motverka digitala bedrägerier. En bankkund ska bland annat kunna sätta beloppsgränser och införa tidsfördröjningar av transaktioner. Bankkunden ska också kunna aktivera en funktion som gör att transaktionerna måste godkännas av en för bankkunden betrodd person.

I veckans specialavsnitt av Bli säker-podden gästas podden av Peter Göransson. Han är ansvarig för Svenska bankföreningens säkerhetssamarbete. Han berättar om digitala bedrägerier, bankernas utmaningar inom bedrägeribekämpning och om åtgärderna som bankerna nu vidtar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd263.

#262 Vilseledande webbappar

När Iphone lanserades fanns det ingen appbutik. Steve Jobs förklarade att utvecklare som ville bygga appar för Iphone skulle göra det i form av webbappar. Ett år senare hade Apple ändrat sig och öppnade App Store som blev en historisk succé.

Idag är appinstallation tätt förknippat med operativsystemens inbyggda appbutiker: App Store och Google Play. Både Iphone och Android har dock fortfarande stöd för webbappar. Användare kan ”installera” webbsidor som om de vore appar.

Till skillnad från appar som distribueras via de officiella appbutikerna saknar Apple och Google kontroll över webbapparna. Det har öppnat en möjlighet för världens angripare. Säkerhetsföretaget Eset varnar nu för hur bedragare därigenom försöker lura tjeckiska bankkunder att installera falska kopior av officiella bankappar.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om webbappar genom tiderna och om bedrägeriförfarandet som Eset uppmärksammar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd262.

#261 Tredje kontokapningen av Linus Tech Tips

Kanadensiska ”Linus Tech Tips” är en av världens största Youtube-kanaler inom teknik. Kanalen frontas av Linus Sebastian som tillsammans med kollegor testar datorkomponenter och bevakar nyheter från konsumentelektronikbranschen. Det råder inga tvivel om att Linus Tech Tips-gänget är en grupp kompetenta och teknikälskande datornördar.

Trots gruppens stora teknikkompetens har kanalen råkat ut för upprepade kontokapningar. Första gången var 2016 då en så kallad sim-swap-attack ledde till att deras Twitter-konto kapades. Andra gången var i fjol då en spionprogramsattack resulterade i att bedragare kunde ta över deras Youtube-kanal och sända reklam för investeringsbedrägerier.

Den här veckan var det dags igen. En klassisk nätfiskeattack gav angripare tillgång till Linus Tech Tips X-konto. På mindre än ett decennium har Linus Tech Tips därmed drabbats av tre kontokapningar. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om de olika metoderna som angriparna använde vid respektive tillfälle. Avsnittet handlar dock inte om hur slarviga några enskilda medarbetare har varit, utan avsnittet belyser vad dessa upprepade incidenter indikerar: nätfiskeattacker fungerar. Till och med säkerhetsmedvetna datornördar kan nätfiskeattackeras under rätt förutsättningar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd261.

#260 Wifi-baserad spårning av mobiler

Bör mobilens funktion för automatisk anslutning till kända wifi-nätverk stängas av? Det tycker åtminstone australiensiska polisen. I början av sommaren publicerade de ett pressmeddelande där de bland annat uppmanade folket att stänga av funktionen (lyssna på avsnitt 256 av Bli säker-podden).

En gång i tiden var automatisk wifi-anslutning förenat med nämnvärda risker, både ur ett säkerhetsperspektiv och ett personligt integritetsperspektiv. De senaste 15 åren har Apple och Google arbetat hårt för att åtgärda de underliggande bristerna. Numera borde därför de flesta användare kunna bibehålla bekvämligheten med automatiskt wifi-anslutning.

Veckans avsnitt av Bli säker-podden följer upp avsnittet om riskerna med publika wifi-nät med en genomgång av hur wifi-nätverk har kunnat utnyttjas för att spåra användares mobiler.

Se fullständiga shownotes på https://go.nikkasystems.com/podd260.

#259 15 miljarder dollar-misstaget

Två veckor efter den stora Crowdstrike-incidenten börjar konsekvenserna utkristalliseras. Enligt en intervju som nyhetsbyrån Reuters gjorde med cyberförsäkringsföretaget Parametrix har de globala förlusterna landat på uppskattningsvis 15 miljarder dollar. Crowdstrikes aktie har samtidigt fortsatt att falla, och aktieägare har nu gått summan för att stämma IT-säkerhetsjätten för att ha undanhållit sina bristfälliga testrutiner.

I veckans avsnitt av Bli säker-podden följer Peter och Nikka upp vad som har hänt på Crowdstrike-fronten. Nikka presenterar också tre potentiella lösningar som Microsoft skulle kunna vidta för att inte liknande incidenter ska kunna inträffa igen. Podduon går igenom hur Apple och Google har löst situationen för sina operativsystem och varför det inte nödvändigtvis är gångbara lösningar för Microsofts del.

Se fullständiga shownotes på https://go.nikkasystems.com/podd259.

#258 Blåskärmar överallt (specialavsnitt om Crowdstrike)

I fredags inträffade den historiskt största antivirusrelaterade driftstörningen. Plötsligt kraschade Windows-datorer runt omkring i hela världen, och efter att datorerna hade startat om kraschade de igen. Incidenten slog ut flygtrafiken i USA och tvingade svenska LKAB att utrymma en gruva. Betallösningar slutade fungera och TV-sändningarna från minst en TV-kanal gick ned.

Alla dessa datorkrascher berodde på en gemensam faktor: en säkerhetsmjukvara från amerikanska Crowdstrike. De drabbade företagen använde antingen mjukvaran själva eller förlitade sig på en leverantör som använde den nämnda mjukvaran.

På grund av tre samverkande buggar kunde en automatisk Crowdstrike-uppdatering få dessa ödesdigra konsekvenser. The Guardian rapporterar att försäkringsbolagen uppskattar följdkostnaderna för de amerikanska Fortune 500-företagen till 5,4 miljarder dollar (Microsofts finansiella förluster är inte medräknade).

I veckans specialavsnitt av Bli säker-podden kartlägger Peter och Nikka vad som egentligen hände och hur det kunde hända. De går igenom incidenten från start till slut och förklarar varför just Crowdstrike-uppdateringen kunde få så världsutbredda konsekvenser.

Se fullständiga shownotes på https://go.nikkasystems.com/podd258.

#257 Integritetsbevarande annonsmätningar

Mozilla och Meta har utvecklat en experimentell lösning för att mäta annonsers effektivitet utan att spåra användare. Lösningen låter annonsörer veta hur många kunder som köper något efter att ha sett eller klickat på någon av annonsörens annonser. Men annonsören får inte reda på exakt vilka kunder som har klickat annonserna i fråga.

Mozilla kallar lösningen “integritetsbevarande annonsmätningar” eller PPA (Privacy-Preserving Attribution). Deras målsättning är att ge webbens annonsörer ett spårningsfritt alternativ till de användarspårande annonseringslösningarna som Firefox och flera andra webbläsare blockerar i allt större utsträckning. Deras förhoppning är att experimentet ska mynna ut i en ny webbstandard som ersätter dagens integritetskränkande användarspårning.

Trots att lösningen är på experimentellt stadie har Mozilla valt att aktivera den som standard i den senaste versionen av Firefox. Firefox-användare som inte vill medverka i experimentet måste själva stänga av funktionen. Detta beslut ledde till stor kritik bland Firefox-entusiaster.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur PPA fungerar rent tekniskt. Nikka berättar varför lösningen är mycket bättre än dagens användarspårning och varför han trots det väljer att stänga av funktionen.

Se fullständiga shownotes på https://go.nikkasystems.com/podd257.

#256 Onda tvillingar på flygplatser

Den gångna veckan rapporterade media om så kallade Evil twin-attacker. En man i Australien hade satt upp falska accesspunkter på flera flygplatser. När resenärerna anslöt till de falska accesspunkterna möttes de av inloggningssidor som uppmanade dem att dela med sig av personlig information för att få komma ut på internet.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vilka risker som kvarstår med publika wifi-nätverk år 2024. Riskerna är lyckligtvis betydligt färre än för tio år sedan, men några risker kvarstår.

Se fullständiga shownotes på https://go.nikkasystems.com/podd256.

#255 Säkerhetskollens vanligaste frågor

Stöldskyddsföreningen erbjuder en rådgivningstjänst som en del av sitt projekt Säkerhetskollen. Tjänsten är öppen för privatpersoner och småföretagare som vill ställa frågor om digitala brott.

Paul Pintér är en av personerna som svarar på frågorna. Han arbetade tidigare som IT-forensiker och nationell samordnare mot immaterialrättsliga brott. 2020 bytte han bana: från att arbeta med brottsutredningar till att arbeta med brottsförebyggande initiativ.

I veckans avsnitt av Bli säker-podden berättar Paul om de vanligaste frågorna som kommer in till Säkerhetskollens rådgivare. Han berättar bland annat om hur allt fler privatpersoner hör av sig med en oro för att deras mobiler skulle ha blivit hackade. Paul och Nikka diskuterar varför det är oftast är högst osannolikt och vad som troligen har hänt i stället.

Veckans avsnitt bjuder också på en varning till alla Authy-användare, ett avslöjande om hur betaljätten Visa råkade sprida bluffannonser samt en utvärdering av Protons totalsträckskrypterade ordbehandlare som på sikt kan utmana Microsoft Word och Google Docs (men inte än).

Se fullständiga shownotes på https://go.nikkasystems.com/podd255.

#254 Ente gör entré

Det finns gott om appar för tvåfaktorsautentisering. Under många år var Authy poddens främst rekommenderade app för ändamålet. Den var kostnadsfri, reklamfri och lät användaren synkronisera sina tvåfaktorsautentiseringshemligheter mellan alla enheter oavsett operativsystem.

I fjol meddelade utvecklarna av Authy att de skulle lägga ned stödet för skrivbordsoperativsystem (Windows och Mac OS). Samtidigt började konkurrenten 2FAS få fotfäste. 2FAS erbjöd nästan allt som Authy erbjöd och hade dessutom öppen källkod.

2FAS nackdel var och är sättet som tvåfaktorsautentiseringshemligheterna synkroniseras. På IOS synkroniseras tvåfaktorsautentiseringshemligheterna via Icloud medan de på Android synkroniseras via Google Drive. Det ställer till problem för användare som har både en Iphone och en Android-surfplatta eller både en Android-mobil och en Ipad. Den relativt nya tvåfaktorsautentiseringsappen Ente Auth löser det problemet och utmanar nu 2FAS efter att ha åtgärdat två problem som appen drogs med fram till i våras.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om för- och nackdelarna mellan 2FAS och Ente Auth. Podduon pratar också om träning av AI-modeller, otillåten spårningskod och justitieminister Gunnar Strömmers syn på massövervakningsförslaget Chat Control 2.0.

Se fullständiga shownotes på https://go.nikkasystems.com/podd254.

#253 Chat Control och automatisk webbplatsgranskning

SSF Stöldskyddsföreningen har lanserat en förhandsversion av ett nytt verktyg som kallas “Testa hemsidan”. Med hjälp av verktyget kan användare undersöka om olika webbplatser ser ut att vara legitima eller bedrägliga. Verktyget kollar på en mängd olika parametrar och väger ihop dem i en lättförståelig slutbedömning.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vilka parametrar som den här typen av testverktyg undersöker. Podduon förklarar hur automatiska testverktyg kan leta efter olika varningsindikatorer som är vanligt förekommande på bedrägliga webbplatser.

Peter och Nikka går också igenom vad som egentligen hände i veckan med massövervakningsförslaget Chat Control 2.0 som gjorde att det blev så stora skriverier. Nikka förklarar varför det så kallade kompromissförslaget inte löser grundproblemet med massövervakningsförslaget och varför han tillsammans med bland annat Journalistförbundet fortsätter att vara kritisk.

Se fullständiga shownotes på https://go.nikkasystems.com/podd253.

#252 IOS 18 och Apple Intelligence

Den här veckan gick Apples årliga utvecklarkonferens av stapeln. I vanlig ordning presenterade Apple flera nyheter som stärker säkerheten och den personliga integriteten för Iphone-, Ipad- och Mac-användare, till exempel en renodlad lösenordshanterare.

Nyheten som stal fokus var dock Apples presentation av deras kommande AI-lösning. Den är egentligen en kombination av tre olika AI-lösningar: en som körs lokalt, en som körs i Apples moln och en som bara är vanliga ChatGPT.

Till skillnad från konkurrenterna har Apple tänkt till när det kommer till informationsskyddet. Apples egen molnbaserade AI-tjänst är byggd för att Apple inte ens ska ha teknisk möjlighet att komma åt informationen som användarna skickar dit. I veckans poddavsnitt pratar Peter och Nikka om hur Apple säger sig ha lyckats med detta konststycke. Nikka är imponerad över hur Apple beskriver att lösningen fungerar men konstaterar att den ändå lyser rött om den granskas utifrån Nextclouds Ethical AI-parametrar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd252.

#251 Läget med fisken 2024

E-postbaserade nätfiskeattacker är fortfarande ett av angriparnas vanligaste verktyg för att ta sig in i organisationer. IT-säkerhetsföretaget Proofpoint håller ett vakande öga på vad nätfiskarna pysslar med och publicerar upptäckterna i en årlig rapport vid namn State of the Phish.

Årets rapport baseras på en undersökning med svar från över 8000 personer och en analys av 24 miljoner inrapporterade mejl. Rapporten visar bland annat att det skickas över en miljon Evilproxy-nätfiskemejl varje månad, men att 89 % av de som jobbar med säkerhet ändå tror att tvåfaktorsautentisering ger ett fullständigt skydd mot nätfiskebaserad kontokapning.

Veckans avsnitt av Bli säker-podden gästas av Michael Järpenge som är Senior Channel Systems Engineer på Proofpoint. Han berättar om varför tvåfaktorsautentisering inte skyddar mot Evilproxy-attacker och lyfter även andra intressanta detaljer som finns i årets State of the Phish-rapport.

Se fullständiga shownotes på https://go.nikkasystems.com/podd251.

#250 Visuella minnen dyker upp igen

När Apple släppte IOS 17.5-uppdateringen inträffade något mycket oväntat. En oroväckande stor skara Iphone-användare rapporterade att raderade bilder började dyka upp igen.

Att raderade bilder plötsligt skulle komma tillbaka var väldigt osannolikt men ändå inte tekniskt omöjligt. När användare raderar filer på sina mobiler försvinner inte spåren av filerna. Lagringsytan som de raderade filerna tog i anspråk markeras bara som ledig. De raderade filerna försvinner först när nya filer har skrivits över de raderade filernas spår.

I början av veckan bekräftade Apple att buggen fanns. De rullade också ut en IOS-uppdatering som åtgärdade den. I veckans avsnitt av Bli säker-podden diskuterar Peter och Nikka hur den inträffade situationen kunde uppstå. Nikka ifrågasätter också Check Points statistik som igen visar något helt annat än rubrikerna antyder. Han delar ut veckans känga till Google som spred en falsk Bitwarden-annons med Bitwardens riktiga domän, och Peter avrundar med att varna för problemen med säkerhetsfrågor.

Se fullständiga shownotes på https://go.nikkasystems.com/podd250.

#249 Nya säkrare Android 15

Den här veckan gick Googles årliga utvecklingskonferens Google IO av stapeln. I samma traditionsenliga anda följer Bli säker-podden upp med årets avsnitt om säkerhets- och integritetsförbättringarna som kommer i årets Android-version. Veckans poddavsnitt bjuder också på goda nyheter från Bankföreningen samt resultatet från ett snabbtest av Nextclouds nya nyckelfärdiga tjänst som tyvärr lanserades i alltför ofärdigt skick.

Se fullständiga shownotes på https://go.nikkasystems.com/podd249.

#248 Alternativ appdistribution för Iphone

Nu finns ett nytt sätt att installera appar på Iphone. Efter krav från EU har Apple tvingats tillåta andra appbutiker än App Store och förra månaden lanserades den första sådana: Altstore Pal. Än så länge finns det visserligen bara två appar i den appbutiken, men det är ändå ett tecken på vad som komma skall.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur Apple har begränsat IT-säkerhetsriskerna som uppstår när andra appbutiker tillåts. Nikka jämför med hur situationen ser ut på Android-plattformen där vi precis har fått ett färskt exempel på hur en banktrojan lyckades stjäla 95 000 euro från ett offer i Finland.

Apple har vidtagit tre huvudsakliga åtgärder som gör att risken för spridning av skadeprogram minimeras trots tillåtandet av appdistribution via andra appbutiker (och inom kort även via vanliga webbplatser). För det första måste alla appar, oavsett distributionssätt, notariseras av Apple. För det andra måste utvecklaren ha en upparbetad historik, och för det tredje måste appen distribueras via en specifik och förutbestämd domän. I veckans avsnitt förklarar Peter och Nikka vad detta innebär och hur det motverkar spridning av skadeprogram.

Veckans avsnitt bjuder också på en uppföljning av förra veckans genomgång av lösennycklar (passkeys), en nyhet om hur Mullvad VPN försvårar trafikbaserad övervakning samt en nyhet om hur Microsoft ska prioritera säkerhet över allt annat.

Se fullständiga shownotes på https://go.nikkasystems.com/podd248.

#247 Lösennycklar idag och imorgon

Framfarten för lösennycklar (passkeys) fortsätter. Listan över webbplatser som erbjuder inloggning med lösennycklar växer. Lösenordshanterarna 1password, Proton Pass och Bitwarden kan allihop skapa, använda och synkronisera lösennycklar. Andelen användare som har börjat använda lösennycklar kryper allt närmare den magiska 50 %-gränsen.

Mitt i all framgång väcks det samtidigt kritiska röster. Inkonsekvent funktionalitet och förvirrande användargränssnitt sätter käppar i hjulen för anammandet. I veckans poddavsnitt passar vi därför på att fundera över hur utrullningen av lösennycklar har gått och vad som behöver göras för att inte världens första potentiella lösenordsersättare ska sluta som en parentes i historien.

Se fullständiga shownotes på https://go.nikkasystems.com/podd247.

#246 Säkerhetskollen och Digitala varningsgruppen

Veckans poddavsnitt bjuder på stora nyheter. Från och med den här veckan publiceras Bli säker-podden av Nikka Systems och SSF Stöldskyddsföreningen. Stöldskyddsföreningen är en helt oberoende organisation som drivs utan vinstsyfte. De ligger bakom webbplatsen Säkerhetskollen som samlar tips, råd och varningar i syfte att stärka IT-säkerheten bland Sveriges privatpersoner och medarbetare.

I veckans poddavsnitt berättar Per Klingvall, rådgivningschef på Stöldskyddsföreningen, om Säkerhetskollen och det branschöverskridande samarbetet Digitala varningsgruppen som Stöldskyddsföreningen samordnar. Per avslöjar också Stöldskyddsföreningens framtidsplaner för Säkerhetskollen och berättar om deras stundande projekt “Cybernavet”.

Se fullständiga shownotes på https://go.nikkasystems.com/podd246.

#245 Dåliga utsikter för Microsoft Outlook

Microsoft stöper om grunden för sin trotjänare Outlook. Nu ska Outlook bli enhetligt. Webbversionen, Windows-versionen och Mac OS-versionen av Outlook ska förenas till en enda app. Den appen, internt benämnd Project Monarch, ska också ersätta de Windows-inbyggda apparna “E-post” och “Kalender”.

Den nya versionen av Outlook kallas kort och gott “Nya Outlook”. Till skillnad från föregångarna är Nya Outlook i själva verket en webbapp som paketeras om för skrivbordsdatorer. Nya Outlook är dessutom helintegrerad med Microsofts molntjänst (vid publicering fungerar inte ens Nya Outlook utan internetuppkoppling).

Integrationen med Microsofts molntjänst är problematisk ur både ett integritetsperspektiv och ett säkerhetsperspektiv. Till skillnad från den Windows-inbyggda appen “E-post” visar nya Outlook reklam och ber om att få dela annonsdata med 815 partners. Den delningen går lyckligtvis att slå av.

Något som däremot inte går att slå av är Nya Outlooks krav på att alla mejl ska gå genom Microsofts molntjänst. För att kunna lägga till traditionella e-postkonton i Nya Outlook måste e-postkontots lösenord skickas till Microsoft så att Microsoft Cloud kan fungera som en mellanliggande e-posttjänst.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om integritets- och säkerhetsproblemen med Nya Outlook. Nikka hänvisar till analysrapporten som US Department of Homeland Security publicerade med anledning av fjolårsintrånget i Microsofts molntjänst Exchange Online. US Department of Homeland Security är inte nådiga i sin kritik mot Microsofts IT-säkerhetskultur.

Se fullständiga shownotes på https://go.nikkasystems.com/podd245.

#244 Riktigt elaka annonser

I förrförra veckans avsnitt av Bli säker-podden pratade vi om hur Facebooks annonsgranskare ansåg att hundratals bluffannonser var förenliga med deras annonsregler. Den här veckan avslöjar vi att problemet sträcker sig ännu längre. Resultatet är nämligen detsamma när vi anmäler skadeprogramsspridande annonser. Facebooks annonsgranskare avslår såväl anmälan som överklagan.

Gemensamt för många av de skadeprogramsspridande annonserna är att de låtsas erbjuda någon typ av AI-app. Annonserna anspelar på att komma från AI-jättar såsom OpenAI, Bing, Midjourney eller Adobe. Annonserna försöker få användarna att ladda ned krypterade arkiv som i sin tur innehåller Windows-installationsprogram. Dessa installationsprogram är trojaner som i hemlighet lägger till spionerande webbläsartillägg. Därigenom kan bedragarna kapa ytterligare Facebook-sidor för att sprida ännu fler annonser för investeringsbedrägerier och skadeprogram.

Se fullständiga shownotes på https://go.nikkasystems.com/podd244.

#243 Ryssland och Kina kapar routrar

I veckan avslöjade Säpo att kinesiska Judgement Panda (även kallade APT 31) hade utnyttjat svenska privatpersoners routrar för att spionera och utföra cyberattacker. Avslöjandet kom i samband med att USA väckte åtal mot sju statsanställda vid Kinas ministerium för statssäkerhet.

Ryssland har också visat intresse för privatpersoners routrar. Fancy Bear (även kallade APT 28), som har kopplingar till ryska underrättelsetjänsten GRU, infekterade tusentals routrar över hela världen i syfte att bygga en global spionageplattform. Det avslöjade FBI tidigare i år.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om varför statsunderstödda aktörer kapar just hemmaroutrar. Nikka förklarar också vilka konsekvenserna blir och vad privatpersoner som vill skydda sig lite extra bör göra.

Veckans avsnitt bjuder också på goda nyheter om Googles föreslagna lösning för att stoppa kakstölder. Avsnittet bjuder tillika på skrämmande nyheter om spiontrojanen som Facebook spred via VPN-tjänsten som de tillhandahöll fram till avslöjandet 2019. Nya domstolsdokument visar att Facebook spred spiontrojanen trots stark intern kritik och att skadeprogrammet var betydligt värre än världen tidigare vetat.

Se fullständiga shownotes på https://go.nikkasystems.com/podd243.

#242 Facebooks regler tillåter bluffannonser

Problemet med bluffannonser på Facebook tar inte slut. Bedragare fortsätter att utnyttja svenska kändisar i annonser för investeringsbedrägerier. Annonserna leder ofta till klonade versioner av populära nyhetssajter. Ibland står till och med den riktiga nyhetssajtens domän i annonsens länktext trots att annonsen i själva verket leder till en falsk webbplatskopia på en helt annan domän.

Förra veckan lämnade över 500 personer in en stämningsansökan mot Facebook Sweden på grund av att Facebook inte har tagit itu med problemet. Då publicerade Kalla Fakta ett uppföljningsinslag till granskningen som de gjorde tillsammans med mig i fjol. I uppföljningsinslaget visade jag hur Facebook har slutat plocka bort uppenbara bluffannonser som jag anmäler.

I veckans poddavsnitt berättar jag och Peter mer om hur bedragarna arbetar. Vi lyfter också några av våra hundratals exempel på bluffannonser som Facebooks annonsgranskare säger att inte bryter mot några av deras annonsregler.

Korrigering i samband med publicering: stämningsansökan har lämnats in mot Facebook Sverige (inte Meta och Mark Zuckerberg).

Se fullständiga shownotes på https://go.nikkasystems.com/podd242.

#241 Censurera mera!?

Medborgares fria tillgång till oberoende information hotar makten i totalitära stater. Länder såsom Kina, Ryssland, Egypten, Saudiarabien och Pakistan nöjer sig därför inte längre med att censurera internet. De försöker också blockera medborgarnas möjligheter att komma åt det fria internet via VPN-tjänster eller via Tor-nätverket.

Säkerhets- och integritetsfokuserade VPN-tjänster, till exempel Mullvad VPN och Proton VPN, har vidtagit motåtgärder. De har bland annat implementerat lösningar som får användarnas VPN-trafik att se ut som vanlig webbtrafik, vilket gör det svårare för övervakningsregimer att blockera trafiken. Senaste versionen av Tor-webbläsaren har också fått stöd för så kallade webbtunnlar. Webbtunnlarna gör att samma servrar som driver vanliga webbplatser kan bli hemliga ingångar i Tor-nätverket och därmed vägar ut på ocensurerade internet.

I den fria världen pågår samtidigt en oroväckande trend för ökad censur. I början av mars föreslog Liberalerna att sociala medier ska blockeras för barn efter klockan 23. Två veckor senare, på andra sidan Atlanten, valde världens största porrsajtsleverantör att blockera besökare från Texas i protest mot en ny lag om legitimeringskrav.

Vårdnadshavare kan redan begränsa såväl skärmtid som webbplatsinnehåll för sina barn. Både IOS och Android har inbyggda och kostnadsfria funktioner för just detta. Trots det vill politiker lägga ålderskontrollkrav på webbplatsägarna. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om varför det inte bara är en tekniskt vansinnig lösning utan rent av en farlig lösning.

Se fullständiga shownotes på https://go.nikkasystems.com/podd241.

#240 Min mobil är inte en smörgås

Hur länge kan en mobil förväntas förses med säkerhetsuppdateringar? Under smartphone-erans första decennium hade Apple och Android-mobiltillverkarna vitt skilda åsikter kring sitt underhållsansvar. Än idag anser många Android-mobiltillverkare att deras mobiler bara ska hålla i något enstaka år. Till och med annars välrenommerade mobiltillverkare som Motorola anser att två år från lanseringsdatum är skälig livslängd på en mobil. Det är förvånande eftersom två år är kortare tid än den lagstadgade treåriga reklamationsrätten, vilken dessutom räknas från köpdagen (inte modellanseringsdagen).

Lyckligtvis är några Android-mobiltillverkare mer seriösa. Google utlovar sju års månatligt underhåll för sin senaste Pixel 8-serie. Samsung utlovar lika lång underhållstid för några av sina nya modeller men väljer att inte utfästa någon garanti för uppdateringsfrekvensen.

I veckans avsnitt av Bli säker-podden jämför Peter och Nikka de olika Android-mobiltillverkarnas underhållsgarantier. I samband med detta snubblar podduon över ett oväntat uttalande från en av cheferna på Oneplus – som tycker att deras mobiler kan liknas vid en smörgås.

Se fullständiga shownotes på https://go.nikkasystems.com/podd240.

#239 Attacker och sammanträffanden

De senaste veckorna har många svenska organisationer drabbats av driftstörningar till följd av IT-attacker. Dessa attacker har varit av varierande slag och av olika allvarlighetsgrad.

I ena änden av allvarlighetsskalan ligger dubbelutpressningsattacker. Det är den typ av attack som bland annat Kalmar kommun och Sophiahemmet har fallit offer för. Vid en dubbelutpressningsattack passar angriparna på att både stjäla och utpressningskryptera filer.

I andra änden av allvarlighetsskalan ligger överbelastningsattacker. Det är den typ av attack som flera svenska myndighetswebbplatser utsattes för under veckan. Överbelastningsattacker är generellt ofarliga och får sällan permanenta konsekvenser. Sådana attacker gör bara att en eller flera webbplatser blir otillgängliga en stund.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om de senaste veckornas attacker. Podduon förklarar också varför överbelastningsattacker knappt förtjänar att kallas “attacker” och varför de som utför överbelastningsattacker borde kallas “aktivister” i stället för “hackergrupper”.

Se fullständiga shownotes på https://go.nikkasystems.com/podd239.

#238 Säkra meddelanden blir säkrare

Världens meddelandetjänster blir allt bättre. Sedan några år tillbaka stödjer alla meddelandetjänster värda namnet totalsträckskryptering (end-to-end-kryptering). Det gör att ingen annan än konversationsparterna kan läsa meddelandena.

I fjol förbättrade meddelandeappen Signal det underliggande protokollet så att meddelandena som vi skickar idag förbli säkra dagen då effektiva kvantdatorer blir verklighet. Den här veckan följde Apple i Signals fotspår när de lanserade en kvantsäker och förbättrad version av Imessage-protokollet. Apple hävdar rent av att deras nya Imessage-protokoll är ännu säkrare än Signals dito.

I veckans meddelandefokuserade poddavsnitt pratar Peter och Nikka om Apples nya tilltag. De pratar också om hur Signals nya stöd för användarnamn stärker den personliga integriteten och om hur Whatsapp snart börjar fungera med andra meddelandeappar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd238.

#237 Brister i Microsoft Bitlocker

Windows har en inbyggd krypteringsfunktion som kallas Bitlocker. Den förhindrar att tjuvar som stjäl datorer kommer åt filerna som ligger sparade på datorerna. Tjuvarna kan på sin höjd rensa datorerna och sälja dem som stöldgods.

Detta är åtminstone tanken med Bitlocker. Tyvärr har säkerhetsforskaren Stacksmashing visat att flera Windows-datorer har en brist som sätter Bitlocker-skyddet ur spel. Bristen gör att resursstarka hotaktörer kan läsa filerna på Bitlocker-skyddade datorer.

I veckans poddavsnitt pratar Peter och Nikka om vad som orsakar Bitlocker-bristen, varför den inte påverkar alla datorer samt hur den kan åtgärdas. De pratar också om en falsk Lastpass-app, nya framsteg för passkeys och den oväntade nedläggningen av e-posttjänsten Skiff.

Se fullständiga shownotes på https://go.nikkasystems.com/podd237.

#236 70 miljoner attacker mot Kalmar

Akira-attackerna mot Sverige duggar tätt. I tisdags drabbades det senaste kända offret: Kalmar kommun. Kalmars kommunikationschef, Nico Werge, höll kommuninvånarna underrättade med frekventa lägesuppdateringar. Han kallade också till presskonferens redan samma eftermiddag.

På presskonferensen presenterade kommunstyrelsens ordförande, Johan Persson, en intressant siffra. Han sade att kommunens system utsattes för cirka 70 miljoner attacker under 2023.

I veckans avsnitt av Bli säker-podden funderar vi över vad 70 miljoner attacker egentligen innebär. Är det många attacker på årsbasis? Vi pratar också om den påhittade överbelastningsattacken som påstods ha utförts med hjälp av uppkopplade eltandborstar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd236.

#235 Iphone-special med Ida från M3

Det händer mycket på Iphone-fronten. Den senaste IOS-uppdateringen (IOS 17.3) lade till en funktion som gör det svårare för tjuvar att stänga av Iphones stöldskydd. Samma funktion åtgärdar också en designmiss som Iphone har dragits med sedan lanseringen av Icloud.

I mars släpper Apple IOS 17.4, vilket blir smått revolutionerande för oss i Europa. Den IOS-uppdateringen lägger nämligen både till stöd för alternativa appbutiker och tillåter webbläsarutvecklare att släppa IOS-webbläsare som är mer än bara “Safari-skal”.

I veckans avsnitt av Bli säker-podden gästas vi av Apple-journalisten Ida Blix från tekniksajten M3. Hon förklarar vad de nya förändringarna innebär i praktiken för såväl slutanvändare som apputvecklare. Nikka förklarar därtill hur Apples nya lösning skiljer sig från sättet som appar distribueras på Android. Apple tänker nämligen behålla kontrollen över IOS-appar på ett sätt som gynnar slutanvändare ur ett säkerhets- och integritetsperspektiv.

Se fullständiga shownotes på https://go.nikkasystems.com/podd235.

#234 Akira-attacken mot Tietoevry

Konsekvenserna av utpressningsattacken mot IT-tjänsteleverantören Tietoevry har märkts tydligt runt omkring i samhället. Kontantfria verksamheter kunde plötsligt inte ta betalt. Detaljhandelskedjan Granngården fick rent av hålla sina butiker stängda i över tre dagar. Webbplatserna för Rusta och Stadium gick ner och de ligger fortfarande nere sex dagar efter attacken.

Värst av alla drabbades Vellinge kommun. Utöver att deras webbplats slogs ut påverkades deras interna system. Under onsdagen blev det känt att till och med deras säkerhetskopior har blivit utpressningskrypterade.

I veckans poddavsnitt går jag (Karl Emil Nikka) och Peter Esse igenom vad världen vet om attacken och dess konsekvenser än så länge. Vi pratar också om riskerna med det kontantfria samhället, hur organisationer ska tänka vid val av driftpartner samt vad alla myndigheter med medborgarkontakt måste ha i åtanke på grund av det förändrade säkerhetspolitiska läget.

Veckans avsnitt är dessutom poddens femårsjubileum. Det var i januari 2019 som jag och Tess Hamark spelade in första avsnittet, vilket handlade om den onödiga lösenordsbytardagen. Målsättningen var då att släppa kvartslånga veckoavsnitt, men det byttes snabbt ut mot veckoliga halvtimmesavsnitt.

Fem år (och 234 avsnitt) senare tackar vår samarbetspartner Bredband2 för sig. Jag är mycket tacksam över tiden som vi producerade podden tillsammans i ett gynnsamt ekonomiskt oberoende samarbete. Jag hade inte förväntat mig att det som började som ett ”experiment” skulle vara i hela fem år. Utan Bredband2:s stora kundskara hade podden aldrig heller fått så stort genomslag och stor spridning bland svenska folket, så stort tack till Bredband2.

Med anledning dessa förändringar tar podden ett kort uppehåll under februari. Jag återkommer med mer information.

Se fullständiga shownotes på https://go.nikkasystems.com/podd234.

#233 Moment 22-faktor

Många av dagens lösenordshanterare har inbyggt stöd för att generera engångskoderna som behövs vid inloggning på konton som skyddas med tvåfaktorsautentisering. Bitwarden, 1password, Proton Pass och Icloud-nyckelringen är exempel på lösenordshanterare med sådant stöd.

Integrerat stöd för att spara tvåfaktorsautentiseringshemligheter och generera engångskoder förenklar inloggningsprocessen. Stödet ersätter dock inte fristående tvåfaktorsautentiseringsappar helt och hållet. Någon app måste ju generera engångskoden som behövs vid inloggning i lösenordshanteraren.

I veckans poddavsnitt pratar Peter och Nikka om den bästa lösningen på lösenordshanterarnas ”moment 22”. Nikka tipsar också om en kommande lösning som tar itu med problemet på riktigt. På sikt kommer det nämligen gå att låsa upp lösenordshanterare med passkeys. Tack vare en utökning till den underliggande standarden kommer kompatibla passkeys dessutom att eliminera behovet av att skriva in användarnamn och lösenord vid upplåsning av lösenordshanterarnas lösenordsvalv.

Se fullständiga shownotes på https://go.nikkasystems.com/podd233.

#232 2FAS börjar utmana Authy

Authy har länge varit en favorit bland tvåfaktorsautentiseringsappar. Authy har låtit användarna synkronisera sina tvåfaktorsautentiseringshemligheter totalsträckskrypterat mellan enheter och mellan olika operativsystem. Appen har dessutom varit både reklamfri och kostnadsfri.

Nu meddelar Twilio, företaget som driver Authy, att de framåt sommaren lägger ned stödet för Windows, Mac OS och Linux. De vill i stället satsa helhjärtat på IOS- och Android-versionerna. Lyckligtvis sammanfaller Authys stundande plattformsbegränsning med framväxten av en konkurrent: 2FAS. Den appen har dessutom öppen källkod.

I veckans poddavsnitt pratar Peter och Nikka om varför 2FAS kan bli en lämplig ersättare till Authy lagom till Authys sorti från världens skrivbordsoperativsystem. Nikka förklarar också vilka förbättringar som 2FAS behöver göra fram till dess samt vilken begränsning som 2FAS alltid kommer att ha på grund av sättet som appen synkroniserar tvåfaktorsautentiseringshemligheterna.

Se fullständiga shownotes på https://go.nikkasystems.com/podd232.

#231 I spåkulan för IT-säkerhetsåret 2024

Ett nytt år är kommet. Det inleds traditionsenligt med ett poddavsnitt om vad som stundar ur ett IT-säkerhets- och integritetsperspektiv. Peter och Nikka sneglar på kalendern och tittar in i spåkulan för att servera fem profetior för IT-säkerhetsåret 2024.

Se fullständiga shownotes på https://go.nikkasystems.com/podd231.

#230 Året som gick 2023

2023 går mot sitt slut. Årets sista poddavsnitt dedikeras traditionsenligt till att följa upp profetiorna som myntades vid årets start. Slog passkeys igenom? Reste sig Firefox ur elden? Blev det problem med push-notiser på IOS? Blev Bing Bra? Skedde det några framsteg över Atlanten?

Se fullständiga shownotes på https://go.nikkasystems.com/podd230.

#229 Trådtrassel och Twitter-trubbel

Nu har Meta lanserat sin Twitter-kopia ”Threads” i Europa. Förra veckan tillkännagav Metas grundare Mark Zuckerberg att de dessutom har påbörjat integrationen med Activitypub-nätverket. I sann Meta-anda har de dock gjort det enkelriktat: det går att följa utvalda Threads-profiler från Activitypub-baserade Mastodon, men det finns inga Mastodon-profiler som går att följa från Threads.

I veckans poddavsnitt pratar Peter och Nikka om de senaste veckornas nyheter kring X (Twitter) och dess kloner. Podduon ger Threads en avriven guldstjärneudd som beröm för att de åtminstone delvis har anammat Mastodons lösning för profilverifiering. De pratar också om problematiken med falska säkerhetsvarningar på X samt om hur EU-kommissionen utreder om X verkligen lever upp till kraven som Digital Services Act lägger på tjänster av X:s storlek.

Se fullständiga shownotes på https://go.nikkasystems.com/podd229.

#228 Apples och Googles molnläckor

I början av december avslöjade den amerikanska senatorn Ron Wyden att Apple och Google lämnade ut information om användarnas push-notiser. Detta gjorde de två IT-jättarna utan att informera de berörda användarna. I en kommentar till Reuters meddelade Apple att federala myndigheter hade förbjudit dem att offentliggöra utlämnandet.

Sättet som push-notiser skickas gör avlyssningen extra allvarlig. Nästintill alla push-notiser som går till IOS- och Android-mobiler skickas nämligen via Apples respektive Googles molntjänster. Signals VD Meredith Whittaker har förklarat att det är av batteriskäl som operativsystemstillverkarnas molntjänster är de enda framkomliga vägarna för att skicka push-notiser.

Signal, Proton och andra tjänster som tar dataskyddet på allvar totalsträckskrypterar innehållet i push-notiserna. Tyvärr är totalsträckskrypteringen inte något som Apple och Google tillhandahåller, vilket gör att IT-jättarna i normalfall kan se exakt vad som står i push-notiserna.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om Ron Wydens avslöjande och vilka konsekvenser som det får, inte bara för push-notiser utan för all data som passerar IT-jättarnas molntjänster. Det blir allt viktigare att Apple och Google skyddar användarnas data på teknisk väg, så att IT-jättarna inte har någon data att lämna ut när de nästa gång åläggs att göra det i hemlighet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd228.

#227 Dumma DRM-skydd

Digitalt distribuerade filmer och böcker kopieringsskyddas ofta med någon typ av DRM (Digital Rights Management). Kunder som köper DRM-skyddade filer kan inte dra nytta av sin lagstadgade rätt att privatkopiera dessa (notera ”privatkopiera”, inte ”piratkopiera”). Kunderna kan också fråntas sin möjlighet att spela upp filmerna eller läsa böckerna.

Fram till 2021 sålde Sony både filmer och TV-serier via Playstation Store. Nu står det dock klart att kunder som ”köpte” filmer och TV-serier därigenom i själva verket långtidshyrde dessa. Förra veckan meddelade Sony att de hade ändrat i sina licensavtal med innehållsleverantören Discovery och att Sony därför raderar kundernas ”köpta” Discovery-filmer och -serier.

En liknande situation drabbade kunderna som hade ”köpt” böcker i bokbutiken som Microsoft drev fram till 2019. Då valde Microsoft att lägga ned bokbutiken och radera kundernas köpta böcker. Till skillnad från Sony valde Microsoft att betala tillbaka pengarna, men situationen belyste ändå problemet: så länge böcker har DRM-skydd kan säljaren frånta köparen möjligheten att läsa boken.

I veckans poddavsnitt pratar Peter och Nikka om de mångåriga problemen med DRM i musik, böcker och filmer. Historiskt har Sony nämligen gjort något ännu värre än att bara radera kundernas köpta filmer.

Se fullständiga shownotes på https://go.nikkasystems.com/podd227.

#226 Rörd och skakad (STIR/SHAKEN)

Dagens telefonisystem är trasigt. På grund av mobiloperatörernas oförmåga att ta itu med gamla kvarlevor kan bedragare skicka SMS som står att kommer från banken och ringa från det lokala bankkontorets telefonnummer (så kallad spoofing).

I november presenterade mobiloperatörerna och PTS varsin åtgärd för att begränsa problemen. Mobiloperatörerna lanserade ett nytt kortnummer som medborgare kan rapportera misstänkta SMS till. SMS som vidarebefordras till kortnummer 7726 går till alla mobiloperatörers bedrägeribekämpningsavdelningar på samma gång. Detta löser självfallet inte problemet med att bedragare skickar SMS i falska namn, men det kan åtminstone begränsa spridningen.

PTS lanserade en ny vägledning för hur telefonoperatörer ”kan” (inte ”ska”) hantera situationer då någon ringer från utlandet med ett telefonnummer som börjar på +46. Idag spoofar internationella bedragare ofta svenska nummer för att öka sannolikheten att svenska offer svarar. PTS uppmanar telefonoperatörerna att sätta stopp för detta. Vägledningen kan omvandlas till bindande föreskrifter redan nästa år.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om dessa två tilltag. Nikka förklarar också hur det faktiskt redan finns en teknisk lösning som stoppar spoofing av telefonnummer. Lösningen heter STIR/SHAKEN och används redan i USA efter krav från amerikanska FCC. Frankrike kommer också att anamma tekniken.

Med STIR/SHAKEN på plats kan mobiloperatörerna se ifall samtal kommer från de påstådda telefonnumren och stoppa falska samtal innan de kopplas fram till abonnenterna. Sedan släppet av IOS 13 och Android 11 kan verifierade samtal till och med indikeras med en verifieringssymbol på samtalsskärmen, så att den som blir uppringd vet att uppringarnumret är äkta.

Se fullständiga shownotes på https://go.nikkasystems.com/podd226.

#225 Blå bubbla, grön bubbla

I förra veckans poddavsnitt pratade vi bland annat om Nothings bryggtjänst som kopplade ihop Android-mobiler med Apples Imessage-system. Vi summerade situationen med orden ”det här är någonting som ingen bör använda” 

Sedan dess har det hänt än hel del. För det första visade sig tjänsten vara ännu värre än vi ursprungligen antog. Utöver den säkerhetsmässigt vidriga principen som lösningen förlitade sig på var Nothings säkerhets- och konfidentialitetsutfästelser rena lögner. Detta avslöjades av trio säkerhetsgranskare, och deras avslöjanden fick Nothing att ta bort appen från Google Play.

För det andra har Apple meddelat att de kommer förbättra interoperabiliteten mellan IOS och Android på egen hand. Nästa år kommer Apple att lägga till stöd för RCS-meddelanden i Iphones meddelandeapp. Det gör att meddelanden som skickas mellan Iphone- och Android-mobiler får stöd för moderna meddelandefunktioner, till exempel reaktioner, läskvitton, skrivindikatorer och bilagor med hög kvalitet.

I veckans podd pratar vi om båda dessa nyheter och varför de inte förändrar vår ständigt återkommande rekommendation: använd Signal.

Se fullständiga shownotes på https://go.nikkasystems.com/podd225.

#224 Doxing Me, Doxing You

Termen ”doxing” syftar på när någon illvilligt publicerar information om någon annan på nätet. Ett exempel är när konflikter mellan gamers eller youtubers får den ena parten att röja den andra partens bostadsadress. Ur ett svenskt perspektiv kan det låta tämligen harmlöst. Våra svenska bostadsadresser är ju redan offentliga. Internationellt sett är det annorlunda.

I veckans poddavsnitt pratar Peter och Nikka om offentliga personuppgifter och hur flera svenska webbplatser utnyttjar ett undantag i GDPR för att göra offentliga personuppgifter lättillgängliga. Frågan är om webbplatserna gör personuppgifterna lite för lättillgängliga? Förra månaden inledde regeringen en utredning av grundlagsskyddet som ger sajter såsom Eniro, Hitta.se, Mr Koll och Ratsit rätt att publicera personuppgifter på sättet som de gör idag.

Se fullständiga shownotes på https://go.nikkasystems.com/podd224.

#223 Qwacka tillbaka till Netscape

EU vill förändra sättet som säkra anslutningar på internet garanteras. Dagens modell bygger på ett certifikatsystem med signering i flera led. För att en webbläsare ska lita på att webbplatsen som visas är den äkta måste webbplatsen ha ett giltigt certifikat. Det certifikatet måste i sin tur vara signerat av en certifikatutfärdare som webbläsaren eller det underliggande operativsystemet har förtroende för.

Certifikatutfärdarna som är betrodda fastläggs av de rotcertifikat som webbläsar- och operativsystemsutvecklarna har valt ut. Webbläsar- och operativsystemsutvecklarna ansvarar för att granska rotcertifikatutfärdarna. Slutanvändarna litar på sina webbläsare och operativsystem samt deras granskningsprocesser. Därigenom litar slutanvändarna också på att ingen av de utvalda rotcertifikatutfärdarna låter sig utnyttjas för att generera falska certifikat.

Nu vill EU att EU:s medlemsländer ska få samma roll som de betrodda rotcertifikatutfärdarna. Som en del av den reviderade EIDAS-förordningen vill EU kräva att europeiska webbläsare ska lita på statsutfärdade certifikat på samma sätt som webbläsarna litar på dagens rotcertifikat. Dessa statsunderstödda certifikat kallas Qwac (Qualified website authentication certificate) och kan ge EU:s medlemsländer möjlighet att bryta upp krypterad internettrafik.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om konsekvenserna som Qwac får för säkerheten på nätet. Avsnittet är en uppföljning till avsnitt 162 från våren 2022 då Tess och Nikka varnade för förslaget, vilket nu ser ut att bli verklighet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd223.

#222 Vad gör Cert-SE och NCSC-SE?

Den här veckan gästas Bli säker-podden av Karl Selin. Han arbetar som senior cybersäkerhetsspecialist vid Cert-SE och NCSC-SE. Cert-SE är Sveriges nationella ”Computer Security Incident Response Team” och är en del av MSB - Myndigheten för samhällsskydd och beredskap. NCSC-SE är Sveriges nationella cybersäkerhetscenter som har uppdraget att ”stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera cyberhot”.

I veckans avsnitt förklarar Karl Selin vad Cert-SE och NCSC-SE pysslar med om dagarna samt hur han och hans kollegor kan hjälpa svenska organisationer. Karl Selin ger också konkreta tips på hur Cert-SE:s omvärldsbevakning kan bli en kostnadsfri och viktig pusselbit i organisationers IT-säkerhetsarbete.

Se fullständiga shownotes på https://go.nikkasystems.com/podd222.

#221 IP-adresskydd i Chrome och Brave

Det finns flera sätt som användare kan spåras mellan webbplatser på nätet, till exempel spårningskakor, webbläsarinställningar och IP-adresser. Användare som vill förhindra att de spåras via sin IP-adress har fram till nyligen behövt skaffa en VPN-tjänst, men nu börjar allt fler webbläsare få inbyggda VPN-liknande lösningar för att motverka just IP-adressbaserad spårning.

Google har börjat experimentera med en funktion som de kallar IP Protection. Funktionen gör att Chrome-användarnas trafik tunnlas via en proxy, vilket effektivt döljer användarnas IP-adresser för webbplatserna som de besöker. Google överväger till och med att implementera samma dubbelhoppsmetod som Apple erbjuder i Safari (som en del av Icloud+). Dubbelhoppsmetoden förhindrar att Google själva ser vilka webbplatser som användarna besöker.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om för- och nackdelarna med Googles nya förslag samt dess likheter med Iclouds redan existerande funktion ”Privat relätjänst”. Podduon pratar också om den webbläsarintegrerade VPN-tjänsten Brave VPN som har gjort att företaget bakom Brave-webbläsaren har hamnat i blåsväder… igen.

Se fullständiga shownotes på https://go.nikkasystems.com/podd221.

#220 Säkra e-postanslutningar

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur e-postappar bör konfigureras ur ett säkerhetsperspektiv. Till skillnad från dagens webbläsare indikerar nämligen inte e-postapparna lika tydligt när mejl hämtas över osäkra och avlyssningsbara anslutningar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd220.

#219 Svenskarna och internet 2023

Varje år publicerar Internetstiftelsen Sveriges största rapport om svenskars internetvanor: Svenskarna och internet. Undersökningen omfattar en mängd perspektiv, däribland svenskarnas syn på integritet och säkerhet på nätet.

Årets veckofärska undersökning är extra intressant. Den avslöjar att hela 94 % av svenska folket vill ge polisen rätt att ta del av privata meddelanden från brottsmisstänkta personer. I veckans poddavsnitt diskuterar Peter och Nikka vad som ligger bakom den höga siffran. De lyfter också upp en handfull andra statistikgodbitar som Internetstiftelsen påvisar genom årets undersökning.

Se fullständiga shownotes på https://go.nikkasystems.com/podd219. Avsnittet innehåller ett ljudklipp från Internetstiftelsens presentation av rapporten (CC BY, Internetstiftelsen).

#218 Säkrare webbanslutningar

För tio år sedan gjordes merparten av världens webbplatsbesök över osäkra anslutningar. Tack vare Let’s encrypt-projektet och påtryckningar från webbläsarutvecklarna sker numera nästintill alla webbplatsbesök över säkra anslutningar. På sikt ska samtliga webbanslutningar vara säkra och stora helsidesvarningar kommer att visas ifall ett besök sker över en osäker anslutning. 

Möjligheten att aktivera krav på säkra anslutningar finns redan i dagens webbläsare, men kravet är inaktiverat som standard. Webbläsarutvecklarna tar i stället små steg framåt för att sakta men säkert närma sig det slutliga målet. Under sommarmånaderna har framförallt Google Chrome tagit flera sådana steg, och i veckans avsnitt av Bli säker-podden pratar Peter och Nikka om dessa förändringar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd218.

#217 Fjärde momentet för Windows 11

Microsofts plan var en gång i tiden att Windows 10 skulle bli den sista Windows-versionen. I stället för att släppa nya Windows-versioner skulle Microsoft släppa uppdateringar till Windows 10 två gånger per år. Denna underhållsmodell fungerade dåligt i praktiken och Microsoft åtgick till att släppa nya Windows-versioner och att revidera dessa på årlig basis i stället för halvårsvis.

För att bibehålla möjligheten att släppa nya funktioner i hög takt lanserade Microsoft ”Moments”. Det är små funktionspaketeringar som Microsoft kan rulla ut via Windows Update utan att behöva släppa nya Windows-versioner. I veckan började det fjärde Moments-paketet rulla ut, vilket innehöll flera säkerhetsrelaterade nyheter

I veckans poddavsnitt diskuterar Peter och Nikka säkerhetsnyheterna i det fjärde Moments-paketet. Nikka var inledningsvis glad över att det innehöll både en säkerhetskopieringsapp och stöd för passkeys, men efter att ha testat de nya funktionerna var glädjen försvunnen.

Se fullständiga shownotes på https://go.nikkasystems.com/podd217.

#216 Lugna länkar

I årtionden har privatpersoner och medarbetare varit rädda för att klicka på länkar som kommit via mejl. Bakgrunden till detta är att det en gång i tiden gick att bli infekterad av att enbart besöka en attackpreparerad webbsida. Den tiden är förbi.

Vi har fått säkrare webbläsare med sandlådor och webbplatsisolering. Dessa webbläsare kör vi sin tur på säkrare operativsystem. Vi har därtill gjort oss av med alla webbläsartillägg som tidigare krävdes för att köra exempelvis Java-, Flash- och Silverlight-innehåll på webbsidor. Dessa tredjepartstekniker behövdes förr i tiden till allt från bankinloggning till videouppspelning, men de är numera ersatta med renodlade webbtekniker som våra webbläsare kan visa på egen hand.

I veckans poddavsnitt pratar Peter och Nikka om varför det är dags att ändra den uråldriga rekommendationen om att vara rädd för länkar i mejl. Risken för länkar som leder till nätfiskesidor kvarstår, men för att bli infekterad måste den som klickar på länken göra något mer än att bara besöka den länkade webbsidan. Allt detta gäller självfallet under förutsättning att datorn och dess appar är underhållna och uppdaterade.

Se fullständiga shownotes på https://go.nikkasystems.com/podd216.

#215 Nya nolldagarssårbarheter

Under den gångna veckan åtgärdades flera aktivt utnyttjade nolldagarssårbarheter, det vill säga sårbarheter som utnyttjades av angripare innan det fanns några åtgärdande säkerhetsuppdateringar. Apple släppte en panikuppdatering till IOS för att täppa till två nolldagarssårbarheter som utnyttjades av en okänd aktör för att infektera Iphone med det ökända spionprogrammet Pegasus. Allt aktören behövde göra var att skicka en specialpreparerad Imessage-bilaga till mobilen som de ville infektera.

Google och Mozilla släppte uppdateringar för att täppa till en nolldagarssårbarhet i Chrome respektive Firefox. Sårbarheten lät angripare infektera datorer genom att lura användaren att visa en specialpreparerad bild. Adobe åtgärdade en sårbarhet i Acrobat Reader som lät angripare infektera datorer på samma sätt fast genom att visa en PDF-fil i stället för en bild.

I veckans poddavsnitt pratar Peter och Nikka om dessa nolldagarssårbarheter, varför det är så viktigt att köra underhållen mjukvara och varför det är så viktigt att installera säkerhetsuppdateringar så fort de blir tillgängliga. Podduon återkommer till detta frekvent belysta ämne med anledning av veckans ovanligt intressanta nolldagarssårbarheter och för att ge viktig bakgrundsinformation inför nästa veckas huvudämne.

Se fullständiga shownotes på https://go.nikkasystems.com/podd215.

#214 Säkra second brains

Förra veckans poddavsnitt handlade om säkra anteckningsappar av det traditionella slaget. Veckans poddavsnitt följer upp med en genomgång av så kallade second brain-anteckningsappar. Det är anteckningsappar som låter dig länka ihop anteckningar, så att helheten av dina anteckningar blir mer givande än alla anteckningar var för sig.

Som exempel används den säkra anteckningsappen Obsidian, vilken även löser portabilitetsproblematiken. Genom att spara anteckningarna i individuella råtextfiler säkerställer Obsidian att du alltid kommer att kunna läsa dina anteckningar, även dagen då någon ny app har konkurrerat ut Obsidian.

I veckans poddavsnitt demonstrerar också Peter och Nikka hur bra Elevenlabs nya AI-röstklonare fungerar. Nikka passar även på att, ytterligare en gång, döda myten om att mobilen tjuvlyssnar för att servera oss relevanta annonser.

Se fullständiga shownotes på https://go.nikkasystems.com/podd214.

#213 Säkra anteckningsappar

Vi har alla behov av att anteckna saker i vår vardag. För att göra detta kan vi välja mellan en mängd olika anteckningsappar som låter oss strukturera och synkronisera våra anteckningar. Tyvärr är det långt ifrån alla anteckningsappar som synkroniserar våra anteckningar totalsträckskrypterat. Det är problematiskt med tanke på hur känsliga saker som många av oss skriver i våra anteckningar.

Lyckligtvis finns det flera bra, säkra och integritetsvärnande anteckningsappar. I veckans poddavsnitt pratar Peter och Nikka om fyra av dem: Apple Anteckningar, Joplin, Standard Notes och Notesnook. De fyra anteckningsapparna har sina respektive för- och nackdelar som gör dem mer eller mindre optimala för olika målgrupper och ändamål.

Veckans poddavsnitt är den första halvan av genomgången. Lyssna även på nästa veckas avsnitt som handlar om säkra så kallade ”second brain-anteckningsappar”, till exempel Obsidian.

Se fullständiga shownotes på https://go.nikkasystems.com/podd213.

#212 Chromes integritetsvärnande (?) annonsämnen

Sättet som vi spåras på nätet är ohållbart i längden. Det vet till och med Google. Dagens tredjepartskakor som låter annonsföretag bygga annonsprofiler om oss är helt enkelt för integritetskränkande. Både Firefox och Brave har sedan länge blockerat alla tredjepartskakor av detta skäl, och snart kommer även Google att låta Chrome göra det.

Googles ursprungstanke var att fasa ut stödet för tredjepartskakor lagom till årsskiftet 2021/2022, men de har skjutit upp utfasningen gång på gång. En av huvudorsakerna till fördröjningen är att Google har saknat en gångbar ersättningsteknik. Deras första förslag på ersättningsteknik kallades Floc. Den tekniken sågades från flera håll. Integritetsvurmare bad rent av Google att ”go floc yourself”.

Google lyssnade på kritiken och tog fram en förbättrad ersättare som kallas Topics API. Under årets sommarmånader rullade Google successivt ut stödet för Topics API. Nu ska nästintill alla Chrome-användare ha fått frågan om de vill aktivera tekniken, vilken på svenska kallas ”annonsämnen”.

I veckans podd diskuterar Peter och Nikka Googles nya påhitt. De konstaterar att Topics API/annonsämnen är mycket mer integritetsvärnande än tredjepartskakor, men Nikka är ändå långt ifrån såld på konceptet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd212.

#211 Alla VPN-tjänster läcker

Säkerhetsforskare vid New York University har upptäckt en nedslående sårbarhet i världens VPN-tjänster. Sårbarheten som de kallar Tunnelcrack kan få VPN-appar att läcka trafik. Genom att lura besökare att ansluta till ett angriparkontrollerat nätverk kan angripare se vilka webbplatser som besökarna går till även om besökarna tunnlar trafiken via VPN.

Tunnelcrack är ingen ny sårbarhet. Rapportförfattarna konstaterar tvärtom att sårbarheten är lika gammal som VPN-tekniken i sig. Sårbarheten har alltså funnits i över 20 år. När rapportförfattarna testade över 60 olika VPN-tjänster visade det sig dessutom att samtliga VPN-tjänster var sårbara. Den populära VPN-tjänsten Torguard (ej relaterad till Tor) var sårbar oavsett operativsystem. Till och med vår rekommenderade VPN-tjänst Mullvad var sårbar, men bara på IOS.

I veckans avsnitt av Bli säker-podden förklarar Nikka vad som orsakar sårbarheten, vilka konsekvenser den får och vad användare kan göra åt den. Peter avslutar genomgången med ett förslag på lösning som är den allra enklaste åtgärden: anslut inte till publika wifi-nät.

Se fullständiga shownotes på https://go.nikkasystems.com/podd211.

#210 Android behöver inga nolldagar

Google har släppt sin årliga rapport om aktivt utnyttjade nolldagarssårbarheter. En av slutsatserna som Google själva drar är att Android-mobiler inte får säkerhetsuppdateringar tillräckligt snabbt. Rapportförfattarna ställer rent av frågan om huruvida världens Android-angripare behöver dra nytta av några nolldagarssårbarheter. Angriparna kan ju lika gärna utnyttja de väldokumenterade sårbarheterna som inte har blivit åtgärdade än.

I veckans avsnitt av Bli säker-podden reflekterar Peter och Nikka om den nedslående rapporten. De djupdyker också i två av rapportens exempel på hur Android-användare har blivit infekterade på grund av mobiltillverkarnas oförmåga att underhålla sina operativsystem och webbläsare. I de två exemplen infekterades alltså inte användarna för att de var sena med att installera några uppdateringar – det fanns inga uppdateringar som användarna kunde installera.

Se fullständiga shownotes på https://go.nikkasystems.com/podd210.

#209 Krypterad hälsning

Nuförtiden är nästan all trafik på webben krypterad. Det har minskat behovet av att använda VPN-tjänster vid anslutning till internet från publika wifi-nät, åtminstone ur ett säkerhetsperspektiv. Det förblir lämpligt att använda VPN-tjänster ur ett integritetsperspektiv eftersom viss metadata fortfarande skickas okrypterad och därmed avlyssningsbar. Exempel på sådan metadata är DNS-uppslag och SNI-indikatorer. Ett DNS-uppslag översätter vilken IP-adress som hör ihop med en specifik domän. En SNI-indikator pekar på vilken webbplats som ska besökas ifall flera webbplatser delar på samma IP-adress.

Både DNS och SNI avslöjar vilka domäner som besöks. I tidigare poddavsnitt har vi pratat om hur DOH (DNS over HTTPS) kan aktiveras för att kryptera DNS-uppslagen, men det har inte funnits någon gängse lösning för att kryptera SNI-indikatorerna. Det blir det ändring på nu i samband med att Google börjar aktivera funktionen som kallas Encrypted Client Hello.

I veckans poddavsnitt förklarar Peter och Nikka varför SNI-indikatorer egentligen behövs och hur Encrypted Client Hello (på sikt) förhindrar att SNI-indikatorerna läcker vilka domäner som besöks.

Se fullständiga shownotes på https://go.nikkasystems.com/podd209.

#208 Framtidens meddelandetjänster

Ett av de största problemen med dagens meddelandetjänster är att de inte fungerar med varandra. Trots att appar såsom Signal, Whatsapp och Google Messages alla använder Signal-protokollet går det ändå inte att kommunicera mellan apparna. Alla användare måste ha samma app.

Lösningen på problemet stavas MLS (Messaging Layer Security). Det är en ny protokoll- och arkitekturstandard från IETF som lägger grunden till säker och totalsträckskrypterad kommunikation mellan olika meddelandetjänster. Google, Matrix och Wire är några av organisationerna som redan har tillkännagivit att deras tjänster kommer att stödja MLS, vilket gör att deras användare kommer att kunna kommunicera med varandra över plattformsbarriärerna.

I veckans poddavsnitt pratar Peter och Nikka om hur MLS har förutsättningarna för att revolutionera sättet som vi kommunicerar. Med MLS öppnas inte bara nya möjligheter för privatpersoner som vill kunna chatta med alla sina vänner från samma app. MLS kan till och med bli nyckeln som har saknats för att äntligen kunna minimera det osäkra mejlandet mellan organisationer.

Se fullständiga shownotes på https://go.nikkasystems.com/podd208.

#207 Slut på IP-adresser

Alla enheter som ansluter till internet har en IP-adress. Med dagens version av internet finns totalt 4,3 miljarder sådana IP-adresser. Problemet som uppenbarade sig vid internets stora genombrott var att världen skulle behöva ansluta fler än 4,3 miljarder enheter. Lösningen, en ny version av internets internetprotokoll, uppfanns därför i god tid innan IP-adresserna tog slut. Med nästa generations internetprotokoll (IPv6) finns fler IP-adresser per person än världen delar på totalt på dagens internetprotokoll (IPv4).

Tyvärr har övergången till nästa generations internetprotokoll gått långsamt, framförallt i Sverige. I Sverige har vi i stället löst situationen genom att låta flera hushåll dela på samma IP-adress. Detta är problematiskt av flera skäl, vilket Peter och Nikka förklarar i veckans avsnitt av Bli säker-podden. I avsnittet pratar de också om Protons nya molnlagringstjänst, Metas norska böter och Microsofts nya företagsanpassade version av Bing Chat.

Se fullständiga shownotes på https://go.nikkasystems.com/podd207.

#206 Trasiga sociala medier

Under många år tillhörde Twitter och Reddit en speciell typ av sociala medier. Twitter och Reddit tillät en mängd olika tredjepartsappar att interagera med innehållet på plattformarna. Twitter utkristalliserade sig med tiden som ett viktigt verktyg för företag och myndigheter att nå ut med information, framförallt i USA.

Under årets första halva förändrades situationen. Både Twitter och Reddit tog bort stödet för tredjepartsappar. Twitter införde tillfälliga inloggningskrav och begränsningar på hur många inlägg som användare fick se per dag om de inte betalade för Twitters premiumtjänst Twitter Blue. Parallellt med införandet av Twitters och Reddits begränsningar har de öppna alternativen Mastodon och Lemmy växt sig starkare.

I veckans poddavsnitt pratar Peter och Nikka om huruvida sociala medier såsom Mastodon skulle kunna ta över samhällsrollen som Twitter en gång hade. Nikka förklarar också de nya IT-säkerhetsrelaterade riskerna som Mastodon och andra Activitypub-baserade sociala medier för med sig.

Se fullständiga shownotes på https://go.nikkasystems.com/podd206.

#205 Webbläsar-VPN

På senare tid har flera webbläsare, bland annat Microsoft Edge och Apple Safari, fått inbyggt stöd för VPN-anslutningar. Microsoft och Apple vill låta användare som sitter på osäkra wifi-nätverk tunnla ut sin trafik över säkra, krypterade anslutningar. För att åstadkomma detta har Microsoft börjat rulla ut Edge-funktionen som de kallar ”Säkert nätverk”. Den ger privatanvändare som loggar in med ett kostnadsfritt Microsoft-konto 5 GB månatligt VPN-trafik. Apple kallar sin motsvarighet ”Privat reläservice” och ger prenumeranter på Icloud+ obegränsat med data.

Gemensamt för de nämnda tjänsterna är att de saknar stöd för att välja vilket land som trafiken ska tunnlas ut genom. Denna begränsande egenskap delar tjänsterna med Googles VPN-tjänst, vilken Google paketerar som en del av betaltjänsten Google One. Skillnaden mellan Googles VPN-tjänst och de två andra är att Googles tjänst åtminstone tunnlar trafiken från alla appar som körs på datorn eller mobilen. Microsofts och Apples tjänster enbart tunnlar trafiken från tillverkarnas respektive webbläsare.

I veckans avsnitt av Bli säker-podden pratar Nikka och Peter om nämnda VPN-tjänster och hur de står sig mot de mer traditionella alternativen såsom Mullvad VPN och Proton VPN. Podduon tittar också in under huven på Microsofts VPN-tjänst där de hittar underleverantörens kostnadsfria VPN-tjänst. Den verkar rent av vara bättre än Microsofts ompaketering.

Se fullständiga shownotes på https://go.nikkasystems.com/podd205.

#204 Helt halvfärdiga säkerhetstjänster

Nuförtiden lanseras många tjänster enligt den så kallade Minimum Viable Product-principen. Tjänsterna släppts så tidigt som möjligt för att utvecklarna ska få möjlighet att bygga klart tjänsterna baserat på användarnas feedback. Fördelen med lanseringsprincipen är att utvecklarna blir medvetna om var de ska lägga fokus. Nackdelen med lanseringsprincipen är att produkterna är långt ifrån konkurrenskraftiga vid lansering.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om just denna typ av tjänster. Bakgrunden är Protons lansering av lösenordshanteraren Proton Pass, en lösenordshanterare som Proton själva hävdar att är bättre än väletablerade Bitwarden (trots att tjänsten i själva verket bara är en Minimum Viable Product).

Se fullständiga shownotes på https://go.nikkasystems.com/podd204.

#203 Informationsläckande AI

ChatGPT och liknande generativa text-AI-verktyg har börjat underlätta våra jobb. Aftonbladet och Expressen drar nytta av ChatGPT för att skapa kortfattade summeringar av långa artiklar. Nyhetsappen Readwise har en inbyggd ”spökläsare” som automatiskt sammanfattar artiklarna som användarna sparar. Detta är exempel på situationer då ChatGPT både briljerar och kan användas riskfritt. Så är dock inte alltid fallet.

Flera av de amerikanska storbankerna har förbjudit sina medarbetare att använda generativa text-AI-verktyg. Koreanska Samsung har gjort samma sak efter att medarbetare har råkat läcka företagshemligheter i konversationer med ChatGPT. Problemet är att generativa text-AI-verktyg inte fungerar som vilka andra molntjänster som helst. Informationen som användarna förser verktygen med kan användas för att träna modellerna, vilket riskerar leda till att personuppgifter och företagshemligheter läcker. Värst av allt är att datan som den artificiella intelligensen har ”lärt sig” kan vara svår eller rent av omöjligt att radera eller korrigera.

I veckans somriga avsnitt av Bli säker-podden pratar Peter och Nikka om riskerna med generativa text-AI-verktyg. Nikka berättar också om de glädjande AI-nyheterna som Nextcloud presenterade förra veckan. Nextcloud har nämligen en lösning på problematiken.

Se fullständiga shownotes på https://go.nikkasystems.com/podd203.

#202 Kontroversiella Brave

Webbläsaren Brave har på senare år seglat upp som en favorit­webbläsare bland säkerhets- och integritets­värnande användare. Brave-utvecklarna har baserat sin webbläsare på den branschledande Chromium-grunden och ersatt de Google-specifika anpassningarna med sina egna motsvarigheter. Brave-webbläsaren innehåller dessutom en mycket kompetent innehålls­blockerare som motverkar spårning och laddning av integritets­kränkande annonser.

I Bli säker-podden har vi vid flera tillfällen pratat om smarta funktioner i Brave-webbläsaren. Trots detta har Brave aldrig fått vår rekommendation. Bakgrunden ligger i Brave-organisationens kontroversiella historik. I veckans avsnitt av Bli säker-podden förklarar vi varför historiken gör Brave svår att rekommendera, trots att Brave kan vara världens bästa webbläsare.

Se fullständiga shownotes på https://go.nikkasystems.com/podd202.

#201 Säkra Apple-nyheter

I måndags började Apples årliga utvecklarkonferens WWDC. I vanlig ordning presenterade Apple flera säkerhets- och integritetsförbättringar för IOS och Mac OS. Dessa förbättringar hamnade lite i skymundan av att Apple samtidigt avslöjade sin senaste storsatsning ”Apple Vision Pro” och deras intåg i VR-glasögonsvärlden.

I veckans avsnitt av Bli säker-podden går Nikka och Peter igenom höjdpunkterna från konferensen – både när det gäller Apples väletablerade operativsystem och Apples helt nya Vision OS.

Se fullständiga shownotes på https://go.nikkasystems.com/podd201.

#200 Elaka Android-appar

Det kan vara svårt att hitta rätt i djungeln bland appar i Google Play. Bra och pålitliga appar brukar kännetecknas av stora installationsbaser och många goda omdömen. Detta har även världens angripare börjat ta i beaktning. De senaste veckorna har vi fått flera exempel på hur uthålliga angripare har delat upp sina attacker i flera steg. Först laddade angriparna upp bra och användbara appar till Google Play. Dessa appar tillskansade sig stora användarskaror och bra betyg. Några månader senare släppte angriparna spionprogramspreparerade uppdateringar till dessa appar.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om de senaste rapporterna kring skadliga Android-appar. Podduon tar också en tillbakablick på hur Google har förbättrat Android genom åren för att minska riskerna och begränsa skadorna som illasinnade Android-appar kan orsaka.

Se fullständiga shownotes på https://go.nikkasystems.com/podd200.

#199 Riktiga vänner spårar inte varandra

Apples Airtags och liknande Bluetooth-taggar har blivit populära för att hitta borttappade prylar. Sådana taggar har inga inbyggda GPS-mottagare eller mobilmodem för att rapportera sina positioner. Taggarna förlitar sig i stället på nätverket av världens Iphone-mobiler. När en tagg är inom Bluetooth-räckvidd för en Iphone rapporterar Iphonen taggens position. Detta gör tekniken i taggarna både strömsnål och kostnadseffektiv.

På årets upplaga av Googles utvecklarkonferens meddelade Google att de bygger ett motsvarande spårningsnätverk med hjälp av världens Android-mobiler. Tekniken rullar ut i sommar och kommer att stödjas av Bluetooth-taggar från flera tredjepartstillverkare.

Med två globala spårningsnätverk för Bluetooth-taggar och flera olika taggtillverkare ökar vikten av att tekniken inte missbrukas. Apple och Google har därför slagit sina kloka huvuden ihop och skrivit ett förslag till standard för hur taggar ska skydda mot ofrivillig spårning. I veckans avsnitt av Bli säker-podden diskuterar Peter och Nikka detta utkast, vilket inte är helt okontroversiellt.

Se fullständiga shownotes på https://go.nikkasystems.com/podd199.

#198 Säkerhetsnyheter i Android 14

Förra veckan gick Googles årliga utvecklarkonferens Google IO av stapeln. Precis som tidigare år passar vi på att summera vilka säkerhets- och integritetsförbättringar som Google presenterade.

I år är nyheterna bland annat tydligare behörighetsfrågor för geografisk plats, en ny version av surfskyddet Google Safe Browsing samt ett nytt krav på appar som publiceras i Google Play-appbutiken. Om en app i Google Play låter användarna skapa konton kommer appen också behöva låta användarna radera dessa konton.

Se fullständiga shownotes på https://go.nikkasystems.com/podd198.

#197 Fler USB-minnen, fler problem Part II

I förra veckans avsnitt av Bli säker-podden pratade vi om incidenten hos Region Skåne där en forskare hade råkat tappa bort ett okrypterat USB-minne med personuppgifter. Av IMY:s rapport framgår det att Region Skåne uppmanade medarbetare att använda komprimeringsprogrammet 7-zip som en teknisk säkerhetsåtgärd. 7-zip kan nämligen inte bara komprimera filer utan även kryptera de hoppackade zip-arkiven.

7-zip är dock ingen optimal lösning för situationen. Det är opraktiskt för medarbetarna att behöva packa ihop och packa upp krypterade zip-arkiv för att komma åt sina filer. Därutöver öppnar sådant krångel för misstag, till exempel att någon medarbetare packar upp ett krypterat zip-arkiv till det okrypterade USB-minnet i stället för till sin dator. Lyckligtvis finns det lämpligare lösningar än 7-zip, och i veckans avsnitt berättar vi vilka dessa är.

Se fullständiga shownotes på https://go.nikkasystems.com/podd197.

#196 Fler USB-minnen, fler problem

USB-minnen är problematiska. De är små, de är lätta att tappa bort och de används oftast för tillfällig kopiering eller flytt av data. I organisationer där USB-minnen tillåts är det därför lätt hänt att känslig data flyttas runt på ett ostrukturerat vis. Om datan läggs på ett USB-minne som inte är krypterat förvärras situationen. Ifall någon tappar bort ett sådant USB-minne har den känsliga datan läckt.

Detta var exakt vad som hände Region Skåne. Där råkade en medarbetare lagra känsliga personuppgifter tillhörande nära 2000 personer på ett okrypterat USB-minne. Medarbetaren glömde USB-minnet i kläder som senare skickades till ett tvätteri. USB-minnet återfanns aldrig.

I slutet av april utfärdade IMY en administrativ sanktionsavgift på 200 000 kronor mot Region Skåne med anledning av personuppgiftsincidenten. I veckans avsnitt av Bli säker-podden reflekterar vi över incidenten och vilka lärdomar som organisationer bör dra av den.

Se fullständiga shownotes på https://go.nikkasystems.com/podd196.

#195 Mot nästa DNS

DNS-systemet fungerar som internets telefonkatalog. Det är tack vare DNS som vi slipper komma ihåg krångliga IP-adresser till servrarna som vi vill besöka. Vi behöver bara komma ihåg lättihågkomliga domännamn (till exempel nikkasystems.com), så översätter vår valda eller tilldelade DNS-server domännamnen till de rätta IP-adresserna (i det fallet 49.12.191.204).

Så kallade DNS-skydd kan, tack vare vårt beroende av DNS, förhindra att vi ansluter till skadliga webbplatser. Genom att filtrera bort domäner som är kända för att sprida exempelvis skadeprogram förhindrar DNS-servern att vi besöker dessa webbplatser. Om vi luras att klicka på en länk till en känd skadlig webbplats händer ingenting. Vår dator eller mobil får helt enkelt inte reda på vart den ska ansluta.

I veckans avsnitt av Bli säker-podden pratar vi om en förhållandevis ny aktör på DNS-skyddsmarknaden: NextDNS. NextDNS har skapat en tjänst som gör det möjligt för privatpersoner och småföretag att själva anpassa hur deras DNS-skydd ska fungera.

Se fullständiga shownotes på https://go.nikkasystems.com/podd195.

#194 Kungens bonde och flygande hästen

Problematiken med stater som utnyttjar kommersiella spionprogram för att spionera på folket har gjort sig påmind igen. Citizen Lab vid University of Toronto har upptäckt hur den ökända Pegasus-trojanen, återigen, har missbrukats för att spionera på människorättskämpar. Tillsammans med Microsoft har Citizen Lab också kunnat avslöja hur Kingspawn-trojanen har infekterat bland annat journalisters och politiska meningsmotståndares mobiler. Allt detta har gjorts via sårbarheter i mobilernas operativsystem som har gjort det möjligt att infektera mobilerna utan att användarna har behövt göra någonting alls.

I veckans poddavsnitt återvänder Peter och Nikka till diskussionen om kommersiella spionprogram och hemlig dataavläsning. Frågan har aktualiserats med anledning av nya förbud från Biden-administrationen och nya lagförslagsändringar från svenska regeringen. Citizen Labs rapport visar också att Apples nya funktion ”låst läge” faktiskt fungerar och har förhindrat verkliga infektionsförsök.

Se fullständiga shownotes på https://go.nikkasystems.com/podd194.

#193 Integritetsvärnande sökmotorer

Googles sökmotor är det självklara valet för att söka på webben. Google är inte bara den förvalda sökmotorn i Googles egen webbläsare. Det är också den förvalda sökmotorn i konkurrerande webbläsare såsom Safari och Firefox. Faktumet att vi har vant oss vid att ”googla” understryker rollen som Googles sökmotor har fått i våra liv.

Efter att Google slog igenom har de andra sökmotorerna haft svårt att plocka nämnvärda marknadsandelar. Men Googles dominans betyder inte att det saknas gångbara alternativ. Det finns rent av sökmotorer som ger bokstavligen lika bra sökresultat. Startpage är ett sådant exempel. Startpage köper nämligen sina sökresultat av just Google.

I veckans poddavsnitt pratar Nikka och Peter om de integritetsvärnande Google-alternativen som finns i dagens sökmotorlandskap. Podduon jämför nämnda Startpage med bland annat Duck Duck Go och Brave Search. Nikka avslöjar också Mullvad Leta – en integritetsvärnande sökmotor från företaget bakom Mullvad VPN.

Se fullständiga shownotes på https://go.nikkasystems.com/podd193.

#192 I stället för Chat Control 2.0

Avsnitt 183 av Bli säker-podden fokuserade på säkerhetsproblematiken med EU-kommissionär Ylva Johanssons kontroversiella förslag ”Chat Control 2.0”. I det avsnittet konstaterade Peter och Nikka att förslaget både bygger på tekniska orimligheter och öppnar dörren för massövervakning som utsätter hela världen för nya faror.

Sedan dess har mycket hänt. I Svenska Dagbladets debatt mellan Johansson och Nikka tydliggjordes det att förslaget är skrivet på helt felaktiga tekniska antaganden, såsom att det skulle gå att ”sniffa” innehållet i totalsträckskrypterade konversationer. Svenska ledarredaktioner från hela den politiska höger/vänster-skalan har tagit avstånd från förslaget. Bland de svenska riksdagspartierna har Centerpartiet, Sverigedemokraterna och Vänsterpartiet tillkännagjort att de inte kan stötta ett förslag som Chat Control 2.0.

I veckans avsnitt av Bli säker-podden följer Nikka och Peter upp med svaret på den viktiga följdfrågan: vad kan göras i stället? I avsnittets huvudämne redogör Nikka för vad som går att göra rent tekniskt för att adressera problematiken utan att ta bort barnens Barnkonventionsstadgade rättigheter eller bryta mot Europakonventionen och FN:s deklaration om mänskliga rättigheter.

Se fullständiga shownotes på https://go.nikkasystems.com/podd192.

#191 Kapade Youtube-kanaler

För två år sedan fick Peter Esse ett misstänkt mejl angående sin Youtube-kanal. Ett företag som påstod sig representera Epic Games ville betala en orimlig summa för att han skulle testa ett nytt spel. Peter insåg att något var suspekt och undersökte därför mejlets bilaga i en virtuell maskin. Bilagan var i själva verket inget sponsorkontrakt. Det var ett skadeprogram.

Sedan dess har Peter fortsatt att få liknande mejl på veckobasis, och han är inte ensam. Google har till och med gått ut med en varning om problemet. Bedragare lockar med stora sponsorsummor i hopp om att youtubers ska öppna de infekterade bilagorna.

Om de gör det kapas deras Youtube-kanaler som därefter missbrukas för att sprida investeringsbedrägerier. Förra veckan föll mediehuset Linus Media Group offer för att attacken. Deras tre Youtube-kanaler, inklusive flaggskeppet Linus Tech Tips, började live-strömma en intervju med Elon Musk och uppmanade tittarna att investera i ett bedrägeriprojekt.

I veckans podd pratar Peter och Nikka om hur angriparna lyckades få tillgång till Linus Media Groups Youtube-kanaler trots att Youtube-kontona skyddades med tvåfaktorsautentisering. Trogna Bli säker-poddenlyssnare som minns avsnitt 165 (Snatta kakor) vet redan svaret.

Se fullständiga shownotes på https://go.nikkasystems.com/podd191.