Månad: november 2020

30 november, 2020

Show Notes för #102 – Schrems II med Agnes

Där de tuffa typerna bor…

Avsnittet: #102 – Schrems II med Agnes
Inspelat: 2020-11-27 (publicerats 2020-11-29)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.

Schrems 2-domen sänder svallvågor över hela Europa. Men Agnes kan ge sakliga besked om vad det faktiskt innebär i verkligheten. Upplysande och även lugnande. Men detta innebär inte att det bara är att slappna av och fortsätta som om ingenting hänt.

I samarbete med SIG Security dessutom.

Länkar

Schrems2 – vad innebär det?

SIG Security:
https://www.sigsecurity.org/gdpr-privacy-shield-schrems-ii-nytt-poddavsnitt/

22 november, 2020

Biometrisk teknik på framfart

Avsnittet: #101 – Biometri med Fingerprints
Inspelat: 2020-11-20 (publicerats 2020-11-22)
Deltagare: Erik Zalitis, Mattias Jadesköld och Christian Fredriksson (VD, Fingerprints)

Svenska Fingerprints leder det globala utvecklingsarbetet gällande biometrisk teknik. Christian Fredriksson drivs av att kunna erbjuda säkrare lösningar som dessutom är enklare att använda för alla. Han har bakgrund i både Nokia och F-Secure.

Christian Fredriksson

Hur fungerar betalning med biometri?

En kontaktlös kortbetalning sker genom att sätta fingret på betalkortets sensor

När vi betalar idag använder vi ju pinkod, vilket inte är någon nyhet. Dessutom kan vi göra helt kontaktlösa betalningar under 500 kronor vilket betyder att om någon kommer över kortet kan obehörig göra betningar upp till 500 kronor med kortet utan pinkod.

Det kortet som Fingerprints har utvecklat, och som rullas ut i Frankrike och Schweiz, har en sensor för att registrera användarens fingeravtryck. Vid en betalning lägger kunden helt enkelt fingret över sensorn och blippar mot terminalen. Ingen kod. Ingen kontakt.

Biometri påskyndat av pandemin

Christian berättar också att pandemin har fått en rejäl skjuts i samband med pandemin där man kräver mer och mer kontaktlösa system. Bland annat beskriver han ett sjukhus i Korea där personal kan låsa upp dörrar till avdelningar med iris. Att just lotten föll på iris som biometrisk källa blev naturligt. Läkare och sjuksköterskor bär ju munskydd och handskar vilket gör det svårt med fingeravtryck och ansiktsigenkänning.

Hur sparas mitt fingeravtryck?

Informationen om fingeravtrycket sparas endast i kortet och bygger på en algoritm att känna igen ditt finger (eller fler fingrar om du registrerar fler), och vartefter du åldras och blir rynkigare, följer kortet med och lär dina nya drag. På så vis kommer betalningen även fungera under en lång tid.

Eftersom informationen sparas krypterat i kortet skickas det alltså inte till något moln eller så och det går inte att få ut informationen om kortet kommer i orätta händer, så att säga.

Hollywood-myter

Vi har sett det i spionfilmer hur skurkar skär av finger (eller ögat) för att göra en inläsning och öppna den hemliga dörren. Funkar det?

Nej, inte alls. Sensorn i kortet har algoritm för att se att fingret ”lever” så förhoppningsvis ska alla få behålla sina fingrar i framtiden med dessa kort.

Betala i butiker i all ära men hur gör man på webben?

En betalning via en webbplats skulle fungera på samma vis med att nyttja sitt fingeravtryck istället för de där tre siffrorna som finns på kortets baksida (CVV eller CVC).

Vi ser alltså enklare betalningsmetoder framför oss som är mer säkra. Ljus framtid alltså! Det ska bli en riktigt spännande utveckling att följa där biometrisk teknik är på frammarsch.

Fingerprints kampanjfilm ”Ingen är som du!”
14 november, 2020

Show Notes för #100 – Säkerheten i HP SureClick

Eftersom vi inte vågar elda upp recensionsdatorn, får ni här en metafor för våra hårda nypor när vi granskade HP SureClick. Var den bra eller inte, lyssna vidare får ni veta….

Avsnittet heter #100 – Säkerheten i HP SureClick
Det spelades in 2020-10-25 och lades ut 2020-11-15.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

På YouTube.

Vi är ju normalt inte en ”videopodd”, så detta har varit en utmaning för oss. Jag har jobbat med ljudet och Mattias med bilden. Så här vårt första videoavsnitt där vi båda deltar. Vi kan inte lagra stora filer på Libsyn där vi skickar ut våra poddar, så avsnittet med video finns på YouTube och det med ljud finns där poddar finns (eller på denna sida).

HPs dator har ett antal säkerhetsfunktioner och vi har valt att gå igenom dem en och en för att se vad de klarar och var de inte räcker hela vägen.

Så till HP SureClick. Det lovar att den kan göra att din webbläsarsession körs i ett säkert läge, eller en ”detonationskammare” som jag kallar det. Effekten av en attack är att webbläsaren inte öppnar en väg in till resten av datorn, vilket annars kan leda till att ransomware får fotfäste, kryptobrytare får köra eller datorn kan tas över. När du stänger webbläsaren, raderas allt i den, vilket också avbryter all körande skadlig kod. Men allt du gör i webbläsaren i sig är inte säkert om någon tar över den och det du håller på med. Vilket kan vara banktransaktioner eller sessioner mot andra servrar eller ditt tillgång till ditt Facebook-konto.

Dessutom fungerar SureClick enbart med den inbyggda säkra webbläsaren som är en Chromium-klon vilken HP själva uppdaterar… ibland… Den äldre versionen av HP Sureclick lovade uppdateringar varje halvår. Detta är sällan och mycket oroande. När vi började testa, kunder Mattias konstatera att versionen av Chromium som du måste använda var 10 versioner efter den senaste som släppts. Chromium är ju också vad ”Google Chrome” är byggt på och den webbläsaren är troligen den mest eftertraktade att hacka för cyberbrottslingar.

Mitt under testet kom en ny version som lovar fler uppdateringar, men också tar bort stödet för alla andra webbläsare än den säkra.

Ehh… Läs NOGGRANT!!!

Rutan ovan finns i tillägget som är installerat i riktiga Google Chrome, som du kanske laddar ner och installerar på datorn, och det lovar dig säkerhet… Men det är inte sant, du måste klicka på ”Open new Secure Browser window” för att den säkra webbläsaren ska starta. Direkt vilseledande och garanterat att få folk att tro att de är säkra när så inte är fallet. Katastrofalt dåligt!

Borde man överhuvudtaget tillåta att köra saker utanför denna SureClick-funktion? Jag påpekar i avsnittet dumheten med ett säkerhetsskydd som man slår av och på hela tiden beroende på vad man gör.

15 hot… Från Enisa… Klicka på bilden för en större version.

Mattias valde att ställa upp SureClick mot det 15 vanligaste säkerhetshoten just nu. Vi går igenom dem steg för steg och snackar om de som är relevanta för diskussionen. Det är värt att notera, som jag skrev i början, att SureClick bara är EN av många funktioner som skyddar maskinen. Vi kommer givetvis ställa upp de andra säkerhetsfunktionerna mot hoten. Så i sin helhet kan datorn hantera fler hot än vad SureClick i sig själv klarar av. Men denna lök ska ju skalas, så det är vad vi gör i detta avsnitt.

Läskiga sajter som vi testar att ladda och som ändå inte ska kunna slå sig ur detonationskammaren… Inget hemskt hände denna gång i alla fall.
8 november, 2020

Show Notes för #99 – Hur blir man hackad med David Jacoby

Med tanke på ämnet, kanske vi skulle skratta och le mindre. #kränkt #hackingärseriöst #nördvarniung

Avsnittet heter #99 – Hur man blir hackad med David Jacoby
Det spelades in 2020-11-01 och lades ut 2020-11-08.
Deltagare: Erik Zalitis och Mattias Jadesköld
Detta avsnitt är ett samarbete med SIG Security.
Show notes skrivna av Erik Zalitis.

Någon vitsig typ föreslog att vi skulle byta titeln till ”Hur man blir hackad AV David Jacoby”. Och det vore onekligen en roligare rubrik. Så till avsnittet…

Jag startade Rodecastern några minuter i fyra söndagen den 1 november 2020 efter att ha fått kontakt med David som sprang runt i sitt hus med sitt headset på. Vi kom att prata i 90 minuter, men någonstans måste man ju dra en gräns, så avsnittet är knappt 60 minuter. Bland det bortklippta i detta videosamtal finns när jag fick se Davids alla Amigor, C64or och Ataris som fanns i källaren. Han har också ett antal BBS:er som man kan ”ringa” till via telnet också.. Otroligt häftigt.

Snacket kom dock att handla om hans jobb som ”evangelist” och jag försökte ta reda på om det är teknikerroll som också gör dig till en säljare. Det håller inte David med om, utan påpekar att han istället vill prata om säkerhetsproblem och lösningar med en publik som inte vill ha en djup teknisk beskrivning, utan snarare en aha-upplevelse.

David håller inte heller riktigt med om att han är ett varumärke själv. Men hans evangelism sätter faktiskt både honom och hans arbetsgivare, Kaspersky, på kartan. Han har synts i TV-program, hörts i poddar och uttalats sig offentligt i IT-säkerhetsfrågor. Det är vad evangelismen innebär i stora drag, eller vad han ser som en viktig del av den.

Här är attacktyperna vi diskuterade och som David rankade efter hur allvarliga de är just nu:

  • Phishing.
  • Attachment (skadlig kod i bilagor).
  • Sårbarheter (Buffertöverskrivningar).
  • Fake-antivirus och uppdateringar.
  • Social engineering.
  • DoS (Denial of service).
  • XSS, CSRF (session hijacking).

Två frågor som han ställde till mig var:

  • Hur mycket får jag köpa din Facebook-sida för?
  • Hur tror du pass blir stulna?

Ska inte avslöja något om svaren, men de är väldigt intressanta och visar hur hackare tänker och hur annorlunda det är mot andra personer.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Davids arbetsgivare, Kaspersky:
https://www.kaspersky.se/

Vårt förra avsnitt med honom:
https://www.itsakerhetspodden.se/podcast/46-david-jacoby/

Presentation av honom hos Kaspersky:
https://www.kaspersky.se/about/team/david-jacoby

En riktig jobbigt typ att ge hemelektronik till är han också:
https://www.expressen.se/nyheter/david-jacoby-hackade-sin-hemelektronik/

Allt detta gjordes möjligt att SIG Security:
https://www.sigsecurity.org/

Davids hemsida för de som inte är helt fast i sociala medias garn:
http://www.davidjacoby.se/

1 november, 2020

Show Notes för #98 –Antiviruskungen som blev mordanklagad

John McAfee med sina många flickvänner, dock inte någon av de tillfällen där de försökt mörda honom. Och badsalt är troligen inte särskilt spännande att snorta… Har jag hört… Från en vän… Eller nå’t … Sluta titta på mig!

Avsnittet heter #98 – Antiviruskungen som blev mordanklagad
Det spelades in 2020-10-24 och lades ut 2020-11-01.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

Vid 22:51 pratar vi om SEC (U.S. Securities and Exchange Commission) som mycket riktigt utreder ekonomisk brottslighet. De har dock mycket mer strängar på sin lyra, men det är inte riktigt relevant för denna diskussion.

Vi hamnar också i en diskussion om libertianer och piratpartiet där det gäller att hålla tungan rätt i mun för att vara saklig. Så är det alltid när man kommer in på ämnet politik oavsett vad man pratar om. IT-säkerhetspodden blir inte politiska och vi tar inte ställning.

Vi pratade faktiskt med Piratpartiets Katarina Stensson förra året om deras syn på bland annat IT-säkerhet. Den intervjun finns givetvis att lyssna på.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Och, givetvis, här är videon för er som inte ännu har slutat tro era ögon…

Badsalt, brudar och avinstallation på ett mycket brutalt sätt… McAfee levererar…
Scroll to top